COMM.
DB
COUR DE CASSATION
______________________
Audience publique du 9 mars 2022
Cassation
M. MOLLARD, conseiller doyen
faisant fonction de président
Arrêt n° 175 F-D
Pourvoi n° R 20-12.376
R É P U B L I Q U E F R A N Ç A I S E
_________________________
AU NOM DU PEUPLE FRANÇAIS
_________________________
ARRÊT DE LA COUR DE CASSATION, CHAMBRE COMMERCIALE, FINANCIÈRE ET ÉCONOMIQUE, DU 9 MARS 2022
La société Carrosserie [M] et Fils, société à responsabilité limitée, dont le siège est [Adresse 2], a formé le pourvoi n° R 20-12.376 contre l’arrêt rendu le 5 décembre 2019 par la cour d’appel de Dijon (2e chambre civile), dans le litige l’opposant :
1°/ à la société Caisse de crédit mutuel du Creusot, dont le siège est [Adresse 3],
2°/ à la société Caisse d’épargne et de prévoyance de Bourgogne Franche-Comté, société anonyme, dont le siège est [Adresse 1],
défenderesses à la cassation.
La demanderesse invoque, à l’appui de son pourvoi, les deux moyens de cassation annexés au présent arrêt.
Le dossier a été communiqué au procureur général.
Sur le rapport de M. Boutié, conseiller référendaire, les observations de la SCP Bauer-Violas, Feschotte-Desbois et Sebagh, avocat de la société Carrosserie [M] et Fils, de la SARL Le Prado – Gilbert, avocat de la société Caisse de crédit mutuel du Creusot et de la société Caisse d’épargne et de prévoyance de Bourgogne Franche-Comté, après débats en l’audience publique du 18 janvier 2022 où étaient présents M. Mollard, conseiller doyen faisant fonction de président, M. Boutié, conseiller référendaire rapporteur, M. Ponsot, conseiller, et Mme Fornarelli, greffier de chambre,
la chambre commerciale, financière et économique de la Cour de cassation, composée des président et conseillers précités, après en avoir délibéré conformément à la loi, a rendu le présent arrêt.
Faits et procédure
1. Selon l’arrêt attaqué (Dijon, 5 décembre 2019), la société Carrosserie [M] et fils (la société), titulaire de comptes professionnels auprès de la société Caisse d’épargne et de prévoyance de Bourgogne Franche-Comté (la Caisse d’épargne) et de la société Caisse de crédit mutuel du Creusot (le Crédit mutuel), a souscrit auprès de cette dernière une convention dénommée « formule clé » afin de sécuriser et de faciliter ses opérations bancaires sur internet réalisées à partir de l’ensemble de ses comptes bancaires.
2. Ayant été victime le 16 juillet 2015 d’un piratage informatique et d’un virement frauduleux de 64 850 euros à partir d’un des comptes ouverts à la Caisse d’épargne, la société a assigné cette dernière et le Crédit mutuel en responsabilité.
Examen des moyens
Sur le premier moyen, pris en ses première et deuxième branches, et le second moyen, pris en ses première et deuxième branches, réunis
Enoncé du moyen
3. Par son premier moyen, pris en ses première et deuxième branches, la société fait grief à l’arrêt de rejeter ses demandes dirigées contre le Crédit mutuel, alors :
« 1°/ que s’il appartient à l’utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d’informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l’instrument de paiement ou des données qui lui sont liées, c’est à ce prestataire qu’il incombe, par application des articles L. 133-19, IV, et L. 133-23 du code monétaire et financier, de rapporter la preuve que l’utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence grave à ses obligations ; que cette preuve ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés ; qu’en écartant toute responsabilité du Crédit mutuel aux motifs ‘‘qu’il est évident, ainsi que l’a admis le tribunal de commerce, que le virement frauduleux n’a pu se produire que parce que la clé de sécurité était introduite dans l’ordinateur à partir duquel il a été ordonné” et que ‘‘la prise en main à distance de l’ordinateur ne peut avoir lieu que parce que l’opérateur n’était pas à son poste, car sinon, il l’aurait constatée”, la cour d’appel a déduit la prétendue négligence de l’utilisateur du seul fait que l’instrument de paiement avait été utilisé, en violation des articles L. 133-16, L. 133-19 et L. 133-23 du code monétaire et financier et, ensemble, des anciens articles 1147 et 1315 du code civil, dans leur rédaction applicable en la cause ;
2°/ que s’il appartient à l’utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d’informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l’instrument de paiement ou des données qui lui sont liées, c’est à ce prestataire qu’il incombe, par application des articles L. 133-19, IV, et L 133-23 du code monétaire et financier, de rapporter la preuve que l’utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence grave à ses obligations ; qu’en énonçant que le tribunal avait renversé la charge de la preuve en reprochant au Crédit mutuel de ne prouver ni l’absence de mise à jour de l’antivirus, ni l’absence d’opérateur sur le poste sur lequel était présente la clé USB lors de l’opération frauduleuse, ni que la présence d’un opérateur aurait pu rendre transaction impossible, la cour d’appel a elle-même renversé la charge de la preuve et violé l’article 1315 devenu 1353 du code civil. »
4. Par son second moyen, pris en ses première et deuxième branches, la société fait grief à l’arrêt de rejeter ses demandes dirigées contre la société Caisse d’épargne, alors :
