Par un arrêt du 27 mars 2024, promis à la publication au Bulletin, la chambre commerciale de la Cour de cassation juge que, dès lors que la responsabilité d’un prestataire de services de paiement est recherchée en raison d’une opération de paiement non autorisée ou mal exécutée, seul est applicable le régime de responsabilité défini aux articles L. 133-18 à L. 133-24 du Code monétaire et financier, venant transposer la directive 2007/64/CE, à l’exclusion de tout régime alternatif de responsabilité résultant du droit national.
Le compte courant d’une société a été débité de diverses sommes en exécution de quatre ordres de virements transmis par courrier électronique, au profit de comptes situés à l’étranger. Soutenant que la messagerie électronique de son dirigeant utilisée pour ordonner lesdits virements avait été piratée, la société a fait assigner son établissement bancaire pour obtenir sa condamnation à lui restituer le montant des virements litigieux et à lui payer des dommages et intérêts.
Pour condamner la banque au versement de diverses sommes sur le fondement de la responsabilité contractuelle de droit commun, la cour d’appel de Metz a retenu que le dirigeant n’était pas à l’origine des ordres et que, en les exécutant, tandis qu’ils présentaient des anomalies apparentes, la banque a manqué à son devoir contractuel de vigilance.
Statuant sur le pourvoi de la banque, la Cour de cassation censure cet arrêt en toutes ses dispositions.
Dans un premier temps, la Haute juridiction rappelle que la responsabilité contractuelle de droit commun prévue par l’article 1231-1 du Code civil n’est pas applicable en présence d’un régime de responsabilité exclusif.
Dans un deuxième temps, elle souligne que, dans son arrêt Beobank du 16 mars 2023 (C-351/21), la Cour de justice de l’Union européenne a estimé que le régime harmonisé de responsabilité pour les opérations non autorisées ou mal exécutées établi dans la directive 2007/64 ne saurait être concurrencé par un régime alternatif de responsabilité prévu dans le droit national, reposant sur les mêmes faits et le même fondement, qu’à condition de ne pas porter préjudice au régime ainsi harmonisé et de ne pas porter atteinte aux objectifs et à l’effet utile de cette directive. Elle en déduit que, dès lors que la responsabilité d’un prestataire de services de paiement est recherchée en raison d’une opération de paiement non autorisée ou mal exécutée, seul est applicable le régime de responsabilité défini aux articles L. 133-18 à L. 133-24 du Code monétaire et financier, transposant la directive 2007/64/CE, à l’exclusion de tout régime alternatif de responsabilité résultant du droit national.
Dans un troisième temps, elle considère donc dans l’affaire qui lui est soumise que, dès lors que le titulaire des comptes contestait être l’auteur des ordres de transfert des fonds litigieux, il s’en déduisait que la responsabilité de la banque ne pouvait être recherchée que sur le fondement de l’article L. 133-18 du Code monétaire et financier.
Une telle solution pouvait être pressentie depuis l’arrêt rendu le 8 juillet 2021 par la Cour de justice de l’Union européenne, retenant que les articles 58 et 60 de la directive 2007/64/CE doivent être interprétés en ce sens qu’ils s’opposent à ce qu’un utilisateur de services de paiement puisse engager la responsabilité du prestataire de ces services sur le fondement d’un régime de responsabilité autre que celui prévu par ces dispositions lorsque cet utilisateur a manqué à son obligation de notification prévu audit article 58.
Il ne fait désormais plus de doute que l’application du droit commun est exclue lorsqu’il est reproché au prestataire de services de paiement l’exécution d’opérations non autorisées ou mal exécutées.
