LA COUR DE CASSATION, CHAMBRE COMMERCIALE, a rendu l'arrêt suivant :
Sur le moyen unique :
Attendu, selon l'arrêt attaqué (Douai, 26 octobre 2017), que M. W..., titulaire d'un compte dans les livres de la société Caisse de crédit mutuel de Crépy-en-Valois (la banque), a assigné celle-ci en remboursement d'opérations de paiement effectuées par Internet au moyen des systèmes de paiement « Payweb » et « e-retrait », qu'il contestait avoir autorisées ;
Attendu que la banque fait grief à l'arrêt d'accueillir la demande de M. W... alors, selon le moyen :
1°/ que l'utilisateur d'un service de paiement qui agit avec une négligence grave est tenu de supporter l'intégralité de la perte subie ; que la négligence grave s'entend de la carence de l'utilisateur du service de paiement à prendre toute mesure raisonnable pour assurer la confidentialité de ses données personnelles ; qu'en jugeant que la négligence grave de l'utilisateur de services de paiement « confin[ait] au dol et dénot[ait] l'inaptitude de celui-ci dans l'accomplissement de son obligation de préserver la sécurité de ses dispositifs de sécurité personnalisés, de sorte que cette négligence grave [était] d'une importance telle qu'elle [rendait] impossible le remboursement des sommes débitées à la suite d'opérations de paiement non autorisées par l'utilisateur de services », et en appréciant l'existence d'une négligence grave de la part de M. W... au regard de cette définition, la cour d'appel a violé les articles L. 133-16, L. 133-19, IV, et L. 133-23 du code monétaire et financier ;
2°/ que si, selon l'article L. 133-23 du code monétaire et financier, l'utilisation de l'instrument de paiement telle qu'enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l'opération a été autorisée par le payeur ou que celui-ci n'a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière, elle peut suffire à rapporter une telle preuve, en fonction des circonstances particulières du litige qu'il incombe aux juges du fond d'examiner ; que pour condamner la banque à rembourser à M. W... le montant d'opérations réalisées au débit de son compte bancaire, la cour d'appel, après avoir constaté que la banque rapportait la preuve que les opérations de paiement contestées avaient « été authentifiées, dûment enregistrées et comptabilisées, et qu'elles n'[avaient] pas été affectées par une défaillance technique ou autre, tel un piratage » a néanmoins considéré que les utilisations successives des données attachées à la carte de M. W... ne suffisaient pas à prouver que les opérations litigieuses avaient été autorisées par ce dernier, ou qu'il n'aurait pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière, et a jugé que la banque, qui se bornait à faire état de l'hypothèse d'un « phishing », était défaillante dans l'administration de la preuve de la négligence grave qu'aurait commise M. W... ; qu'en statuant de la sorte, quand l'utilisation d'un service de paiement sans défaillance technique est susceptible de démontrer la commission par l'utilisateur de ce service d'une négligence grave dans la conservation de ses données, ce qu'il lui incombait de rechercher au regard des caractéristiques en matière de sécurité des services de paiement employés, la cour d'appel a violé les articles L. 133-16, L. 133-19, IV, et L. 133-23 du code monétaire et financier ;
3°/ que l'utilisateur d'un service de paiement qui agit avec une négligence grave est tenu de supporter l'intégralité de la perte subie ; que l'existence d'une négligence grave doit être appréciée au regard de l'ensemble des circonstances de la cause, et peut être prouvée par tous moyens, en particulier eu égard aux caractéristiques de l'instrument de paiement en termes de fiabilité et de sécurité ; qu'en s'abstenant de rechercher, comme elle y était invitée si la circonstance que les opérations de paiement litigieuses avaient été effectuées via le système de paiement sécurisé payweb card, lequel nécessitait pour fonctionner non seulement que l'utilisateur accède à son espace personnel en renseignant son identifiant et son mot de passe, mais également une clef personnelle figurant sur une carte établie sur support papier et remise par la banque au client, ainsi qu'un code de confirmation adressé sur l'adresse email ou le téléphone portable de ce dernier, ne permettait pas de démontrer que M. W... avait nécessairement été négligent dans la conservation des données confidentielles permettant l'utilisation de ces systèmes de paiement hautement sécurisés, la cour d'appel a privé sa décision de base légale au regard des articles L. 133-15, L. 133-16, L. 133-19, IV, et L. 133-23 du code monétaire et financier ;
