Par une décision dont les motifs sont ici rapportés, la Cour de justice de l’Union européenne est venue préciser l’interprétation de plusieurs dispositions de la directive (UE) 2015/2366, dite « DSP 2 », relative aux services de paiement dans le marché intérieur. En l’espèce, un utilisateur de services de paiement a vraisemblablement contesté la validité de modifications de son contrat-cadre avec un prestataire, modifications qui auraient été introduites sur la base de son silence valant acceptation. Le litige portait également sur le statut juridique et les exigences de sécurité applicables à la fonction de paiement sans contact, ou NFC, intégrée à une carte bancaire.
Saisie par une juridiction nationale dans le cadre d’un renvoi préjudiciel, la Cour de justice a été amenée à clarifier plusieurs points techniques du droit des paiements. Les questions posées visaient, d’une part, à déterminer la portée des dispositions de la directive encadrant la modification unilatérale des contrats-cadres par les prestataires de services de paiement. D’autre part, la juridiction de renvoi cherchait à savoir si la fonctionnalité de communication en champ proche (NFC) devait être qualifiée d’« instrument de paiement » autonome et, le cas échéant, si les dérogations à l’authentification forte du client prévues par la directive lui étaient applicables.
À ces questions, la Cour répond en distinguant le cadre procédural de la modification contractuelle de son contenu matériel, tout en soumettant ce dernier au contrôle des clauses abusives. Elle qualifie explicitement la fonction NFC d’instrument de paiement et précise les conditions dans lesquelles son usage peut être considéré comme anonyme au sens de la directive, justifiant une sécurité allégée. Enfin, elle adopte une interprétation stricte des conditions permettant à un prestataire de s’exonérer de son obligation de blocage de l’instrument.
Il convient d’analyser la manière dont la Cour encadre l’autonomie contractuelle en matière de services de paiement (I), avant d’examiner la portée de la qualification de la technologie sans contact en tant qu’instrument de paiement et les conséquences qui en découlent (II).
La décision de la Cour de justice apporte une clarification importante sur l’articulation entre la liberté contractuelle et la protection de l’utilisateur de services de paiement, en validant le principe de la modification par consentement tacite (A) tout en maintenant un garde-fou essentiel à travers le contrôle des clauses abusives (B).
La Cour de justice interprète l’article 52, point 6, sous a), de la directive 2015/2366 comme une disposition régissant principalement la procédure de modification du contrat-cadre. Elle précise que ce texte « régit les informations et les conditions à fournir par un prestataire de services de paiement souhaitant convenir, avec l’utilisateur de ses services, d’une présomption d’acceptation ». Le raisonnement de la Cour établit que la directive a pour objectif d’harmoniser les modalités selon lesquelles le consentement présumé de l’utilisateur peut être obtenu, notamment par l’obligation pour le prestataire de communiquer le projet de modification au moins deux mois avant la date d’application proposée et d’informer l’utilisateur qu’il est réputé accepter ces modifications s’il ne notifie pas son désaccord.
Cependant, la Cour souligne que la directive « ne fixe pas de restrictions s’agissant de la qualité de l’utilisateur ou du type de clauses contractuelles pouvant faire l’objet d’un tel accord ». En agissant ainsi, elle reconnaît une marge de manœuvre contractuelle significative aux parties. Le silence du législateur européen sur le fond des modifications possibles est interprété comme une volonté de ne pas limiter a priori le champ des clauses susceptibles d’évoluer par ce mécanisme. Cette solution pragmatique permet de ne pas figer les contrats de services de paiement, qui doivent pouvoir s’adapter aux évolutions technologiques et commerciales rapides du secteur, tout en assurant une information préalable claire et complète de l’utilisateur.
La flexibilité accordée par la Cour n’est toutefois pas absolue et trouve sa limite dans la protection conférée aux consommateurs. La décision prend soin de préciser que la validité de ce mécanisme de modification s’entend « sans préjudice toutefois, lorsque l’utilisateur a la qualité de consommateur, d’un possible contrôle du caractère abusif de ces clauses au regard des dispositions de la directive 93/13/CEE ». Ce rappel est fondamental car il constitue le principal contrepoids à la liberté laissée aux prestataires.
