Jurisprudence : E-commerce
Cour de cassation, civile, Ch. com., arrêt du 18 janvier 2017
Crédit mutuel de Wattignies / M. X.
authentification - code secret - demande de remboursement - divulgation - données personnelles - fraude - hameçonnage - paiement en ligne - phishing - preuve de la fraude
Sur le moyen unique : Attendu, selon le jugement attaqué (juridiction de proximité de Lille, 17 mars 2015), rendu en dernier ressort, que M. X…, titulaire d’un compte dans les livres de la caisse de Crédit mutuel de Wattignies (la Caisse), a contesté trois opérations de paiement, effectuées, selon lui, frauduleusement sur ce compte, et demandé à la Caisse de lui en rembourser le montant ; que, se heurtant au refus de celle-ci, qui lui reprochait d’avoir commis une faute en donnant à un tiers des informations confidentielles permettent d’effectuer les opérations contestées, M. X… l’a assignée en paiement ;
Attendu que la Caisse fait grief au jugement de la condamner, à payer à M. X… la somme de 838 euros alors, selon le moyen :
1°/ que l’utilisateur d’un service de paiement qui agit avec une négligence grave est tenu de supporter l’intégralité de la perte subie ; que la circonstance qu’un instrument de paiement ait été utilisé pour des achats sur le réseau internet par utilisation de données ne se trouvant pas sur la carte de paiement proprement dite, tels des clefs personnelles permettant au titulaire du compte de venir authentifier le paiement au moyen d’une donnée confidentielle, ainsi que le numéro de téléphone ou l’adresse électronique du client, destiné à recevoir de la banque un code de confirmation permettant de réaliser le paiement souhaité, démontre à elle-seule la négligence grave du titulaire dans la conservation des données sécurisées de paiement que lui imposent les dispositions de l’article L. 133-16, alinéa 1, du code monétaire et financier ; qu’en l’espèce, la Caisse faisait valoir que le système de paiement à distance « payweb » utilisé pour réaliser les trois débits contestés par M. X…, comportait un processus hautement sécurisé nécessitant le choix par le client d’un identifiant et d’un mot de passe lors de la première connexion, puis, pour la réalisation de chaque opération de paiement, la création d’une carte « payweb » par un dispositif de « clefs personnelles » permettant à l’utilisateur de choisir une combinaison de chiffres au sein d’une carte de 64 codes, avant que la banque n’envoie, par mail ou un sms, un code de confirmation à validité temporaire permettant d’effectuer le paiement désiré ; qu’elle soulignait que l’utilisation de ce système de paiement impliquait nécessairement que M. X… avait, sinon divulgué ses données personnelles à un tiers, à tout le moins laissé celles-ci à disposition du tiers ayant frauduleusement effectué les débits litigieux ; que, pour condamner la Caisse à rembourser le montant des trois débits contestés par ce dernier, le juge de proximité a considéré que la preuve de ce que M. X… avait dévoilé ses données personnelles n’était pas rapportée, et que la banque avait commis un manquement à ses obligations contractuelles « en fournissant à un tiers un code de confirmation pour valider les opérations contestées » ; qu’en statuant de la sorte, sans rechercher, ainsi qu’il y était invité, si la circonstance que les débits litigieux aient été effectués par le biais d’un service de paiement sécurisé nécessitant la fourniture de données strictement personnelles à M. X…, et dont ce dernier avait contractuellement la charge d’assurer la conservation et la confidentialité, n’impliquait pas que ce dernier avait commis une négligence grave dans la conservation des dites données, le juge de proximité a privé sa décision de base au regard des articles L. 133-15, L. 133-16 et L. 133-19 du code monétaire et financier, ensemble l’article 1134 du code civil ;
