CONCLUSIONS DE L’AVOCAT GÉNÉRAL
M. HENRIK SAUGMANDSGAARD ØE
présentées le 8 juillet 2021 (1)
Affaire C‑337/20
DM,
LR
contre
Caisse régionale de Crédit agricole mutuel (CRCAM) Alpes-Provence
[demande de décision préjudicielle formée par la Cour de cassation (France)]
« Renvoi préjudiciel – Rapprochement des législations – Directive 2007/64/CE – Services de paiement dans le marché intérieur – Articles 58 à 60 – Droits et obligations de l’utilisateur de services de paiement et du prestataire de services de paiement – Notions d’“harmonisation totale” et d’“harmonisation exhaustive” –– Notification hors délai des opérations de paiement non autorisées – Responsabilité du prestataire de services de paiement à l’égard de l’utilisateur de services de paiement régie par la seule directive 2007/64/CE – Responsabilité du prestataire de services de paiement à l’égard d’un tiers, tel qu’une caution – Champ d’application de la directive 2007/64/CE – Application d’un régime de responsabilité prévu par le droit national »
I. Introduction
1. La présente affaire porte sur l’interprétation de la directive 2007/64/CE en matière de services de paiement (2) et plus particulièrement sur son champ d’application.
2. Cette directive règlemente les opérations de paiement entre un prestataire de services de paiement, tel qu’un établissement bancaire, et l’utilisateur de ces services, qui peut être un particulier ou une entreprise.
3. Dans l’affaire en cause au principal, le prestataire de services de paiement est également le créancier de l’utilisateur, lequel a, par conséquent, la qualité de débiteur. Les questions posées par la Cour de cassation (France) visent à savoir si les dispositions de la directive 2007/64 sont pleinement harmonisées, de sorte que les États membres ne disposent pas de marge de manœuvre en ce qui concerne la responsabilité des parties à une opération de paiement, et si ces dispositions affectent la relation entre une caution, qui garantit la dette du débiteur à l’égard du créancier, et ce créancier.
4. La demande de décision préjudicielle a été présentée dans le cadre d’un litige opposant DM, la gérante de la société Groupe centrale automobiles SARL (ci-après la « société GCA »), et LR, la caution de cette société, à un établissement de crédit, la caisse régionale de Crédit agricole mutuel (CRCAM) Alpes-Provence (ci-après la « banque »). Les demanderesses en cassation font valoir que, si, compte tenu des dispositions de la directive 2007/64, une société en position de débiteur est forclose pour engager la responsabilité d’un établissement de crédit qui a exécuté des opérations de paiement que cette société n’avait pas autorisées, cette directive ne fait pas obstacle à ce que la caution invoque, à raison des mêmes faits, la responsabilité de cet établissement, si le droit national le permet.
5. À l’issue de mon analyse, je proposerai à la Cour de juger que la directive 2007/64 règlemente totalement les obligations contractuelles et les responsabilités respectives de l’utilisateur de services de paiement et de son prestataire de services de paiement, mais qu’elle ne régit pas les relations entre la caution et ce dernier. En particulier, cette directive ne fait pas obstacle à ce que la caution engage la responsabilité de ce prestataire, si le droit national le permet, en cas de négligence commise à l’égard de l’utilisateur de services de paiement en exécutant une opération non autorisée par celui-ci, même si cet utilisateur de services ne peut plus lui-même, compte tenu de ladite directive, engager la responsabilité de son prestataire.
II. Le cadre juridique
A. Le droit de l’Union
6. Aux termes des considérants 4, 31 et 47 de la directive 2007/64 :
« (4) [...] il est crucial d’établir, au niveau communautaire, un cadre juridique moderne et cohérent pour les services de paiement – que ces services soient ou non compatibles avec le système résultant de l’initiative du secteur financier en faveur d'un espace unique de paiement en euros (SEPA) – qui soit neutre de façon à garantir des conditions de concurrence équitables pour tous les systèmes de paiement, afin de maintenir le choix offert au consommateur, ce qui devrait représenter un progrès sensible en termes de coûts pour le consommateur, de sûreté et d’efficacité par rapport aux systèmes existant au niveau national.
[...]
(31) Afin de réduire les risques et les conséquences des opérations de paiement non autorisées ou mal exécutées, l’utilisateur de services de paiement devrait notifier dès que possible au prestataire de services de paiement toute contestation relative à des opérations de paiement prétendument non autorisées ou mal exécutées, à condition que le prestataire de services de paiement ait rempli ses obligations d’information en vertu de la présente directive. Si l’utilisateur de services de paiement respecte le délai de notification, il devrait pouvoir faire valoir ces revendications dans la limite des délais de prescription conformément au droit national. Les autres litiges entre utilisateurs et prestataires de services de paiement ne devraient pas être affectés par la présente directive.
[...]
(47) Le prestataire de services de paiement du payeur devrait être tenu pour responsable de l'exécution correcte du paiement, y compris du montant total de l'opération de paiement et du délai d'exécution, et sa pleine responsabilité devrait être engagée pour toute défaillance d'une autre partie intervenant dans la chaîne de paiement jusqu'au compte du bénéficiaire inclus. Il résulte de cette responsabilité que, lorsque le montant intégral n'est pas porté au crédit du prestataire de services de paiement du bénéficiaire, le prestataire de services de paiement du payeur devrait corriger l'opération de paiement ou rembourser au payeur sans tarder le montant correspondant de l'opération, sans préjudice de tout autre recours susceptible d'être présenté conformément au droit national. La présente directive ne devrait concerner que les obligations contractuelles et les responsabilités respectives de l'utilisateur de services de paiement et de son prestataire de services de paiement. [...] »
7. L’article 4 de cette directive dispose :
« Aux fins de la présente directive, on entend par :
[...]