En renvoyant expressément à la directive sur les clauses abusives, la Cour rappelle aux juridictions nationales leur devoir de vérifier si une clause de modification par acceptation tacite, ou la modification elle-même, ne crée pas un déséquilibre significatif au détriment du consommateur. Un tribunal national pourrait ainsi juger abusive une clause permettant la modification substantielle d’éléments essentiels du contrat, tels que la tarification des services de base ou les règles de responsabilité, par le seul silence du client. La Cour de justice articule donc deux logiques : celle de l’efficacité et de l’adaptabilité du contrat de services de paiement, permise par la DSP 2, et celle, impérative, de la protection du consommateur contre les clauses abusives, assurée par la directive 93/13/CEE.
Au-delà des conditions de forme du contrat-cadre, la Cour se prononce sur la nature même de l’outil de paiement et les dérogations qui s’y attachent, clarifiant ainsi le régime juridique applicable aux technologies les plus récentes.
La Cour de justice se penche ensuite sur le régime spécifique du paiement sans contact, en le qualifiant d’instrument de paiement à part entière et en précisant la notion d’usage anonyme (A), tout en encadrant de manière restrictive les possibilités d’exonération de responsabilité pour le prestataire (B).
Répondant à une question centrale pour l’application du droit des paiements modernes, la Cour affirme que « constitue un « instrument de paiement », tel que défini à cette disposition, la fonction de communication en champ proche (Near Field Communication) dont est dotée une carte bancaire multifonctions personnalisée ». Cette qualification est déterminante car elle soumet la fonctionnalité NFC à l’ensemble des obligations de sécurité et de responsabilité prévues par la DSP 2. La Cour considère que cette fonction, bien qu’intégrée à une carte, constitue un dispositif personnalisé utilisé pour initier un ordre de paiement, ce qui correspond précisément à la définition de l’article 4, point 14, de la directive.
Par ailleurs, la Cour interprète la notion d’usage « anonyme » au sens de l’article 63, paragraphe 1, sous b), de la directive. Elle considère que le paiement sans contact de faible montant constitue une telle utilisation. Cette interprétation permet aux prestataires de se prévaloir de la dérogation à l’authentification forte du client pour ces opérations. L’anonymat visé ici ne signifie pas que l’identité du payeur est inconnue du système de paiement, mais plutôt que l’opération se déroule sans que l’utilisateur ait à s’identifier par une action positive forte, comme la saisie d’un code confidentiel. Cette solution valide un compromis entre la fluidité requise pour les paiements de la vie quotidienne et les impératifs de sécurité.
Enfin, la Cour adopte une position protectrice de l’utilisateur en ce qui concerne la responsabilité du prestataire en cas d’utilisation non autorisée. S’agissant de la dérogation prévue à l’article 63, paragraphe 1, sous a), qui concerne les instruments qui ne peuvent être bloqués, la Cour pose une exigence de preuve stricte. Elle juge qu’un prestataire « ne saurait se borner à affirmer qu’il est impossible de bloquer l’instrument de paiement concerné ou d’empêcher la poursuite de l’utilisation de celui-ci, alors que, au regard de l’état objectif des connaissances techniques disponibles, une telle impossibilité ne peut être établie ».
Cette formulation place la charge de la preuve sur le prestataire de services de paiement. Il ne peut se contenter d’une simple affirmation d’impossibilité technique ; il doit démontrer, de manière objective et au vu des technologies existantes, qu’il est effectivement et irrémédiablement incapable de bloquer l’instrument. En pratique, cette exigence rend la dérogation très difficile à invoquer pour les technologies comme le NFC, pour lesquelles des mécanismes de blocage à distance sont techniquement réalisables et souvent mis en œuvre. La Cour renforce ainsi l’obligation de sécurité pesant sur les prestataires et limite leur possibilité de s’exonérer de leur responsabilité en cas de perte ou de vol de l’instrument.
