DROIT INFORMATIQUE

Jurisprudence

Cass. com., 18 janvier 2017
pourvoi 15-18.466

droit informatique

Les grands arrêts de la jurisprudence en droit informatique : arrêt de la Cour de cassation, chambre commerciale, du 18 janvier 2017 (pourvoi 15-18.466)

Cour de cassation, chambre commerciale
18 janvier 2017, pourvoi 15-18.466

LA COUR DE CASSATION, CHAMBRE COMMERCIALE, a rendu l'arrêt suivant :

Sur le moyen unique, pris en ses deuxième, troisième et quatrième branches :

Attendu selon le jugement attaqué (juridiction de proximité de Montreuil-sur-Mer, 16 mars 2015), que M. X..., titulaire d'un compte ouvert dans les livres de la société Caisse de crédit mutuel d'Etaples, a contesté trois opérations de paiement, effectuées, selon lui, frauduleusement sur son compte, et en a demandé le remboursement ; qu'un refus lui ayant été opposé aux motifs que ces opérations résultaient d'une utilisation frauduleuse du service de banque à distance et qu'il avait manqué avec négligence à son obligation de garde et d'utilisation des dispositifs de sécurité personnalisés attachés à ce service, il a assigné la banque aux mêmes fins ;

Attendu que les sociétés Caisse fédérale du crédit mutuel Nord Europe et Caisse de crédit mutuel d'Etaples font grief au jugement de condamner le Crédit mutuel à payer à M. X... la somme de 2 496,55 euros alors, selon le moyen :

1°/ que l'utilisateur d'un service de paiement qui agit avec une négligence grave est tenu de supporter l'intégralité de la perte subie ; que la circonstance qu'un instrument de paiement ait été utilisé pour des achats sur le réseau internet par utilisation de données ne se trouvant pas sur la carte de paiement proprement dite, tels des clefs personnelles permettant au titulaire du compte de venir authentifier le paiement au moyen d'une donnée confidentielle, ainsi que le numéro de téléphone ou l'adresse électronique du client, destiné à recevoir de la banque un code de confirmation permettant de réaliser le paiement souhaité, démontre à elle-seule la négligence grave du titulaire dans la conservation des données sécurisées de paiement que lui imposent les dispositions de l'article L. 133-16, alinéa 1er, du code monétaire et financier ; qu'en l'espèce, le Crédit mutuel faisait valoir que le système de paiement à distance « payweb » utilisé pour réaliser les trois débits contestés par M. X... comportait un processus hautement sécurisé nécessitant le choix par le client d'un identifiant et d'un mot de passe lors de la première connexion, puis, pour la réalisation de chaque opération de paiement, la création d'une carte « payweb » par un dispositif de « clefs personnelles » permettant à l'utilisateur de choisir une combinaison de chiffres au sein d'une carte de 64 codes, avant que la banque n'envoie, par mail ou sms, un code de confirmation à validité temporaire permettant d'effectuer le paiement désiré ; qu'elle soulignait que l'utilisation de ce système de paiement impliquait nécessairement que M. X... avait divulgué ses données personnelles à un tiers ayant frauduleusement effectué les débits litigieux ; que, pour condamner le Crédit mutuel à rembourser le montant des trois débits contestés par ce dernier, le juge de proximité a considéré que le fait de « communiquer ses données personnelles et confidentielles en répondant imprudemment à un email envoyé sous une fausse identité » ne « constituait pas nécessairement une négligence grave » ; qu'en statuant de la sorte, quand la circonstance que les débits litigieux aient été effectués par le biais d'un service de paiement sécurisé nécessitant la fourniture de données strictement personnelles à M. X..., et dont ce dernier avait contractuellement la charge d'assurer la conservation et la confidentialité, impliquait que ce dernier avait commis une négligence grave dans la conservation desdites données, le juge de proximité, qui n'a par ailleurs pas constaté l'existence d'une défaillance du dispositif de sécurité mis en place par le Crédit mutuel, a méconnu les articles L. 133-15, L. 133-16 et L. 133-19 du code monétaire et financier, ensemble les articles 1134 et 1315 du code civil ;

