vendredi 22 octobre 2021

Hameçonnage : retour de la preuve de la négligence grave

Texte intégral

RÉPUBLIQUE FRANCAISE
AU NOM DU PEUPLE FRANCAIS

LA COUR DE CASSATION, CHAMBRE COMMERCIALE, a rendu l'arrêt suivant :

COMM.

CH.B



COUR DE CASSATION
______________________


Audience publique du 2 juin 2021




Cassation


M. RÉMERY, conseiller doyen
faisant fonction de président



Arrêt n° 479 F-D

Pourvoi n° X 19-19.577









R É P U B L I Q U E F R A N Ç A I S E

_________________________

AU NOM DU PEUPLE FRANÇAIS
_________________________


ARRÊT DE LA COUR DE CASSATION, CHAMBRE COMMERCIALE, FINANCIÈRE ET ÉCONOMIQUE, DU 2 JUIN 2021

La société Caisse régionale de crédit agricole mutuel de [Localité 1], société coopérative de crédit, dont le siège est [Adresse 1], a formé le pourvoi n° X 19-19.577 contre le jugement rendu le 20 mai 2019 par le tribunal d'instance d'Ajaccio, dans le litige l'opposant à Mme [G] [G], domiciliée [Adresse 2], défenderesse à la cassation.

La demanderesse invoque, à l'appui de son pourvoi, le moyen unique de cassation annexé au présent arrêt.

Le dossier a été communiqué au procureur général.

Sur le rapport de Mme Graff-Daudret, conseiller, les observations de la SCP Yves et Blaise Capron, avocat de la société Caisse régionale de crédit agricole mutuel de [Localité 1], et l'avis de Mme Guinamant, avocat général référendaire, après débats en l'audience publique du 7 avril 2021 où étaient présents M. Rémery, conseiller doyen faisant fonction de président, Mme Graff-Daudret, conseiller rapporteur, Mme Vaissette, conseiller, et Mme Fornarelli, greffier de chambre,

la chambre commerciale, financière et économique de la Cour de cassation, composée des président et conseillers précités, après en avoir délibéré conformément à la loi, a rendu le présent arrêt.

Faits et procédure

1. Selon le jugement attaqué (tribunal d'instance d'Ajaccio, 20 mai 2019), rendu en dernier ressort, soutenant qu'en réponse à un courrier électronique d'une société dont elle était cliente, elle avait cliqué sur le lien indiqué comme lui permettant de percevoir une somme d'argent, puis reçu par message un code 3DSecure qu'elle avait communiqué pour validation, et qu'elle avait ensuite constaté que son compte bancaire ouvert dans les livres de la société Caisse régionale de crédit agricole mutuel de [Localité 1] (la banque) avait été débité d'une somme de 1 148,99 euros au profit d'un tiers, Mme [G], s'estimant victime d'une opération d'hameçonnage, a assigné la banque en remboursement de cette somme.

Examen du moyen

Sur le moyen, pris en sa deuxième branche

Enoncé du moyen

2. La banque fait grief au jugement de la condamner à payer à Mme [G] la somme de 1 148,99 euros et une indemnité de 100 euros, alors « que, dans le cas où l'opération de paiement avec emploi d'un dispositif de sécurité personnalisé, n'a pas été autorisée, l'utilisateur du service de paiement, qui est le gardien du dispositif de sécurité personnalisé que le prestataire du service de paiement lui a communiqué, doit prendre toute mesure raisonnable pour préserver la sécurité de ce dispositif de sécurité personnalisé ; qu'en énonçant que "le crédit agricole de [Localité 1] ne rapporte pas la preuve que Mme [G] [aur]ait commis une négligence grave" dans l'emploi de son dispositif de sécurité personnalisé, le tribunal d'instance, qui ne se demande pas si des mesures raisonnables auraient permis à Mme [G] [G], gardienne du dispositif de sécurité personnalité (code sms secure) que lui a communiqué la Crcam de [Localité 1], de déjouer le piège grossier qui lui aurait été tendu par un escroc, et si, dans l'affirmative, Mme [G] [G] a appliqué comme elle le devait ces mesures raisonnables, le tribunal d'instance a violé les articles L. 133-4, a), L. 133-16, alinéa 1er, L. 133-18 et L. 133-19, L. 133-18, alinéa 1er, et L. 133-19, § IV, du code monétaire et financier. »