4°/ qu'en retenant que l'existence de paiements postérieurs à l'opposition formée par M. W... sur sa carte bancaire « [n'était] pas particulièrement cohérent[e] avec la thèse de la banque sur la circonstance, alléguée mais non démontrée par celle-ci, que M. W... aurait nécessairement et volontairement communiqué ses informations personnelles et confidentielles à un tiers par négligence grave (
) », la cour d'appel, qui s'est fondée sur une circonstance inopérante dès lors qu'il résultait du rapport d'activité de la carte de M. W... sur lequel elle s'est fondée que ces paiements avaient pour origine la création de cartes payweb le 16 avril 2014, soit avant l'opposition formée par M. W..., a violé les articles L. 133-16, L. 133-19, IV, et L. 133-23 du code monétaire et financier, ensemble l'article 1134 du code civil, dans sa version applicable en l'espèce ;
5°/ que le principe de l'égalité des armes implique que chaque partie ait la possibilité de faire valoir ses prétentions et moyens dans des conditions qui ne la placent pas dans une situation de net désavantage par rapport à son contradicteur ; qu'en jugeant qu'il incombait à la banque de prouver « l'implication à un titre ou à un autre de M. W... dans les opérations litigieuses pour caractériser sa négligence fautive ou son manquement intentionnel, voire son action frauduleuse », et qu'elle ne pouvait invoquer l'article 6, § 1, de la Convention européenne des droits de l'Homme sur la nécessité d'un procès équitable quand le prestataire de service de paiement ne dispose d'aucun autre moyen de preuve effectif pour démontrer la négligence grave qu'aurait commise son client, la cour d'appel a méconnu les exigences de l'article 6, § 1, de la Convention européenne des droits de l'homme, ensemble les articles L. 133-15, L. 133-16, L. 133-19, IV, et L. 133-23 du code monétaire et financier, ensemble l'article 1315, devenu 1353, du code civil ;
Mais attendu, en premier lieu, que si, aux termes des articles L. 133-16 et L. 133-17 du code monétaire et financier, dans leur rédaction antérieure à celle issue de l'ordonnance n° 2017-1252 du 9 août 2017, il appartient à l'utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d'informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l'instrument de paiement ou des données qui lui sont liées, c'est à ce prestataire qu'il incombe, par application des articles L. 133-19, IV, et L. 133-23 dudit code, dans leur rédaction alors applicable, de rapporter la preuve que l'utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n'a pas satisfait, intentionnellement ou par négligence grave, à ses obligations ; que cette preuve ne peut se déduire du seul fait que l'instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés ; qu'ayant retenu, abstraction faite des motifs, surabondants, critiqués par les première et quatrième branches, que les opérations contestées avaient été effectuées à l'insu de M. W... par le biais d'un détournement frauduleux de ses instruments de paiement ou des données qui y étaient attachées, la seule utilisation de ces données n'étant pas susceptible, contrairement à ce que soutient la deuxième branche, de démontrer que M. W... avait été gravement négligent dans leur conservation, puis retenu que la banque se bornait à évoquer l'hypothèse d'un hameçonnage, sans qu'il soit établi que M. W... avait transmis à un tiers les données confidentielles attachées à son instrument de paiement, la cour d'appel, qui n'était pas tenue de procéder à la recherche, inopérante, invoquée par la troisième branche, a légalement justifié sa décision ;
Et attendu, en second lieu, qu'en retenant que l'utilisation de l'instrument de paiement ou des données personnelles de M. W... ne permettait pas de présumer la négligence grave de ce dernier, sans considération du niveau de sécurité offert par les services de paiement en cause, et en excluant ainsi de mettre à la charge de cet utilisateur la preuve, non moins difficile à rapporter, d'une absence de négligence grave de sa part, la cour d'appel, qui n'a fait qu'appliquer les règles de droit commun relatives à la charge et aux modalités de la preuve, n'a pas placé la banque dans une situation de net désavantage dans la présentation de sa cause par rapport à M. W... et n'a donc pas méconnu le principe de l'égalité des armes ;
D'où il suit que le moyen, inopérant en ses première et quatrième branches, n'est pas fondé pour le surplus ;
PAR CES MOTIFS :
REJETTE le pourvoi ;
Condamne la société Caisse de crédit mutuel de Crépy-en-Valois aux dépens ;
Vu l'article 700 du code de procédure civile, rejette sa demande et la condamne à payer à M. W... la somme de 3 000 euros ;
Ainsi fait et jugé par la Cour de cassation, chambre commerciale, financière et économique, et prononcé par le président en son audience publique du vingt-six juin deux mille dix-neuf.
