C’est l’enseignement tiré des deux arrêts rendus le même jour, le 25 janvier 2025 ( n° 23-13.579 et n° 23-15.437) par la chambre commerciale de la cour de cassation.
Les faits :
1.Selon l’arrêt d’appel attaqué , le 14 août 2019, Mme [H] a effectué deux virements du compte joint ouvert avec son époux dans les livres de la société XXX (la banque), afin de financer l’acquisition d’un véhicule automobile, en communiquant par voie électronique l’identifiant unique fourni par le vendeur.
2. Le 21 août 2019, informés par le vendeur de l’absence de réception des fonds, M.et Mme [H] ont constaté qu’un tiers avait piraté leur messagerie électronique pour substituer l’identifiant unique d’un compte ouvert au profit de ce tiers à l’identifiant unique du vendeur.
3. Le 11 septembre 2020, M. et Mme [H] ont assigné la banque en restitution des fonds et en paiement de dommages et intérêts.
Le Moyen invoqué :
4.La banque fait grief à l’arrêt de la condamner à payer une certaine somme à M. et Mme [H] alors « que le régime de la responsabilité du prestataire de services de paiement résultant de la directive 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur, transposé en droit français au code monétaire et financier, est exclusif de tout régime de responsabilité concurrent fondé sur le droit national ; que l’article L. 133-21 du code monétaire et financier, transposant en droit français l’article 88 de la directive 2015/2366, exclut toute responsabilité du prestataire de services de paiement du payeur lorsqu’il a exécuté l’ordre de paiement conformément à l’identifiant unique fourni par ce dernier, même si cet identifiant est inexact et qu’il ne correspond pas à un compte détenu par le créancier, mais à celui d’un tiers qui a détourné les fonds ; qu’au cas présent, il résulte des constatations de l’arrêt que l’ordre de paiement du 14 août 2019 avait été exécuté par elle conformément à l’identifiant unique fourni par les époux [H], payeurs ; qu’elle n’a donc pas engagé sa responsabilité, peu important que cet identifiant ne corresponde pas à un compte détenu par le créancier, mais à celui d’un tiers ayant détourné les fonds ; qu’en retenant pourtant, après avoir dit que l’article L. 133-21 n’interdisait pas de rechercher la responsabilité du banquier sur le fondement d’une obligation de vigilance tirée du droit commun , qu’elle avait engagé sa responsabilité sur le fondement d’une obligation de vigilance de droit commun pour avoir exécuté le virement à partir d’un identifiant unique figurant dans un simple courriel ne mentionnant ni l’adresse du bénéficiaire ni celle de sa banque, la cour d’appel a violé l’article L. 133-21 du code monétaire et financier par refus d’application.
La Décision:
5.CASSE ET ANNULE, en toutes ses dispositions, l’arrêt rendu le 9 mars 2023, entre les parties, Remet l’affaire et les parties dans l’état où elles se trouvaient avant cet arrêt et les renvoie devant la cour d’appel de XXX