7) “payeur” : personne physique ou morale qui est titulaire d’un compte de paiement et autorise un ordre de paiement à partir de ce compte de paiement, ou, en l’absence de compte de paiement, une personne physique ou morale qui donne un ordre de paiement ;
[...]
10) “utilisateur de services de paiement” : une personne physique ou morale qui utilise un service de paiement en qualité de payeur ou de bénéficiaire, ou des deux ;
[...] »
8. L’article 51, paragraphe 1, de ladite directive prévoit :
« Lorsque l’utilisateur de services de paiement n’est pas un consommateur, les parties peuvent décider que l’article 52, paragraphe 1, l’article 54, paragraphe 3, ainsi que les articles 59, 61, 62, 63, 66 et 75 ne s’appliquent pas, en tout ou partie. Les parties peuvent également convenir d’un délai distinct de celui prévu à l'article 58. »
9. Aux termes de l’article 58 de cette même directive :
« L’utilisateur de services de paiement n’obtient du prestataire de services de paiement la correction d’une opération que s’il signale sans tarder à son prestataire de services de paiement qu’il a constaté une opération de paiement non autorisée ou mal exécutée donnant lieu à une revendication, y compris au titre de l’article 75, et au plus tard dans les treize mois suivant la date de débit, à moins que, le cas échéant, le prestataire de services de paiement n’ait pas fourni ou mis à disposition les informations relatives à cette opération de paiement conformément au titre III. »
10. L’article 59, paragraphe 1, de la directive 2007/64 est libellé comme suit :
« Les États membres exigent que, lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre »
11. L’article 60 de cette directive prévoit :
« 1. Les États membres veillent, sans préjudice de l’article 58, à ce que, en cas d’opération de paiement non autorisée, le prestataire de services de paiement du payeur rembourse immédiatement au payeur le montant de cette opération de paiement non autorisée et, le cas échéant, rétablisse le compte de paiement débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu.
2. Une indemnisation financière complémentaire peut être déterminée conformément à la loi applicable au contrat conclu entre le payeur et son prestataire de services de paiement. »
12. L’article 75, paragraphe 1, premier et deuxième alinéas, de ladite directive dispose :
« Lorsqu’un ordre de paiement est initié par le payeur, son prestataire de services de paiement est, sans préjudice de l’article 58, de l’article 74, paragraphes 2 et 3, et de l’article 78, responsable de la bonne exécution de l’opération de paiement à l’égard du payeur, à moins qu’il ne puisse démontrer au payeur et, le cas échéant, au prestataire de services de paiement du bénéficiaire que le prestataire de services de paiement du bénéficiaire a reçu le montant de l’opération de paiement conformément à l’article 69, paragraphe 1, auquel cas c’est le prestataire de services de paiement du bénéficiaire qui est responsable de la bonne exécution de l’opération de paiement à l'égard du bénéficiaire.
Lorsque le prestataire de services de paiement du payeur est responsable au titre du premier alinéa, il restitue sans tarder au payeur le montant de l’opération de paiement non exécutée ou mal exécutée et, si besoin est, rétablit le compte de paiement débité dans la situation qui aurait prévalu si la mauvaise opération de paiement n'avait pas eu lieu. »
13. L’article 86, paragraphe 1, de la même directive prévoit :
« Sans préjudice de l’article 30, paragraphe 2, de l’article 33, de l’article 34, paragraphe 2, de l’article 45, paragraphe 6, de l’article 47, paragraphe 3, de l’article 48, paragraphe 3, de l’article 51, paragraphe 2, de l’article 52, paragraphe 3, de l’article 53, paragraphe 2, de l’article 61, paragraphe 3, ainsi que des articles 72 et 88, dans la mesure où la présente directive contient des dispositions harmonisées, les États membres ne peuvent maintenir en vigueur ni introduire des dispositions différentes de celles contenues dans la présente directive. »
14. La directive 2007/64 a été remplacée par la directive (UE) 2015/2366 du Parlement européen et du Conseil, du 25 novembre 2015, concernant les services de paiement dans le marché intérieur, modifiant les directives 2002/65/CE, 2009/110/CE et 2013/36/UE et le règlement (UE) nº 1093/2010, et abrogeant la directive [2007/64] (3).
15. L’article 71, paragraphe 1, l’article 72, paragraphe 1, premier alinéa, l’article 73, paragraphe 1, l’article 89, paragraphe 1 et l’article 107, paragraphe 1, de la directive 2015/2366 correspondent, respectivement et en substance, à l’article 58, à l’article 59, paragraphe 1, à l’article 60, à l’article 75, paragraphe 1, premier et deuxième alinéas, et à l’article 86, paragraphe 1, de la directive 2007/64 (4).
B. Le droit français
16. Les dispositions de la directive 2007/64, telles que transposées en droit français, figurent dans le code monétaire et financier, dans sa rédaction issue de l’ordonnance nº 2009-866, du 15ºjuillet 2009, relative aux conditions régissant la fourniture de services de paiement et portant création des établissements de paiement (JORF du 16 juillet 2009, texte nº 13) (ci-après le « code monétaire et financier »).
17. L’article L. 133-18 du code monétaire et financier, qui a transposé l’article 60 de la directive 2007/64, dispose :
« En cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L. 133-24, le prestataire de services de paiement du payeur rembourse immédiatement au payeur le montant de l’opération non autorisée et, le cas échéant, rétablit le compte débité dans l’État où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu.
Le payeur et son prestataire de services de paiement peuvent décider contractuellement d’une indemnité complémentaire. »
18. L’article L. 133-23 du code monétaire et financier a transposé l’article 59 de la directive 2007/64.
19. L’article L. 133-24 du code monétaire et financier, qui a transposé l’article 58 de la directive 2007/64, est libellé comme suit :
« L’utilisateur de services de paiement signale, sans tarder, à son prestataire de services de paiement une opération de paiement non autorisée ou mal exécutée et au plus tard dans les treize mois suivant la date de débit sous peine de forclusion à moins que le prestataire de services de paiement ne lui ait pas fourni ou n’ait pas mis à sa disposition les informations relatives à cette opération de paiement conformément au chapitre IV du titre 1er du livre III.