2°/ que la circonstance qu’un service de paiement doté d’un dispositif de sécurité ait été utilisé pour des achats sur le réseau internet par utilisation d’un l’identifiant internet et du mot de passe de connexion, des clefs personnelles permettant à l’utilisateur de venir authentifier le paiement au moyen d’une donnée confidentielle ne se trouvant pas sur la carte de paiement proprement dite, ainsi que de l’adresse électronique du client aux fins de réception du code de confirmation permettant l’achat, fait à tout le moins présumer le défaut de garde des données confidentielles d’instrument de paiement et la négligence grave de son utilisateur dans la préservation de la confidentialité de ses données personnelles ; qu’il appartient dans ces circonstances à l’utilisateur du service de paiement de rapporter par tous moyens la preuve qu’il a respecté son obligation de conserver les données confidentielles permettant l’utilisation du service qui lui a été proposé ; qu’en se bornant à retenir, pour condamner la Caisse à rembourser à M. X… le montant de trois débits effectués sur son compte bancaire par le biais du système « payweb », que ce dernier contestait avoir autorisés, le juge de proximité a retenu que la preuve de ce M. X… avait dévoilé ses données personnelles n’était pas rapportée, et que la banque avait commis un manquement à ses obligations contractuelles « en fournissant à un tiers un code de confirmation pour valider les opérations contestées » ; qu’en statuant ainsi, sans rechercher, ainsi qu’il y était invité, si la circonstance que les débits litigieux aient été effectués par le biais d’un service de paiement sécurisé nécessitant la fourniture de données strictement personnelles à M. X…, et dont ce dernier avait contractuellement la charge d’assurer la conservation et la confidentialité, ne faisait pas présumer la négligence grave de l’utilisateur dans la conservation de ses données personnelles, le juge de proximité a privé sa décision de base légale au regard des articles L. 133-15, L. 133-16 et L. 133-19 du code monétaire et financier, ensemble l’article 1134 du code civil ;
3°/ que les juges du fond doivent analyser, fût-ce de manière sommaire, les éléments de preuve soumis à leur examen et répondre aux moyens opérants soulevés par les parties ; qu’en se contentant d’énoncer, pour entrer en voie de condamnation à l’encontre de la Caisse, qu’il ne résultait pas des pièces versées aux débats les éléments de preuve suffisants que M. X… aurait divulgué à un tiers, de manière intentionnelle, par imprudence ou par négligence grave, des éléments d’identification strictement confidentiels ayant permis les paiements contestés, sans procéder à la moindre analyse des pièces versées aux débats par la banque, en particulier le contrat CMNE Direct déterminant les obligations respectives des parties, qui stipulait notamment que l’utilisateur du service de paiement « payweb » était responsable de la garde de ses données personnelles, ni répondre au moyen développé par la Caisse dans ses conclusions, soulignant que l’utilisation de ce service de paiement impliquait qu’un tiers se soit trouvé en possession des données personnelles de M. X…, dont ce dernier devait assurer la conservation, le juge de proximité a violé l’article 455 du code de procédure civile ;
4°/ qu’il résulte de l’article L. 133-15 du code monétaire et financier que le prestataire de services de paiement qui délivre un instrument de paiement doit s’assurer que les dispositifs de sécurité personnalisés de cet instrument ne sont pas accessibles à d’autres personnes que l’utilisateur autorisé de ce service, ce dernier ayant la charge d’assurer la conservation et la confidentialité des données nécessaires à l’utilisation de l’instrument de paiement en cause ; qu’ainsi que le faisait valoir la Caisse dans ses conclusions, il résultait par ailleurs de l’article 1er des conditions générales du contrat CMNE Direct, permettant l’accès du client à ses comptes bancaires par internet, que le souscripteur