Victime d’un pirate informatique ayant usurpé l’adresse électronique de son dirigeant, une société demande à sa banque d’exécuter des ordres de virements au profit de comptes établis à l’étranger et un ordre de clôture de son compte à terme.
La société se rend compte de la fraude au président et engage la responsabilité contractuelle de sa banque pour manquement à son devoir de vigilance afin d’être remboursée et indemnisée.
L’arrêt d’appel qui a fait droit à ces demandes est censuré par la Cour de cassation (Cass. Com., 27 mars 2024, n°22-21.200).
Elle juge en effet que lorsque la responsabilité de la banque est recherchée en raison d'une opération de paiement non autorisée ou mal exécutée, elle ne peut être recherchées que sur le fondement de l'article L.133-18 du code monétaire et financier.
Ce principe est repris de l’arrêt Beobank (C-351/21) rendu le 16 mars 2023 par la Cour de justice de l’Union européenne.
Par cet arrêt, la CJUE a dit pour droit que le régime de responsabilité des prestataires de service de paiement prévu par la directive 2007/64/CE pour les opérations non autorisées ou mal exécutées, dont les articles L.133-18 à L. 133-24 du code monétaire et financier sont la transposition en droit français, était d'application exclusive dans les rapports entre le prestataire et l'utilisateur, excluant ainsi tout régime alternatif de responsabilité résultant du droit français.
Dans la mesure où la société contestait avoir consenti aux ordres de virement, elle aurait dû engager la responsabilité de la banque sur le fondement de l’article L. 133-18 du code monétaire et financier et non sur le fondement du droit commun pour manquement au devoir de vigilance.
Dans le deuxième arrêt (Cass.Com., 2 mai 2024, n°22-18.074), un client avait engagé la responsabilité de sa banque car sa femme, qui y travaillait, avait fait produire et s’était fait remettre à son insu un doublon de sa carte de paiement et avait fait des retraits et paiements dont le montant était débité sur le compte de son époux.
Cette fois-ci ce n’était pas la responsabilité contractuelle de la banque qui était recherchée mais sa responsabilité d’employeur du fait de son salarié, en l’occurrence l’épouse employée par la banque.
La Cour d’appel a jugé l’action irrecevable pour cause de forclusion car le titulaire du compte n’avait pas contesté les retraits et paiements dans le délai butoir de 13 mois prévu par l’article L. 133-24 du code monétaire et financier.
Il a alors formé un recours contre l’arrêt d’appel pour voir juger son action recevable car non prescrite, se prévalant de la prescription de droit commun de 5 ans applicable à l’action en responsabilité de l’employeur du fait de son salarié.
La Cour de cassation approuve le raisonnement de la Cour d’appel car le titulaire du compte n’avait pas consenti aux retraits et paiements effectués par sa femme à l’aide du doublon de sa carte bancaire, de sorte que la responsabilité de la banque était recherchée pour des opérations de paiements non autorisées.
Elle juge dès lors, reprenant les termes du principe énoncé par l’arrêt du 27 mars 2024, que seul le régime de responsabilité prévu à l'article L. 133-18 du code monétaire et financier est applicable ; excluant ainsi le régime de responsabilité de l’employeur du fait de son salarié.
C’est donc le délai de forclusion de 13 mois prévu à l’article L. 133-24 du code monétaire et financier qui était applicable à l’action du titulaire du compte et non la prescription de 5 ans de droit commun, rendant ainsi son action contre la banque irrecevable.
Le titulaire du compte n’ayant pas contesté les retraits et paiements dans le délai de 13 mois à compter de leur date de débit, son action à l’encontre de la banque est irrecevable.
Enfin, dans le troisième arrêt (Cass. Com., 23 mai 2024, n° 22-18.098), le client avait effectué un virement pour régler un achat en ligne mais l’IBAN renseigné pour l’ordre de virement s’est révélé ne pas être celui du vendeur.
Il engage alors la responsabilité délictuelle de la banque du bénéficiaire, lui reprochant de ne pas avoir détecté que le bénéficiaire n’était pas le titulaire du compte visé par l’IBAN.
La Cour de cassation juge cependant, sur le fondement de l’article L. 133-21 du code monétaire et financier, que la banque n’est pas responsable des préjudices subis par le client car la mauvaise exécution de l’ordre de virement résultait de son absence de vérification du titulaire du compte renseigné sur l’IBAN et non d’une erreur de retranscription de l'identifiant par la banque.
Pour pourvoir exclure la responsabilité de la banque conformément à l’article L. 133-21 du code monétaire et financier, la Cour juge que la responsabilité délictuelle n’est pas applicable en présence d’une opération de paiement non autorisée.