Sauf dans les cas où l’utilisateur est une personne physique agissant pour des besoins non professionnels, les parties peuvent décider de déroger aux dispositions du présent article. »
20. Aux termes de l’article 1147 du code civil :
« Le débiteur est condamné, s’il y a lieu, au paiement de dommages et intérêts, soit à raison de l’inexécution de l’obligation, soit à raison du retard dans l’exécution, toutes les fois qu’il ne justifie pas que l’inexécution provient d’une cause étrangère qui ne peut lui être imputée, encore qu’il n’y ait aucune mauvaise foi de sa part. »
21. L’article 2313 du code civil prévoit :
« La caution peut opposer au créancier toutes les exceptions qui appartiennent au débiteur principal, et qui sont inhérentes à la dette ;
Mais elle ne peut opposer les exceptions qui sont purement personnelles au débiteur. »
III. Le litige au principal, les questions préjudicielles et la procédure devant la Cour
22. Le 22 décembre 2008, la banque a consenti à la société GCA une ouverture de crédit en compte courant, garantie par le cautionnement solidaire de LR.
23. Après avoir dénoncé cette ouverture de crédit, la banque a assigné LR en paiement, en tant que caution. Celui-ci a soutenu que, en procédant à des virements au profit de tiers sans autorisation, la banque avait commis une faute et que le montant de ces virements devait être déduit des sommes qu’elle lui réclamait.
24. En se fondant sur l’article L. 133-24 du code monétaire et financier qui transpose l’article 58 de la directive 2007/64, la cour d’appel d’Aix-en-Provence (France) a considéré que les contestations de LR étaient irrecevables, dès lors que le délai de treize mois pour contester les virements litigieux, prévu par cette disposition, avait expiré avant l’introduction de ces contestations et que la forclusion était encourue à l’égard de celles-ci.
25. Dans le pourvoi introduit devant la Cour de cassation, LR et la gérante de la société GCA, DM, reconnaissent que ce délai de treize mois a expiré. Ils soutiennent néanmoins que ladite disposition du code monétaire et financier ne fait pas obstacle à ce que la responsabilité de droit commun de la banque, prévue à l’article 1147 du code civil, soit retenue en cas de manquement à son devoir de vigilance.
26. Or, selon LR et DM, la circonstance que les virements en cause ont été effectués par la banque sans autorisation de la société GCA est constitutive d’une faute contractuelle, devant être réparée sur le fondement de l’article 1147 du code civil.
27. La juridiction de renvoi précise que, selon le droit national, la caution peut opposer au créancier toutes les exceptions qui appartiennent au débiteur principal et qui sont inhérentes à la dette et notamment la compensation de ce que le créancier doit au débiteur principal. Cette juridiction ajoute que cette règle peut trouver à s’appliquer lorsque le créancier a commis une faute à l’égard du débiteur principal, engageant sa responsabilité civile et l’obligeant en conséquence au paiement de dommages et intérêts audit débiteur principal en réparation de son préjudice.
28. Ladite juridiction souligne encore que, en vertu de l’article 1147 du code civil, toute inexécution d’une obligation contractuelle ayant causé un dommage au créancier de l’obligation oblige le débiteur de celle-ci à en répondre.
29. La juridiction de renvoi s’interroge toutefois sur la possibilité pour la caution de s’appuyer sur les règles de droit commun de la responsabilité contractuelle, compte tenu des règles de responsabilité prévues par la directive 2007/64 et transposées dans le code monétaire et financier.
30. C’est dans ces circonstances que la Cour de cassation a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :
« 1) L’article 58 de la directive 2007/64 [...] doit-il être interprété en ce sens qu’il instaure, pour les opérations de paiement non autorisées ou mal exécutées, un régime de responsabilité du prestataire de services de paiement exclusif de toute action en responsabilité civile de droit commun fondée, à raison des mêmes faits, sur un manquement de ce prestataire aux obligations qui lui sont imposées par le droit national, en particulier dans l’hypothèse où l’utilisateur de services de paiement n’a pas, dans les treize mois du débit, informé le prestataire de services de paiement qu’une opération de paiement n’avait pas été autorisée ou avait été mal exécutée ?
2) En cas de réponse affirmative à la première question, le même article s’oppose-t-il à ce que la caution de l’utilisateur de services de paiement invoque, à raison des mêmes faits, la responsabilité civile de droit commun du prestataire de services de paiement, bénéficiaire du cautionnement, pour contester le montant de la dette garantie ? »
31. La demande de décision préjudicielle, en date du 16 juillet 2020, a été enregistrée au greffe de la Cour le 23 juillet 2020.
32. Les gouvernements français, tchèque et italien ainsi que la Commission européenne ont déposé des observations écrites et ont également répondu par écrit aux questions posées par la Cour le 8 mars 2021.
IV. Analyse
33. Par sa demande de décision préjudicielle, la juridiction de renvoi demande à la Cour de l’éclairer sur l’articulation entre le régime de responsabilité du prestataire de services de paiement instauré par les articles 58 à 60 de la directive 2007/64 et celui de la responsabilité civile de droit commun prévu par le droit national. Plus précisément, la juridiction de renvoi cherche à savoir, en substance, premièrement, si l’article 60 de la directive 2007/64, lu en combinaison avec les articles 58 et 59 de cette directive, s’oppose à toute action en responsabilité du prestataire de services de paiement, fondée sur un régime de responsabilité contractuelle de droit commun, notamment lorsque le délai de forclusion pour notifier une opération non autorisée (5) a expiré (première question préjudicielle) et, deuxièmement, s’il en va de même lorsqu’une telle action en responsabilité est intentée par un tiers, à savoir la caution de l’utilisateur de services (seconde question préjudicielle).
