L'auteur, contact et Informations légales ISSN
Accueil
Envoyer à un ami
Version imprimable
Authentification forte d'une opération de paiement : cassation d'un jugement du TJ de Clermont-Ferrand (Cass. com., 30 août 2023, 22-11.707, publié).
Le Crédit agricole avait obtenu un jugement favorable du Tribunal judiciaire de Clermont-Ferrand qui a été cassé par la Cour de cassation. Le client avait communiqué un code confidentiel à un escroc qui avait ensuite pu débiter son compte : c'est souvent la même histoire. La chambre commerciale reproche au juge du fond une motivation lacunaire pour mettre l'opération à la charge du client et donc exonérer l'établissement de toute responsabilité.
Il faut convenir que le droit des services de paiement est difficile à manier ― son nom même est inconnu, on parle encore de "droit bancaire" pour viser la réalité neuve qu'il constitue. Or, nombre de professionnels opèrent des services de paiement, en qualité de prestataires de services de paiement (PSP), sans être établissement de crédit ni même banque.
L'ancien logiciel juridique et ses mots d'hier produisent des raisonnements d'hier ― et personne n'y échappe*. Le juge du droit y renonce parfois plus facilement (aux mots d'hier) que les analystes ou praticiens. Il faut dire qu'il agit en toute rigueur, avec des faits précis, des règles précises (celles invoquées) et une menace précise : recevoir une leçon du juge européen (la CJUE).
Le juge de première instance avait spécialement retenu, pour motivation, le défaut de vigilance du client, laquelle, il est vrai, est une obligation positive et légale du droit des services de paiement. Le débit subi lui fut donc mis sur le dos (on se comprend).
Il faut toujours répondre aux moyens que contiennent les conclusions ― ou l'assignation qui vaut conclusions. En l'espèce, le juge de cassation reproche au tribunal de ne pas avoir motivé sa décision en répondant à une prétention du client. Il notait, pour sa cause, que la banque n'avait pas respecté l'obligation faite à tout prestataire de paiement de n'opérer, à distance, et sauf exceptions autorisées, qu'après une "authentification forte" *.
Ce dernier "machin" remplace le code secret de la puce, alors inutilisable, et la vieille signature manuscrite qui était portée naguère sur les "facturettes" du commerçant. Au feu la signature (dont la signature électronique...) et vive l'authentification... Hier ce signe électronique ou manuscrit emportait consentement, aujourd'hui, après avoir donné 2 éléments d'authentification sur 3, une cas permettra de "valider" la paiement, et ce mot et clic vaudront consentement au paiement (montant en euros) proposé.
La récente histoire du client bousculé devant le DAB, après avoir composé son code, mais non encore le montant, apprend amèrement aux PSP la subtilité du droit des services de paiement qui, pour un consentement parfait, peut se jouer sur le trottoir (Cass. com., 30 novembre 2022, n° 21-17.614, publié). Le distributeur automatique de billet n'a jamais été aussi généreux !
Dans l'affaire de Clermont, la banque, pardon, le PSP, se voit renvoyé à sa pratique. Soyons prudent, le Crédit agricole a peut-être quelque chose à dire de sérieux et le dira au juge qui rejugera. Sinon, en pur droit, la chambre commerciale fait à nouveau montre d'une sobre clairvoyance. Voyez : donner un code c'est une ânerie que nombre de clients commettent, mais si le processus lourd de l'authentification forte est respecté, la bévue n'est-elle pas sans conséquence puisque, peut-on penser, le client ne voudra pas consentir au débit de son compte ?!
Le machin appelé "authentification forte" n'est qu'une construction techno (technocratique et technologique) pour protéger le sacro-saint CONSENTEMENT que souligne le droit des services de paiements. Hier, la sainte signature de effets de commerce, la forme, le formalisme ; aujourd'hui, le fond, le consentement !
La pyramide des services de paiement (voir Banque & Droit, n° 206) est confortée arrêt après arrêt. L'avenir des services de paiement est dans le passé récent, à savoir le droit écrit depuis près de 15 ans dans le Code monétaire et financier et si mal compris car un peu refoulé par conservatisme.
