[ 17 février 2025 ]

Droit de la responsabilité civile

Responsabilité des prestataires de services de paiement en cas d’escroquerie bancaire : confirmation de l’application exclusive du droit spécial

Com. 15 janv. 2025, n° 23-13.579 et n° 23-15.437

Par les deux arrêts rapportés, assortis d’un communiqué commun et d’une même motivation enrichie, la Cour de cassation confirme, concernant la responsabilité des prestataires de paiement, l’exclusion d’un régime de responsabilité alternatif à celui prévu en droit spécial par le code monétaire et financier puisque dans ces deux affaires, elle écarte l’application de la responsabilité contractuelle de droit commun, en concours avec le droit spécial, en raison de l’exclusivité d’application de ce dernier (déjà, Com. 27 mars 2024, n° 22-21.200).

Dans la première affaire (n° 23-13.579), deux sociétés du même groupe, titulaires d’un compte ouvert dans les livres d’un établissement bancaire, avaient souscrit un service sécurisé de transmission d’ordres d’opération de paiement, devant être « authentifiés par un certificat numérique ». Elles s’étaient pourtant rendues compte que six virements bancaires avaient été ordonnés depuis l’ordinateur de leur comptable pour un montant avoisinant les 500 000 €, au profit de bénéficiaires qu’elles ne connaissaient pas, sur des comptes ouverts à l’étranger. Après avoir déposé plainte pour escroquerie, les sociétés clientes avaient contesté ces opérations auprès de la banque. Le communiqué nous renseigne sur la façon dont l’escroquerie fut commise : une expertise a établi qu’un courriel envoyé par un escroc contenant un virus de type « Cheval de Troie » avait infecté l’ordinateur du comptable des sociétés, ce qui avait permis à l’escroc de récupérer les données bancaires des deux sociétés et d’effectuer les virements frauduleux. La banque avait toutefois refusé de les rembourser. Ses clientes l’avaient alors assignée en remboursement sur le fondement des dispositions du code monétaire et financier. En cause d’appel, les juges du fond ont retenu un partage de responsabilité : reprochant aux deux sociétés, sur le fondement du droit spécial, une négligence grave (le courriel malveillant paraissait manifestement trompeur, rédigé en langue anglaise sans raison), elle retint également, sur le fondement du droit commun, la faute de la banque, celle-ci ayant manqué à son obligation de vigilance et de surveillance de ses systèmes en n’ayant tenu compte ni des alertes reçues concernant la prolifération d’attaques informatives, ni des multiples tentatives de connexion, le jour des faits litigieux, à son système d’authentification. La banque fut ainsi condamnée à rembourser à ses clientes la moitié des pertes subies en raison des opérations litigieuses, non autorisées. 

Dans la seconde affaire (n° 23-15.437), un couple titulaire d’un compte joint ouvert dans les livres d’un établissement bancaire avait, pour financer l’achat en ligne d’un véhicule automobile, effectué deux virements bancaires en se basant sur l’IBAN transmis par leur vendeur. Après que ce dernier leur eut signalé n’avoir reçu aucun des deux virements prétendument effectués, le couple d’acquéreurs s’était rendu compte avoir été victime, à la faveur des courriels échangés avec le vendeur, d’un piratage informatique : dans l’un de ces courriels, un escroc était parvenu à substituer son propre IBAN à celui du vendeur, et à récupérer ainsi le prix de la vente. La banque ayant refusé de les rembourser, les acheteurs ont saisi la justice sur le fondement des dispositions du code monétaire et financier. En cause d’appel, la cour jugea la banque responsable : tout en rappelant que le banquier ne peut voir sa responsabilité engagée lorsque son client lui a fourni un mauvais IBAN (C. monét. fin., art. L. 133-21), elle a néanmoins considéré que le banquier restait tenu d’une obligation de vigilance concernant la régularité des opérations dont il doit contrôler l’absence d’anomalie apparente. Or en l’espèce, l’IBAN transmis par courriel présentait des anomalies apparentes. La cour d’appel condamna ainsi la banque au remboursement partiel des sommes versées par le couple. 

