Chambre commerciale, 30 avril 2025 — 24-10.149

COMM. JB COUR DE CASSATION ______________________ Audience publique du 30 avril 2025 Cassation Mme SCHMIDT, conseiller doyen faisant fonction de président Arrêt n° 222 F Pourvoi n° C 24-10.149 R É P U B L I Q U E F R A N Ç A I S E _________________________ AU NOM DU PEUPLE FRANÇAIS _________________________ ARRÊT DE LA COUR DE CASSATION, CHAMBRE COMMERCIALE, FINANCIÈRE ET ÉCONOMIQUE, DU 30 AVRIL 2025 La société [M] [H], société à responsabilité limitée, dont le siège est [Adresse 2], a formé le pourvoi n° C 24-10.149 contre l'arrêt rendu le 7 novembre 2023 par la cour d'appel de Rennes (3e chambre commerciale), dans le litige l'opposant à la société caisse régionale de Crédit agricole mutuel (CRCAM) du Finistère, dont le siège est [Adresse 1], défenderesse à la cassation. La demanderesse invoque, à l'appui de son pourvoi, un moyen de cassation. Le dossier a été communiqué au procureur général. Sur le rapport de Mme Champ, conseiller référendaire, les observations de la SCP Claire Leduc et Solange Vigand, avocat de la société [M] [H], de la SCP Yves et Blaise Capron, avocat de la société caisse régionale de Crédit agricole mutuel (CRCAM) du Finistère, et l'avis de Mme Guinamant, avocat général référendaire, après débats en l'audience publique du 4 mars 2025 où étaient présents Mme Schmidt, conseiller doyen faisant fonction de président, Mme Champ, conseiller référendaire rapporteur, Mme Guillou, conseiller, et Mme Sezer, greffier de chambre, la chambre commerciale, financière et économique de la Cour de cassation, composée des président et conseillers précités, après en avoir délibéré conformément à la loi, a rendu le présent arrêt. Faits et procédure 1. Selon l'arrêt attaqué (Rennes, 7 novembre 2023), la société [M] [H] était titulaire d'un compte ouvert dans les livres de la société caisse régionale de Crédit agricole mutuel (CRCAM) du Finistère (la banque) et d'un accès au service Crédit agricole en ligne. Le 26 novembre 2020, un ajout de bénéficiaire de virement par IBAN a été enregistré sur ce service. Puis, entre les 27 novembre et 3 décembre suivants, sept virements ont été débités sur le compte. 2 Invoquant des paiements non autorisés, la société [M] [H] a assigné la banque en paiement des sommes débitées et non recouvrées. Examen du moyen Sur le moyen, pris sa cinquième branche Enoncé du moyen 3. La société [M] [H] fait grief à l'arrêt de rejeter ses demandes, alors « que s'il entend faire supporter à l'utilisateur d'un instrument de paiement doté d'un dispositif de sécurité personnalisé les pertes occasionnées par une opération de paiement non autorisée rendue possible par un manquement de cet utilisateur, intentionnel ou par négligence grave, aux obligations mentionnées aux articles L. 133-16 et L. 133-17 du code monétaire et financier, le prestataire de services de paiement doit aussi prouver que l'opération en cause a été authentifiée, dûment enregistrée et comptabilisée et qu'elle n'a pas été affectée par une déficience technique ou autre ; qu'en retenant, pour débouter la société [M] [H] de toutes ses demandes, que celle-ci a fait preuve d'une négligence grave en cliquant sur le courriel lui ayant été adressé comme provenant de la banque, comportant des incohérences facilement décelables et ayant été précédé d'une première tentative d'escroquerie, après s'être limitée à observer que les circonstances dans lesquelles les sept virements litigieux ont été autorisés sont peu documentées et que ces virements ont été émis grâce aux identifiants de M. [H] via le site internet de la banque, sans rechercher si la CRCAM démontrait que ces sept virements avaient été authentifiés, dûment enregistrés et comptabilisés et qu'ils n'étaient pas affectés par une déficience technique ou autre, la cour d'appel a privé sa décision de base légale au regard des articles L. 133-19 IV et L. 133-23 du code monétaire et financier. » Réponse de la Cour Vu les articles L. 133-19, IV, et L. 133-23 alinéa 1er du code monétaire et financier : 4. Il résulte de ces textes que s'il entend faire supporter à l'utilisateur d'un instrument de paiement doté d'un dispositif de sécurité personnalisé les pertes occasionnées par une opération de paiement non autorisée rendue possible par un manquement de cet utilisateur, intentionnel ou par négligence grave, aux obligations mentionnées aux articles L. 133-16 et L 133-17 de ce code, le prestataire de services de paiement doit au préalable prouver que l'opération en cause a été authentifiée, dûment enregistrée et comptabilisée et qu'elle n'a pas été affectée par une déficience technique ou autre. 5. Pour rejeter la demande en restitution des sommes litigieuses, l'arrêt retient qu'il est acquis que M. [H] a fait preuve de négligence grave en cliquant sur le courriel, ayant permis l'ajout d'un bénéficiaire, puis les ordres de virements émis grâce à ses identifiants via le