Cour d’appel de Paris, 10 janvier 2025, Pôle 5 – Chambre 11, RG n° 22/11677
La clause exonérant le prestataire de sa responsabilité « au titre de tous dommages ou préjudices indirects ou immatériels qui pourraient résulter de l’inexécution ou de l’exécution défectueuse des services » ne trouve pas à s’appliquer dans la mesure où c’est un défaut d’information et de conseil qui est reproché au prestataire et non une défaillance de son interface.
Fourniture d’une solution de paiements à distance et opérations frauduleuses : le prestataire tente de s’exonérer de sa responsabilité
Une société développant une solution de chèque cadeau dématérialisé contractualise avec un prestataire informatique pour la fourniture d’une interface de gestion lui permettant d’accepter des opérations de paiement par carte en vente à distance, s’appuyant sur un dispositif nommé « Smart 3-D Secure » consistant à calculer en temps réel un score de risque associé à tout paiement de manière à prévenir les opérations bancaires frauduleuses.
Le client, victime d’une série d’opérations frauduleuses, met en demeure son prestataire en lui demandant de réparer le préjudice résultant des fraudes. Face au refus de ce dernier de faire droit à ses demandes indemnitaires, le client l’assigne en réparation devant le tribunal de commerce de Paris.
Le prestataire, condamné à payer une somme correspondant au montant des transactions frauduleuses, interjette appel, faisant fait valoir que sa responsabilité contractuelle ne peut être engagée.
Le prestataire soutient notamment que :
- le client a expressément accepté une clause exonératoire de responsabilité en cas de fraude, lequel est une reprise des dispositions du code monétaire et financier ;
- il n’a pas manqué à son devoir d’information précontractuelle dans la mesure où le client, spécialiste de la vente à distance et du prépaiement, est un professionnel averti et qu’il était en tout état de cause parfaitement informé des avantages et inconvénients liés à l’utilisation de l’authentification 3D Secure, du « Smart 3-D Secure » et de la facilité de paiement sans authentification en « one click » ;
- le client aurait choisi délibérément d’activer un mode de paiement simplifié pour ses clients.
Le client considère que l’appelante a manqué à son obligation précontractuelle d’information en ce qu’elle a présenté son système « Smart 3-D Secure » comme un outil efficace alors qu’il n’offrait manifestement pas des garanties suffisantes en matière de sécurité et qu’il appartenait au prestataire de conseiller le client sur la meilleure manière d’assurer la sécurité de sa plate-forme de vente.
Le client soutient également que :
- l’algorithme de détection des fraudes recommandé n’a pas fonctionné ;
- Il doit être qualifié de professionnel non-averti s’agissant d’un outil novateur et exclusif du prestataire ;
- l’obligation d’information incombant au prestataire consistait à jouer un rôle actif pour s’adapter à la situation de sa cliente ;
- le prestataire a manqué à son devoir de conseil au cours de l’exécution du contrat, n’ayant pas été en mesure de lui conseiller à partir du moment où des fraudes ont été détectées, les mesures de nature à y mettre un terme et conseillant même de ne rien faire au motif que le risque était assuré ;
- la clause d’exonération de responsabilité prévue par les conditions générales de vente ne peut s’appliquer en cas de manquement à son devoir d’information et de conseil.
Le client réclame la réparation du préjudice que lui a causé ce défaut de conseil et qui représente le montant découlant des fraudes qui auraient pu être évitées si le système sécurisé avait été mis en place sur toutes les transactions.
Les limitations de responsabilité contractuelles inefficaces en cas de manquement à l’obligation de conseil du prestataire
La cour rappelle que les dispositions antérieures à la réforme du droit des contrats trouvent ici application. C’est donc sur le fondement des anciens articles 1134 et 1147 du code civil qu’elle va condamner le prestataire.
Les juges analysent en détail le bon de commande et le contenu des dispositions contractuelles, ainsi que les échanges entre les parties en cours d’exécution du contrat. Il en ressort que le prestataire a dispensé des conseils sur l’utilisation de son interface et surtout le niveau de sécurisation souhaité par son client, en conseillant de baisser le niveau de sécurité afin de réduire le taux d’échec des opérations, et en recommandant de ne rien changer après le constat d’un comportement suspect d’un acheteur. Or les fraudes se sont poursuivies et l’utilisation inadéquate de son interface n’a pas permis d’enrayer ce phénomène, de sorte que le client a été contraint de rembourser une partie du montant issu de la fraude aux utilisateurs.
Ainsi , contrairement à ce que soutient le prestataire, sa cliente avait émis le souhait d’un niveau de sécurisation important et ne peut être considérée, alors qu’en tant que prestataire de services elle l’invitait constamment à baisser son niveau de sécurisation afin d’avoir un rendement optimal, comme une professionnelle avertie dûment informée des risques d’un tel choix.
Le prestataire a ainsi, en cours d’exécution du contrat, prodigué moult conseils qui se sont révélés inadaptés puisqu’ils n’ont permis ni d’empêcher ni d’enrayer les fraudes survenues.
S’agissant de la clause limitative de responsabilité, la Cour considère qu’elle n’a pas vocation à s’appliquer dans la mesure où la responsabilité de la société n’est pas recherchée en sa qualité de prestataire de services de paiement, en raison d’une défaillance de l’interface, mais en tant que fournisseur de cette interface pour l’utilisation de laquelle elle fournissait des conseils au client en cours d’exécution du contrat.
S’agissant de la clause exclusive de responsabilité, qui écartait explicitement la responsabilité dans le cas d’un « phishing » ou d’une opération de « carding », elle est également inapplicable car elle comportait dans sa rédaction une condition selon laquelle les fraudes constatées devaient résulter d’escroquerie en bande organisée, ce qui n’est pas démontré en l’espèce.
La Cour ajoute que l’exonération de responsabilité contractuellement prévue « au titre des dommages ou préjudices indirects ou immatériels » pouvant résulter d’une mauvaise exécution des services ne saurait non plus s’appliquer. Les juges rappellent, à cet égard, que ce qui est ici reproché n’est pas une défaillance de l’interface, mais un défaut d’information et de conseil de la société.
Le jugement est par conséquent confirmé en ce qu’il a retenu la responsabilité contractuelle du prestataire et écarté l’application de la clause limitative des conditions générales de vente.
Il sera également confirmé s’agissant du montant du préjudice subi.
Cette décision surprend dans la mesure où l’obligation de conseil contractuelle est généralement considérée comme accessoire de l’obligation principale de délivrance conforme. En ce sens, si la clause limitative de responsabilité a vocation à s’appliquer en cas de violation de l’obligation principale, pourquoi ne s’appliquerait-elle pas en cas de violation de l’obligation de conseil qui est son accessoire ?
En tout état de cause, cet arrêt impactera la rédaction des clauses limitatives de responsabilité figurant dans vos contrats…
