Responsabilité des prestataires de service de paiement dans l'exécution d'un ordre de paiement
1. – Arrêt de la Cour de cassation, chambre commerciale du 15/01/2015, n° 23-15437 – (voir également l’arrêt 23-13579)
1.1 – Les faits
Des époux sont titulaires d’un compte joint ouvert dans les livres d’un établissement bancaire, ils réalisent depuis ce compte deux virements le 14 août 2019, pour financer l’achat d’un véhicule automobile. Afin de procéder à ces opérations, l’épouse a communiqué, à la banque, par voie électronique, l’IBAN fourni par le vendeur. Mais le 21 août 2019, les fonds ne sont toujours pas parvenus sur le compte dudit vendeur.
Les époux acquéreurs se rendent compte qu’un tiers s’est immiscé sur leur messagerie pour substituer à l’IBAN de leur cocontractant son propre IBAN. La banque refuse de restituer les fonds de sorte que ses clients saisissent le tribunal sur le fondement des dispositions du Code monétaire et financier.
En cause d’appel, les juges du fond condamnent la banque en précisant que l’article L. 133-21 du Code monétaire et financier ne dispense pas le banquier de son obligation de vigilance. Selon la cour d’appel, la banque aurait dû vérifier la régularité de l’opération en contrôlant l’absence d’anomalie apparente.
1.2. – Motivation de l’arrêt
» Il s’ensuit que, dès lors que la responsabilité d’un prestataire de services de paiement est recherchée en raison d’une opération de paiement non autorisée ou mal exécutée, seul est applicable le régime de responsabilité défini aux articles L. 133-18 à L. 133-24 du code monétaire et financier, qui transposent les articles 71 à 74 de la directive (UE) 2015/2366 du 25 novembre 2015 concernant les services de paiement dans le marché intérieur, modifiant les directives 2002/65/CE, 2009/110/CE et 2013/36/UE et le règlement (UE) n° 1093/2010, et abrogeant la directive 2007/64/CE, à l’exclusion de tout régime alternatif de responsabilité résultant du droit national.
Selon l’article L. 133-21 du code précité, qui transpose l’article 88 de la directive du 25 novembre 2015, un ordre de paiement exécuté conformément à l’identifiant unique fourni par l’utilisateur du service de paiement est réputé dûment exécuté pour ce qui concerne le bénéficiaire désigné par l’identifiant unique. Si l’identifiant unique fourni par l’utilisateur du service de paiement est inexact, le prestataire de services de paiement n’est pas responsable de la mauvaise exécution ou de la non-exécution de l’opération de paiement.
Pour condamner la banque à verser à M. et Mme [H] certaines sommes en réparation des préjudices résultant de l’exécution des ordres de virement et de transfert litigieux, l’arrêt retient que si, en application de l’article L. 133-21 du code monétaire et financier l’identifiant unique fourni par l’utilisateur du service de paiement est inexact, le prestataire de services de paiement n’est pas responsable de la mauvaise exécution ou la non exécution de l’opération de paiement ; que ce texte ne dispense cependant pas le banquier de son obligation de vigilance en vertu de laquelle il lui appartient de vérifier la régularité des opérations bancaires qui lui sont soumises en contrôlant l’absence d’anomalie apparente.
En statuant ainsi, alors que l’article L. 133-21 du code monétaire et financier est exclusif de toute application des règles de droit commun, la cour d’appel a violé les textes susvisés, le premier par fausse application, le second par refus d’application « .
1.3 – Note
En application de l’article L. 133-21 du Code monétaire et financier, un ordre de paiement exécuté conformément à l’identifiant unique fourni par l’utilisateur du service de paiement est réputé être correctement exécuté, en ce qui concerne le bénéficiaire désigné par l’identifiant unique.
Si l’identifiant unique fourni par l’utilisateur est inexact, le prestataire de paiement n’est pas responsable de cette mauvaise exécution. Dans cette hypothèse le banquier n’a aucune obligation de vigilance ou de vérifier la vérifier la régularité de l’opération, en l’absence d’anomalies apparentes.