MOYEN ANNEXE au présent arrêt :
Moyen produit par la SCP Célice, Soltner, Texidor et Périer, avocat aux Conseils, pour la Caisse de crédit mutuel de Crépy-en-Valois.
Il est fait grief à l'arrêt attaqué D'AVOIR condamné la Caisse de Crédit Mutuel de Crépy-en-Valois à payer à Monsieur J... W... la somme de 2.753,56 €, assortie des intérêts au taux légal à compter du 12 juin 2014, date de la mise en demeure ;
AUX MOTIFS PROPRES QUE « 1. Sur la demande en remboursement de M. W... Si, aux termes des articles L. 133-16 et L. 133-17 du code monétaire et financier, il appartient à l'utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d'informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l'instrument de paiement ou des données qui lui sont liées, c'est à ce prestataire qu'il incombe, par application des articles L. 133-19, IV et L. 133-23 du code monétaire et financier, de rapporter la preuve que l'utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n'a pas satisfait intentionnellement ou par négligence grave à ses obligations ; cette preuve ne peut se déduire du seul fait que l'instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisées. La négligence grave de l'utilisateur de services de paiement confine au dol et dénote l'inaptitude de celui-ci dans l'accomplissement de son obligation de préserver la sécurité de ses dispositifs de sécurité personnalisés, de sorte que cette négligence grave est d'une importance telle qu'elle rend impossible le remboursement des sommes débitées à la suite d'opérations de paiement non autorisées par l'utilisateur de services ; il appartient au prestataire de service d'établir par d'autres éléments extrinsèques la preuve d'une négligence grave imputable à l'utilisateur de services. - Sur l'existence du détournement M. W... produit au débat un courrier daté du 13 mai 2014 dans lequel il expose : "Il apparait sur mon relevé de compte que les pirates ont utilisé ma carte bancaire sur les débits suivants : Le 16 avril : débit CB sur internet 201.21 euro + 1332,91 euro. Le 17 avril : débit CB sur internet 732.54 euro + 486.90 euro. Soit un total de 2753.56 euro." M. W... produit ensuite une réédition d'un relevé bancaire pour la période du 7 novembre 2013 au 7 novembre 2014 pour le compte n° [...] dont il est titulaire ; il appert de la page 8 de cette réédition du relevé bancaire que : - le 17 avril 2014, deux opérations intitulées "PAIEMENT CB 1604 SCHIPHOL FLIGHTTIX.DE PAYWEB 12663127" ont entraîné le débit de deux sommes de 201,21 euros et 1 332,91 euros, - le 21 avril 2014, deux opérations intitulées "PAIEMENT CB 1704 PARIS WP DIRECTFERRIE PAYWEB 12663127" ont entraîné le débit de deux sommes de 486,90 euros et 732,54 euros. La cour relève également qu'est mentionné sur cette réédition du relevé bancaire un "e-retrait" intitulé "E-RETRAIT DAB 1604 REF03008A00 CARTE **3127", lequel a été effectué le 16 avril 2014 et a entraîné un débit de 200 euros. M. W... produit enfin au débat des documents de la société SFR desquels il s'évince d'une part que M. W... n'avait "pas de réseau à son domicile, blocage en 2g, cellule umts en statut prévisionnel" et d'autre part que "le client a été piraté donc le client a porté plainte mais du coup a eu du hors forfait. le client veut être remboursée". Il ressort ensuite de la "Liste des mouvements avec soldes progressifs du compte [...] avril 2014, un "E-RETRAIT DAB 1604 REF03008A00" a entraîné un débit de 200 euros, - le 17 avril 2014, deux opérations intitulées "PAIEMENT CB 1604 SCHIPHOL" ont entraîné deux débits de 201,21 euros et 1 332,91 euros, - le 21 avril 2014, deux opérations intitulées "PAIEMENT CB 1704 PARIS" ont entraîné deux débits de 486,90 euros et 732,54 euros. Le document "Gestion monétique et services clients", produit par la Caisse, montre qu'à partir de la carte n° [...] , ont été effectuées : - le 16 avril 2014 à 16h29'27, un "eretrait" d'un montant de 200 euros, étant précisé que l'indicatif du pays est le 250, - le 16 avril 2014 à 16h39'27, une opération d'un montant de 1 332,91 euros, étant précisé que l'indicatif du pays est le 528, - le 16 avril 2014 à 16h59'08, une opération d'un montant de 201,21 euros, étant précisé que l'indicatif du pays est le 528, - le 17 avril 2014 à 04h53'32, une opération d'un montant de 732,54 euros, étant précisé que l'indicatif du pays est le 250, - le 17 avril 2014 à 05h05'54, une opération d'un montant de 486,90 euros, étant précisé que l'indicatif du pays est le 250. Dans ce document "Gestion monétique et services distances", figure également un tableau récapitulatif, lequel indique :
Date
Heure
Montant
Devise
Réseau
Enseigne
localisation
Date règlement
17/04/2014
03:05:44
486,9
EUR2
Domestique
,...)
