Une banque consent à une société une ouverture de crédit en compte courant, garantie par un cautionnement. Poursuivie en paiement, la caution soutient que la banque, en procédant à des virements au profit de tiers sans autorisation, a commis une faute et elle demande que le montant de ces virements soit déduit des sommes réclamées.
Une cour d’appel rejette la demande car les opérations litigieuses n'avaient pas été signalées à la banque dans les conditions prévues par l'article L 133-24 du Code monétaire et financier, qui définit les modalités de contestation des débits opérés irrégulièrement sur un compte. La caution objecte que la responsabilité de la banque, qui a manqué à son devoir de vigilance, peut être recherchée sur le fondement du droit commun de la responsabilité contractuelle (C. civ. art. 1147, désormais art. 1231-1).
La Cour de cassation a alors posé deux questions à la Cour de justice de l’Union européenne (CJUE).
1° L’article 58 de la directive 2007/64 du 13 novembre 2007, qui prévoit la responsabilité du prestataire de services de paiement en cas d’opération non autorisée ou mal exécutée, à condition que l’utilisateur du service l'ait signalée dans les treize mois du débit, exclut-il l’application de tout autre régime national de responsabilité civile fondé sur la faute du prestataire ?
La CJUE répond par l’affirmative. Il résulte de l’articulation entre l'article 58 et l’article 60 de la directive, lequel prévoit, en cas d’opération de paiement non autorisée, le remboursement immédiat par le prestataire au payeur du montant de l’opération, « sans préjudice de l’article 58 », que la responsabilité du prestataire ne peut être engagée que si l’utilisateur du service de paiement lui a notifié l’incident dans les treize mois. Passé ce délai, la responsabilité du prestataire ne peut plus être engagée par l'utilisateur, même sur le fondement du droit commun. En outre, l’exigence d’harmonisation totale des législations nationales imposée par l’article 86 de la directive interdit aux Etats membres de l'Union européenne de maintenir en vigueur ou d’introduire des dispositions différentes de celles issues de la directive, les Etats ne disposant d’aucune marge de manœuvre pour mettre en œuvre ces articles 58 et 60. Ils ne peuvent donc pas maintenir un régime national de responsabilité parallèle, reposant sur les mêmes faits mais non soumis à l'obligation de notification, sans porter atteinte aux objectifs et à l’effet utile de la directive.
2° Le même article 58 s’oppose-t-il à ce que la caution de l’utilisateur des services de paiement puisse rechercher la responsabilité du prestataire sur le fondement du droit commun ?
Non, répond la CJUE : la directive 2007/64 ne régit que les relations entre l’utilisateur de services de paiement et le prestataire, aucune de ses dispositions ne faisant référence à la caution de l’utilisateur. La caution ne relève pas de la notion d’ « utilisateur de services de paiement » et son rôle ne s’apparente pas à celui d’un « payeur » ou d’un « bénéficiaire », autres qualificatifs utilisés par la directive. La directive n’établit donc des droits et obligations qu’à l’égard des prestataires de services de paiement et des utilisateurs et pas de la caution. Ainsi, les articles 58 et 60 de la directive ne peuvent pas être invoqués par la caution de l’utilisateur, laquelle n’est pas soumise à l’obligation de notification dans le délai de treize mois (qui est le pendant de l'obligation d'information du prestataire à l'égard de l'utilisateur) et peut engager après ce délai la responsabilité du prestataire sur le fondement d’un autre régime de responsabilité civile prévu par le droit national. Le contrat de cautionnement passé entre un prestataire de services de paiement et une caution est donc soumis au droit commun de la responsabilité contractuelle, que la caution qui subit un préjudice est libre d’invoquer pour diminuer ses obligations envers le prestataire négligent, sans que cela porte atteinte à la relation contractuelle entre le prestataire et l’utilisateur qui, elle, demeure régie par la directive 2007/64.
A noter :
En droit français, les articles 58 et 60 de la directive 2007/64 (dite « DSP1 ») ont été transposés par l'ordonnance 2009-866 du 15 juillet 2009 dans le Code monétaire et financier.
L'article L 133-18 dispose que, en cas d'opération de paiement non autorisée signalée par l'utilisateur dans les conditions de l'article L 133-24, le prestataire doit lui rembourser le montant de l'opération et, le cas échéant, rétablir le compte débité dans l'état où il se serait trouvé si l'opération n'avait pas eu lieu. L'article L 133-24 prévoit que l'utilisateur doit signaler à son prestataire l'opération non autorisée ou mal exécutée au plus tard dans les treize mois suivant la date de débit sous peine de forclusion, à moins que le prestataire ne lui ait pas fourni ou n'ait pas mis à sa disposition les informations relatives à cette opération de paiement. Les parties peuvent convenir d'un autre délai, sauf si l'utilisateur est une personne physique agissant pour des besoins non professionnels.
La présente solution, inédite, est transposable au régime issu de la directive 2015/2366 (« DSP2 ») du 25 novembre 2015, qui a abrogé et remplacé la directive 2007/64 sans remettre en cause les dispositions précitées.