2°/ que la circonstance qu'un service de paiement doté d'un dispositif de sécurité ait été utilisé pour des achats sur le réseau internet par utilisation d'un l'identifiant internet et du mot de passe de connexion, des clefs personnelles permettant à l'utilisateur de venir authentifier le paiement au moyen d'une donnée confidentielle ne se trouvant pas sur la carte de paiement proprement dite, ainsi que de l'adresse électronique du client aux fins de réception du code de confirmation permettant l'achat, fait à tout le moins présumer le défaut de garde des données confidentielle ne se trouvant pas sur la carte de paiement proprement dite, ainsi que de l'adresse électronique du client aux fins de réception du code de confirmation permettant l'achat, fait à tout le moins présumer le défaut de garde des données confidentielles d'instrument de paiement et la négligence grave de son utilisateur dans la préservation de la confidentialité de ses données personnelles ; qu'il appartient dans ces circonstances à l'utilisateur du service de paiement de rapporter par tous moyens la preuve qu'il a respecté son obligation de conserver les données confidentielles permettant l'utilisation du service qui lui a été proposé ; qu'en se bornant à retenir, pour condamner le Crédit mutuel à rembourser à M. X... le montant de trois débits effectués sur son compte bancaire par le biais du système « payweb », que ce dernier contestait avoir autorisés, le juge de proximité a retenu que la preuve de ce M. X... avait dévoilé ses données personnelles n'était pas rapportée, et qu'en particulier il n'était pas établi que ce dernier ait répondu à un mail frauduleux lui demandant communication de ses données confidentielles ; que la juridiction de proximité a ajouté que « la transaction effectuée la veille des opérations litigieuses sur un site sécurisé de New-York, comme il le fait de façon habituelle, a été interrompue par un incident mais il a pu en reprendre le cours et il justifie en avoir effectué le paiement au moyen de la Mastercard et non par payweb card » (id., 4e §), et que des logiciels « pirates » installés sur l'ordinateur d'un internaute pouvaient permettre de récupérer ses données personnelles ; qu'en statuant ainsi, sans rechercher, ainsi qu'il y était invité, si la circonstance que les débits litigieux aient été effectués par le biais d'un service de paiement sécurisé nécessitant la fourniture de données strictement personnelles à M. X..., ne figurant pas sur la carte bancaire de ce dernier, et dont celui-ci avait contractuellement la charge d'assurer la conservation et la confidentialité, ne faisait pas présumer la négligence grave de l'utilisateur dans la conservation de ses données personnelles, de sorte qu'il incombait à M. X... de rapporter la preuve contraire, en particulier de l'existence d'un piratage de son ordinateur par un logiciel tiers, le juge de proximité a privé sa décision de base légale au regard des articles L. 133-15, L. 133-16 et L. 133-19 du code monétaire et financier, ensemble l'article 1134 du code civil ;

3°/ que les juges du fond doivent analyser, fût-ce de manière sommaire, les éléments de preuve soumis à leur examen et répondre aux moyens opérants soulevés par les parties ; qu'ils ne peuvent statuer par des motifs dubitatifs ou hypothétiques ; que pour entrer en voie de condamnation envers la Caisse, le juge de proximité s'est contenté d'énoncer qu'il ne résultait pas des pièces versées aux débats les éléments de preuve suffisants que M. X... aurait divulgué à un tiers, de manière intentionnelle, par imprudence ou par négligence grave, des éléments d'identification strictement confidentiels ayant permis les paiements contestés ; qu'en statuant de la sorte, sans procéder à la moindre analyse des pièces versées aux débats par la banque, en particulier le contrat CMNE DIRECT déterminant les obligations respectives des parties, qui stipulait notamment que l'utilisateur du service de paiement « payweb » était responsable de la garde de ses données personnelles, et en se fondant sur le motif hypothétique selon lequel des logiciels « pirates » installés sur l'ordinateur d'un internaute pouvaient permettre de récupérer ses données personnelles, le juge de proximité a méconnu les exigences de l'article 455 du code de procédure civile ;