La doctrine ne s'avouera obligée à un changement radical que le jour où, appliquant la définition de droit européen, elle devra reconnaître que les instruments de paiement voire titres de paiement ne sont que des procédés convenus entre le client et l'établissement, c'est-à-dire plus des contrats que des titres.
Le chemin est encore long.
Il donnera à de nombreux pratiquants du droit bancaire de rater les nombreuses marches du droit des services de paiement.
Des marches ?
Sans doute celles de la pyramide des services de paiement.
En fait de chemin, c'est d'un raide escalier dont il s'agit, peut-être celui de la pyramide du numérique...
____________________
* Il en coûte à la raison quand, le vocabulaire juridique légal ayant changé, on ne veut pas le changer. Ce qui est le cas lorsque, déjà, on ne veut pas changer le nom de la matière étudiée... Les juristes cachent sous l'amour des traditions celui des vieilles lunes.
** Sur ce procédé
Il faut convenir que le droit des services de paiement est difficile à manier ― son nom même est inconnu, on parle encore de "droit bancaire" pour viser la réalité neuve qu'il constitue. Or, nombre de professionnels opèrent des services de paiement, en qualité de prestataires de services de paiement (PSP), sans être établissement de crédit ni même banque.
L'ancien logiciel juridique et ses mots d'hier produisent des raisonnements d'hier ― et personne n'y échappe*. Le juge du droit y renonce parfois plus facilement (aux mots d'hier) que les analystes ou praticiens. Il faut dire qu'il agit en toute rigueur, avec des faits précis, des règles précises (celles invoquées) et une menace précise : recevoir une leçon du juge européen (la CJUE).
Le juge de première instance avait spécialement retenu, pour motivation, le défaut de vigilance du client, laquelle, il est vrai, est une obligation positive et légale du droit des services de paiement. Le débit subi lui fut donc mis sur le dos (on se comprend).
Il faut toujours répondre aux moyens que contiennent les conclusions ― ou l'assignation qui vaut conclusions. En l'espèce, le juge de cassation reproche au tribunal de ne pas avoir motivé sa décision en répondant à une prétention du client. Il notait, pour sa cause, que la banque n'avait pas respecté l'obligation faite à tout prestataire de paiement de n'opérer, à distance, et sauf exceptions autorisées, qu'après une "authentification forte" *.
Ce dernier "machin" remplace le code secret de la puce, alors inutilisable, et la vieille signature manuscrite qui était portée naguère sur les "facturettes" du commerçant. Au feu la signature (dont la signature électronique...) et vive l'authentification... Hier ce signe électronique ou manuscrit emportait consentement, aujourd'hui, après avoir donné 2 éléments d'authentification sur 3, une cas permettra de "valider" la paiement, et ce mot et clic vaudront consentement au paiement (montant en euros) proposé.
La récente histoire du client bousculé devant le DAB, après avoir composé son code, mais non encore le montant, apprend amèrement aux PSP la subtilité du droit des services de paiement qui, pour un consentement parfait, peut se jouer sur le trottoir (Cass. com., 30 novembre 2022, n° 21-17.614, publié). Le distributeur automatique de billet n'a jamais été aussi généreux !
Dans l'affaire de Clermont, la banque, pardon, le PSP, se voit renvoyé à sa pratique. Soyons prudent, le Crédit agricole a peut-être quelque chose à dire de sérieux et le dira au juge qui rejugera. Sinon, en pur droit, la chambre commerciale fait à nouveau montre d'une sobre clairvoyance. Voyez : donner un code c'est une ânerie que nombre de clients commettent, mais si le processus lourd de l'authentification forte est respecté, la bévue n'est-elle pas sans conséquence puisque, peut-on penser, le client ne voudra pas consentir au débit de son compte ?!
Le machin appelé "authentification forte" n'est qu'une construction techno (technocratique et technologique) pour protéger le sacro-saint CONSENTEMENT que souligne le droit des services de paiements. Hier, la sainte signature de effets de commerce, la forme, le formalisme ; aujourd'hui, le fond, le consentement !
