[DSP1/DSP2] La CJUE impose une obligation de résultat aux PSP devant fournir des informations au payeur contestant une opération de paiement non autorisée

Partager cette actualité

La décision en bref

 

Le 16 mars 2023, la Cour de justice de l’Union européenne (CJUE) a rendu une importante décision (affaire C-351/21) sur l’interprétation de l’article 47, 1 a) de la DSP1 (cette disposition est reprise à l’identique à l’article 57, 1 a) de la DSP2). 

Afin de déterminer si un payeur peut obtenir le remboursement d’opérations contestées ainsi que des dommages et intérêts, le juge doit, au préalable, qualifier ces opérations de non autorisées avant de chercher à savoir si le PSP a respecté son obligation d’information.

En outre, le PSP est tenu à une obligation de résultat quant à la fourniture « des informations relatives au bénéficiaire ». 

Enfin, les informations relatives au bénéficiaire d’une opération de paiement que le PSP doit fournir au payeur concerné comprennent celles dont le PSP dispose ou dont il devrait disposer. Elles doivent être suffisamment précises et significatives. De plus, elles doivent permettre d’identifier la personne physique ou morale qui a bénéficié de l’opération de paiement et non pas les seules informations dont le PSP, après avoir déployé ses meilleurs efforts, dispose à l’égard de cette opération de paiement.

 

Affaire C‑351/21, ZG contre Beobank SA

Le 16 mars 2023, la Cour de justice de l’Union européenne (CJUE) a rendu une importante décision (affaire C-351/21) sur l’interprétation de l’article 47, 1 a) de la DSP1 (cette disposition est reprise à l’identique à l’article 57, 1 a) de la DSP2). Cet article prévoit que le prestataire de service de paiement (PSP) a l’obligation de fournir au payeur une référence lui permettant d’identifier chaque opération de paiement et, le cas échéant, les informations relatives au bénéficiaire.

Cette décision est importante en ce qu’elle vient clarifier :

  • Les conditions à réunir pour obtenir un remboursement et une indemnisation en cas de contestation d’une opération de paiement ;
  • La nature de l’obligation d’information du payeur dans le cadre d’une opération de paiement non autorisée ;
  • Ainsi que les conditions de l’engagement de la responsabilité du PSP qui ne remplit pas cette obligation d’information.

 

  1. Le contexte : des opérations de paiement contestés et des informations insuffisantes fournies par le PSP du payeur

En l’espèce, le titulaire d’un compte (le payeur) ouvert dans les livres de Beobank SA (PSP belge du payeur) a effectué un premier paiement de 100 euros en Espagne. Deux autres paiements de 991 euros et 993 euros ont ensuite été réalisés sur un terminal de paiement mobile et un quatrième paiement a été refusé. Le payeur conteste les deuxième et troisième paiements au motif qu’il aurait été victime d’une escroquerie.

Deux jours après les paiements litigieux, le payeur  fait opposition sur sa carte bancaire et dépose plainte, six jours plus tard, pour vol et utilisation frauduleuse de sa carte. Il demande à son PSP le remboursement des opérations de paiements contestés ainsi que le versement de dommages et intérêts pour perte de chance de récupérer les fonds auprès du tiers. Le PSP du payeur, quant à lui, estime que le payeur a commis une négligence grave.

Par ailleurs, le PSP du payeur a fourni, à ce dernier, uniquement la référence numérique et la géolocalisation du terminal de paiement utilisé pour les paiements contestés ainsi que la simple mention « COM SU VALENCIA ESP ». Ces informations ne permettent pas d’identifier le commerçant concerné mais Beobank explique ne pas avoir reçu d’informations complémentaires au motif que le PSP espagnol du bénéficiaire de ces paiements refuse de les lui communiquer. De plus, le PSP du payeur estime n’être tenu qu’à une simple obligation de moyen lui imposant uniquement de fournir les informations que son correspondant lui a transmises et laissant au payeur le soin de s’adresser à ce correspondant si ces informations sont insuffisantes.

Le payeur décide donc de saisir le juge national.