Mais attendu que si, aux termes des articles L. 133-16 et L. 133-17 du code monétaire et financier, il appartient à l'utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d'informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l'instrument de paiement ou des données qui lui sont liées, c'est à ce prestataire qu'il incombe, par application des articles L. 133-19, IV, et L. 133-23 du même code, de rapporter la preuve que l'utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n'a pas satisfait, intentionnellement ou par négligence grave, à ses obligations ; que cette preuve ne peut se déduire du seul fait que l'instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés ; qu'après avoir exactement énoncé que l'existence du processus comprenant identifiant, mot de passe, clef personnelle et code de confirmation ne suffit pas à prouver qu'une négligence grave aurait été commise par M. X..., c'est dans l'exercice de son pouvoir souverain d'appréciation de la valeur probante des pièces versées aux débats et par une décision exempte de motifs hypothétiques que la juridiction de proximité a retenu que le Crédit mutuel n'établissait pas que M. X... aurait communiqué ses données personnelles et confidentielles en répondant imprudemment à un courriel envoyé sous une fausse identité pour le leurrer ; que le moyen n'est pas fondé ;

Et attendu qu'il n'y a pas lieu de statuer par une décision spécialement motivée sur le moyen, pris en sa première branche, qui n'est manifestement pas de nature à entraîner la cassation ;

PAR CES MOTIFS :

REJETTE le pourvoi ;

Condamne les sociétés Caisse fédérale du crédit mutuel Nord Europe et Caisse de crédit mutuel d'Etaples aux dépens ;

Vu l'article 700 du code de procédure civile, rejette leur demande ;

Ainsi fait et jugé par la Cour de cassation, chambre commerciale, financière et économique, et prononcé par le président en son audience publique du dix-huit janvier deux mille dix-sept.

MOYEN ANNEXE au présent arrêt.

Moyen produit par la SCP Célice, Soltner, Texidor et Périer, avocat aux Conseils, pour les sociétés Caisse fédérale du crédit mutuel Nord Europe et Caisse de crédit mutuel d'Etaples.

Il est fait grief au jugement attaqué D'AVOIR condamné le CREDIT MUTUEL à payer à Monsieur Claude X... la somme de 2.496,55 €, ainsi qu'aux dépens de l'instance, et D'AVOIR débouté le CREDIT MUTUEL de sa demande reconventionnelle ;