devait dès sa première connexion modifier le mot de passe qui lui était initialement fourni, et qu’il était « entièrement responsable de l’usage et de la conservation de ses codes personnels, et, le cas échéant, des conséquences d’une divulgation involontaire à quiconque de leur transmission » ; que l’article 4 stipulait également que « le souscripteur est seul responsable de la garde, de la conservation et de la confidentialité des informations/ données qui lui seront communiquées pour se connecter au serveur de la banque. Les éléments d’identification décrits à l’article « accès au service » nécessaires pour accéder au service sont strictement confidentiels. Il est de la responsabilité du souscripteur de veiller à ce que lesdits éléments ci-dessus cités demeurent secrets et ne soient divulgués à quiconque. Il lui appartient également de s’assurer que la conservation de la saisie desdits éléments soit effectuée dans des conditions parfaites de sécurité et de confidentialité » ; que la Caisse soulignait encore que le système de paiement « payweb » mis à la disposition de M. X… nécessitait pour fonctionner des données confidentielles que seul ce dernier avait en sa possession, de sorte que le fait que les débits litigieux aient été effectués par le biais de ce système impliquait qu’un tiers avait eu accès à ces données ; que, pour dire que la Caisse avait manqué à ses obligations contractuelles, le juge de proximité a considéré que cette dernière avait commis une faute « en fournissant à un tiers un code de confirmation pour valider les opérations contestées » ; qu’en statuant ainsi, quand il incombait à M. X… d’assurer la conservation des données confidentielles permettant l’utilisation du service de paiement « payweb » et que la banque n’avait fait que se conformer à ses obligations contractuelles en exécutant un ordre de paiement effectué conformément aux stipulations de la convention CMNE Direct, le juge de proximité a méconnu l’article 1134 du code civil, ensemble les articles L. 133-15 et L. 133-16 du code monétaire et financier ;
Mais attendu que si, aux termes des articles L. 133-16 et L. 133-17 du code monétaire et financier, il appartient à l’utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d’informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l’instrument de paiement ou des données qui lui sont liées, c’est à ce prestataire qu’il incombe, par application des articles L. 133-19, IV, et L. 133-23 du même code, de rapporter la preuve que l’utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence grave à ses obligations ; que cette preuve ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés ; qu’ayant souverainement retenu qu’il ne résultait pas des pièces versées aux débats la preuve que M. X… avait divulgué à un tiers, de manière intentionnelle, par imprudence ou par négligence grave, des éléments d’identification strictement confidentiels ayant permis les paiements contestés et que la Caisse se bornait à évoquer l’hypothèse d’un « hameçonnage », en prétendant que M. X… avait certainement répondu à un courriel frauduleux qu’il pensait émaner de la Caisse pour qu’il renseigne un certain nombre de points dont les identifiants, mots de passe et codes de clefs qui permettent de réaliser les opérations à distance, sans en apporter la démonstration, c’est exactement que la juridiction de proximité, qui n’était pas tenue de suivre les parties dans le détail de leur argumentation et a procédé à la recherche prétendument omise, a accueilli la demande de remboursement de M. X… ; que le moyen n’est pas fondé ;
DÉCISION
REJETTE le pourvoi ;
Condamne la caisse de Crédit mutuel de Wattignies aux dépens ;
Vu l’article 700 du code de procédure civile, rejette sa demande ;
Ainsi fait et jugé par la Cour de cassation, chambre commerciale, financière et économique, et prononcé par le président en son audience publique du dix-huit janvier deux mille dix sept.
