Chambre commerciale, 9 mars 2022 — 20-12.376

COMM. DB COUR DE CASSATION ______________________ Audience publique du 9 mars 2022 Cassation M. MOLLARD, conseiller doyen faisant fonction de président Arrêt n° 175 F-D Pourvoi n° R 20-12.376 R É P U B L I Q U E F R A N Ç A I S E _________________________ AU NOM DU PEUPLE FRANÇAIS _________________________ ARRÊT DE LA COUR DE CASSATION, CHAMBRE COMMERCIALE, FINANCIÈRE ET ÉCONOMIQUE, DU 9 MARS 2022 La société Carrosserie [M] et Fils, société à responsabilité limitée, dont le siège est [Adresse 2], a formé le pourvoi n° R 20-12.376 contre l'arrêt rendu le 5 décembre 2019 par la cour d'appel de Dijon (2e chambre civile), dans le litige l'opposant : 1°/ à la société Caisse de crédit mutuel du Creusot, dont le siège est [Adresse 3], 2°/ à la société Caisse d'épargne et de prévoyance de Bourgogne Franche-Comté, société anonyme, dont le siège est [Adresse 1], défenderesses à la cassation. La demanderesse invoque, à l'appui de son pourvoi, les deux moyens de cassation annexés au présent arrêt. Le dossier a été communiqué au procureur général. Sur le rapport de M. Boutié, conseiller référendaire, les observations de la SCP Bauer-Violas, Feschotte-Desbois et Sebagh, avocat de la société Carrosserie [M] et Fils, de la SARL Le Prado - Gilbert, avocat de la société Caisse de crédit mutuel du Creusot et de la société Caisse d'épargne et de prévoyance de Bourgogne Franche-Comté, après débats en l'audience publique du 18 janvier 2022 où étaient présents M. Mollard, conseiller doyen faisant fonction de président, M. Boutié, conseiller référendaire rapporteur, M. Ponsot, conseiller, et Mme Fornarelli, greffier de chambre, la chambre commerciale, financière et économique de la Cour de cassation, composée des président et conseillers précités, après en avoir délibéré conformément à la loi, a rendu le présent arrêt. Faits et procédure 1. Selon l'arrêt attaqué (Dijon, 5 décembre 2019), la société Carrosserie [M] et fils (la société), titulaire de comptes professionnels auprès de la société Caisse d'épargne et de prévoyance de Bourgogne Franche-Comté (la Caisse d'épargne) et de la société Caisse de crédit mutuel du Creusot (le Crédit mutuel), a souscrit auprès de cette dernière une convention dénommée « formule clé » afin de sécuriser et de faciliter ses opérations bancaires sur internet réalisées à partir de l'ensemble de ses comptes bancaires. 2. Ayant été victime le 16 juillet 2015 d'un piratage informatique et d'un virement frauduleux de 64 850 euros à partir d'un des comptes ouverts à la Caisse d'épargne, la société a assigné cette dernière et le Crédit mutuel en responsabilité. Examen des moyens Sur le premier moyen, pris en ses première et deuxième branches, et le second moyen, pris en ses première et deuxième branches, réunis Enoncé du moyen 3. Par son premier moyen, pris en ses première et deuxième branches, la société fait grief à l'arrêt de rejeter ses demandes dirigées contre le Crédit mutuel, alors : « 1°/ que s'il appartient à l'utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d'informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l'instrument de paiement ou des données qui lui sont liées, c'est à ce prestataire qu'il incombe, par application des articles L. 133-19, IV, et L. 133-23 du code monétaire et financier, de rapporter la preuve que l'utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n'a pas satisfait intentionnellement ou par négligence grave à ses obligations ; que cette preuve ne peut se déduire du seul fait que l'instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés ; qu'en écartant toute responsabilité du Crédit mutuel aux motifs ‘‘qu'il est évident, ainsi que l'a admis le tribunal de commerce, que le virement frauduleux n'a pu se produire que parce que la clé de sécurité était introduite dans l'ordinateur à partir duquel il a été ordonné" et que ‘‘la prise en main à distance de l'ordinateur ne peut avoir lieu que parce que l'opérateur n'était pas à son poste, car sinon, il l'aurait constatée", la cour d'appel a déduit la prétendue négligence de l'utilisateur du seul fait que l'instrument de paiement avait été utilisé, en violation des articles L. 133-16, L. 133-19 et L. 133-23 du code monétaire et financier et, ensemble, des anciens articles 1147 et 1315 du code civil, dans leur rédaction applicable en la cause ; 2°/ que s'il appartient à l'utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d'informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l'instrument de paiement ou des données qui lui sont liées, c'est à ce prestataire qu'il inc