AUX MOTIFS QUE « L'article L. 133-18 alinéa 1 du Code monétaire et financier dispose qu'en cas d'opération de paiement non autorisée signalée par l'utilisateur dans les conditions prévues à l'article L. 133-24, le prestataire de services de paiement du payeur rembourse immédiatement au payeur le montant de l'opération non autorisée et, le cas échéant, rétablit le compte débité dans l'état où il se serait trouvé si l'opération de paiement non autorisée n'avait pas eu lieu. L'article L. 133-19 alinéa IV du Code monétaire et financier prévoit que le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d'un agissement frauduleux de sa part ou s'il n'a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17. En application de l'article L. 133-23 du même code, lorsqu'un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l'opération de paiement n'a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l'opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu'elle n'a pas été affectée par une déficience technique ou autre. L'utilisation de l'instrument de paiement telle qu'enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l'opération a été autorisée par le payeur ou que celui-ci n'a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière. Au sens de l'article L. 133-19, le titulaire d'une carte bancaire supporte la perte subie si une négligence d'une extrême gravité dénotant l'inexécution de ses obligations contractuelles lui est imputable et il appartient à l'établissement bancaire émetteur de la carte qui se prévaut d'une telle faute d'en rapporter la preuve, la seule circonstance que la carte ait été utilisée par un tiers avec l'utilisation d'identifiants confidentiels ne suffisant pas à elle seule, à constituer cette preuve. Il ressort du document "Gestion monétique et services distants" produit par le CREDIT MUTUEL, que les trois opérations litigieuses ont été effectuées entre 23h57.55 et 0h15.15, deux règlements identiques de 1.019 € ayant été enregistrés à moins de 18 minutes d'intervalle. Dans le traçage des opérations et interventions figurant dans ce document, l'incident est daté du 8 avril à 9h et l'opposition à la carte bancaire, du même jour à 9h04, alors que le compte de Mr X... a été débité à la date du 9 avril 2014. Il est donc établi qu'il s'agit d'une opération de paiement non autorisée par l'utilisateur. En application des dispositions légales citées ci-dessus, il incombe à la banque de rapporter la preuve que Mr X... n'a pas satisfait intentionnellement ou par négligence grave aux obligations des articles L. 133-16 et L. 133-17 ainsi qu'à ses obligations contractuelles. Le CREDIT MUTUEL invoque une négligence grave. Il considère que Mr X... aurait communiqué ses données personnelles et confidentielles en répondant imprudemment à un email envoyé sous une fausse identité pour le leurrer. Outre que ceci ne constitue pas nécessairement une négligence grave, il n'est pas établi qu'il en ait été ainsi. Mr X... affirme qu'il n'a reçu aucun mail lui demandant ses coordonnées bancaires et qu'il ne les a communiquées à quiconque. La transaction effectuée la veille des opérations litigieuses sur un site sécurisé de New-York, comme il le fait de façon habituelle, a été interrompue par un incident mais il a pu en reprendre le cours et il justifie en avoir effectué le paiement au moyen de la Mastercard et non par payweb card. En l'absence de preuve du "hameçonnage " dont Mr X... aurait été victime, le CREDIT MUTUEL invoque le processus hautement sécurisé de création d'une carte virtuelle payweb card. L'existence de ce processus, comprenant identifiant, mot de passe, clef personnelle et code de confirmation, ne suffit pas à prouver qu'une négligence grave aurait été commise par Mr X... étant donné que des logiciels "pirates" installés sur l'ordinateur d'un internaute peuvent permettre de récupérer ses données personnelles, notamment son numéro de carte bancaire, lors de sa saisie à l'occasion d'un achat en ligne. En conséquence, il sera fait droit à la demande de Mr X... et le CREDIT MUTUEL sera condamné à lui verser la somme de 2.496,55 €. Partie perdante, il sera condamné aux dépens de l'instance et débouté de sa demande d'indemnité fondée sur l'article 700 du Code de procédure civile » ;

1°) ALORS QUE constitue une négligence grave le fait pour l'utilisateur d'un service de paiement de communiquer à un tiers les données confidentielles permettant d'utiliser le dispositif de sécurité dont ce service est assorti ; qu'en l'espèce, dans un courrier daté du 9 décembre 2014 adressé au conseil de la Caisse de Crédit Mutuel d'Etaples, régulièrement produit aux débats (pièce n° 4 du bordereau de communication de pièces de la banque), Monsieur X... indiquait : « en réponse à votre demande, il m'est impossible de vous communiquer l'e-mail litigieux, ayant seulement été avisé par ma banque du retrait des sommes à la date du 9 avril (...) » ; que l'exposante faisait à cet égard valoir (ses conclusions d'appel, p. 2 ; p. 5 ; p. 9) que Monsieur X... avait reconnu avoir reçu un mail frauduleux aux termes duquel lui étaient demandées ses données confidentielles permettant l'exécution d'ordres de paiement par internet ; que, pour condamner le CREDIT MUTUEL à rembourser à Monsieur Claude X... la somme de 2.496,55 € correspondant à des débits frauduleux sur le compte de ce dernier, le juge de proximité a retenu qu'à l'audience Monsieur X... avait nié avoir reçu un mail lui demandant ses coordonnées bancaires (jugement, p. 4, 3ème §) puis a relevé que « la transaction effectuée la veille des opérations litigieuses sur un site sécurisé de New-York, comme il le fait de façon habituelle, a été interrompue par un incident mais il a pu en reprendre le cours et il justifie en avoir effectué le paiement au moyen de la Mastercard et non par payweb card » (id., 4ème §), ce dont il a déduit que la preuve d'un « hameçonnage » (« phishing ») n'était pas rapportée ; qu'en statuant de la sorte, sans rechercher, ainsi qu'il y était invité, si Monsieur X... n'avait pas avant l'audience des débats reconnu avoir reçu un mail lui demandant ses coordonnées bancaires, le juge de proximité a privé sa décision de base au regard des articles L. 133-15, L. 133-16 et L. 133-19 du code monétaire et financier, ensemble l'article 1134 du code civil ;