MOYEN ANNEXE au présent arrêt
Moyen produit par la SCP Célice, Soltner, Texidor et Périer, avocat aux Conseils, pour la société caisse de Crédit mutuel de Wattignies
Il est fait grief au jugement attaqué D’AVOIR reçu Monsieur Franck X… en sa demande et de l’avoir déclarée bien fondée, et D’AVOIR en conséquence condamné la Caisse de Crédit Mutuel de Wattignies à payer à Monsieur Franck X… la somme de 838 €, et à prendre en charge les dépens de l’instance,
AUX MOTIFS QUE « Sur la demande principale Aux termes des dispositions des articles L133-16, L133-17 et L133-19 du code monétaire et financier, ainsi que des articles 1 et 4 des conditions générales du service CMNE DIRECT (accès aux comptes bancaires via internet) auquel adhérait M. X…, l’utilisateur d’une carte bancaire supporte les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave à l’obligation qui s’impose à lui de prendre toute mesure pour préserver la sécurité de ses dispositifs de sécurité personnalisés. En l’espèce, il ne résulte pas des pièces versées aux débats par le Crédit Mutuel de Wattignies les éléments de preuve suffisants que M. X… aurait divulgué à un tiers, de manière intentionnelle, par imprudence ou par négligence grave, des éléments d’identification strictement confidentiels ayant permis les paiements contestés. En effet, la banque se borne à évoquer l’hypothèse du » phishing « – procédé d’hameçonnage du client d’une banque pour obtenir des données confidentielles-en prétendant que » M. X… a certainement répondu à un mail frauduleux qu’il pensait émaner du Crédit Mutuel pour qu’il renseigne un certain nombre de points dont les identifiants, mots de passe et codes de clefs qui permettent de réaliser les opérations à distance « , mais n’en apporte aucunement la démonstration. En outre, M. X… fait valoir plusieurs indices de nature à prouver qu’il n’est pas l’auteur des paiements dont il sollicite le remboursement : en août 2013, il se trouvait en vacances dans le Var alors que les opérations contestées se sont produites le 13/ 08/ 2013 en région parisienne et son adresse mail X… @ numericable. fr a été remplacée par celle de Y… @ hotmail. fr qui a été le bénéficiaire des opérations contestées. En revanche, l’article L133-15 du code monétaire et financier dispose que » le prestataire de service qui délivre un instrument de paiement doit s’assurer que les dispositifs de sécurité personnalisés de cet instrument tels que définis à l’article L133-4 ne sont pas accessibles à d’autres personnes que l’utilisateur autorisé à utiliser cet instrument « . Or, les paiements contestés ont été possibles parce que la banque a envoyé les numéros de confirmation pour l’obtention du payweb le 13/ 08/ 2013 à l’adresse mail Y… @ hotmail. fr alors que son seul client et interlocuteur devait être M. Franck X… à l’adresse mail X… @ numericable. fr. Dès lors, il y a lieu de faire droit à la demande de M. X… de remboursement du Crédit Mutuel de Wattignies, qui non seulement ne démontre pas un manquement du demandeur à ses obligations contractuelles mais a commis une faute contractuelle en fournissant à un tiers un code de confirmation pour valider les opérations contestées » ;
1°) ALORS QUE l’utilisateur d’un service de paiement qui agit avec une négligence grave est tenu de supporter l’intégralité de la perte subie ; que la circonstance qu’un instrument de paiement ait été utilisé pour des achats sur le réseau internet par utilisation de données ne se trouvant pas sur la carte de paiement proprement dite, tels des clefs personnelles permettant au titulaire du compte de venir authentifier le paiement au moyen d’une donnée confidentielle, ainsi que le numéro de téléphone ou l’adresse électronique du client, destiné à recevoir de la banque un code de confirmation permettant de réaliser le paiement souhaité, démontre à elle-seule la négligence grave du titulaire dans la conservation des données sécurisées de paiement que lui imposent les dispositions de l’article L. 133-16, alinéa 1er, du code monétaire et financier ; qu’en l’espèce, la Caisse de Crédit Mutuel de Wattignies faisait valoir (ses conclusions, p. 2 ; p. 4 à 6) que le système de paiement à distance « payweb » utilisé pour réaliser les trois débits contestés par Monsieur X…, comportait un processus hautement sécurisé nécessitant le choix par le client d’un