Cour de cassation, Chambre commerciale, financière et économique, 17 avril 2019, 17-25.742

Portée limitée
Mots clés
preuve • banque • service • restitution • prestataire • saisie • pourvoi • préjudice • référendaire • rejet • réparation • tiers • dol • produits • rapport

Chronologie de l'affaire

Cour de cassation
17 avril 2019
Cour d'appel de Douai
23 mars 2017

Synthèse

  • Juridiction : Cour de cassation
  • Numéro de pourvoi :
    17-25.742
  • Dispositif : Rejet
  • Publication : Inédit au bulletin
  • Décision précédente :Cour d'appel de Douai, 23 mars 2017
  • Identifiant européen :
    ECLI:FR:CCASS:2019:CO10185
  • Identifiant Judilibre :5fca7149c844d15d22a8ea3c
  • Avocat général : Mme Henry
Voir plus

Résumé

Vous devez être connecté pour pouvoir générer un résumé. Découvrir gratuitement Pappers Justice +

Suggestions de l'IA

Texte intégral

COMM. FB COUR DE CASSATION ______________________ Audience publique du 17 avril 2019 Rejet non spécialement motivé Mme MOUILLARD, président Décision n° 10185 F Pourvoi n° H 17-25.742 R É P U B L I Q U E F R A N Ç A I S E _________________________ AU NOM DU PEUPLE FRANÇAIS _________________________ LA COUR DE CASSATION, CHAMBRE COMMERCIALE, FINANCIÈRE ET ÉCONOMIQUE, a rendu la décision suivante : Vu le pourvoi formé par la Caisse de crédit mutuel de Lille Victor Hugo, société civile coopérative, dont le siège est [...] , contre l'arrêt rendu le 23 mars 2017 par la cour d'appel de Douai (3e chambre civile), dans le litige l'opposant à M. N... W..., domicilié [...] , défendeur à la cassation ; Vu la communication faite au procureur général ; LA COUR, en l'audience publique du 5 mars 2019, où étaient présents : Mme Mouillard, président, M. Blanc, conseiller référendaire rapporteur, M. Rémery, conseiller doyen, Mme Henry, avocat général, Mme Labat, greffier de chambre ; Vu les observations écrites de la SCP Célice, Soltner, Texidor et Périer, avocat de la Caisse de crédit mutuel de Lille Victor Hugo, de la SCP Rocheteau et Uzan-Sarano, avocat de M. W... ; Sur le rapport de M. Blanc, conseiller référendaire, l'avis de Mme Henry, avocat général, et après en avoir délibéré conformément à la loi ; Vu l'article 1014 du code de procédure civile ;

Attendu que le moyen de cassation annexé

, qui est invoqué à l'encontre de la décision attaquée, n'est manifestement pas de nature à entraîner la cassation ;

Qu'il n'y a donc pas lieu de statuer par une décision spécialement motivée

;

REJETTE le pourvoi ;

Condamne la Caisse de crédit mutuel de Lille Victor Hugo aux dépens ; Vu l'article 700 du code de procédure civile, rejette sa demande et la condamne à payer à M. W... la somme de 3 000 euros ; Ainsi décidé par la Cour de cassation, chambre commerciale, financière et économique, et prononcé par le président en son audience publique du dix-sept avril deux mille dix-neuf.