2. – Opération de paiement non autorisée : confirmation de la jurisprudence – Arrêt de la Cour de cassation du 30/04/2025, n° 24-10149
1.1 – Les faits
Une SARL est titulaire d’un compte ouvert dans les livres d’un établissement bancaire. En novembre 2020, un courriel envoyé par un pirate informatique imite une communication de la banque et piège ainsi le dirigeant de la société qui a cliqué sur les liens contenus à l’intérieur dudit courriel. Cette opération a permis au pirate d’ajouter un bénéficiaire et d’opérer sept ordres de virements par le site internet sécurisé de la banque entre le 27 novembre 2020 et le 3 décembre 2020 pour des montants d’environ 20 000 € par opération.
La société titulaire du compte informe son établissement bancaire le 2 décembre 2020 de ce piratage informatique. Des mesures sont ainsi prises par la banque pour récupérer 89 016,51 €. La cliente souhaite, toutefois, obtenir le reliquat des sommes détournées, soit 50 696,49 €. Cependant, la banque s’y refuse.
La société décide, dans ce contexte, de l’assigner en remboursement des sommes débitées en alléguant des opérations non autorisées au sens du code monétaire et financier. Le Tribunal de commerce de Quimper condamne la banque à régler à sa cliente la somme de 50 696,49 €. L’établissement bancaire interjette appel en maintenant son raisonnement sur l’application de l’article L. 133-19, IV, du code monétaire et financier. En cause d’appel, les demandes de la cliente sont rejetées en précisant que le dirigeant a fait preuve de négligence grave en cliquant sur le courriel suspicieux. La société se pourvoit en cassation en arguant de l’absence de preuve par la banque des éléments issus de l’article L. 133-23, alinéa 1er, du code monétaire et financier s’agissant d’un instrument de paiement doté d’un dispositif de sécurité personnalisé.
L’arrêt rendu le 30 avril 2025 aboutit, en effet, à une cassation pour défaut de base légale. Il s’agit donc d’une confirmation de jurisprudence.
1.2 – Motivation de l’arrêt
Vu les articles L. 133-19, IV, et L. 133-23 alinéa 1er du code monétaire et financier :
Il résulte de ces textes que s’il entend faire supporter à l’utilisateur d’un instrument de paiement doté d’un dispositif de sécurité personnalisé les pertes occasionnées par une opération de paiement non autorisée rendue possible par un manquement de cet utilisateur, intentionnel ou par négligence grave, aux obligations mentionnées aux articles L. 133-16 et L 133-17 de ce code, le prestataire de services de paiement doit au préalable prouver que l’opération en cause a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre.
Pour rejeter la demande en restitution des sommes litigieuses, l’arrêt retient qu’il est acquis que M. [H] a fait preuve de négligence grave en cliquant sur le courriel, ayant permis l’ajout d’un bénéficiaire, puis les ordres de virements émis grâce à ses identifiants via le site internet de la banque, lui ayant été adressé comme provenant de celle-ci, lequel comportait des incohérences facilement décelables et ayant été précédé d’une première tentative d’escroquerie portée à sa connaissance par le conseiller clientèle peu de jours auparavant.
En se déterminant ainsi, sans rechercher, comme il lui incombait, si les opérations de paiement litigieuses avaient été authentifiées, dûment enregistrées et comptabilisées et qu’elles n’avaient pas été affectées par une déficience technique ou autre, la cour d’appel a privé sa décision de base légale.
1.3 – Note
Les juges du fond ont considéré que le courriel présentait « des incohérences facilement décelables ». Ces éléments permettent, sans doute, de caractériser une négligence grave de l’utilisateur au sens de l’article L. 133-19, IV, du code monétaire et financier. Mais là n’est pas la question. La mise en jeu de l’article L. 133-19, IV, en matière d’instrument de paiement doté d’un dispositif de sécurité personnalisé suppose que la faute du client soit exclusive d’un problème du côté de l’établissement bancaire lui-même. Or, la cour d’appel n’avait pas caractérisé que l’opération avait été authentifiée, enregistrée et comptabilisée sans être affectée par une quelconque déficience technique. La cassation ne pouvait qu’intervenir et ce pour défaut de base légale.
La décision de la Cour de cassation est donc parfaitement conforme à la lettre de l’article L. 133-23, alinéa 1er, du code. L’article précité n’est que la transposition de l’article 59 de la Directive n° 2007/64/CE du 13 novembre 2007 concernant les services de paiement dans le marché intérieur, qui prévoit que les États membres doivent exiger « que, lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre ». La position de la Cour de cassation est donc bien conforme, également, au droit européen.