Dans ces deux affaires, la banque a formé avec succès un pourvoi en cassation, la chambre commerciale excluant tout partage de responsabilité entre la banque et son client sur le fondement exclusif du droit spécial issu du Code monétaire et financier, qui suppose d’écarter l’application de la responsabilité de droit commun. Commune aux deux décisions rapportées, l’inapplication de la responsabilité contractuelle de droit commun (C. civ., art. 1231-1 ; anc. art. 1147), se justifie par la reconnaissance d’un régime spécial de responsabilité exclusif (pt 5 dans l’aff. n° 23-13.579, pt 8 dans l’aff. n° 23-15.437), dont la prévalence sur le droit commun de la responsabilité a déjà été plusieurs fois affirmée par la Cour (Com. 2 mai 2024, n° 22-18.074 ;  Com. 27 mars 2024, n° 22-21.200), sous l’influence des juges européens, soucieux de ne pas vider sa substance l’harmonisation prévue par les directives 2007/64/CE et (UE) 2015/2366 par une application conjointe de deux régimes de responsabilité (CJUE 16 mars 2023, aff. C-351/21, Beobank). Dans la continuité de sa jurisprudence récente, la chambre commerciale affirme qu’en cas d’escroquerie bancaire, la responsabilité du prestataire de services de paiement ne peut être engagée que sur le fondement des articles L. 133-18 à L. 133-24 du Code monétaire et financier, relatifs aux opérations non autorisées ou mal exécutées (pt 7 de l’aff. n° 23-13.579 et pt 10 de l’aff. n° 23-15.437). Précisant les solutions précédentes, ces deux arrêts offrent à la Cour l’occasion de clarifier les conditions de remboursement du client par sa banque sous le seul prisme du droit spécial, alors même que son concours avec le droit commun restait envisageable, notamment dans l’hypothèse des deux espèces où l’obligation de vigilance est invoquée par les plaideurs en parallèle des articles du Code monétaire et financier. Certaines juridictions du fond, à l’instar de celles ayant rendu les décisions frappées de pourvois, continuaient en effet d’admettre une application distributive des règles de droit spécial et de droit commun. Or celle-ci est refusée sans réserve par la Cour de cassation, de l’application exclusive des textes du Code monétaire et financier justifiant la cassation des deux décisions rendues au fond. Ainsi, dans la première affaire, alors que la cour d’appel avait caractérisé un défaut de vigilance de la banque pour condamner celle-ci au remboursement de ses clientes, sur le fondement de la responsabilité de droit commun, la chambre commerciale libère la banque par la voie du régime spécial du code monétaire et financier, qui permet au prestataire de services de paiement, en cas de négligence grave de son client, d’échapper à son obligation de remboursement (C. monét. fin., art. L. 133-18 et L. 133-19). Autrement dit, la négligence grave des deux sociétés, caractérisée sur le fondement de l’article L. 133-19, IV, du Code monétaire et financier, interdit de recourir au droit commun pour sanctionner le manquement de la banque à son obligation de vigilance. Dès lors, il ne peut y avoir remboursement, même partiel, des clientes par la banque. La décision de la cour d’appel est donc censurée. Pareillement, dans la seconde affaire, la cour d’appel avait tenté d’exploiter le droit commun, sous le même prisme du manquement à l’obligation de vigilance, pour accorder aux clients victimes d’escroquerie un remboursement partiel des sommes exposées. Or l’article L. 133-21 du Code monétaire et financier, au cœur du litige, exclut la responsabilité du prestataire de services de paiement en cas d’opérations de paiement effectuées sur la base d’un identifiant (IBAN ou du RIB) inexact fourni par l’utilisateur. En l’espèce, l’IBAN erroné utilisé par les clients en raison d’un piratage informatique supposait donc d’exclure la responsabilité de la banque. Sur le terrain du droit spécial, l’origine de l’IBAN dont disposaient les clients (un piratage informatique), comme le fait que la banque n’ait pas relevé les anomalies que laissait apparaître l’identifiant, ne sont pas des circonstances envisagées par le code monétaire et financier pour justifier un partage de responsabilité. La cassation prononcée permet ainsi d’asseoir l’exclusivité de l’article L.133-21 en sorte qu’un remboursement, même partiel, des clients par la banque se trouve également exclu.

Renforcée, l’exclusivité d’application du régime spécial de responsabilité prévu par le Code monétaire et financier permet ainsi au banquier de conserver ses voies d’exonération – pour négligence grave ou pour un identifiant erroné – le recours au droit commun pour sanctionner son défaut de vigilance étant dans les deux affaires écarté. La question du concours des règles applicables entre droit commun et droit spécial semble ainsi définitivement réglée en faveur des règles spéciales, seules à pouvoir régir le principe et les exceptions de remboursement du client par sa banque en cas d’opérations non autorisées.