identifiant et d’un mot de passe lors de la première connexion, puis, pour la réalisation de chaque opération de paiement, la création d’une carte « payweb » par un dispositif de « clefs personnelles » permettant à l’utilisateur de choisir une combinaison de chiffres au sein d’une carte de 64 codes, avant que la banque n’envoie, par mail ou un sms, un code de confirmation à validité temporaire permettant d’effectuer le paiement désiré ; qu’elle soulignait que l’utilisation de ce système de paiement impliquait nécessairement que Monsieur X… avait, sinon divulgué ses données personnelles à un tiers, à tout le moins laissé celles-ci à disposition du tiers ayant frauduleusement effectué les débits litigieux ; que, pour condamner la Caisse de Crédit Mutuel de Wattignies à rembourser le montant des trois débits contestés par ce dernier, le juge de proximité a considéré que la preuve de ce que Monsieur X… avait dévoilé ses données personnelles n’était pas rapportée, et que la banque avait commis un manquement à ses obligations contractuelles « en fournissant à un tiers un code de confirmation pour valider les opérations contestées » ; qu’en statuant de la sorte, sans rechercher, ainsi qu’il y était invité, si la circonstance que les débits litigieux aient été effectués par le biais d’un service de paiement sécurisé nécessitant la fourniture de données strictement personnelles à Monsieur X…, et dont ce dernier avait contractuellement la charge d’assurer la conservation et la confidentialité, n’impliquait pas que ce dernier avait commis une négligence grave dans la conservation desdites données, le juge de proximité a privé sa décision de base au regard des articles L. 133-15, L. 133-16 et L. 133-19 du code monétaire et financier, ensemble l’article 1134 du code civil ;
2°) ALORS, SUBSIDIAIREMENT, QUE la circonstance qu’un service de paiement doté d’un dispositif de sécurité ait été utilisé pour des achats sur le réseau internet par utilisation d’un l’identifiant internet et du mot de passe de connexion, des clefs personnelles permettant à l’utilisateur de venir authentifier le paiement au moyen d’une donnée confidentielle ne se trouvant pas sur la carte de paiement proprement dite, ainsi que de l’adresse électronique du client aux fins de réception du code de confirmation permettant l’achat, fait à tout le moins présumer le défaut de garde des données confidentielles d’instrument de paiement et la négligence grave de son utilisateur dans la préservation de la confidentialité de ses données personnelles ; qu’il appartient dans ces circonstances à l’utilisateur du service de paiement de rapporter par tous moyens la preuve qu’il a respecté son obligation de conserver les données confidentielles permettant l’utilisation du service qui lui a été proposé ; qu’en se bornant à retenir, pour condamner la Caisse de Crédit Mutuel de Wattignies à rembourser à Monsieur X… le montant de trois débits effectués sur son compte bancaire par le biais du système « payweb », que ce dernier contestait avoir autorisés, le juge de proximité a retenu que la preuve de ce Monsieur X… avait dévoilé ses données personnelles n’était pas rapportée, et que la banque avait commis un manquement à ses obligations contractuelles « en fournissant à un tiers un code de confirmation pour valider les opérations contestées » ; qu’en statuant ainsi, sans rechercher, ainsi qu’il y était invité, si la circonstance que les débits litigieux aient été effectués par le biais d’un service de paiement sécurisé nécessitant la fourniture de données strictement personnelles à Monsieur X…, et dont ce dernier avait contractuellement la charge d’assurer la conservation et la confidentialité, ne faisait pas présumer la négligence grave de l’utilisateur dans la conservation de ses données personnelles, le juge de proximité a privé sa décision de base légale au regard des articles L. 133-15, L. 133-16 et L. 133-19 du code monétaire et financier, ensemble l’article 1134 du code civil ;