WP DIREC
FERRIE
PARIS
22/04/
2014
17/04/2014
02:53:23
732,54
EUR2
Domestique
WP
DIRECT
FERRIE
16/04/2014
30:00:00
1332,91
EUR2
MasterCard
FLIGHTTIX.DE
SCHIPHOL RIJK
22/04/2014
16/04/2014
00:00:00
201,21
EUR2
MasterCard
FLIGHTTIX.DE
SCHIPHOL RIJK
17/04/2014
17/04/2014
La Caisse produit aussi au débat un document bancaire intitulé "Récapitulatif de la réponse au guichet", lequel est édité au nom de M. W... avec en référence le numéro de RIB [...] et le numéro de carte [...] ; ce document comporte un tableau indiquant notamment :
Date et heure
Nature
Wontant en
EUR
Réponse
Point de vente
Type de commerce
Présence physique de la carte
Effectué par le client
17/04/2014 à
45:05:54
Achat
486,90 EUR
Accord
WP DIRECT FERRIE 75008 PARIS 8;France
REPRODUCTION D'ENREGISTREMENTS INFORMATIQUES
Non
Non
17/04/2014 à
34:5332
Achat
732,54 EUR
Accord
WP DIRECT FERRIE 75008 PARIS 8 ;France
REPRODUCTION D'ENREGISTREMENTS INFORMATIQUES
Non
Non
16/04/2014 à
16:59:08
Achat
201,21 EUR
Accord
FLIGHTIX.DE SCHIPHOL RIJK ;Pays-Bas
AGENCES DE VOYAGE
Non
Non
16/04/2014 à
16:39:27
Achat
1 332,91 EUR
Accord
FLIGHTIX.DE SCHIPHOL RIJK ;Pays-Bas
AGENCES DE VOYAGE
Non
Non
16/04/2014 à
16:29:27
Achat
200,00 EUR
Accord
Reserv.e-retrait
STRASBOURG
67000, FRANCE
RETRAIT CASH
Non
Non
La cour relève aussi qu'il ressort de ce document bancaire intitulé "Récapitulatif de la réponse au guichet" que le 16 avril 2014 entre "16:25:36" et "16:28:26", trois opérations, qualifiées d'"achat", pour des montants respectifs de 500 euros, 400 euros, et 300 euros et ayant toutes eu pour réponse un refus, ont été réalisées, étant précisé que ces opérations constituaient des "e-retrait". La cour relève ensuite qu'il ressort du document "recherche de transactions" relatif à l'activité de la carte réelle n° [...] que l'obtention d'un numéro virtuel a été faite le 16 avril 2014 à "16:29:27" pour un montant de 200 euros et que l'autorisation a été acceptée chez le commerçant "CCM MULHOUSE ST JOSE2 AVENUE T... BR" le 16 avril 2014 à "18:35:22" pour un montant de 200 euros ; ce document précise encore que les numéros virtuels n'ont pas été délivrés pour les montants de 500, 400, et 300 euros respectivement à "16:25:36", "16:27:10" et "16:28:26" La Caisse produit encore au débat "le dossier de Réclamation / Sinistre Carte", daté du 18 avril 2014, de M. W... comprenant les informations suivantes : - Identification du client : W... J..., - Références bancaires : compte n° [...] et n° carte [...] , - Motif de la réclamation : "le client n'est pas à l'origine des Paiements/ retraits, effectuées en France ou à l'étranger". La Caisse produit enfin au débat la "Lettre de contestation d'opérations « carte bancaire »", datée du 18 avril 2014, de M. W... dans laquelle celui-ci déclare contester les paiements ou retraits suivants : - 16 avril 2014 : "e-retrait" DAB 1604 Ref 03008A00 pour un montant de 200 euros, - 17 avril 2014 : paiement CB 1604 Schiphol pour un montant de 201,21 euros, - 17 avril 2014 : paiement CB 1604 Schiphol pour un montant de 1 332,91 euros, - 18 avril 2014 : "eretrait" 16/04 pour un montant de 2 euros. Il en résulte que, contrairement à ce que soutient la Caisse, M. W... a initialement contesté le "e-retrait" de 200 euros effectué le 16 avril 2014 à 16h29 et 27 secondes ; la circonstance que celui-ci ne sollicite pas le remboursement de cette somme ne démontre pas à elle seule que M. W... est à l'origine des opérations litigieuses, étant de surcroît rappelé que : - d'une part, le "e-retrait" litigieux a été réalisé à 16h29 et 27 secondes pour un montant de 200 euros, la somme ayant été retirée à Mulhouse à 18h35 et 22 secondes, - d'autre part, trois demandes de "e-retrait" ont été préalablement effectués à 16h25 et 36 secondes, 16h27 et 10 secondes et 16h28 et 26 secondes pour des montants respectifs de 500, 400 et 300 euros et que ces demandes ont été refusées. Il en résulte ensuite que les cartes "Payweb" créées le 16 avril 2014, à partir de la carte de crédit n° [...] ont permis d'effectuer, le : - 16 avril 