 

     2. Les questions préjudicielles posées par la juridiction belge à la CJUE

Le juge national belge pose deux questions préjudicielles à la CJUE. Celles-ci portent sur l’article 38, a) de la DSP1 :

Immédiatement après avoir reçu l’ordre de paiement, le prestataire de services de paiement du payeur fournit au payeur ou met à sa disposition, selon les modalités prévues à l’article 36, paragraphe 1, les informations suivantes:

a)      une référence permettant au payeur d’identifier l’opération de paiement et, le cas échéant, les informations relatives au bénéficiaire

[…]

Pour rappel, il est important que ces informations soient fournies dans des termes aisément compréhensibles par le payeur.

En outre, le PSP est tenu de rembourser immédiatement au payeur le montant de l’opération de paiement non autorisée et de rétablir le compte débité dans l’état où il était si l’opération non autorisée n’avait pas eu lieu, sous réserve que le payeur signale ladite opération à son PSP dans les 13 mois suivant la date de débit. Une indemnisation peut aussi être octroyée sauf en cas de négligence grave du payeur ou d’agissement frauduleux de sa part.

La juridiction belge demande donc à la CJUE si le PSP du payeur était soumis à une obligation de moyen ou à une obligation de résultat s’agissant de l’obligation de fournir des informations relatives à l’opération de paiement et au bénéficiaire de celle-ci

Cette question se posait notamment en raison de l’incise « le cas échéant » dans l’article 38, a) de la DSP1 qui portait à confusion. En fonction de l’interprétation de la CJUE sur la nature de cette obligation, la juridiction belge comptait se prononcer sur la demande de remboursement et d’indemnisation du payeur.

La juridiction belge a également demandé si les informations relatives au bénéficiaire que le PSP doit fournir recouvrent les informations permettant d’identifier la personne physique ou morale qui a bénéficié du paiement.

      3. Les réponses de la CJUE 

      a. Concernant le fondement invoqué

La CJUE fait d’abord remarquer que le fondement invoqué n’est pas le bon. En effet, le payeur est titulaire d’un compte de paiement auprès de Beobank pour lequel il dispose d’une carte de débit. Les paiements en cause ne sont pas des opérations isolées. Or, l’article 38 de la DSP1 relève du champ d’application des opérations isolées (cette disposition figure en effet dans le chapitre 2 de la DSP1 intitulé « Opérations de paiement isolées »). 

Comme le rappelle l’Avocat Général dans ses conclusions, cette disposition s’applique aux opérations de paiement de caractère isolé, non couvertes par un contrat-cadre. Dans cette logique, lorsqu’il s’agit non pas simplement d’une « opération de paiement de caractère isolé » mais d’un « contrat-cadre », ce sont les dispositions du chapitre 3 (« Contrats-cadres ») du titre III de la DSP1 qui s’appliquent. De plus, le considérant 24 de la DSP1 précise que dans la pratique, « les contrats-cadres et les opérations de paiement qu’ils couvrent sont nettement plus courants et bien plus importants du point de vue économique que les opérations de paiement isolées. S’il existe un compte de paiement ou un instrument de paiement spécifique, un contrat-cadre s’impose ».

Par conséquent, les paiements en cause relèvent du champ d’application de l’article 47 de la DSP1 (disposition figurant au chapitre 3 de ladite directive)

1. Après que le montant d’une opération de paiement individuelle a été débité du compte du payeur ou, lorsque le payeur n’utilise pas de compte de paiement, après réception de l’ordre de paiement, le prestataire de services de paiement du payeur fournit à celui-ci, sans tarder et selon les modalités prévues à l’article 41, paragraphe 1, les informations suivantes:

      a) une référence permettant au payeur d’identifier chaque opération de paiement et, le cas échéant, les informations relatives au bénéficiaire

[…]

La CJUE a donc décidé de se fonder sur cet article pour rendre sa décision.

      b. Concernant la nature de l’obligation à la charge du PSP du payeur

Afin de répondre à la première question de la juridiction belge, la CJUE rappelle l’objectif d’harmonisation de la directive qui ne permet pas d’atténuer l’obligation d’information qu’elle impose en la qualifiant d’obligation de moyen. 

L’incise « le cas échéant » ne doit pas être interprétée comme obligeant à déployer des efforts pour avoir les informations à fournir lorsque le PSP n’en dispose pas lui-même. 

Par conséquent, l’obligation d’information posée par l’article 47 de la DSP1 (obligation reprise dans la DSP2) est une obligation de résultat.