QU'IL EN VA D'AUTANT PLUS AINSI QU'il résulte des propres constatations du jugement attaqué (p. 3, avant-dernier §) que Monsieur X... a fait opposition à sa carte bancaire le 8 avril 2014, soit avant que les opérations litigieuses n'aient fait l'objet de débit le 9 avril 2014, ce dont il résultait que Monsieur X... avait nécessairement eu connaissance de l'utilisation frauduleuse de ses données personnelles ;

2°) ALORS QUE l'utilisateur d'un service de paiement qui agit avec une négligence grave est tenu de supporter l'intégralité de la perte subie ; que la circonstance qu'un instrument de paiement ait été utilisé pour des achats sur le réseau internet par utilisation de données ne se trouvant pas sur la carte de paiement proprement dite, tels des clefs personnelles permettant au titulaire du compte de venir authentifier le paiement au moyen d'une donnée confidentielle, ainsi que le numéro de téléphone ou l'adresse électronique du client, destiné à recevoir de la banque un code de confirmation permettant de réaliser le paiement souhaité, démontre à elle-seule la négligence grave du titulaire dans la conservation des données sécurisées de paiement que lui imposent les dispositions de l'article L. 133-16, alinéa 1er, du code monétaire et financier ; qu'en l'espèce, le CREDIT MUTUEL faisait valoir (ses conclusions, p. 2 à 4) que le système de paiement à distance « payweb » utilisé pour réaliser les trois débits contestés par Monsieur X... comportait un processus hautement sécurisé nécessitant le choix par le client d'un identifiant et d'un mot de passe lors de la première connexion, puis, pour la réalisation de chaque opération de paiement, la création d'une carte « payweb » par un dispositif de « clefs personnelles » permettant à l'utilisateur de choisir une combinaison de chiffres au sein d'une carte de 64 codes, avant que la banque n'envoie, par mail ou sms, un code de confirmation à validité temporaire permettant d'effectuer le paiement désiré ; qu'elle soulignait que l'utilisation de ce système de paiement impliquait nécessairement que Monsieur X... avait divulgué ses données personnelles à un tiers ayant frauduleusement effectué les débits litigieux (p. 7 à 9) ; que, pour condamner le CREDIT MUTUEL à rembourser le montant des trois débits contestés par ce dernier, le juge de proximité a considéré que le fait de « communiqu[er] ses données personnelles et confidentielles en répondant imprudemment à un email envoyé sous une fausse identité » ne « constitu[ait] pas nécessairement une négligence grave » ; qu'en statuant de la sorte, quand la circonstance que les débits litigieux aient été effectués par le biais d'un service de paiement sécurisé nécessitant la fourniture de données strictement personnelles à Monsieur X..., et dont ce dernier avait contractuellement la charge d'assurer la conservation et la confidentialité, impliquait que ce dernier avait commis une négligence grave dans la conservation desdites données, le juge de proximité, qui n'a par ailleurs pas constaté l'existence d'une défaillance du dispositif de sécurité mis en place par le CREDIT MUTUEL, a méconnu les articles L. 133-15, L. 133-16 et L. 133-19 du code monétaire et financier, ensemble les articles 1134 et 1315 du code civil ;


