Chambre commerciale, 24 novembre 2021 — 20-13.767

COMM. FB COUR DE CASSATION ______________________ Audience publique du 24 novembre 2021 Cassation M. GUÉRIN, conseiller doyen faisant fonction de président Arrêt n° 811 F-D Pourvoi n° C 20-13.767 R É P U B L I Q U E F R A N Ç A I S E _________________________ AU NOM DU PEUPLE FRANÇAIS _________________________ ARRÊT DE LA COUR DE CASSATION, CHAMBRE COMMERCIALE, FINANCIÈRE ET ÉCONOMIQUE, DU 24 NOVEMBRE 2021 La société Caisse de crédit mutuel de [Localité 4], société coopérative de crédit, dont le siège est [Adresse 2], a formé le pourvoi n° C 20-13.767 contre le jugement rendu le 17 décembre 2019 par le tribunal d'instance de Lens, dans le litige l'opposant à M. [C] [W], domicilié [Adresse 3], défendeur à la cassation. La demanderesse invoque, à l'appui de son pourvoi, le moyen unique de cassation annexé au présent arrêt. Le dossier a été communiqué au procureur général. Sur le rapport de Mme Fèvre, conseiller, les observations de la SCP Célice, Texidor, Périer, avocat de la société Caisse de crédit mutuel de [Localité 4], de la SCP Boré, Salve de Bruneton et Mégret, avocat de M. [W], et l'avis de Mme Guinamant, avocat général référendaire, après débats en l'audience publique du 5 octobre 2021 où étaient présents M. Guérin, conseiller doyen faisant fonction de président, Mme Fèvre, conseiller rapporteur, M. Ponsot, conseiller, et Mme Mamou, greffier de chambre, la chambre commerciale, financière et économique de la Cour de cassation, composée des président et conseillers précités, après en avoir délibéré conformément à la loi, a rendu le présent arrêt. Faits et procédure 1. Selon le jugement attaqué (tribunal d'instance de Lens, 17 décembre 2019), rendu en dernier ressort, M. [W], titulaire d'un compte dans les livres de la société Caisse de crédit mutuel de [Localité 4] (la banque) a contesté trois opérations de paiement effectuées frauduleusement sur ce compte à la suite de sa réponse à un courriel, reçu le 27 décembre 2017, l'ayant conduit à communiquer sur le site internet proposé le numéro de sa carte bancaire avec sa date d'expiration, le code de vérification, et lui en a demandé le remboursement. 2. La banque lui ayant opposé un refus, estimant qu'il avait commis une négligence grave en communiquant ses données personnelles en réponse à un courriel suspect, M. [W] l'a assignée en paiement. Sur le moyen, pris en sa première branche Enoncé du moyen 3. La banque fait grief au jugement de la condamner à payer à M. [W] la somme de 2 593 euros, assortie des intérêts au taux légal à compter du 8 novembre 2018, date de la mise en demeure, et de rejeter ses demandes, alors « que manque, par négligence grave, à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés l'utilisateur d'un service de paiement qui communique les données personnelles de ce dispositif de sécurité en réponse à un courriel qui contient des indices permettant à un utilisateur normalement averti de douter de sa provenance, peu important qu'il soit, ou non, avisé des risques d'hameçonnage ; qu'en l'espèce, la banque faisait valoir que le courriel du 27 décembre 2017, produit aux débats par M. [W], auquel ce dernier avait admis avoir répondu en communiquant son numéro de carte bancaire, le pictogramme et son numéro de téléphone, comportait des indices qui permettaient à un utilisateur normalement averti de douter de sa provenance, dans la mesure où l'adresse de l'expéditeur de ce courriel était "[Courriel 1] (illisible)[Courriel 1]", que son objet était intitulé "***SPAM*** vous écrit", et que le message de ce courriel, qui indiquait "lors de votre dernier achat, vous été [sic] averti par un message vous informant de l'obligation d'adhérer à la nouvelle réglementation concernant la fiabilité des achats par CB sur internet et la mise en place d'un arrêt pour vos futurs achats. Or, nous n'avons pas à ce jour d'adhésion de votre part et nous sommes au regret de vous informer que vous pouvez plus [sic] utiliser votre carte sur internet", en invitant le destinataire à cliquer sur un lien avec de communiquer ses données personnelles, comportait des fautes de syntaxe et d'orthographe, et ne correspondait pas à la situation de M. [W] qui ne pouvait ignorer que lors de son dernier achat sur internet, il n'avait reçu aucun avertissement quant à un risque de blocage de sa carte pour effectuer des paiements à distance ; que, pour néanmoins faire droit à la demande de M. [W] de remboursement des opérations de paiement réalisées sur son compte le lendemain de sa réponse à ce courriel frauduleux, le tribunal d'instance, après avoir constaté que M. [W] avait admis avoir fourni ses identifiants en réponse à ce courriel, a retenu que la banque "ne rapporte pas la preuve de ce que M. [W] a fourni en pleine connaissance de cause ces éléments et que celui-ci aurait encore failli à son devoir de vig