La pyramide des services de paiement (voir Banque & Droit, n° 206) est confortée arrêt après arrêt. L'avenir des services de paiement est dans le passé récent, à savoir le droit écrit depuis près de 15 ans dans le Code monétaire et financier et si mal compris car un peu refoulé par conservatisme.
La doctrine ne s'avouera obligée à un changement radical que le jour où, appliquant la définition de droit européen, elle devra reconnaître que les instruments de paiement voire titres de paiement ne sont que des procédés convenus entre le client et l'établissement, c'est-à-dire plus des contrats que des titres.
Le chemin est encore long.
Il donnera à de nombreux pratiquants du droit bancaire de rater les nombreuses marches du droit des services de paiement.
Des marches ?
Sans doute celles de la pyramide des services de paiement.
En fait de chemin, c'est d'un raide escalier dont il s'agit, peut-être celui de la pyramide du numérique...
____________________
* Il en coûte à la raison quand, le vocabulaire juridique légal ayant changé, on ne veut pas le changer. Ce qui est le cas lorsque, déjà, on ne veut pas changer le nom de la matière étudiée... Les juristes cachent sous l'amour des traditions celui des vieilles lunes.
** Sur ce procédé
ARRÊT DE LA COUR DE CASSATION, CHAMBRE COMMERCIALE, FINANCIÈRE ET ÉCONOMIQUE, DU 30 AOÛT 2023
M. [H] [X], domicilié [Adresse 1], a formé le pourvoi n° E 22-11.707 contre le jugement rendu le 13 janvier 2022 par le tribunal judiciaire de Clermont-Ferrand, dans le litige l'opposant à la société Caisse régionale de crédit agricole mutuel de Centre France (CACF), dont le siège est [Adresse 2], défenderesse à la cassation.
Le demandeur invoque, à l'appui de son pourvoi, deux moyens de cassation.
Le dossier a été communiqué au procureur général.
Sur le rapport de M. Boutié, conseiller référendaire, les observations de Me Bardoul, avocat de M. [X], de la SCP Yves et Blaise Capron, avocat de la société Caisse régionale de crédit agricole mutuel de Centre France, et l'avis de Mme Guinamant, avocat général référendaire, après débats en l'audience publique du 31 mai 2023 où étaient présents M. Vigneau, président, M. Boutié, conseiller référendaire rapporteur, M. Mollard, conseiller doyen, et Mme Fornarelli, greffier de chambre,
la chambre commerciale, financière et économique de la Cour de cassation, composée des président et conseillers précités, après en avoir délibéré conformément à la loi, a rendu le présent arrêt ;
Faits et procédure
1. Selon le jugement attaqué (Clermont-Ferrand, 13 janvier 2022), rendu en dernier ressort, soutenant qu'en réponse à un appel téléphonique et à un message, il avait communiqué à un tiers, qu'il pensait être un employé de la société Caisse régionale de crédit agricole mutuel Centre France (la banque), auprès de laquelle il avait ouvert un compte, le code à six chiffres, dénommé « 3D Secure », destiné à valider les paiements par internet à partir de ce compte et qu'à la suite de cette communication, un tel paiement, non réalisé par lui, avait été effectué le 27 janvier 2020, M. [X] a demandé à la banque de lui rembourser la somme qui avait été prélevée à ce titre et de réparer son préjudice.
2. Faisant valoir que M. [X] avait commis une négligence grave en communiquant volontairement un code de sécurité validant une opération financière à une personne extérieure, la banque s'est opposée à sa demande.
