La cour d’appel de Besançon, le 3 juillet 2025, statue sur un litige consécutif à des virements frauduleux. Une société cliente assigne son établissement bancaire en responsabilité sur le fondement du dépôt irrégulier. La juridiction d’appel doit déterminer le régime juridique applicable et la preuve de l’exécution conforme des ordres. Elle écarte le droit commun pour retenir le régime spécial des services de paiement et condamne finalement la banque.
Le principe d’exclusivité du régime de responsabilité des services de paiement
La cour affirme la primauté du droit européen harmonisé sur le droit civil national. La société cliente fondait sa demande sur l’article 1937 du code civil relatif au dépôt. La banque opposait l’application exclusive des directives sur les services de paiement. La cour suit la position de la Cour de cassation qui a intégré la jurisprudence de la CJUE. « La responsabilité de la banque en qualité de prestataire de services de paiement ne peut être engagée que sur le fondement des articles L.133-1 et suivants du code monétaire et financier » (Motifs de la décision). Ce rejet du droit commun consacre l’harmonisation européenne. Le régime spécial constitue un bloc autonome et exhaustif de responsabilité. Il vise à assurer une sécurité juridique uniforme dans l’Union européenne. La solution écarte toute fragmentation par les droits nationaux.
La jurisprudence disponible confirme cette lecture stricte du champ d’application. Un arrêt de la Cour de cassation rappelle l’interprétation de la CJUE. « L’article 58 et l’article 60, paragraphe 1, de la directive 2007/64/CE […] doivent être interprétées en ce sens qu’ils s’opposent à ce qu’un utilisateur de services de paiement puisse engager la responsabilité du prestataire de ces services sur le fondement d’un régime de responsabilité autre que celui prévu par ces dispositions » (Cass. Chambre commerciale financière et économique, le 9 février 2022, n°17-19.441). La portée de ce principe est absolue. Il s’applique même en cas de manquement du client à son obligation de notification. La cour d’appel renforce ainsi la sécurité du cadre juridique des paiements. Elle prive le client de tout choix entre des fondements concurrents.
La charge de la preuve de l’exécution conforme et ses limites
La cour opère un renversement de la charge de la preuve au bénéfice du client professionnel. La banque invoquait l’article L.133-21 du code monétaire et financier. Elle soutenait avoir exécuté les ordres conformément aux identifiants fournis. La cour rappelle d’abord la règle de preuve posée par l’article L.133-23. « Il incombe à son prestataire de services de paiement de prouver que l’opération a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre » (Motifs de la décision). Cette règle protège l’utilisateur qui nie avoir autorisé l’opération. La banque ne peut se contenter d’invoquer l’enregistrement technique de l’ordre. Elle doit démontrer une authentification robuste et l’absence de défaillance.
La cour constate que la banque n’apporte pas cette preuve décisive. La pièce produite pour identifier l’origine des virements est jugée peu intelligible. Elle ne mentionne pas les numéros IBAN des bénéficiaires frauduleux. La cour relève aussi l’admission par la banque d’une possible infection par un malware. Ces éléments empêchent de caractériser une fourniture valide d’identifiant unique par le client. La tentative de récupération partielle des fonds par la banque corrobore cette analyse. La solution rappelle que la preuve de l’exécution conforme est une charge substantielle. Elle ne se présume pas de la seule existence d’un ordre enregistré dans les systèmes.
La décision précise les contours de la responsabilité du prestataire face à la fraude. Elle applique strictement le régime probatoire protecteur du code monétaire et financier. Même pour un client professionnel, la banque doit prouver l’authentification et l’intégrité technique. L’arrêt renforce ainsi la sécurité des opérations de paiement pour tous les utilisateurs. Il impose aux établissements une vigilance accrue sur leurs systèmes d’authentification.
