[ 30 avril 2024 ]

Droit des obligations

Responsabilité du prestataire de services de paiement : seul le droit spécial s’applique

Com. 27 mars 2024, n° 22-21.200

Les directives concernant les services de paiement 2007/64/CE du 13 novembre 2007 et (UE) 2015/2366 du 25 novembre 2015, dites respectivement « DSP1 » et « DSP2 », continuent de susciter des difficultés d’application pour les professionnels du secteur bancaire. Ces derniers se montrent alors particulièrement attentifs aux précisions apportées par la Cour de cassation quant à l’interprétation de ces deux textes telle qu’elle résulte, principalement, de la jurisprudence de la CJUE, dont les solutions répondent aux renvois préjudiciels dont cette dernière est saisie. En témoigne tout particulièrement la décision rapportée, qui s’inspire de l’orientation interprétative du fameux arrêt Beobank rendu le 16 mars 2023 par les juges européens (CJUE, 16 mars 2023, aff. C-351/21).

Rappelons les faits à l’origine du pourvoi formé devant la chambre commerciale. Une société avait ouvert à une période indéterminée un compte dans les livres d’un établissement bancaire. Entre novembre et décembre 2016, ce compte avait été débité de diverses sommes en exécution de quatre ordres de virements transmis à la banque par courrier électronique émis par sa cliente, au profit de comptes situés à l’étranger. En août 2017, la société cliente avait contesté avoir consenti à ces virements dont les ordres auraient été adressés par un tiers ayant piraté sa messagerie électronique. Elle avait alors assigné la banque pour obtenir sa condamnation à lui restituer les sommes versées en exécution de ces ordres et à lui payer des dommages et intérêts. En cause d’appel, la banque fut condamnée à verser à sa cliente la somme de 199 834,54 euros de dommages et intérêts au titre du préjudice causé par les quatre ordres de virement sur le fondement de l’article 1147 ancien, devenu l’article 1231-1 du Code civil après l’ordonnance n° 2016-131 du 10 février 2016. La banque a formé un pourvoi en cassation, arguant de la contrariété de cette décision à la Directive n° 2007/64/CE, dont l’exclusivité d’application exclut celle du droit commun. Ainsi rappelait-elle, dans la thèse de son pourvoi, que la Cour de justice de l'Union européenne a dit pour droit que le régime de responsabilité des prestataires de service de paiement prévu par cette directive est d’application exclusive dans les rapports entre le prestataire et l'utilisateur et qu’en conséquence, la responsabilité du prestataire à raison du manquement à l'une de ses obligations ne peut être recherchée que sur le fondement des articles L. 133-1 et suivants du Code monétaire et financier, ayant transposé la directive en droit français. La banque considérait alors que seuls les textes de droit spécial se trouvaient applicables en l’espèce, si bien que la cour d’appel n’avait pu valablement engager sa responsabilité sur le fondement du droit commun pour manquement à son devoir de vigilance. 

Adhérant à la thèse du pourvoi, la Haute juridiction casse la décision rendue par la cour d’appel en violation de la loi.

Elle commence par indiquer que la responsabilité contractuelle de droit commun résultant de l’article 1231-1 du Code civil (dans sa rédaction antérieure à celle issue de l'ordonnance n° 2017-1252, du 9 août 2017), est inapplicable en présence d’un régime de responsabilité exclusif soit, en l’espèce, celui les articles L. 133-18 à L. 133-24 du Code de monétaire et financier instituant un régime propre aux prestataires de services de paiement. Notons que l’affirmation de ce principe général renforce en même temps qu’elle précise une ligne directrice sur la répartition droit commun/droit spécial dégagée ces dernières années à propos de la réforme du droit des obligations de 2016 et de 2018 (v. pour l’art. 1171 c. civ., Com. 26 janv. 2022, n° 20-16.782 - v. aussi, pour l’art. 1165 c. civ., Com. 20 sept. 2023, n° 21-25.386).