2014, à 16h39 et 27 secondes et 16h59 et 8 secondes deux achats auprès de l'enseigne FLIGHTTIX.DE à SCHIPHOL RIJK au Pays-Bas, pour des montants de 1 332,91 euros et 201,21 euros, - le 17 avril 2014, à 4h53 et 32 secondes et 5h05 et 54 secondes deux achats auprès de WP DIRECTFERRIE à Paris 8 en France, pour des montants de 732,54 euros et 486,90 euros. En l'état de ces constatations et énonciations, les circonstances entourant la création et l'utilisation des cartes "Payweb" et du système "E-retrait" générés à partir de la carte de crédit n° [...] démontrent suffisamment que les opérations litigieuses réalisées les 16 et 17 avril 2014 ont nécessairement été effectuées à l'insu de M. W... par le biais d'un détournement frauduleux par un tiers de ses instruments de paiement ou des données qui y sont attachées, de sorte que ces opérations doivent être regardées comme n'ayant pas été autorisées par le payeur au sens des dispositions de l'article L. 133-18 du code monétaire et financier sans que les exigences d'un procès équitable et de loyauté dans l'administration de la preuve aient été méconnues. A titre surabondant, la cour observe que la circonstance que la plainte déposée par M. W... le 7 mai 2014 ait été classée sans suite n'est pas suffisante en soi pour démontrer l'absence de réalité de la fraude ou que les opérations litigieuses réalisées les 16 et 17 avril 2014 n'ont pas été effectuées à l'insu de M. W.... - Sur la divulgation des données personnelles par M. W... En premier lieu, il ressort du document "Traçage des différentes opérations et interventions" que M. W... a formé opposition sur sa carte bancaire n° [...] , le 17 avril 2014 à 12h20, étant précisé que le motif de l'opposition indique "perte sans code". Il ressort ensuite du "Dossier de Réclamation / Sinistre Carte" et de la "Lettre de contestation d'opérations « carte bancaire »", datés du 18 avril 2014 et produit au débat par la Caisse, que M. W... a formulé une réclamation au motif qu'il n'était pas à l'origine des paiements et des retraits. Il s'ensuit que M. W... a réagi rapidement au détournement de ses données en faisant opposition à la carte de crédit n° [...] , étant surabondamment précisé que M. W... a déposé plainte le 7 mai 2014. En second lieu, la cour observe, au vu des pièces versées au débat, que les opérations de paiement contestées ont été authentifiées, dûment enregistrées et comptabilisées, et qu'elles n'ont pas été affectées par une défaillance technique ou autre, tel un piratage. La cour observe aussi que la circonstance alléguée par la Caisse que M. W... ne conteste pas le "e-retrait" de 200 euros, effectué concomitamment aux "payweb cards" litigieuses et après trois tentatives infructueuses d'effectuer des "eretraits"
pour des montants respectifs de 500, 400 et 300 euros, ne suffit pas en tant que telle à prouver que les quatre opérations litigieuses, décrites dans les documents "Gestion monétique et services distances" et "Récapitulatif de la réponse au guichet" produits au débat par la Caisse, et qui ont été réalisées le 16 avril 2014, à 16h39 et 27 secondes et 16h59 et 8 secondes et le 17 avril 2014, à 4h53 et 32 secondes et 5h05 et 54 secondes, ont été autorisées par M. W... ou que celui-ci n'a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière. La cour observe au surplus qu'il ressort de la "Lettre de contestation d'opérations « carte bancaire »" datée du 18 avril 2014, produite au débat par la Caisse, que W... a initialement contesté le "e-retrait" DAB 1604 Ref 03008A00 fait le 16 avril 2014 pour un montant de 200 euros. La cour observe ensuite que selon le document bancaire "Activité de la carte réelle [...] ", produit au débat par la Caisse, que des paiements ont été reçus, alors que l'opposition sur la carte bancaire n° [...] a été faite le 17 avril 2014 à 12h20 par M. W... pour une perte sans code, étant précisé que lesdits paiements ont été effectués les : - 21 avril 2014 à 10h11 et 4 secondes par le commerçant WP DIRECTFERRIE 75008 PARIS 8 250, - 21 avril 