MOYEN ANNEXE

à la présente décision Moyen produit par la SCP Célice, Soltner, Texidor et Périer, avocat aux Conseils, pour la Caisse de crédit mutuel de Lille Victor Hugo. Il est fait grief à l'arrêt partiellement infirmatif attaqué D'AVOIR condamné la Caisse de crédit mutuel de Lille Victor Hugo à payer à Monsieur N... W... la somme de 3.469,77 ¿ au titre des paiements frauduleux, la somme de la somme de 1.000 ¿ de dommages et intérêts en réparation de son préjudice moral, et les sommes de 1.000 ¿ et 2.000 ¿ sur le fondement de l'article 700 du code de procédure civile ; AUX MOTIFS PROPRES QUE « Sur la demande de M. W... aux fins de restitution par le Crédit Mutuel des sommes indûment payées : Aux termes des articles L. 133-16 et L. 133-17 du code monétaire et financier, s'il appartient à l'utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d'informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l'instrument de paiement ou des données qui lui sont liées, c'est à ce prestataire qu'il incombe, par application des articles L. 133-19, IV et L. 133-23 du même code, de rapporter la preuve que l'utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n'a pas satisfait intentionnellement ou par négligence grave à ses obligations ; cette preuve ne peut se déduire du seul fait que l'instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisées. En l'espèce, il est établi que M. W... a reçu le 20 octobre 2013 un courriel émanant de "Cybermut" lui demandant de faire une demande de nouvelles clés personnelles, et qu'il a réalisé cette demande de renouvellement de clés personnelles. En premier lieu, le 20 octobre 2013, deux e-retraits pour un montant de euros chacun ont été effectués sur le compte de M. W... et un paiement PAYWEECARD pour un montant de 2 469,77 euros a été débité sur le compte de M. W... le 21 octobre 2013. Il résulte ensuite des pièces produites au débat que : - M. W... a contesté les retraits et le paiement frauduleux le 21 octobre 2013 suivant lettre de contestation d'opérations "carte bancaire" pour les trois opérations litigieuses, - M. W... s'est présenté le 21 octobre 2013 à la brigade de Gendarmerie d'[...] pour déclarer l'utilisation de ses références de carte bancaire, - M. W... a ouvert un dossier de réclamation /sinistre carte le 22 octobre 2013. En l'état de ces constatations, il est établi que M. W... a réagi rapidement au détournement de ses données personnelles en informant immédiatement le Crédit Mutuel, ce qui est de surcroît reconnu par la banque dans son courrier adressé le 26 novembre 2013 à son client. En second lieu, la négligence grave de l'utilisateur de services de paiement doit confiner au dol et dénoter l'inaptitude de celui-ci dans l'accomplissement de son obligation de préserver la sécurité de ses dispositifs de sécurité personnalisés, de sorte que cette négligence grave doit revêtir une importance telle qu'elle rend impossible le remboursement des sommes débitées à la suite d'opérations de paiement non autorisées par l'utilisateur de services. En outre, la preuve de la négligence fautive ne peut se déduire du seul fait que l'instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisées. Ainsi, le prestataire de service doit établir par d'autres éléments extrinsèques la preuve d'une négligence grave imputable à l'utilisateur de services. Il est acquis au vu des pièces produites au débat et des écritures des parties que M. W... a répondu à un courriel Provenant de "Cybermut". Dans ses écritures, M. W... précise que ce courriel de "Cybermut » présentait toutes les caractéristiques de ceux émanant du Crédit Mutuel, ce point n'étant pas contesté par la banque. Il résulte ensuite de la page 15 des conditions générales CMNE DIRECT que la carte de clés personnelles peut être commandée sur Internet Via CMNE Direct après saisie des codes d'accès. Il est encore établi que à la lecture de l'e-courriel litigieux produit au débat par M. W... que ce document indique comme objet : "Réactiver votre carte de Clés PERSONNELLE", cette pièce e-courriel ne reprenant aucun élément permettant d'alerter M. W... sur le caractère frauduleux du message reçu. Contrairement à ce que soutient le Crédit Mutuel, il n'est pas établi que M. W... a transmis, clans la réponse au courriel litigieux, ses clés confidentielles, ses coordonnées personnelles, son code confidentiel personnel ou ses identifiants. Comme le relève le premier juge, le Crédit Mutuel ne produit en effet au débat aucun élément objectif permettant établir la réalité de la négligence grave de M. W.... En l'état de ces énonciations et constatations, le Crédit Mutuel est assurément défaillant dans l'établissement de la négligence grave alléguée à l'encontre de M. W.... En conséquence, le