34. Afin de répondre à la juridiction de renvoi, j’estime utile d’expliquer le régime de responsabilité instauré par la directive 2007/64, notamment à ses articles 58 à 60, et de déterminer si un régime de responsabilité concurrent peut s’appliquer, avant d’examiner si un tiers, tel que la caution de l’utilisateur de services, est libre d’engager la responsabilité du prestataire de services de paiement sur le fondement de ce régime concurrent.
A. Sur le régime de responsabilité du prestataire de services tel qu’instauré par la directive 2007/64 (première question préjudicielle)
35. Par sa première question préjudicielle, la juridiction de renvoi cherche à savoir, en substance, si le régime de responsabilité du prestataire de services de paiement instauré par la directive 2007/64 en cas d’opération de paiement non autorisée est exclusif de toute action en responsabilité civile de droit commun fondée, à raison des mêmes faits, sur un manquement de ce prestataire aux obligations qui lui sont imposées par le droit national.
36. Alors que les gouvernements français et tchèque ainsi que la Commission, à titre subsidiaire, considèrent que ce régime de responsabilité mis en place par la directive 2007/64 ne permet pas l’application d’un régime de responsabilité contractuelle de droit commun pour ces mêmes opérations, le gouvernement italien estime, à l’inverse, que les deux régimes de responsabilité peuvent coexister.
37. À l’issue d’une analyse fondée sur le libellé des articles 58 et 60 de la directive 2007/64 et sur le contexte de ces dispositions, ainsi qu’à la lumière des objectifs de cette directive (6), je suis d’avis que le régime de responsabilité du prestataire de services de paiement à l’égard de l’utilisateur de services de paiement en cas d’opération non autorisée, établi par ladite directive, fait l’objet d’une harmonisation totale de sorte que ce régime est exclusif de tout régime de responsabilité concurrent.
38. S’agissant tout d’abord du libellé des articles 58 et 60 de la directive 2007/64, je constate que l’article 58 introduit une obligation générale de notification de toute opération non autorisée ou mal exécutée, de telle sorte que l’utilisateur de services n’obtient la correction d’une opération non autorisée ou mal exécutée que s’il signale une telle opération à son prestataire de services, cette notification devant être effectuée au plus tard dans les treize mois suivant la date de débit correspondante.
39. L’article 60 de cette directive porte spécifiquement sur la responsabilité du prestataire de services en cas d’opération non autorisée (7). Son paragraphe 1 prévoit que les États membres veillent, sans préjudice de l’article 58, à ce que le prestataire de services rembourse immédiatement au payeur le montant d’une opération non autorisée.
40. L’expression « sans préjudice de l’article 58 », énoncée à l’article 60 de la directive 2007/64, signifie qu’il ne doit pas être porté atteinte à l’article 58 de cette directive. Il en résulte, à mon sens, que l’engagement de la responsabilité du prestataire en cas d’opération non autorisée est subordonné au respect de la procédure de notification par l’utilisateur de services, prévue à l’article 58 de ladite directive, dont le délai ne peut pas dépasser treize mois suivant la date de débit.
41. Le considérant 31 de la directive 2007/64 met en évidence qu’il s’agit bien d’une condition en énonçant que, si l’utilisateur de services de paiement respecte le délai de notification, il devrait pouvoir faire valoir sa revendication relative au caractère non autorisé du paiement.
42. La lecture conjointe de ces dispositions conduit ainsi à la conclusion selon laquelle un utilisateur de services qui n’a pas signalé à son prestataire de services, dans les treize mois suivant la date de débit, une opération non autorisée ne peut pas engager la responsabilité de ce dernier (8), y compris sur le fondement du droit commun, et, partant, ne peut obtenir le remboursement de cette opération non autorisée (9).
43. Cette interprétation est confortée par l’examen du contexte de ces dispositions, en ce compris, d’une part, leur contexte « externe », c’est‑à‑dire les travaux préparatoires et, d’autre part, leur contexte « interne » ou systémique, autrement dit leur interaction avec les autres dispositions de la directive 2007/64 prise dans son ensemble (10).
44. Premièrement, il ressort des travaux préparatoires que la proposition initiale de directive de la Commission (11) n’imposait pas de délai maximal à l’utilisateur de services pour notifier une opération non autorisée, à l’instar du délai figurant à l’article 58 de la directive 2007/64. Il était simplement prévu que le payeur informe immédiatement son prestataire de services de paiement dès qu’il se rendait compte d’une telle opération non autorisée, d’une erreur ou de toute autre irrégularité. Quant à l’article relatif à la responsabilité du prestataire de services de paiement, correspondant à l’article 60 de cette directive, il ne faisait pas référence à cette obligation de notification.
45. L’introduction d’un délai de forclusion uniforme est toutefois rapidement apparue indispensable afin de garantir la sécurité juridique de l’utilisateur et du prestataire de services de paiement en cas d’opération de paiement non autorisée ou mal exécutée. Cela ressort des différentes propositions du Conseil (12), de l’avis du Comité économique et social européen (13) ainsi que du rapport du Parlement européen (14) et des avis des différentes commissions du Parlement (15). Tous ces participants à l’élaboration de la directive 2007/64 ont mis en évidence la nécessité d’assurer une telle sécurité juridique et, à cette fin, de prévoir que, au terme de ce délai, l’opération de paiement revêt un caractère définitif (16).
46. Au cours du processus législatif (17), il a notamment été proposé d’insérer, dans l’article même portant sur la responsabilité du prestataire de services de paiement, une condition relative à l’obligation de l’utilisateur de ces services d’avoir au préalable signalé à son prestataire dans un délai maximal qu’une ou plusieurs opérations de paiement n’avaient pas été autorisées. Au final, le législateur a choisi d’insérer cette obligation de notification dans une disposition distincte, en l’occurrence l’article 58 de la directive 2007/64, qui établit un délai maximal de treize mois, et de prévoir dans la disposition portant sur la responsabilité du prestataire de services de paiement, à savoir l’article 60 de cette directive, une référence expresse à ladite obligation.
