Opérations non-autorisées : Application exclusive du régime de responsabilité des PSP

Aux termes d’un arrêt du 27 mars 2024 (pourvoi n°22-21.200), la Cour de cassation – au visa de la jurisprudence européenne – a jugé que la responsabilité d’un prestataire de services de paiement ne peut être recherchée en raison d’une opération de paiement non autorisée ou mal exécutée, que sur le fondement du régime de responsabilité défini aux articles L.133-18 et suivants du Code monétaire et financier (CMF), à l’exclusion de tout autre régime de responsabilité résultant du droit national.

En cas d’opérations de paiement non autorisées, l’utilisateur de services de paiement ne peut solliciter du juge, en sus ou en lieu et place du remboursement de celles-ci, le paiement de dommages et intérêts sur un autre fondement. Seul le remboursement des opérations non autorisées peut être réclamé par l’utilisateur de services de paiement, selon les modalités prévues aux articles L. 133-18 et suivants du CMF.

Les circonstances ayant conduit la Cour de cassation à statuer sur le caractère exclusif du régime de responsabilité des prestataires de services de paiement

Le litige ayant donné lieu à l’arrêt commenté concernait une société ayant constaté dans ses comptes des opérations bancaires frauduleuses. Cette dernière avait constaté la clôture de son compte à terme ainsi que quatre virements frauduleux, transmis par courrier électronique, au profit de comptes situés à l’étranger. Elle avait ainsi assigné l’établissement bancaire prestataire de services de paiement  aux fins de le voir condamné à la restitution des sommes débitées, ainsi qu’au paiement de dommages et intérêts fondé sur le manquement de la banque à son devoir de vigilance. La cour d’appel de Metz a fait droit aux demandes de la société (CA Metz, 7 juillet 2022, RG n°20/0166).

La banque a alors formé un pourvoi en cassation, faisant grief à l’arrêt de la condamner au paiement de dommages et intérêts au titre du préjudice causé par les virements frauduleux et par la clôture du compte et invoquant la jurisprudence de la CJUE relative à l’exclusivité du régime de responsabilité des prestataires de services de paiement. La Cour de cassation était ainsi appelée à statuer sur le caractère exclusif ou non du régime de responsabilité des prestataires de services de paiement issu de la Directive DSP1.

Un arrêt bienvenu compte tenu des hésitations des juridictions du fond sur la question du caractère exclusif du régime de responsabilité des prestataires de services de paiement

La CJUE, dans son arrêt du 2 septembre 2021 (C-337/20), avait jugé que la directive DSP1 s’opposait à ce que les États membres maintiennent un régime de responsabilité parallèle. Cette position a été réitérée dans l’arrêt "Beobank" du 16 mars 2023 (C-351-21), visé par la Cour de cassation dans son arrêt du 27 mars 2024.

Toutefois, les juridictions internes n’ont pas uniformément appliqué la position européenne, créant un certain aléa judiciaire. En effet, si certaines juridictions ont refusé des demandes indemnitaires sur un autre fondement (V. notamment CA Riom, 28 juin 2023, RG n°21/01744 ; CA Metz, 9 février 2023, RG n°21/01729), d’autres les ont acceptées (V. notamment CA Douai, 21 décembre 2023, RG n°22/02871 ; CA Paris, 8 novembre 2023, RG n°21/20107). Si la Cour de cassation avait déjà pu, aux termes d’un arrêt du 9 février 2022 (pourvoi n°17-19.441), se référer à l’arrêt susvisé de la CJUE du 2 septembre 2021, la question juridique dont elle était saisie ne lui permettait pas de se positionner sur le caractère exclusif du régime de responsabilité des prestataires de services de paiement.

Un arrêt conforme à la position de la CJUE et cohérent avec le régime issu de la Directive DSP1

Dans l’arrêt du 27 mars 2024, la Cour de cassation, s’est alignée sur la jurisprudence de la CJUE, jugeant que l’utilisateur ne peut rechercher la responsabilité de son établissement bancaire que sur le fondement du régime de responsabilité des prestataires de services de paiement défini aux articles L.133-18 à L.133-24 du CMF, à l’exclusion de tout régime alternatif de responsabilité. Cette solution aura sans doute pour effet de rassurer les établissements bancaires face à l’augmentation des fraudes et de prévenir les demandes cumulatives de remboursement et de dommages et intérêts.

Cet arrêt est également cohérent avec le régime issu de la Directive DSP1, lequel repose sur une harmonie entre les obligations qui pèsent sur le prestataire et l’utilisateur de services de paiement. Le prestataire est en effet tenu de mettre à disposition de son client un certain nombre d’informations, et notamment celles relatives à l’exécution d’opérations de paiement. Ces informations permettent à l’utilisateur de constater une opération frauduleuse et, conformément à l’article L. 133-24 du CMF, de signaler celle-ci à sa banque dans un délai de treize mois, à peine de forclusion. Si le signalement est effectué dans le délai, l’article L.133-18 du CMF contraint la banque à rembourser l’utilisateur de service de paiement, sauf à ce que cette dernière démontre que l’opération litigieuse n’a pas été affectée par une déficience technique et que l’utilisateur a commis une négligence grave, ce qui peut s’avérer particulièrement compliqué. Or, l’utilisateur de services de paiement pourrait contourner cette obligation de notification dans un délai de treize mois si celui-ci était autorisé à engager la responsabilité de sa banque sur le fondement d’un régime de responsabilité autre que celui résultant des articles L.133-18 à L.133-24 du CMF, lequel serait alors soumis au délai de prescription quinquennale de droit commun.

Le caractère exclusif du régime de responsabilité des prestataires de services de paiement permet donc de ne pas rompre l’harmonie établie par le législateur européen, dans un contexte où les opérations frauduleuses augmentent et se diversifient sans cesse.

Vers plus de sévérité à l’égard des utilisateurs de services de paiement ?

Le caractère exclusif du régime de responsabilité implique une notification des opérations frauduleuses dans un délai de treize mois. De manière inattendue, certaines juridictions ont interprété la portée de la jurisprudence européenne pour juger que le manquement de l’utilisateur d’engager une action judiciaire dans un délai de treize mois à compter du débit de l’opération frauduleuse – et non pas de notifier celle-ci à sa banque –  le privait de son droit d’agir sur tout fondement à l’encontre du prestataire de services de paiement (V. notamment CA Douai, 21 mars 2024, RG n°23/02376 ; CA Aix-en-Provence, 6 juin 2024, RG n°23/13540).

Cette interprétation va au-delà des exigences de la Directive DSP1 (cf. considérant n°31) et l’on peut donc s’interroger sur la pérennité de cette solution.

Aux termes de son arrêt commenté du 27 mars 2024, la Cour de cassation met un terme aux hésitations jurisprudentielles en matière d’opérations de paiement. Ces dernières ne peuvent désormais être contestées que sur le fondement du régime de responsabilité des prestataires de services de paiement issu de la transposition de la Directive DSP1.