jugement sera confirmé en ce qu'il a fait droit à la demande de restitution des sommes prélevées frauduleusement sur le compte de M. W.... III Sur la demande de dommages-intérêts de M. W... Il résulte des éléments produits au débat que de nombreux courriers ont été échangés entre M. W... et la banque, que M. W... a fait appel au médiateur du Crédit Mutuel et qu'il a eu recours à une assistance juridique pour obtenir la restitution des sommes prélevées frauduleusement sur son compte. Il n'est de surcroît pas contesté par le Crédit Mutuel que M. W... a formé une première opposition après avoir constaté l'existence le 20 octobre 2013 de deux eretraits pour un montant de 500 euros chacun sur son compte, mais qu'il a dû former une seconde opposition, la première n'ayant pas été prise en compte. Malgré ces oppositions, un paiement PAYWEBCARD pour un montant de 2469,77 euros a été débité sur son compte le 21 octobre 2013. Il s'ensuit que le refus du Crédit Mutuel de supporter les conséquences de la fraude comme il le devait a causé à M. W... un préjudice moral, lequel résulte des nombreuses contrariétés engendrées par le refus de la banque d'assumer ses responsabilités. En l'état de ces constatations, il importe d'accorder à M. W... la somme de 1 000 euros en réparation de sen préjudice moral, le jugement étant infirmé de ce chef. IV Sur les autres demandes Le Crédit Mutuel succombant en son appel sera condamné aux entiers dépens. Le sens du présent arrêt conduit à condamner la banque à payer à M. W... la somme de 000 euros au titre de l'article 700 du code de procédure civile, l'établissement financier étant débouté de sa propre demande indemnitaire à cette même fin » ; ET AUX MOTIFS SUPPOSEMENT ADOPTES QUE « Sur la demande en restitution des sommes indûment payées formulée par Monsieur N... W... à l'encontre de la Caisse du Crédit Mutuel Lille Victor Hugo Monsieur N... W... explique avoir fait l'objet d'une campagne de piratage informatique, dite « phishing », par le biais d'un courriel reçu le 20 octobre 2013, portant tous les codes couleur et typographiques de sa banque et lui demandant de renseigner un certain nombre d'informations personnelles. Suite à sa réponse, deux retraits de 500 euros chacun ont été effectués sur internet depuis son compte, de même qu'un paiement à distance d'un montant de 2.469,77 euros. Monsieur N... W... explique avoir sans délais contacté son conseiller, faisant opposition sur ses instruments de paiement, et, réclamant la restitution des sommes versées entre les mains de tiers sans son consentement. La Caisse du Crédit Mutuel Lille Victor Hugo n'y a pas déféré et sollicite, dans la présente instance, le rejet de la demande de Monsieur N... W..., elle soutient que ce dernier aurait commis une faute lourde en renseignant les éléments qui lui étaient demandés dans le message électronique frauduleux. Aux termes de l'article L 133-19 du Code Monétaire et Financier, le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d'un agissement frauduleux de sa part ou s'il n'a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L 133-16 et L 133-17 (prendre toute mesure raisonnable pour préserver la sécurité de des dispositifs personnalisés ; informer de manière immédiate l'établissement bancaire en cas de connaissance de toute utilisation non autorisée des instruments de paiement). En l'espèce, Monsieur N... W... a bien informé la Caisse du Crédit Mutuel Lille Victor Hugo de l'utilisation frauduleuse de ses instruments de paiement dès lors qu'il en a eu connaissance. Il appartient donc à la Caisse du Crédit Mutuel Lille Victor Hugo, pour s'opposer à la demande de restitution des sommes réclamées par Monsieur N... W..., d'apporter la preuve que celui-ci ait commis une négligence grave, à l'origine des paiements frauduleux. Or, si la Caisse du Crédit Mutuel Lille Victor Hugo soutient que, renseignant des éléments qui lui étaient demandés dans le message électronique en cause, Monsieur N... W... se serait rendu coupable d'une telle négligence, il n'en demeure pas moins que, alors que la charge de la preuve pèse sur elle, la banque ne produit au dossier aucun élément objectif pouvant en établir la réalité : elle n'explique pas de quelle façon ces paiements frauduleux avaient été rendus possibles, quelles procédures de sécurité avaient été mises en place pour les prévenir, quelles informations avaient été communiquées à l'établissement afin qu'il accepte de réaliser ces paiements. Dès lors, la Caisse du Crédit Mutuel Lille Victor Hugo n'apporte pas la preuve d'une négligence grave commise par Monsieur N... W..., les demandes de restitution des sommes en cause sont donc bien fondées et il y sera fait droit » ; 1°) ALORS QUE commet une négligence grave