2014 à 10h17 et 27 secondes par le commerçant WP DIRECTFERRIE 75008 PARIS 8 250. Il s'ensuit que ces paiements postérieurs à la mise en opposition de la carte bancaire par M. W... ne sont pas particulièrement cohérents avec la thèse de la Caisse sur la circonstance, alléguée mais non démontrée par celle-ci, que M. W... aurait nécessairement et volontairement communiqué ses informations personnelles et confidentielles à un tiers par négligence grave ou par manquement intentionnel à ses obligations lui incombant en la matière. La cour observe également qu'il résulte du dépôt de plainte de M. W..., corroboré par les documents de la société SFR qu'il produit aux débats, que la carte SIM du téléphone portable de M. W... a été piratée. La cour observe encore que dans ses écritures, la Caisse ne fait qu'évoquer au conditionnel la thèse du "phishing" dont M. W... aurait été la victime malgré l'information qu'elle fait de cette pratique auprès de ses clients. La Caisse ne peut enfin pas utilement se contenter d'exposer que M. W... ne donne aucune explication rationnelle sur la survenance des opérations qu'il conteste, et notamment sur le contexte du détournement ou les circonstances de la création de la carte de paiement "payweb", étant rappelé que la Caisse est tenue de prouver, sans que soient méconnues les exigences d'un procès équitable et de la loyauté dans l'administration de la preuve, l'implication à un titre ou à un autre de M. W... dans les opérations litigieuses pour caractériser sa négligence fautive ou son manquement intentionnel, voire son action frauduleuse. Au surplus, il n'est nullement établi par la Caisse que M. W... a transmis à un tiers ses identifiants, son code confidentiel personnel, ses clés confidentielles ou ses coordonnées personnelles. En l'état de ces énonciations et constatations, la Caisse est défaillante dans l'établissement du manquement intentionnel ou de la négligence grave alléguée à l'encontre de M. W.... En conséquence, le jugement attaqué sera confirmé en ce qu'il a condamné la Caisse à payer M. W... la somme de 2 753,56 euros, assortie des intérêts au taux légal à compter du 12 juin 2014, date de la mise en demeure, et étant précisé que cette somme de 2 753,56 euros correspond au montant de quatre opérations litigieuses réalisées au moyen du système "Payweb card" » ;
ET AUX MOTIFS, A LES SUPPOSER ADOPTES, QU' « En l'espèce, il est constant que, le 16 avril 2014, Monsieur J... W... a été averti par son agence bancaire de l'utilisation frauduleuse de sa carte bancaire pour des opérations de paiement en ligne et qu'il a formé opposition à l'usage de ladite carte dès le lendemain. Pour s'opposer à sa demande de remboursement du montant des opérations réalisées avec cette carte avant l'opposition, la CAISSE DE CRÉDIT MUTUEL DE CREPY EN VALOIS évoque la faute de son client en application des dispositions de l'article L133-19 du Code Monétaire et Financier aux termes duquel le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées s'il n'a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L133-16 et L133-17 de prendre toute mesure pour préserver la sécurité de ses dispositifs de sécurité personnalisés et de faire opposition sans tarder en cas de vol. Il n'est pas contesté qu'en l'espèce, les opérations litigieuses d'achat n'ont pu être réalisées par leur auteur qu'en ayant connaissance des éléments d'identification confidentiels du client de la banque : identifiant et mot de passe pour l'accès au site de la banque en ligne, code confidentiel parmi les 64 codes délivrés sur une carte de clefs personnelles donnée par la banque à son client, ainsi que le numéro de téléphone portable de celui-ci afin de recevoir les codes de confirmation par SMS. Monsieur W..., qui allègue que son téléphone portable aurait été désactivé au moment des piratages, les pirates ayant réussi à obtenir une nouvelle carte SIM avec son numéro auprès de son opérateur téléphonique, n'en rapporte pas la preuve. Il n'est pas plus en mesure d'expliquer comment son