Précisions de la CJUE sur l'articulation entre régime de responsabilité de la directive DSP et régime national de responsabilité contractuelle de droit commun

L'utilisateur de services de paiement est tenu d'engager la responsabilité civile du prestataire sur le fondement de la directive DSP dans le marché intérieur, tandis que la caution d'un utilisateur de ces services est libre d'engager la responsabilité du prestataire dans le cadre d'un régime national de responsabilité de droit commun. Telle est, en substance, la réponse de la CJUE aux questions qui lui étaient posées par la Cour de cassation française (Cass. com., 16 juill. 2020, n° 17-19.441).

L'affaire lui avait été présentée dans le cadre d'un litige opposant la gérante d'une société et sa caution à une banque qui avait consenti à la société une ouverture de crédit en compte courant, garantie par un cautionnement solidaire. Après avoir dénoncé cette ouverture de crédit, la banque a assigné en paiement la caution, qui a soutenu qu'en procédant à des virements au profit de tiers sans autorisation, la banque avait commis une faute et que le montant de ces virements devait venir en déduction de sa créance.
Devant la Cour de cassation, la gérante de la société et la caution ont fait valoir que, si, compte tenu des dispositions de la directive DSP, une société en position de débiteur est forclose pour engager la responsabilité d'un établissement de crédit qui a exécuté des opérations de paiement que cette société n'avait pas autorisées, cette directive ne fait pas obstacle à ce que la caution invoque, à raison des mêmes faits, la responsabilité de cet établissement, si le droit national le permet.

La Cour de cassation a donc interrogé la CJUE pour savoir si les dispositions de la directive DSP sont pleinement harmonisées, de sorte que les États membres ne disposent pas de marge de manœuvre en ce qui concerne la responsabilité des parties à une opération de paiement, et si ces dispositions affectent la relation entre une caution, qui garantit la dette du débiteur à l'égard du créancier, et ce créancier.

La CJUE considère que lorsque l'utilisateur de services de paiement a manqué à̀ son obligation de notification des opérations de paiement non autorisées ou mal exécutées au sens de l'article 58 de la directive 2007/64/CE, il ne peut engager la responsabilité civile du prestataire sur le fondement d'un régime autre que celui des articles 58 et 60 § 1 de cette directive. La Cour relève en effet que le régime de responsabilité des prestataires de services de paiement prévu par ces dispositions fait l'objet d'une harmonisation totale en droit de l'UE. Elle souligne que législateur de l'Union a établi, de la façon la plus claire possible, le lien entre la responsabilité du prestataire de services de paiement et le respect par l'utilisateur de ces services du délai maximal de treize mois pour notifier toute opération non autorisée afin de pouvoir engager la responsabilité, de ce fait, de ce prestataire. Ce faisant, il a également fait le choix univoque de ne pas permettre à cet utilisateur d'intenter une action en responsabilité dudit prestataire en cas d'opération non autorisée, à l'expiration de ce délai. Tout système parallèle au sein des États membres, serait donc incompatible avec la directive DSP.

En revanche, juge la Cour, la directive porte spécifiquement sur les relations entre l'utilisateur de services de paiement et le prestataire. Elle rappelle à cet égard que le contrat de cautionnement entre un prestataire de services de paiement et une caution n'est pas régi par les dispositions de la directive DSP ni d'ailleurs par aucun autre instrument de droit de l'Union. Un tel contrat demeure donc soumis aux droits et aux obligations déterminées par le droit national applicable. Il est dès lors possible pour la caution d'un utilisateur de services de paiement d'invoquer la responsabilité civile du prestataire dans le cadre d‘un régime national de responsabilité contractuelle de droit commun.