Réponse de la Cour

Vu les articles L. 133-16, L. 133-17, L. 133-19, IV, et L. 133-23 du code monétaire et financier, dans leur rédaction issue de l'ordonnance n° 2009-866 du 15 juillet 2009 :

3. Il résulte de ces textes que si, aux termes des deux premiers, il appartient à l'utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d'informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l'instrument de paiement ou des données qui lui sont liées, c'est à ce prestataire qu'il incombe, par application des deux derniers, de rapporter la preuve que l'utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n'a pas satisfait intentionnellement ou par négligence grave à ses obligations. Cette preuve ne peut se déduire du seul fait que l'instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés.

4. Pour condamner la banque à rembourser la somme débitée du compte de sa cliente, le jugement, après avoir relevé qu'il apparaissait que Mme [G] avait été victime d'une opération de hameçonnage sans que sa responsabilité puisse être engagée, se borne à retenir que la banque ne rapporte pas la preuve que sa cliente avait commis une négligence grave.

5. En se déterminant, par de tels motifs, sans rechercher si Mme [G], utilisateur de services de paiement, n'avait pas manqué à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés, en communiquant les données personnelles du dispositif de sécurité en cause en réponse à un courriel qui aurait contenu des indices permettant à un utilisateur normalement attentif de douter de sa provenance, le tribunal n'a pas donné de base légale à sa décision.

PAR CES MOTIFS, et sans qu'il y ait lieu de statuer sur les autres griefs, la Cour :

CASSE ET ANNULE, en toutes ses dispositions, le jugement rendu le 20 mai 2019, entre les parties, par le tribunal d'instance d'Ajaccio ;

Remet l'affaire et les parties dans l'état où elles se trouvaient avant ce jugement et les renvoie devant le tribunal judiciaire de Bastia ;

Condamne Mme [G] aux dépens ;

En application de l'article 700 du code de procédure civile, condamne Mme [G] à payer à la société Caisse régionale de crédit agricole mutuel de [Localité 1] la somme de 1 500 euros ;

Dit que sur les diligences du procureur général près la Cour de cassation, le présent arrêt sera transmis pour être transcrit en marge ou à la suite du jugement cassé ;

Ainsi fait et jugé par la Cour de cassation, chambre commerciale, financière et économique, et prononcé par le président en son audience publique du deux juin deux mille vingt et un. MOYEN ANNEXE au présent arrêt

Moyen produit par la SCP Yves et Blaise Capron, avocat aux Conseils, pour la société Caisse régionale de crédit agricole mutuel de [Localité 1].

Le pourvoi fait grief à l'arrêt attaqué D'AVOIR condamné la Crcam de [Localité 1] à payer à Mme [G] [G] une somme de 1 148 ? 99 et une indemnité de 100 ? ;

AUX MOTIFS QUE « le tribunal retiendra [?] que, dès qu'elle a eu connaissance de l'utilisation frauduleuse de sa carte bancaire, le 11 août 2017, Mme [G] a fait opposition en téléphonant au centre d'opposition, et en se rendant au guichet de son agence, puis a déposé plainte le même jour auprès du commissariat d'Ajaccio » (cf. arrêt attaqué, p. 3, motifs de la décision, 3e alinéa) ; que « Mme [G] qui certifie ne jamais avoir communiqué ses coordonnées bancaires, reconnaît la transmission en toute bonne foi du code sms secure à usage unique dès lors qu'elle croyait qu'il s'agissait d'une transaction avec Amazon, dont elle est cliente fidèle, qui lui proposait un cadeau de 100 ? » (cf. jugement attaqué, p. 3, motifs de la décision, 4e alinéa) ; qu'« il apparaît ainsi qu'elle a été victime d'une opération de piratage sans que sa responsabilité puisse être engagée ». (cf. arrêt attaqué, p. 3, motifs de la décision p. 3, 5e alinéa) ; que, « si, aux termes des articles L. 133-16 et L. 133-17 du code monétaire et financier, il appartient à l'utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d'informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l'instrument de paiement ou des données qui lui sont liées, c'est à ce prestataire qu'il incombe par application des articles L. 133-19, IV, et L. 133-23 du même code, de rapporter la preuve que l'utilisateur qui nie avoir intentionnellement ou par négligence grave, à ses obligations [; que] cette preuve ne peut se déduire du seul fait que l'instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisées » (cf., jugement attaqué, p. 3, motifs de la décision, 6e alinéa) ; qu'« en l'espèce, le Crédit agricole de [Localité 1] ne rapporte pas la preuve que Mme [G] ait commis une négligence grave » (cf. jugement attaqué, p. 3, motifs de la décision, 7e alinéa) ; qu'« en conséquence, par application des articles L. 133-18 et L. 133-20 du code monétaire et financier, il convient de condamner le Crédit agricole de [Localité 1] à rembourser à Mme [G] la somme de 1 148 ? 99 » (cf. jugement attaqué, p. 4, 1er alinéa ; que « le fait que le Crédit agricole ait différé le remboursement de la somme réclamée pendant plus d'un an, et ce, en contradiction avec les dispositions de l'article L. 133-18 susvisé, a occasionné un préjudice à Mme [G] qui sera compensé par le paiement d'une somme de 100 ? à titre de dommages et intérêts » (cf. jugement attaqué, p. 4, 2e alinéa) ;

