Extrait : « Une opération de paiement n'est autorisée au sens des articles L. 133-3 et L. 133-6 du code monétaire et financier que si le payeur l'a initiée et a consenti au montant de l'opération. En cas d'opération de paiement non autorisée signalée par l'utilisateur dans les délais prévus par l'article L. 133-24 du même code, le prestataire de services de paiement du payeur rembourse à ce dernier le montant de l'opération non autorisée sauf s'il a de bonnes raisons de soupçonner une fraude de l'utilisateur du service de paiement. Dans cette hypothèse, il incombe au prestataire de paiement de prouver que l'opération litigieuse a été effectuée après une authentification forte, dûment enregistrée et comptabilisée et qu'elle n'a pas été affectée par une déficience technique ou autre, l'utilisation de l'instrument de paiement telle qu'enregistrée par le prestataire de services de paiement, à savoir l'utilisation des identifiants du client et l'absence de déficience technique ou autre, notamment par le biais de la production d'un relevé de ses connexions, ne suffisant pas nécessairement en tant que telle à prouver que l'opération a été autorisée par le payeur.

L'article L. 133-4 (f) du code précité précise qu'une authentification forte s'entend d'une authentification reposant sur l'utilisation de deux éléments ou plus appartenant aux catégories « connaissance » (quelque chose que seul l'utilisateur connaît telle qu'un mot de passe, un code secret, une question secrète, etc…), « possession » (quelque chose que seul l'utilisateur possède telle qu'un téléphone portable, une montre connectée, une clé USB etc…) et « inhérence » (quelque chose que l'utilisateur est telle que la reconnaissance faciale ou vocale, la reconnaissance par empreinte digitale, etc…) et indépendants en ce sens que la compromission de l'un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d'authentification. L'authentification forte repose donc sur l'utilisation de deux de ces éléments, voire plus.

Par ailleurs, la responsabilité du payeur n'est pas engagée si l'opération de paiement non autorisée a été effectuée en détournant, à son insu, l'instrument de paiement ou les données qui lui sont liées. Cependant, il supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d'agissements frauduleux de sa part ou s'il n'a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17 du code précité.

Ainsi, pour échapper au remboursement de l'opération contestée, le prestataire de services de paiement doit démontrer, soit que l'ordre émanait bel et bien du client dûment authentifié dans son espace personnel, soit que le vol des identifiants de connexion (ou d'autres données) n'est que la conséquence d'une faute grave de sa part consistant à ne pas avoir satisfait intentionnellement aux obligations lui incombant en la matière ou à les avoir gravement négligées.

Cependant, l'article L. 133-2 du même code dispose que sauf dans les cas où l'utilisateur est une personne physique agissant pour des besoins non professionnels, il peut être dérogé par contrat à certaines de ces règles régissant la responsabilité des professionnels et que la charge de la preuve peut notamment incomber à l'utilisateur client.

Enfin, si la négligence grave du payeur ne saurait résulter de la seule utilisation de son instrument de paiement, en revanche, elle peut être déduite de son comportement à l'occasion d'une telle utilisation et des circonstances de l'espèce. »

 

RÉPUBLIQUE FRANÇAISE

AU NOM DU PEUPLE FRANÇAIS

 

TRIBUNAL JUDICIAIRE DE PARIS

NEUVIÈME CHAMBRE DEUXIÈME SECTION

JUGEMENT DU 15 MAI 2024

 

R.G. n° 23/01269. Jugement n° 3. N° Portalis 352J-W-B7H-CYXOU. Assignation du : 10 janvier 2023.

 

DEMANDEUR :

Monsieur X.