Ainsi, une conclusion peut être tirée de cela : en cas d’absence de contestation d’une opération de paiement, il sera possible d’engager la responsabilité du PSP si ce dernier ne fournit pas les « informations relatives au bénéficiaire » de l’opération.

En outre, elle souligne que pour se prononcer sur les demandes de remboursement des paiements et d’indemnisation, la juridiction nationale ne peut pas se baser sur la nature de l’obligation d’information qui incombe au PSP mais elle doit au préalable qualifier les opérations d’autorisées ou non. Il n’est donc pas possible d’engager la responsabilité du PSP uniquement en raison du fait qu’il aurait manqué à son obligation d’information.

      c. Concernant les informations relatives au bénéficiaire de l’opération de paiement 

Afin de répondre à la seconde question de la juridiction belge, la CJUE précise que les informations relatives au bénéficiaire d’une opération de paiement que le PSP doit fournir au payeur comprennent celles dont ce premier dispose ou devrait disposer. 

Ces informations doivent être suffisamment précises et significatives afin de permettre au payeur d’identifier de manière certaine l’opération de paiement concernée.

De plus, la fourniture des autres informations exigées à l’article 47, paragraphe 1, de la DSP1 (montant de l’opération concernée, date de valeur ou de réception de celle-ci ainsi que, selon le cas de figure, les frais et le taux de change appliqués) serait sans intérêt pour ledit payeur, car il n’arriverait pas à rattacher ces informations à une opération de paiement déterminée.

Pour justifier sa décision, la CJUE précise que le PSP fournit le système de paiement, prend les dispositions nécessaires pour rappeler les fonds erronément alloués et choisit, dans la plupart des cas, les intermédiaires associés à l’exécution d’une opération de paiement. De plus, l’établissement intermédiaire chargé du transfert du montant du paiement entre le PSP émetteur et le PSP destinataire est habituellement un organisme « neutre » comme une banque centrale ou un organisme de compensation. Il peut donc être supposé que celui-ci conservera les données relatives au compte et sera en mesure de les fournir si nécessaire. 

Cette interprétation est confortée par l’objectif poursuivi par la directive, à savoir le bon fonctionnement du marché unique des services de paiement visant à garantir que les utilisateurs de services de paiement puissent facilement identifier les opérations de paiement en disposant d’informations « claires, d’un niveau partout égal et élevé ». Pour ces raisons, la CJUE considère qu’il est justifié de tenir le PSP responsable de l’exécution de toute opération de paiement qu’il a accepté d’un utilisateur, sauf en cas de situations anormales et imprévisibles.

Conclusion

Bien que cette décision portait sur une disposition de la DSP1, il ne fait guère de doute qu’elle aura vocation à s’appliquer à toute situation litigieuse portant sur des opérations de paiement au sens de la DSP2. En effet, ladite disposition (article 47 de la DSP1) est reproduite avec une formulation structurellement similaire à l’article 57 de la DSP2. 

Il est à retenir de cette décision que pour accorder le remboursement d’opérations contestées, il faut d’abord rechercher si ces opérations sont ou non autorisées. De plus, l’obligation qui incombe au PSP du payeur de fournir les informations relatives au bénéficiaire d’une opération de paiement est une obligation de résultat. Enfin, ces informations doivent être suffisamment précises et significatives afin de permettre d’identifier de manière certaine le bénéficiaire

Néanmoins, cette décision de la CJUE soulève de nombreuses interrogations.

En effet, sans même avoir à contester une opération, un payeur pourra reprocher à son PSP de ne pas lui avoir fourni des informations suffisamment précises et significatives relatives au bénéficiaire. Il est donc possible de se demander s’il est vraiment réaliste d’imposer une obligation de résultat au PSP dès lors que celui-ci est parfois confronté à d’autres PSP refusant de communiquer les informations nécessaires. De plus, ce PSP sera fortement dépendant des informations (souvent incomplètes) fournies par le PSP du bénéficiaire de l’opération de paiement contesté. Il semble compliqué pour un PSP de toujours satisfaire à une telle obligation. En outre, comment le préjudice subi par un payeur ne contestant même pas une opération de paiement, mais qui n’aurait pas eu accès aux informations relatives au bénéficiaire par son PSP, pourrait-il être évalué ?

Plus d'articles

Les OAT blockchain :
alliés conformité des PSAN