47. Le lien entre la responsabilité du prestataire de services de paiement et le respect par l’utilisateur de ces services du délai maximal a ainsi été clairement établi par le législateur, de sorte que, à l’expiration de ce délai, cet utilisateur ne peut plus intenter une action en responsabilité à l’encontre de son prestataire en cas d’opération non autorisée.
48. Deuxièmement, le contexte « interne » ou systémique dans lequel s’inscrivent les articles 58 et 60 de la directive 2007/64 va dans ce sens. Il fait également ressortir que l’harmonisation prévue par le législateur de l’Union dans le domaine couvert par ces articles est totale et ne permet pas l’adoption de dispositions distinctes de celles adoptées par ce dernier.
49. Je relève, tout d’abord, que la directive 2007/64 prévoit un régime de responsabilité entre l’utilisateur de services de paiement et le prestataire de ces services couvrant tant les cas d’opérations de paiement non autorisées (en particulier articles 58 à 60) que ceux d’opérations mal exécutées ou non exécutées (en particulier article 75).
50. Dans tous ces cas, l’obligation de notification par l’utilisateur de services de paiement dans un délai de treize mois, prévue à l’article 58 de la directive 2007/64, joue un rôle crucial. Je l’ai démontré s’agissant des opérations non autorisées. En cas d’opérations mal exécutées ou non exécutées, je relève que l’article 75 de la directive 2007/64, qui est le pendant de l’article 60 de cette directive, renvoie également à cet article 58, en des termes identiques, en précisant que l’engagement de la responsabilité du prestataire est « sans préjudice de l’article 58 ». Le considérant 31 de ladite directive confirme que l’obligation de notification s’applique tant aux opérations non autorisées qu’à celles mal exécutées et que l’engagement de la responsabilité du prestataire de services de paiement pour mauvaise exécution des opérations de paiement est subordonné au respect du délai de notification.
51. Ensuite, dans les cas d’opérations non autorisées comme dans ceux où les opérations sont mal exécutées, l’article 59 de la directive 2007/64 relatif à la charge de la preuve prévoit qu’il incombe au prestataire de services de paiement de prouver que l’opération a été authentifiée, dûment enregistrée et comptabilisée.
52. Je souligne que cet article 59 effectue un renversement de la charge de la preuve en faisant peser celle-ci non pas sur celui qui fait valoir l’existence d’une opération non autorisée, à savoir l’utilisateur de services de paiement, mais sur le prestataire de services de paiement. Il en résulte que, pendant une période de treize mois, ce dernier est soumis à une obligation de remboursement quasi automatique et immédiate de l’opération que l’utilisateur n’a pas autorisée (18).
53. Le législateur de l’Union a ainsi établi un régime de responsabilité reposant sur trois éléments essentiels et liés entre eux, à savoir, une obligation de notification pesant sur l’utilisateur de services de paiement, inscrite à l’article 58 de la directive 2007/64, l’attribution de la charge de la preuve au prestataire de ces services, figurant à l’article 59 de cette directive, et enfin, en cas d’absence de preuve, la responsabilité de ce prestataire, conformément aux articles 60 et 75 de ladite directive, selon que l’opération a été non autorisée, non exécutée ou mal exécutée.
54. Il ressort de ces dispositions que ce régime de responsabilité du prestataire de services de paiement à l’égard de l’utilisateur de ces services constitue un régime harmonisé. À cet égard, l’article 86, paragraphe 1, de la directive 2007/64 dispose que, « dans la mesure où la présente directive contient des dispositions harmonisées, les États membres ne peuvent maintenir en vigueur ni introduire des dispositions différentes de celles contenues dans la présente directive ». Conformément à l’intitulé de cet article, cette harmonisation doit être considérée comme totale. Je souligne que, afin de distinguer les dispositions harmonisées de celles qui ne le sont pas, ledit article 86 énumère les dispositions de la directive 2007/64 qui laissent une marge de manœuvre aux États membres. Or je relève que cette énumération ne contient pas les articles 58 à 60, ni d’ailleurs les articles 74 à 78.
55. J’en déduis que des dispositions nationales différentes de celles prévues aux articles 58 à 60 de la directive 2007/64, qui prévoiraient la possibilité d’engager la responsabilité du prestataire de services de paiement à l’égard de l’utilisateur de ces services alors que celui-ci n’a pas notifié à son prestataire l’opération de paiement non autorisée dans le délai de treize mois à compter du débit non autorisé, iraient à l’encontre du régime de responsabilité prévu à ces articles 58 à 60 et seraient contraires à l’harmonisation totale que ce régime instaure.
56. Je ne peux donc souscrire à la position du gouvernement italien selon laquelle un régime national de responsabilité contractuelle de droit commun peut compléter celui instauré par la directive 2007/64 en prévoyant la responsabilité du prestataire de services de paiement à l’égard de l’utilisateur de ces services indépendamment du fait de savoir si ce dernier a respecté le délai de notification d’une opération non autorisée visé à l’article 58 de cette directive.
57. Les objectifs de la directive 2007/64 corroborent cette interprétation.
58. Ainsi qu’il ressort des considérants 1 à 5 de cette directive, le législateur de l’Union a cherché à créer un marché unique des services de paiement en remplaçant les 27 systèmes nationaux existants, dont la coexistence était source de confusion et pâtissait d’un manque de sécurité juridique, par un cadre juridique harmonisé qui définit les droits et obligations des utilisateurs et prestataires de services de paiement.