« 1°/ que s’il appartient à l’utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d’informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l’instrument de paiement ou des données qui lui sont liées, c’est à ce prestataire qu’il incombe, par application des articles L. 133-19, IV, et L. 133-23 du code monétaire et financier, de rapporter la preuve que l’utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence grave à ses obligations ; que cette preuve ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés ; qu’en imputant une négligence à la société aux motifs “qu’il est évident, ainsi que l’a admis le tribunal de commerce, que le virement frauduleux n’a pu se produire que parce que la clé de sécurité était introduite dans l’ordinateur à partir duquel il a été ordonné” et que “la prise en main à distance de l’ordinateur ne peut avoir lieu que parce que l’opérateur n’était pas à son poste, car sinon, il l’aurait constatée”, la cour d’appel a déduit la prétendue négligence de l’utilisateur du seul fait que l’instrument de paiement avait été utilisé, en violation des articles L. 133-16, L. 133-18, L. 133-19 et L. 133-23 du code monétaire et financier ;
2°/ que s’il appartient à l’utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d’informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l’instrument de paiement ou des données qui lui sont liées, c’est à ce prestataire qu’il incombe, par application des articles L. 133-19, IV, et L 133-23 du code monétaire et financier, de rapporter la preuve que l’utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence grave à ses obligations ; qu’en énonçant que le tribunal avait renversé la charge de la preuve en reprochant au Crédit mutuel de ne prouver ni l’absence de mise à jour de l’antivirus, ni l’absence d’opérateur sur le poste sur lequel était présente la clé USB lors de l’opération frauduleuse, ni que la présence d’un opérateur aurait pu rendre transaction impossible, la cour d’appel a renversé la charge de la preuve et violé les articles L. 133-16, L. 133-18, L. 133-19 et L. 133-23 du code monétaire et financier. »
Réponse de la Cour
Vu les articles L. 133-19, IV, et L. 133-23 du code monétaire et financier, dans leur rédaction antérieure à celle issue de l’ordonnance n° 2017-1252 du 9 août 2017 :
5. Il résulte de ces textes que c’est au prestataire de services de paiement qu’il incombe de rapporter la preuve que l’utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence grave à ses obligations. Cette preuve ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés.
6. Pour rejeter les demandes de la société et lui faire supporter les pertes occasionnées par le virement frauduleux, l’arrêt, après avoir relevé que la société a été victime d’un virus de type « malware » ayant permis, aux termes de manoeuvres sophistiquées, la prise en main à distance par le pirate informatique de l’ordinateur à partir duquel le virement a été ordonné, retient que le virement n’a pu avoir lieu que parce que, à la fois, la clé de sécurité était introduite dans l’ordinateur et l’opérateur n’était pas à son poste, car sinon il aurait constaté la prise en main à distance. Il ajoute qu’il n’appartient pas au Crédit mutuel de rapporter la preuve de l’absence de l’opérateur à son poste au moment du virement, ni de démontrer que la présence de l’opérateur aurait pu rendre ce virement impossible, ni d’établir que l’anti-virus de la société n’était pas à jour ou qu’un autre système de protection aurait pu détecter et neutraliser plus efficacement le virus. Il en déduit que les conditions générales de la convention « formule clé », lesquelles prévoient notamment qu’à la fin de chaque utilisation ou service, le souscripteur doit veiller à se déconnecter systématiquement et correctement du service, sont opposables à la société et qu’il n’est pas établi que le virement frauduleux a pu être réalisé en raison d’une insuffisance du système de sécurisation des transactions que le Crédit mutuel a fourni à la société.
7. En statuant ainsi, la cour d’appel a violé les textes susvisés.
PAR CES MOTIFS, et sans qu’il y ait lieu de statuer sur les autres griefs, la Cour :
CASSE ET ANNULE, en toutes ses dispositions, l’arrêt rendu le 5 décembre 2019, entre les parties, par la cour d’appel de Dijon ;
Remet l’affaire et les parties dans l’état où elles se trouvaient avant cet arrêt et les renvoie devant la cour d’appel de Besançon ;
Condamne les sociétés Caisse d’épargne et de prévoyance de Bourgogne-Franche-Comté et Caisse de crédit mutuel du Creusot aux dépens ;
En application de l’article 700 du code de procédure civile, rejette les demandes formées par les sociétés Caisse d’épargne et de prévoyance de Bourgogne-Franche-Comté et Caisse de crédit mutuel du Creusot aux dépens et les condamne à payer à la société Carrosserie [M] et fils la somme globale de 3 000 euros ;
Dit que sur les diligences du procureur général près la Cour de cassation, le présent arrêt sera transmis pour être transcrit en marge ou à la suite de l’arrêt cassé ;
Ainsi fait et jugé par la Cour de cassation, chambre commerciale, financière et économique, et prononcé par le président en son audience publique du neuf mars deux mille vingt-deux.
