Par un arrêt en date du 21 mars 2019, la Cour de justice de l’Union européenne a précisé le régime de responsabilité des prestataires de services de paiement en cas d’exécution d’un virement sur la base d’un identifiant unique erroné. En l’espèce, un ordre de virement avait été émis en faveur d’une société. Cet ordre mentionnait le nom correct du bénéficiaire, mais un numéro de compte bancaire international (IBAN) inexact. Le prestataire de services de paiement du bénéficiaire a crédité les fonds sur le compte correspondant à l’IBAN fourni, lequel appartenait à une autre entité. La société qui aurait dû recevoir les fonds a alors engagé une action en responsabilité contre le prestataire de services de paiement du bénéficiaire devant le Tribunale ordinario di Udine en Italie. Elle lui reprochait de ne pas avoir vérifié la concordance entre le nom du bénéficiaire et l’IBAN indiqué dans l’ordre de virement. Face à une incertitude sur l’interprétation du droit de l’Union, la juridiction italienne a saisi la Cour de justice d’une question préjudicielle. Il était ainsi demandé à la Cour de déterminer si la limitation de responsabilité prévue par la directive 2007/64/CE, lorsqu’une opération de paiement est exécutée conformément à l’identifiant unique, ne bénéficie qu’au prestataire du donneur d’ordre ou si elle s’étend également au prestataire du bénéficiaire. La Cour a jugé que cette limitation de responsabilité s’applique à l’ensemble des prestataires de services de paiement impliqués, y compris celui du bénéficiaire. Cette solution consacre la primauté de l’identifiant unique comme clé de voûte de l’exécution des paiements (I), renforçant par là même la sécurité juridique pour les acteurs du secteur (II).
I. La consécration du principe d’exécution sur la foi de l’identifiant unique
La Cour fonde sa décision sur une interprétation stricte des textes (A) et sur les objectifs d’automatisation des paiements (B).
A. Une responsabilité écartée par l’interprétation littérale et contextuelle de la directive
La Cour de justice adopte une lecture rigoureuse de l’article 74, paragraphe 2, de la directive 2007/64. Elle relève que cette disposition utilise l’expression générale de « prestataire de services de paiement » sans opérer de distinction entre le prestataire du payeur et celui du bénéficiaire. Ce choix terminologique suggère que la limitation de responsabilité qu’elle édicte a une portée générale. La Cour souligne que le législateur de l’Union, lorsqu’il a souhaité viser spécifiquement l’un des prestataires, l’a fait expressément. C’est notamment le cas à l’alinéa second du même paragraphe, qui impose au seul « prestataire de services de paiement du payeur » l’obligation de s’efforcer de récupérer les fonds. L’absence d’une telle précision dans la disposition limitant la responsabilité confirme donc son application indifférenciée. L’arrêt réaffirme ainsi que, pour le législateur, « [u]n ordre de paiement exécuté conformément à l’identifiant unique est réputé dûment exécuté pour ce qui concerne le bénéficiaire indiqué par l’identifiant unique ». En conséquence, l’exécution correcte s’apprécie uniquement au regard de cet identifiant, et non d’informations complémentaires comme le nom du bénéficiaire.
B. Une solution justifiée par une approche téléologique favorisant l’efficacité des paiements
Au-delà de l’analyse littérale, la Cour justifie sa position par les finalités de la directive. Elle rappelle que le texte vise à assurer « le traitement pleinement intégré et automatisé des paiements » et à « améliorer l’efficience et la rapidité des paiements ». Ces objectifs seraient compromis si les prestataires de services de paiement, y compris ceux des bénéficiaires, étaient tenus de procéder à une vérification manuelle de la concordance entre l’identifiant unique et le nom du titulaire du compte. Une telle obligation introduirait un contrôle humain source de ralentissements et de coûts supplémentaires, allant à l’encontre de l’automatisation recherchée. La Cour note également que le considérant 48 de la directive, tout en autorisant les États membres à imposer une obligation de diligence au prestataire du payeur, précise que « la responsabilité du prestataire de services de paiement devrait être limitée à l’exécution correcte de l’opération de paiement, conformément à l’ordre de paiement ». Cette solution établit donc un arbitrage clair en faveur de la fluidité du système, faisant peser la responsabilité de l’exactitude des informations sur l’utilisateur à l’origine de l’ordre.
En établissant clairement que la vérification de concordance n’incombe à aucun des prestataires intermédiaires, la Cour de justice renforce la prévisibilité du cadre juridique applicable à ces opérations.
II. Le renforcement de la sécurité juridique pour les prestataires de services de paiement
Cette clarification emporte des conséquences directes sur la répartition des responsabilités (A) et sur la diligence attendue des utilisateurs (B).
A. La clarification de l’étendue de l’obligation de non-vérification
La décision a pour valeur principale d’harmoniser l’interprétation du droit de l’Union sur un point essentiel au fonctionnement du marché unique des paiements. En étendant la limitation de responsabilité au prestataire du bénéficiaire, elle évite une fragmentation des régimes de responsabilité au sein de l’Union, où certaines juridictions nationales auraient pu imposer une obligation de contrôle. L’arrêt confirme que le rôle du prestataire du bénéficiaire est purement technique : recevoir les instructions de paiement et créditer le compte désigné par l’identifiant unique. Il n’a pas à se faire le censeur des ordres de paiement qu’il reçoit ni à protéger le payeur contre ses propres erreurs. Cette approche réduit l’incertitude juridique pour les banques et autres prestataires, qui peuvent dès lors opérer sur la base d’une règle simple et uniforme dans tout l’espace économique européen. La responsabilité est ainsi clairement cantonnée à la correcte exécution technique de l’ordre tel qu’il a été formulé par le biais de l’identifiant unique.
B. Une incitation à la vigilance de l’utilisateur et une confirmation de l’évolution du droit
La portée de cet arrêt est significative car il place sans ambiguïté la responsabilité de la saisie correcte des données de paiement sur l’utilisateur. En exonérant les prestataires de toute obligation de vérification de cohérence, la Cour incite les payeurs à une vigilance accrue lors de l’initiation d’un virement. C’est sur eux que repose le fardeau de s’assurer que l’IBAN fourni correspond bien au bénéficiaire souhaité. Cette jurisprudence s’inscrit dans une logique de responsabilisation de l’utilisateur, acteur clé de la sécurité de ses propres transactions. De plus, cette décision préfigure et conforte l’évolution ultérieure du droit des services de paiement. La directive (UE) 2015/2366 (DSP2), qui a succédé à la directive 2007/64, a maintenu ce principe avec encore plus de fermeté. L’arrêt de 2019 a donc non seulement interprété le droit existant mais a également solidifié une orientation fondamentale du droit positif, où l’automatisation des processus se conjugue avec une exigence de diligence renforcée de la part de l’utilisateur du service.