Examen du moyen
Sur le premier moyen
Enoncé du moyen
3. M. [X] fait grief au jugement attaqué de rejeter l'intégralité de ses demandes, fins et conclusions, alors « que sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si l'opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement n'exige l'authentification forte prévue à l'article L. 133-44 du code monétaire et financier ; qu'en l'absence de respect de l'exigence d'authentification forte prévue à l'article L. 133-44 susmentionné, le prestataire de services de paiement ne peut donc opposer au payeur, pour refuser de l'indemniser d'une opération non autorisée, qu'il n'a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17 du code monétaire et financier ; qu'en déboutant M. [X] de sa demande de remboursement aux motifs qu'il avait commis une négligence grave, sans rechercher si, comme le soutenait le requérant, l'opération de paiement litigieuse du 27 janvier 2020 avait pu être exécutée sans que la banque ait exigé l'authentification forte prévue à l'article L. 133-44 susmentionné de sorte que la banque ne pouvait alors se prévaloir d'une négligence grave de son client, le tribunal a privé sa décision de base légale au regard de l'article L. 133-19 du code monétaire et financier, dans sa rédaction issue de l'ordonnance n° 2017-1252 du 9 août 2017, et de l'article L. 133-44 du code de monétaire et financier, dans sa rédaction issue de l'ordonnance n° 2017-1252 du 9 août 2017, entrée en vigueur le 14 septembre 2019, dix-huit mois après l'entrée en vigueur de l'acte délégué adopté en vertu de l'article 98.1 de la directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015. »
Réponse de la Cour
Vu les articles L. 133-19, V, et L. 133-44 du code monétaire et financier dans leur rédaction issue de l'ordonnance n° 2017-1252 du 9 août 2017 :
4. Il ressort du premier de ces textes que, sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si l'opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement du payeur n'exige une authentification forte du payeur prévue par le second de ces textes.
5. Il résulte de l'article 34, VIII, 3°, de l'ordonnance n° 2017-1252 du 9 août 2017, que le second, auquel renvoie le premier, est entré en vigueur le 14 septembre 2019, dix-huit mois après l'entrée en vigueur du règlement délégué (UE) 2018/389 de la Commission du 27 novembre 2017 complétant la directive (UE) 2015/2366 par des normes techniques de réglementation relatives à l'authentification forte du client et à des normes ouvertes communes et sécurisées de communication.
6. Pour rejeter la demande de M. [X], le jugement retient qu'il a commis une négligence grave en faisant confiance à une personne qu'il ne connaissait pas et qui lui racontait une histoire assez peu crédible.
7. En se déterminant ainsi, sans rechercher, comme il lui incombait, si l'opération de paiement litigieuse avait été exécutée sans que la banque exige l'authentification forte du payeur, la cour d'appel n'a pas donné de base légale à sa décision.
PAR CES MOTIFS, sans qu'il y ait lieu de statuer sur les autres griefs, la Cour :
CASSE ET ANNULE, en toutes ses dispositions, le jugement rendu le 13 janvier 2022, entre les parties, par le tribunal judiciaire de Clermont-Ferrand ;
Remet l'affaire et les parties dans l'état où elles se trouvaient avant ce jugement et les renvoie devant le tribunal judiciaire de Clermont-Ferrand, autrement composé ;
Condamne la société Caisse régionale de crédit agricole mutuel Centre France aux dépens ;
M. [H] [X], domicilié [Adresse 1], a formé le pourvoi n° E 22-11.707 contre le jugement rendu le 13 janvier 2022 par le tribunal judiciaire de Clermont-Ferrand, dans le litige l'opposant à la société Caisse régionale de crédit agricole mutuel de Centre France (CACF), dont le siège est [Adresse 2], défenderesse à la cassation.
Le demandeur invoque, à l'appui de son pourvoi, deux moyens de cassation.
Le dossier a été communiqué au procureur général.
Sur le rapport de M. Boutié, conseiller référendaire, les observations de Me Bardoul, avocat de M. [X], de la SCP Yves et Blaise Capron, avocat de la société Caisse régionale de crédit agricole mutuel de Centre France, et l'avis de Mme Guinamant, avocat général référendaire, après débats en l'audience publique du 31 mai 2023 où étaient présents M. Vigneau, président, M. Boutié, conseiller référendaire rapporteur, M. Mollard, conseiller doyen, et Mme Fornarelli, greffier de chambre,
la chambre commerciale, financière et économique de la Cour de cassation, composée des président et conseillers précités, après en avoir délibéré conformément à la loi, a rendu le présent arrêt ;
Faits et procédure
1. Selon le jugement attaqué (Clermont-Ferrand, 13 janvier 2022), rendu en dernier ressort, soutenant qu'en réponse à un appel téléphonique et à un message, il avait communiqué à un tiers, qu'il pensait être un employé de la société Caisse régionale de crédit agricole mutuel Centre France (la banque), auprès de laquelle il avait ouvert un compte, le code à six chiffres, dénommé « 3D Secure », destiné à valider les paiements par internet à partir de ce compte et qu'à la suite de cette communication, un tel paiement, non réalisé par lui, avait été effectué le 27 janvier 2020, M. [X] a demandé à la banque de lui rembourser la somme qui avait été prélevée à ce titre et de réparer son préjudice.