59. Il découle de l’analyse qui précède que le régime harmonisé de responsabilité pour des opérations non autorisées ou mal exécutées établi par la directive 2007/64 ne peut être concurrencé par un autre régime de responsabilité de droit national reposant sur les mêmes faits et fondements que sous réserve de ne pas porter préjudice au régime établi par cette directive et de ne pas porter atteinte aux objectifs et à l’effet utile de cette dernière (19). Dès lors, un régime de responsabilité concurrent, qui permettrait à un utilisateur de services d’engager la responsabilité de son prestataire de services en cas d’opération non autorisée alors qu’il n’a pas respecté le délai de treize mois pour signaler cette opération, serait incompatible avec la directive 2007/64.
60. Je propose par conséquent à la Cour de répondre à la première question que les articles 58 et 60 de la directive 2007/64 doivent être interprétés en ce sens qu’ils instaurent, pour les opérations de paiement non autorisées, un régime de responsabilité du prestataire de services de paiement à l’égard de l’utilisateur de ces services exclusif de tout autre régime de responsabilité fondé sur un manquement de ce prestataire lié à ces opérations, de sorte qu’un utilisateur de services de paiement qui a manqué à son obligation de notification dans les treize mois à compter de la date du débit non autorisé ne peut plus engager la responsabilité du prestataire de services de paiement.
B. Sur le régime applicable à la caution (seconde question préjudicielle)
61. Par sa seconde question préjudicielle, la juridiction de renvoi cherche à savoir si, lorsque, en raison du non-respect du délai de notification d’une opération non autorisée, l’utilisateur de services de paiement n’a plus la faculté d’engager une action en responsabilité civile à l’encontre du prestataire de services pour manquement de ce dernier à ses obligations liées à cette opération, les articles 58 à 60 de la directive 2007/64 font également obstacle à ce que la caution de cet utilisateur invoque, à raison des mêmes faits, la responsabilité civile de ce prestataire, bénéficiaire du cautionnement, pour contester le montant de la dette garantie, conformément à un régime national de droit commun.
62. Tandis que les gouvernements français et tchèque estiment que le délai de notification applicable à l’utilisateur de services conformément à l’article 58 de la directive 2007/64 est également opposable à la caution de ce dernier, la Commission soutient, à l’inverse, que la caution n’est pas soumise au champ d’application de cet article 58, ni, partant, au régime de responsabilité institué par cette directive en cas d’opération non autorisée, de sorte qu’elle peut engager une action en responsabilité contre ce prestataire fondée sur le droit commun prévu par le droit national.
63. Dans l’analyse qui suit, je vais démontrer que, si le régime de responsabilité du prestataire de services à l’égard de l’utilisateur de ces services, instauré par la directive 2007/64, fait l’objet d’une harmonisation totale, ce régime ne s’étend toutefois pas à la caution.
64. Je commencerai par quelques considérations sur la caution et le contrat de cautionnement.
65. La caution garantit au créancier le paiement de ce que le débiteur pourra devoir à ce dernier au titre de l’obligation cautionnée, à savoir la dette due par le débiteur au créancier. En aucun cas la caution ne peut devoir plus que la dette incombant au débiteur (20). Le cautionnement est le contrat par lequel la caution s’engage à l’égard du créancier à payer cette dette en cas de défaillance du débiteur (21). Ce contrat est par essence accessoire à l’obligation garantie (22). Il est aussi distinct du contrat conclu entre le débiteur et le créancier. La caution constitue ainsi un tiers par rapport au contrat qui lie le débiteur à son créancier.
66. Il existe de grandes variétés de contrats de cautionnement. En l’absence d’harmonisation en la matière, ces contrats sont soumis au droit interne des États membres, lequel peut diverger sur des points importants (23). Les obligations de la caution peuvent, par ailleurs, être très diverses d’un contrat de cautionnement à l’autre et se distinguer de celles applicables au débiteur principal sans que cela n’affecte les obligations auxquelles ce débiteur est tenu à l’égard du créancier. La caution peut ainsi s’engager à garantir l’intégralité de la dette du débiteur principal ou seulement une partie de celle-ci et la durée de son engagement peut être limitée par rapport à la durée du contrat qui lie le débiteur à son créancier. En outre, la date d’exigibilité du cautionnement, sans être antérieure à celle de la dette principale, peut être différente de celle-ci et le contrat de cautionnement peut être soumis à une loi distincte de celle applicable à la dette principale.
67. Dans l’affaire au principal, la banque, en qualité de créancier, a conclu un contrat avec le débiteur, la société GCA, en consentant à cette dernière une ouverture de crédit en compte courant, permettant le fonctionnement à découvert du compte bancaire en cause. La banque a par ailleurs conclu un contrat de cautionnement avec LR en vue de garantir solidairement la dette éventuelle de la société GCA à son égard.
68. Je rappelle que le fait que l’harmonisation soit totale n’implique pas qu’elle soit exhaustive. S’agissant de directives portant notamment sur la responsabilité de professionnels à l’égard de consommateurs, la Cour a jugé qu’une directive peut, sur les points qu’elle règlemente, poursuivre une « harmonisation totale » des dispositions législatives, réglementaires et administratives des États membres, sans pour autant avoir vocation à harmoniser de manière « exhaustive » le domaine de la responsabilité couvert par la directive, en dehors desdits points (24).
69. Les termes « harmonisation totale » portent sur la marge de manœuvre laissée aux États membres et donc sur le niveau de discrétion dont ils disposent pour transposer dans leur droit interne les points visés par la directive 2007/64, tandis que les termes « harmonisation exhaustive » concernent le champ d’application ratione materiae de cette directive (25).