3°) ALORS EN TOUT ETAT DE CAUSE QUE les juges du fond doivent analyser, fût-ce de manière sommaire, les éléments de preuve soumis à leur examen et répondre aux moyens opérants soulevés par les parties ; qu’en se contentant d’énoncer, pour entrer en voie de condamnation à l’encontre de la Caisse de Crédit Mutuel de Wattignies, qu’il ne résultait pas des pièces versées aux débats les éléments de preuve suffisants que Monsieur X… aurait divulgué à un tiers, de manière intentionnelle, par imprudence ou par négligence grave, des éléments d’identification strictement confidentiels ayant permis les paiements contestés, sans procéder à la moindre analyse des pièces versées aux débats par la banque, en particulier le contrat CMNE DIRECT déterminant les obligations respectives des parties, qui stipulait notamment que l’utilisateur du service de paiement « payweb » était responsable de la garde de ses données personnelles, ni répondre au moyen développé par la Caisse de Crédit Mutuel de Wattignies dans ses conclusions soulignant que l’utilisation de ce service de paiement impliquait qu’un tiers se soit trouvé en possession des données personnelles de Monsieur X…, dont ce dernier devait assurer la conservation, le juge de proximité a violé l’article 455 du code de procédure civile ;
4°) ALORS QU’il résulte de l’article L. 133-15 du code monétaire et financier que le prestataire de services de paiement qui délivre un instrument de paiement doit s’assurer que les dispositifs de sécurité personnalisés de cet instrument ne sont pas accessibles à d’autres personnes que l’utilisateur autorisé de ce service, ce dernier ayant la charge d’assurer la conservation et la confidentialité des données nécessaires à l’utilisation de l’instrument de paiement en cause ; qu’ainsi que le faisait valoir la Caisse de Crédit Mutuel de Wattignies dans ses conclusions (p. 4-5), il résultait par ailleurs de l’article 1er des conditions générales du contrat CMNE DIRECT, permettant l’accès du client à ses comptes bancaires par internet, que le souscripteur devait dès sa première connexion modifier le mot de passe qui lui était initialement fourni, et qu’il était « entièrement responsable de l’usage et de la conservation de ses codes personnels, et, le cas échéant, des conséquences d’une divulgation involontaire à quiconque de leur transmission » ; que l’article 4 stipulait également que « le souscripteur est seul responsable de la garde, de la conservation et de la confidentialité des informations/ données qui lui seront communiquées pour se connecter au serveur de la banque. Les éléments d’identification décrits à l’article « accès au service » nécessaires pour accéder au service sont strictement confidentiels. Il est de la responsabilité du souscripteur de veiller à ce que lesdits éléments ci-dessus cités demeurent secrets et ne soient divulgués à quiconque. Il lui appartient également de s’assurer que la conservation de la saisie desdits éléments soit effectuée dans des conditions parfaites de sécurité et de confidentialité » ; que l’exposante soulignait encore que le système de paiement « payweb » mis à la disposition de Monsieur X… nécessitait pour fonctionner des données confidentielles que seul ce dernier avait en sa possession, de sorte que le fait que les débits litigieux aient été effectués par le biais de ce système impliquait qu’un tiers avait eu accès à ces données ; que, pour dire que la Caisse de Crédit Mutuel de Wattignies avait manqué à ses obligations contractuelles, le juge de proximité a considéré que cette dernière avait commis une faute « en fournissant à un tiers un code de confirmation pour valider les opérations contestées » ; qu’en statuant ainsi, quand il incombait à Monsieur X… d’assurer la conservation des données confidentielles permettant l’utilisation du service de paiement « payweb » et que la banque n’avait fait que se conformer à ses obligations contractuelles en exécutant un ordre de paiement effectué conformément aux stipulations de la convention CMNE DIRECT, le juge de proximité a méconnu l’article 1134 du code civil, ensemble les articles L. 133-15 et L. 133-16 du code monétaire et financier.
La Cour : Mme Mouillard (président)
Avocats : SCP Célice, Soltner, Texidor et Périer
Source : legifrance.gouv.fr
Lire notre présentation de l’arrêt
En complément
Maître SCP Célice Soltner Texidor et Périer est également intervenu(e) dans les 10 affaires suivante :
En complément
Le magistrat Mme Mouillard est également intervenu(e) dans les 18 affaires suivante :
* Nous portons l'attention de nos lecteurs sur les possibilités d'homonymies particuliérement lorsque les décisions ne comportent pas le prénom des personnes.