1. ALORS QUE, dans le cas où l'utilisateur d'un service de paiement nie avoir autorisé une opération de paiement qui a été exécutée, le prestataire de services de paiement a la ressource de prouver, pour s'exonérer de la responsabilité à laquelle il est exposé, que l'opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu'elle n'a pas été affectée par une déficience technique ou autre ; qu'en se bornant, pour accueillir la demande de Mme [G] [G] qui niait avoir autorisé l'opération de paiement qu'elle conteste, qu'elle a été victime d'un piratage, sans justifier que la Crcam de [Localité 1], prestataire du service de paiement, a échoué à établir que l'opération accomplie a été authentifiée, dûment enregistrée et comptabilisée et qu'elle n'a pas été affectée par une déficience technique ou autre, le tribunal d'instance a violé l'article L. 132-23 du code monétaire et financier, dans sa rédaction résultant de l'ordonnance n° 2009-866 du 15 juillet 2009 ;

2. ALORS QUE, dans le cas où l'opération de paiement avec emploi d'un dispositif de sécurité personnalisé, n'a pas été autorisée, l'utilisateur du service de paiement, qui est le gardien du dispositif de sécurité personnalisé que le prestataire du service de paiement lui a communiqué, doit prendre toute mesure raisonnable pour préserver la sécurité de ce dispositif de sécurité personnalisé ; qu'en énonçant que « le Crédit agricole de [Localité 1] ne rapporte pas la preuve que Mme [G] [aur]ait commis une négligence grave » dans l'emploi de son dispositif de sécurité personnalisé, le tribunal d'instance, qui ne se demande pas si des mesures raisonnable auraient permis à Mme [G] [G], gardienne du dispositif de sécurité personnalité (code sms secure) que lui a communiqué la Crcam de [Localité 1], de déjouer le piège grossier qui lui aurait été tendu par un escroc, et si, dans l'affirmative, Mme [G] [G] a appliqué comme elle le devait ces mesures raisonnables, le tribunal d'instance a violé les articles L. 133-4, a), L. 133-16, alinéa 1er, L. 133-18 et L. 133-19, L. 133-18, alinéa 1er, et L. 133-19, § IV, du code monétaire et financier ;

3. ALORS QUE, hormis le cas de la mauvaise foi, les dommages-intérêts dus à raison du retard dans le paiement d'une obligation de payer une somme d'argent, consistent dans l'intérêt au taux légal à compter de la mise en demeure ; qu'en condamnant la Crcam de [Localité 1] à payer à Mme [G] [G] une indemnité de 100 ? en réparation du préjudice que la seconde a subi du fait que la première a exécuté avec retard l'obligation dont elle était débitrice en application de l'article L. 133-18 du code monétaire et financier, le tribunal d'instance, qui ne justifie pas que le retard de la Crcam de [Localité 1] serait dû à sa mauvaise foi, a violé l'article 1231-6 du code civil.ECLI:FR:CCASS:2021:CO00479 

Aucun commentaire :

Enregistrer un commentaire

Remarque : Seul un membre de ce blog est autorisé à enregistrer un commentaire.