70. Autrement dit, l’harmonisation peut être totale en ce sens que, comme je l’ai souligné en réponse à la première question, les États membres n’ont pas de marge de manœuvre dans la transposition de certaines dispositions de la directive 2007/64, en l’occurrence celles des articles 58 à 60 de cette directive. Ils ne peuvent pas introduire de disposition différente de celles contenues à ces articles. En revanche, l’harmonisation n’est pas exhaustive en ce qu’elle est limitée aux domaines spécifiquement couverts par ladite directive et que, en dehors de ceux-ci, les États membres restent libres de légiférer dès lors qu’ils ne portent pas atteinte à l’effet utile de cette même directive.
71. Il convient par conséquent, à ce stade, d’examiner l’étendue du domaine couvert par la directive 2007/64 en matière de responsabilité civile.
72. À mon sens, le régime de responsabilité couvert par la directive 2007/64 porte sur les relations entre l’utilisateur de services de paiement et le prestataire de ces services. Il n’a pas vocation à gouverner la relation entre ce prestataire de services et un tiers, tel que la caution.
73. Cela ressort tout d’abord des articles 58 à 60 de la directive 2007/64, qui ne mentionnent que l’utilisateur de services de paiement et le payeur, d’une part, et le prestataire de services de paiement, d’autre part. Or la caution n’est ni un utilisateur de services de paiement ni un payeur.
74. En effet, un utilisateur de services de paiement, en vertu de la définition figurant à l’article 4, point 10, de la directive 2007/64, est « une personne physique ou morale qui utilise un service de paiement en qualité de payeur ou de bénéficiaire, ou des deux ».
75. Conformément à l’article 4, point 7, de cette directive, le payeur est défini comme étant un titulaire de compte de paiement qui autorise un ordre de paiement, ou en l’absence de compte de paiement, qui donne un ordre de paiement (26).
76. Une caution, telle que LR, ne se trouve pas dans l’une de ces deux configurations et, partant, ne peut être considérée comme ayant la qualité de payeur au sens du point 10 de cet article 4. Elle n’est pas non plus le bénéficiaire d’un paiement ni un prestataire de services de paiement.
77. Il en résulte que la caution est un tiers par rapport à l’utilisateur de services de paiement et au prestataire de services de paiement visés par la directive 2007/64, ainsi que je l’ai indiqué au point 65 des présentes conclusions, et qu’elle n’entre pas dans le champ d’application ratione personae de cette dernière.
78. Cette interprétation est corroborée par les considérants de la directive 2007/64. Le considérant 5 souligne que cette directive définit les droits et obligations des utilisateurs et prestataires de services de paiement. Le considérant 6 précise qu’il n’a pas été considéré comme étant approprié de prévoir un cadre juridique totalement exhaustif.
79. Enfin, le considérant 47 de la directive 2007/64 précise que celle‑ci ne devrait concerner que les obligations contractuelles et les responsabilités respectives de l’utilisateur de services de paiement et de son prestataire de services de paiement. Cette précision est reprise à l’article 1er, paragraphe 2, de cette directive, consacré à l’objet de cette dernière, selon lequel ladite directive détermine les droits et obligations respectifs des utilisateurs de services de paiement et des prestataires de services.
80. Il découle des dispositions de la directive 2007/64, lues à la lumière des considérants de cette dernière, que celle-ci ne règlemente pas la relation entre le prestataire de services de paiement et la caution de l’utilisateur de ces services.
81. J’estime ainsi, à l’instar de la Commission, que la relation entre le prestataire de services de paiement et la caution de l’utilisateur de ces services n’entre aucunement dans le champ d’application de la directive 2007/64.
82. Le système de responsabilité mis en place par cette directive va également dans ce sens.
83. Ce système repose sur un ensemble de droits et d’obligations concernant uniquement l’utilisateur de services de paiement et le prestataire de ces services et dans lequel l’information du premier par le second joue un rôle majeur.
84. L’information figure, en effet, dans l’objet même de la directive 2007/64 (27) et le titre III de cette directive lui est entièrement consacré. Cette information est cruciale puisque c’est elle qui va permettre à l’utilisateur de services de paiement de prendre connaissance de l’existence d’une opération non autorisée, de signaler celle-ci à son prestataire de services dans le délai visé à l’article 58 de ladite directive et d’engager, le cas échéant, la responsabilité de ce dernier. Je souligne que, aux termes de cet article 58, la notification de l’opération non autorisée doit avoir lieu dans les treize mois suivant la date de débit « à moins que [...] le prestataire de services de paiement n’ait pas fourni ou mis à disposition les informations relatives à cette opération de paiement conformément au titre III » (28).
85. Le délai de treize mois ne s’applique donc que si l’information a bien été communiquée à l’utilisateur de services de paiement. Je note que l’obligation de notification dans un délai de treize mois suivant la date du débit non autorisé implique que l’utilisateur de services de paiement vérifie ses comptes au moins une fois par an.
86. Il existe ainsi un équilibre entre, premièrement, l’obligation d’information pesant sur le prestataire de services de paiement, deuxièmement, le devoir de vigilance incombant à l’utilisateur de services de paiement associé à une obligation de notification de sa part à l’intérieur d’un délai et, troisièmement, l’engagement de la responsabilité stricte de ce prestataire, sans que cet utilisateur ait à prouver une faute ou une négligence.
87. Par ailleurs, à l’avantage donné à l’utilisateur de services de paiement de pouvoir se faire rembourser immédiatement les montants versés à raison de l’opération non autorisée, s’il a respecté le délai de notification visé à l’article 58 de la directive 2007/64, correspond l’octroi d’une sécurité juridique au prestataire de services de paiement en ce que les opérations de paiement non autorisées ne peuvent plus être remises en cause par l’utilisateur de ces services à l’expiration de ce délai.
88. Cet équilibre ne concerne toutefois pas un tiers tel que la caution. En particulier, ce dernier ne disposant pas, en vertu de la directive 2007/64, de l’information communiquée à l’utilisateur de services de paiement et à laquelle est lié le délai de treize mois inscrit à l’article 58 de cette directive, ce délai ne saurait lui être opposé.