La Cour précise ensuite la portée, en l’espèce déterminante, de l’arrêt précité du 16 mars 2023 « Beobank ». La Cour de justice y avait affirmé que le régime de responsabilité des prestataires de services de paiement prévu à l'article 60, paragraphe 1, de la directive 2007/64 ainsi qu'aux articles 58 et 59 de cette directive ayant fait l'objet d'une harmonisation totale, « sont incompatibles avec ladite directive tant un régime de responsabilité parallèle au titre d'un même fait générateur qu'un régime de responsabilité concurrent qui permettrait à l'utilisateur de services de paiement d'engager cette responsabilité sur le fondement d'autres faits générateurs ». En effet, le régime harmonisé de responsabilité pour les opérations non autorisées ou mal exécutées établi dans la directive ne saurait être concurrencé par un régime alternatif de responsabilité prévu dans le droit national reposant sur les mêmes faits et le même fondement qu'à la condition de ne pas porter préjudice au régime ainsi harmonisé et de ne pas porter atteinte aux objectifs et à l'effet utile de cette directive (v. CJUE, 2 sept. 2021, aff. C-337/20, pt 45). 

Dès lors, pour la Cour de cassation, il découle de ce qui précède que, dès lors que la responsabilité d'un prestataire de services de paiement est recherchée en raison d'une opération de paiement non autorisée ou mal exécutée, seul est applicable le régime de responsabilité défini aux articles L. 133-18 à L. 133-24 du Code monétaire et financier, qui transposent les articles 58, 59 et 60, paragraphe 1, de la Directive n° 2007/64/CE, à l’exclusion de tout régime alternatif de responsabilité résultant du droit national et donc, notamment, à l’exclusion de la responsabilité contractuelle de droit commun.

Or, pour condamner, sur le fondement de l’article 1231-1 du Code civil, la banque à verser à la société certaines sommes en réparation des préjudices résultant de l'exécution des ordres de virement et de transfert litigieux, l’arrêt d’appel a considéré qu’il ressortait des éléments de preuve sérieux et concordants que le dirigeant social n'était pas à l'origine des ordres qui avaient été exécutés et qu'en les exécutant, alors qu'ils présentaient des anomalies apparentes, la banque avait manqué à son devoir contractuel de vigilance et engageait sa responsabilité de droit commun. En statuant ainsi, alors que le titulaire des comptes contestait être l’auteur des ordres de transfert des fonds litigieux, ce dont il se déduisait que la responsabilité de la banque ne pouvait être recherchée que sur le fondement de l'article L. 133-18 du Code monétaire et financier, la cour d'appel a violé les articles 1231-1 du Code civil, L. 133-18 à L. 133-24 du Code monétaire et financier.

Cette solution confirme le primat d’application du droit spécial régissant les services de paiement dans le Code monétaire et financier. En effet, la CJUE était déjà venue indiquer que le payeur qui n’a pas signalé à son prestataire de services de paiement une opération non autorisée, dans les treize mois du débit de celle-ci, ne peut pas engager la responsabilité de ce prestataire sur le fondement du droit commun pour obtenir le remboursement de cette opération non autorisée (CJUE, 2 sept.2021, préc.). Dit autrement, le payeur qui se retrouve forclos sur le fondement du régime spécial ne peut pas fonder son action sur les obligations « générales » pesant sur le banquier teneur de compte. L’exigence de la Cour de justice de l’Union européenne sur l’exclusivité d’application des textes du droit de l’Union explique donc le choix ici opéré par la chambre commerciale d’exclure purement et simplement l’application du droit commun au profit du régime de responsabilité exclusif issu du Code monétaire et financier, notamment en cas de manquement d’une banque à son devoir de vigilance.

Toutefois, quelques exceptions à ce primat d’application subsistent. D’une part, limité aux rapports client/prestataire de services de paiement, il ne s’étend pas aux rapports caution/prestataire de services de paiement (CJUE, 2 sept.2021, préc. – Com. 9 févr. 2022, n° 17-19.441 : « les articles L. 133-18 et L. 133-24 du code monétaire et financier ne font pas obstacle à la mise en œuvre, par la caution de cet utilisateur, de la responsabilité contractuelle de droit commun de la banque »). D’autre part, une décision récente de la chambre commerciale a précisé que lorsque les virements litigieux ont été effectués dans une devise autre que l’euro, le régime spécial prévu par les articles L. 133-1 et suivants du Code monétaire et financier n’est pas applicable, le client retrouvant alors, dans cette hypothèse, la possibilité de mettre en jeu la responsabilité contractuelle de sa banque sur le fondement du droit commun. (Com. 14 févr. 2024, n° 22-11.654).