3°) ALORS, SUBSIDIAIREMENT, QUE la circonstance qu'un service de paiement doté d'un dispositif de sécurité ait été utilisé pour des achats sur le réseau internet par utilisation d'un l'identifiant internet et du mot de passe de connexion, des clefs personnelles permettant à l'utilisateur de venir authentifier le paiement au moyen d'une donnée confidentielle ne se trouvant pas sur la carte de paiement proprement dite, ainsi que de l'adresse électronique du client aux fins de réception du code de confirmation permettant l'achat, fait à tout le moins présumer le défaut de garde des données confidentielles d'instrument de paiement et la négligence grave de son utilisateur dans la préservation de la confidentialité de ses données personnelles ; qu'il appartient dans ces circonstances à l'utilisateur du service de paiement de rapporter par tous moyens la preuve qu'il a respecté son obligation de conserver les données confidentielles permettant l'utilisation du service qui lui a été proposé ; qu'en se bornant à retenir, pour condamner le CREDIT MUTUEL à rembourser à Monsieur X... le montant de trois débits effectués sur son compte bancaire par le biais du système « payweb », que ce dernier contestait avoir autorisés, le juge de proximité a retenu que la preuve de ce Monsieur X... avait dévoilé ses données personnelles n'était pas rapportée, et qu'en particulier il n'était pas établi que ce dernier ait répondu à un mail frauduleux lui demandant communication de ses données confidentielles (p. 4, 2ème, 3ème et 5e § ;

que la juridiction de proximité a ajouté que « la transaction effectuée la veille des opérations litigieuses sur un site sécurisé de New-York, comme il le fait de façon habituelle, a été interrompue par un incident mais il a pu en reprendre le cours et il justifie en avoir effectué le paiement au moyen de la Mastercard et non par payweb card » (id., 4ème §), et que des logiciels « pirates » installés sur l'ordinateur d'un internaute pouvaient permettre de récupérer ses données personnelles ; qu'en statuant ainsi, sans rechercher, ainsi qu'il y était invité, si la circonstance que les débits litigieux aient été effectués par le biais d'un service de paiement sécurisé nécessitant la fourniture de données strictement personnelles à Monsieur X..., ne figurant pas sur la carte bancaire de ce dernier, et dont celui-ci avait contractuellement la charge d'assurer la conservation et la confidentialité, ne faisait pas présumer la négligence grave de l'utilisateur dans la conservation de ses données personnelles, de sorte qu'il incombait à Monsieur X... de rapporter la preuve contraire, en particulier de l'existence d'un piratage de son ordinateur par un logiciel tiers, le juge de proximité a privé sa décision de base légale au regard des articles L. 133-15, L. 133-16 et L. 133-19 du code monétaire et financier, ensemble l'article 1134 du code civil ;


4°) ALORS EN TOUT ETAT DE CAUSE QUE les juges du fond doivent analyser, fût-ce de manière sommaire, les éléments de preuve soumis à leur examen et répondre aux moyens opérants soulevés par les parties ; qu'ils ne peuvent statuer par des motifs dubitatifs ou hypothétiques ; que pour entrer en voie de condamnation envers l'exposante, le juge de proximité s'est contenté d'énoncer qu'il ne résultait pas des pièces versées aux débats les éléments de preuve suffisants que Monsieur X... aurait divulgué à un tiers, de manière intentionnelle, par imprudence ou par négligence grave, des éléments d'identification strictement confidentiels ayant permis les paiements contestés ; qu'en statuant de la sorte, sans procéder à la moindre analyse des pièces versées aux débats par la banque, en particulier le contrat CMNE DIRECT déterminant les obligations respectives des parties, qui stipulait notamment que l'utilisateur du service de paiement « payweb » était responsable de la garde de ses données personnelles, et en se fondant sur le motif hypothétique selon lequel des logiciels « pirates » installés sur l'ordinateur d'un internaute pouvaient permettre de récupérer ses données personnelles, le juge de proximité a méconnu les exigences de l'article 455 du code de procédure civile.

 

Retour à la liste des décisions