89. Ainsi, en l’absence de disposition expresse dans ladite directive visant à étendre le régime de responsabilité prévu entre l’utilisateur de services de paiement et le prestataire de ces services à un tiers tel que la caution, il me paraît injustifié de soumettre ce dernier à ce régime.
90. L’argument des gouvernements français et tchèque, selon lequel permettre à la caution de contester le montant de la dette au-delà du délai de treize mois reviendrait à contourner les exigences de la directive 2007/64 et porterait atteinte à l’effet utile de cette dernière, n’est aucunement démontré et ne saurait, à mon sens, prospérer.
91. Cela tient à la nature fondamentalement différente du contrat de cautionnement et du contrat de services de paiement.
92. Ainsi que je l’ai souligné au point 65 des présentes conclusions, le cautionnement vise à sécuriser la dette d’un débiteur envers son créancier. Le contrat de cautionnement ouvre ainsi une possibilité pour l’établissement de crédit d’obtenir le remboursement de la dette due par le débiteur. Mais il s’agit d’une relation contractuelle autre que celle qui lie l’utilisateur de services de paiement à son prestataire et qui ne concerne que l’établissement de crédit en tant que créancier et la caution du débiteur.
93. La circonstance que, à l’expiration du délai de treize mois visé à l’article 58 de la directive 2007/64, le prestataire de services de paiement ne soit plus tenu de rembourser l’utilisateur de ces services en cas d’opérations de paiement non autorisées et que ce dernier ne puisse plus remettre en cause les opérations de paiement effectuées n’exonère pas ce prestataire de son devoir de diligence dans l’exécution de ces opérations.
94. Le prestataire de services de paiement est en effet tenu d’exécuter correctement les opérations de paiement. Par conséquent, s’il commet une négligence en ne vérifiant pas que les opérations ont bien été autorisées par l’utilisateur des services de paiement et si sa négligence cause un préjudice à un tiers tel que la caution, rien n’empêche que sa responsabilité puisse être engagée à l’égard de ce tiers, si le droit national le permet. Je souligne que le cautionnement n’étant pas régi par la directive 2007/64 ni d’ailleurs par aucune autre directive, il demeure gouverné par les règles de droit national, lesquelles peuvent prévoir que la caution est soumise à des obligations propres distinctes de celles gouvernant les rapports du débiteur principal à l’égard du créancier et qui n’affectent pas celles-ci (29). Ces règles peuvent notamment permettre à la caution de réduire le montant de la dette qu’elle s’est initialement engagée à garantir. En fonction desdites règles, la caution pourra demander des dommages et intérêts et, le cas échéant, obtenir la compensation de la dette cautionnée par ces dommages et intérêts.
95. Le fait que la caution puisse invoquer le droit national pour diminuer ses obligations envers le créancier n’affecte nullement la relation contractuelle entre l’établissement de crédit, prestataire de services de paiement, et le débiteur, utilisateur de ces services. Il n’affecte notamment pas le montant de la dette due par ce dernier à ce prestataire, laquelle peut englober des sommes se rapportant à des opérations non autorisées qui n’ont pas été signalées dans le délai de treize mois visé à l’article 58 de la directive 2007/64.
96. Je rappelle encore que la caution est une sûreté supplémentaire pour l’établissement de crédit qui vise à garantir le paiement de la dette principale. Partant, si la caution obtient gain de cause et parvient à diminuer, par compensation, le montant de sa dette à l’égard de l’établissement de crédit, voire à être déchargée de son obligation à l’égard de ce dernier, cela n’affecte pas la créance de cet établissement à l’égard du débiteur principal et, par voie de conséquence, ne porte pas atteinte à l’effet utile de la directive 2007/64.
97. Ainsi que la Commission l’a indiqué, le législateur n’a pas cru bon d’étendre le régime de responsabilité prévu par la directive 2007/64 à des tiers, considérant que le régime applicable aux relations entre le prestataire de services de paiement et l’utilisateur de ces services devait suffire à régler l’essentiel des revendications issues des opérations de paiement et à réduire les risques et les conséquences des opérations non autorisées et mal exécutées (30).
98. J’estime, par conséquent, que l’engagement par la caution de la responsabilité éventuelle du créancier, si le droit national le permet, est un exemple d’un autre recours susceptible d’être présenté conformément au droit national, au sens du considérant 47 de la directive 2007/64, qui ne porte aucunement atteinte à l’effet utile de cette directive.
V. Conclusion
99. Compte tenu de l’analyse qui précède, je propose à la Cour de répondre aux questions posées par la Cour de cassation (France) de la manière suivante :
1) Les articles 58 à 60 de la directive 2007/64/CE du Parlement européen et du Conseil, du 13 novembre 2007, concernant les services de paiement dans le marché intérieur, modifiant les directives 97/7/CE, 2002/65/CE, 2005/60/CE ainsi que 2006/48/CE et abrogeant la directive 97/5/CE doivent être interprétés en ce sens qu’ils instaurent, pour les opérations de paiement non autorisées, un régime de responsabilité du prestataire de services de paiement exclusif de tout autre régime de responsabilité fondé sur un manquement de ce prestataire lié à ces opérations, de sorte qu’un utilisateur de services de paiement qui a manqué à son obligation de notification dans les treize mois à compter de la date du débit non autorisé ne peut plus engager la responsabilité du prestataire de services de paiement.
2) Les articles 58 à 60 de la directive 2007/64 ne s’opposent pas à ce qu’une personne autre que l’utilisateur de services de paiement, telle que sa caution, puisse invoquer la responsabilité civile de droit commun du prestataire de services de paiement pour une opération de paiement non autorisée, y compris dans l’hypothèse où l’utilisateur de services de paiement n’a pas signalé cette dernière à ce prestataire dans le délai de treize mois à compter du débit non autorisé.