identifiant, son code d'accès au site de banque en ligne, ses codes confidentiels figurant sur sa carte de clés personnelles ont pu parvenir entre les mains de tierces personnes, et il prétend ne pas avoir répondu à un mail de phishing, ce dont la banque ne peut apporter la preuve du contraire. Cependant, de son côté, la banque ne rapporte pas la preuve de ce que son système de paiement en ligne est absolument sécurisé et de ce que les données confidentielles de ses clients n'ont pu être rendues accessibles à des personnes mal intentionnées via une faille de sécurité de son système informatique, dont l'hypothèse est évoquée par les articles de journaux versés aux débats, étant précisé qu'un nombre important de clients du Crédit mutuel semble concerné. Or, au sens des textes précités, le titulaire de la carte supporte la perte subie s'il lui est imputable une négligence d'une extrême gravité confinant au dol et dénotant une inaptitude de sa part à l'accomplissement de ses obligations contractuelles, et il est de principe qu'il appartient à l'émetteur de la carte, qui se prévaut d'une telle faute d'en rapporter la preuve, la circonstance que la carte ait été utilisée par un tiers avec l'utilisation d'identifiants confidentiels étant, à elle seule, insusceptible de constituer cette preuve. Il appartient donc à la banque de rapporter la preuve que seule la négligence grave de son client peut être à l'origine des paiements frauduleux, ce qu'elle ne fait pas en l'espèce. En conséquence, il convient de condamner la CAISSE de CREDIT MUTUEL DE CREPY en VALOIS à rembourser à Monsieur J... W... les sommes indûment prélevées sur son compte bancaire, à savoir la somme de 2.753,56 euros » ;
1°) ALORS QUE l'utilisateur d'un service de paiement qui agit avec une négligence grave est tenu de supporter l'intégralité de la perte subie ; que la négligence grave s'entend de la carence de l'utilisateur du service de paiement à prendre toute mesure raisonnable pour assurer la confidentialité de ses données personnelles ; qu'en jugeant que la négligence grave de l'utilisateur de services de paiement « confin[ait] au dol et dénot[ait] l'inaptitude de celui-ci dans l'accomplissement de son obligation de préserver la sécurité de ses dispositifs de sécurité personnalisés, de sorte que cette négligence grave [était] d'une importance telle qu'elle [rendait] impossible le remboursement des sommes débitées à la suite d'opérations de paiement non autorisées par l'utilisateur de services », et en appréciant l'existence d'une négligence grave de la part de Monsieur W... au regard de cette définition, la cour d'appel a violé les articles L. 133-16, L. 133-19 IV et L. 133-23 du code monétaire et financier ;
2°) ALORS QUE si, selon l'article L.133-23 du code monétaire et financier, l'utilisation de l'instrument de paiement telle qu'enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l'opération a été autorisée par le payeur ou que celui-ci n'a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière, elle peut suffire à rapporter une telle preuve, en fonction des circonstances particulières du litige qu'il incombe aux juges du fond d'examiner ; que pour condamner la Caisse de Crédit Mutuel de Crépy-en-Valois à rembourser à Monsieur W... le montant d'opérations réalisées au débit de son compte bancaire, la cour d'appel, après avoir constaté que la banque rapportait la preuve que les opérations de paiement contestées avaient « été authentifiées, dûment enregistrées et comptabilisées, et qu'elles n'[avaient] pas été affectées par une défaillance technique ou autre, tel un piratage » (p. 7, avant-dernier §) a néanmoins considéré que les utilisations successives des données attachées à la carte de Monsieur W... ne suffisaient pas à prouver que les opérations litigieuses avaient été autorisées par ce dernier, ou qu'il n'aurait pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière, et a jugé que la banque, qui se bornait à faire état de l'hypothèse d'un « phishing », était défaillante dans l'administration de la preuve de la négligence grave qu'aurait commise Monsieur W... ; qu'en statuant de la sorte, quand l'utilisation d'un service de paiement sans défaillance technique est susceptible de démontrer la commission par l'utilisateur de ce service d'une négligence grave dans la conservation de ses données, ce qu'il lui incombait de rechercher au regard des caractéristiques en matière de sécurité des services de paiement employés, la cour d'appel a violé les articles L. 133-16, L. 133-19 IV et L. 133-23 du code monétaire et financier ;