l'utilisateur d'un service de paiement qui communique à un tiers les données confidentielles permettant l'utilisation de ce service ; qu'en l'espèce, il résulte des propres constatations de l'arrêt attaqué (p. 4, 8ème §) qu'il résultait « de la page 15 des conditions générales CMNE DIRECT que la carte de clés personnelles peut être commandée sur Internet Via CMNE Direct après saisie des codes d'accès » ; que pour dire que la preuve d'une négligence grave de la part de Monsieur W... n'était pas rapportée, la cour d'appel a relevé que l'e-courriel auquel ce dernier avait répondu « indiqu[ait] comme objet : « Réactiver votre carte de Clés PERSONNELLE », cette pièce ecourriel ne reprenant aucun élément permettant d'alerter M. W... sur le caractère frauduleux du message reçu », et a considéré qu'il n'était pas démontré que Monsieur W... « a[vait] transmis, dans la réponse au courriel litigieux, ses clés confidentielles, ses coordonnées personnelles, son code confidentiel ou ses identifiants » ; qu'en statuant de la sorte, quand il résultait de ses propres constatations que la commande d'une carte de clefs personnelles impliquait la saisie des codes d'accès du client au service cmnedirect, de sorte que Monsieur W..., qui avait admis avait répondu au courriel en cause afin de renouveler sa carte de clefs personnelles, avait a minima communiqué à l'auteur du courriel frauduleux ses codes d'accès au site internet du CREDIT MUTUEL, la cour d'appel a violé les articles L. 133-16 et L. 133-19 du code monétaire et financier ; 2°) ALORS SUBSIDIAIREMENT QUE si la charge de la preuve de la négligence grave imputée à l'utilisateur d'un service de paiement pèse sur le prestataire de ce service, il incombe en revanche à l'utilisateur ayant admis avoir répondu à un courriel de phishing, mais contestant avoir communiqué les données confidentielles attachées à l'instrument de paiement en cause, de rapporter la preuve de la teneur de la réponse qu'il y a apportée ; qu'en l'espèce, pour dire que la preuve d'une négligence grave qu'aurait commise Monsieur W... n'était pas établie, la cour d'appel a retenu que ce dernier faisait valoir dans ses écritures que le courriel censé émaner de CYBERMUT auquel il avait répondu « présentait toutes les caractéristiques de ceux émanant du Crédit Mutuel, ce point n'étant pas contesté par la banque », et a considéré que la banque ne démontrait pas que Monsieur W... avait transmis, dans la réponse à ce courriel, « ses clés confidentielles, ses coordonnées personnelles, son code confidentiel ou ses identifiants » ; qu'en statuant de la sorte, quand il appartenait à Monsieur W... de rapporter la preuve de la teneur de la réponse qu'il avait admis avoir donnée au courriel du 20 octobre 2013, afin de permettre au juge d'apprécier si ce client avait ou non commis une négligence grave, la cour d'appel a violé les articles L. 133-16 et L. 133-19 du code monétaire et financier, ensemble l'article 1315 du code civil (nouvel article 1353 du code civil) ; 3°) ALORS QUE si la charge de la négligence grave qu'a pu commettre l'utilisateur d'un service de paiement pèse sur le prestataire de ce service, il incombe en revanche à l'utilisateur ayant admis avoir répondu à un courriel de phishing de démontrer que le contenu de ce courriel n'était pas de nature à éveiller ses soupçons sur son origine frauduleuse ; qu'en se bornant à énoncer que la banque ne contestait pas les allégations de Monsieur W... selon lesquelles le courriel censé émaner de CYBERMUT auquel il avait répondu « présentait toutes les caractéristiques de ceux émanant du Crédit Mutuel », quand il lui incombait d'examiner le contenu de ce courriel afin de déterminer si Monsieur W... avait légitimement pu penser qu'il émanait bien du Crédit Mutuel et s'il avait ou non commis une négligence grave en y répondant, la cour d'appel a derechef violé les articles L. 133-16 et L. 133-19 du code monétaire et financier, ensemble l'article 1315 du code civil (nouvel article 1353 du code civil) ; 4°) ALORS, EN TOUT ETAT DE CAUSE, QUE l'e-courriel frauduleux auquel Monsieur N... W... avait admis avoir répondu mentionnait en objet « Réactiver votre carte de Clés PERSONNELLE » ; qu'aucun message n'était contenu dans le corps de ce courriel qui comportait des mentions en anglais telles que « X-ME-User-[...] [...] », « X-bcc : [...] », « X-me-spamrating : 40.00 » ; qu'en retenant que ce courriel « ne repren[ait] aucun élément permettant d'alerter M. W... sur le caractère frauduleux du message reçu », la cour d'appel a dénaturé ce document, en violation de l'article 1134 du code civil (nouvel article 1192 du code civil), ensemble le principe selon lequel les juges du fond ne doivent pas dénaturer les documents de la cause.