2. Faisant valoir que M. [X] avait commis une négligence grave en communiquant volontairement un code de sécurité validant une opération financière à une personne extérieure, la banque s'est opposée à sa demande.
Examen du moyen
Sur le premier moyen
Enoncé du moyen
3. M. [X] fait grief au jugement attaqué de rejeter l'intégralité de ses demandes, fins et conclusions, alors « que sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si l'opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement n'exige l'authentification forte prévue à l'article L. 133-44 du code monétaire et financier ; qu'en l'absence de respect de l'exigence d'authentification forte prévue à l'article L. 133-44 susmentionné, le prestataire de services de paiement ne peut donc opposer au payeur, pour refuser de l'indemniser d'une opération non autorisée, qu'il n'a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17 du code monétaire et financier ; qu'en déboutant M. [X] de sa demande de remboursement aux motifs qu'il avait commis une négligence grave, sans rechercher si, comme le soutenait le requérant, l'opération de paiement litigieuse du 27 janvier 2020 avait pu être exécutée sans que la banque ait exigé l'authentification forte prévue à l'article L. 133-44 susmentionné de sorte que la banque ne pouvait alors se prévaloir d'une négligence grave de son client, le tribunal a privé sa décision de base légale au regard de l'article L. 133-19 du code monétaire et financier, dans sa rédaction issue de l'ordonnance n° 2017-1252 du 9 août 2017, et de l'article L. 133-44 du code de monétaire et financier, dans sa rédaction issue de l'ordonnance n° 2017-1252 du 9 août 2017, entrée en vigueur le 14 septembre 2019, dix-huit mois après l'entrée en vigueur de l'acte délégué adopté en vertu de l'article 98.1 de la directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015. »
Réponse de la Cour
Vu les articles L. 133-19, V, et L. 133-44 du code monétaire et financier dans leur rédaction issue de l'ordonnance n° 2017-1252 du 9 août 2017 :
4. Il ressort du premier de ces textes que, sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si l'opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement du payeur n'exige une authentification forte du payeur prévue par le second de ces textes.
5. Il résulte de l'article 34, VIII, 3°, de l'ordonnance n° 2017-1252 du 9 août 2017, que le second, auquel renvoie le premier, est entré en vigueur le 14 septembre 2019, dix-huit mois après l'entrée en vigueur du règlement délégué (UE) 2018/389 de la Commission du 27 novembre 2017 complétant la directive (UE) 2015/2366 par des normes techniques de réglementation relatives à l'authentification forte du client et à des normes ouvertes communes et sécurisées de communication.
6. Pour rejeter la demande de M. [X], le jugement retient qu'il a commis une négligence grave en faisant confiance à une personne qu'il ne connaissait pas et qui lui racontait une histoire assez peu crédible.
7. En se déterminant ainsi, sans rechercher, comme il lui incombait, si l'opération de paiement litigieuse avait été exécutée sans que la banque exige l'authentification forte du payeur, la cour d'appel n'a pas donné de base légale à sa décision.
PAR CES MOTIFS, sans qu'il y ait lieu de statuer sur les autres griefs, la Cour :
CASSE ET ANNULE, en toutes ses dispositions, le jugement rendu le 13 janvier 2022, entre les parties, par le tribunal judiciaire de Clermont-Ferrand ;
Remet l'affaire et les parties dans l'état où elles se trouvaient avant ce jugement et les renvoie devant le tribunal judiciaire de Clermont-Ferrand, autrement composé ;
Condamne la société Caisse régionale de crédit agricole mutuel Centre France aux dépens ;
Augmenter la taille du texte
Diminuer la taille du texte
Partager
Numérique (Le mot du droit, Revue droit & littérature)