3°) ALORS SUBSIDIAIREMENT QUE l'utilisateur d'un service de paiement qui agit avec une négligence grave est tenu de supporter l'intégralité de la perte subie ; que l'existence d'une négligence grave doit être appréciée au regard de l'ensemble des circonstances de la cause, et peut être prouvée par tous moyens, en particulier eu égard aux caractéristiques de l'instrument de paiement en termes de fiabilité et de sécurité ; qu'en s'abstenant de rechercher, comme elle y était invitée (conclusions d'appel de la banque, not. p. 3-6 ; p. 10-13) si la circonstance que les opérations de paiement litigieuses avaient été effectuées via le système de paiement sécurisé payweb card, lequel nécessitait pour fonctionner non seulement que l'utilisateur accède à son espace personnel en renseignant son identifiant et son mot de passe, mais également une clef personnelle figurant sur une carte établie sur support papier et remise par la banque au client, ainsi qu'un code de confirmation adressé sur l'adresse email ou le téléphone portable de ce dernier, ne permettait pas de démontrer que Monsieur W... avait nécessairement été négligent dans la conservation des données confidentielles permettant l'utilisation de ces systèmes de paiement hautement sécurisés, la cour d'appel a privé sa décision de base légale au regard des articles L. 133-15, L. 133-16, L. 133-19 IV et L. 133-23 du code monétaire et financier ;
4°) ALORS QU' en retenant que l'existence de paiements postérieurs à l'opposition formée par Monsieur W... sur sa carte bancaire « [n'était] pas particulièrement cohérent[e] avec la thèse de la Caisse sur la circonstance, alléguée mais non démontrée par celle-ci, que M. W... aurait nécessairement et volontairement communiqué ses informations personnelles et confidentielles à un tiers par négligence grave (
) », la cour d'appel, qui s'est fondée sur une circonstance inopérante dès lors qu'il résultait du rapport d'activité de la carte de Monsieur W... sur lequel elle s'est fondée (arrêt, p. 8) que ces paiements avaient pour origine la création de cartes payweb le 16 avril 2014, soit avant l'opposition formée par Monsieur W... (arrêt attaqué, p. 7, 4ème §), a violé les articles L. 133-16, L. 133-19 IV et L. 133-23 du code monétaire et financier, ensemble l'article 1134 du code civil (dans sa version applicable en l'espèce) ;
5°) ALORS, EN OUTRE, QUE le principe de l'égalité des armes implique que chaque partie ait la possibilité de faire valoir ses prétentions et moyens dans des conditions qui ne la placent pas dans une situation de net désavantage par rapport à son contradicteur ; qu'en jugeant qu'il incombait à la Caisse de Crédit Mutuel de Crépy-en-Valois de prouver « l'implication à un titre ou à un autre de M. W... dans les opérations litigieuses pour caractériser sa négligence fautive ou son manquement intentionnel, voire son action frauduleuse », et qu'elle ne pouvait invoquer l'article 6 paragraphe 1er de la Convention européenne des droits de l'Homme sur la nécessité d'un procès équitable quand le prestataire de service de paiement ne dispose d'aucun autre moyen de preuve effectif pour démontrer la négligence grave qu'aurait commise son client, la cour d'appel a méconnu les exigences de l'article 6 § 1er de la Convention Européenne des Droits de l'Homme, ensemble les articles L. 133-15, L. 133-16, L. 133-19 IV et L. 133-23 du code monétaire et financier, ensemble l'article 1315 du code civil (nouvel article 1353 du code civil).