[Adresse 1], [Localité 3], représenté par Maître Hélène BOUJENAH, avocat au barreau de PARIS, avocat constitué, vestiaire #A878

 

DÉFENDERESSE :

SA BRED BANQUE POPULAIRE

[Adresse 2], [Localité 4], représentée par Maître Jean-Philippe GOSSET de la SELARL CABINET GOSSET, avocat au barreau de PARIS, avocat constitué, vestiaire #B0812

 

COMPOSITION DU TRIBUNAL : Monsieur Gilles MALFRE, 1er Vice-président adjoint, Monsieur Alexandre PARASTATIDIS, Juge, Monsieur Augustin BOUJEKA, Vice-Président, assisté de Alise CONDAMINE-DUCREUX, Greffière lors de l’audience, et de Pierre-Louis MICHALAK, Greffier lors de la mise à disposition,

DÉBATS : A l’audience du 28 février 2024 tenue en audience publique devant Monsieur Alexandre PARASTATIDIS, juge rapporteur, qui, sans opposition des avocats, a tenu seul l’audience, et, après avoir entendu les conseils des parties, en a rendu compte au Tribunal, conformément aux dispositions de l’article 805 du Code de Procédure Civile 71192CCF7D68F6ECF7E8E35EE0AB5BBF. Avis a été donné que la décision serait rendue par mise à disposition au greffe le 15 mai 2024.

JUGEMENT : Prononcé en audience publique, Contradictoire, en premier ressort

 

FAITS ET PROCÉDURE :

M. X., avocat de profession, est titulaire d'un compte bancaire professionnel ouvert dans les livres de la SA Bred Banque populaire (ci-après Bred BP) auquel est associée une carte bancaire.

Le 8 juillet 2022, il a effectué un signalement de fraude à la carte bancaire sur le site « service-public.fr » concernant trois paiements effectués le 7 juillet 2022 au moyen de sa carte pour un montant total de 10.369,41 euros (les deux premiers au bénéfice de « Eboutique Total » pour les montants respectifs de 3.820,08 et 3.972,33 euros, et le troisième pour un montant de 2.577 euros au bénéfice de « Auchan ») dont il a transmis le même jour une copie par courriel à sa banque au soutien d'une demande de remboursement des sommes débitées et de mise en opposition de sa carte.

Par lettre du 7 octobre 2022, la Bred BP a informé M. X. de son refus de procéder au remboursement des opérations, celles-ci ayant fait l'objet d'une authentification forte.

Par courriel du 28 novembre 2022, l'établissement a maintenu sa position malgré la mise en demeure de revoir sa position adressée par le conseil de M. X. le 25 octobre 2022.

C'est dans ces conditions que par exploit de commissaire de justice du 10 janvier 2023, M. X. a fait assigner la Bred BP devant le tribunal judiciaire de Paris aux fins de voir cette dernière condamnée principalement à l'indemniser. Aux termes de ses dernières conclusions signifiées par voie électronique le 12 décembre 2023, aux visas des articles L. 561-6, L. 133-18, L. 133-19 et L. 133-23 du code monétaire et financier, et 1171 du code civil, il est demandé au tribunal de :

« JUGER recevable et bien-fondé Monsieur X. en ses demandes.

JUGER non opposable à Monsieur X. les conditions générales produites par la BRED en pièce adverse n°1

Subsidiairement, JUGER réputés non écrits l'article préliminaire des conditions générales de vente en ce qu'il prévoit une dérogation à l'article L 133-23 du code monétaire et financier, ainsi que la clause suivante :

« L'utilisation de l'instrument de paiement telle qu'enregistrée par le prestataire de services de paiement suffit nécessairement en tant que telle à prouver que l'opération a été autorisée par le payeur ou que celui-ci n'a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière ».

CONDAMNER la BRED Banque Populaire à rembourser à Monsieur X. la somme de 10.369,41 euros correspondant à la somme des règlements frauduleux opérés depuis son compte le 7 juillet 2022, avec intérêts au taux légal à compter du 25 octobre 2022

ORDONNER la publication du jugement à intervenir sur une demi-page dans deux journaux, tels que le Point et le Nouvel Observateur et CONDAMNER la BRED Banque Populaire au titre des frais de publication à la somme de 30.000 € pour mémoire.

CONDAMNER la BRED Banque Populaire à la somme de 3.000 € au titre de l'article 700 du code de procédure civile ainsi qu'aux entiers dépens.

JUGER n'y avoir lieu à écarter l'exécution provisoire de la décision à intervenir. »

A l'appui de ses prétentions, M. X. expose avoir été victime d'une fraude selon la technique dite de « Spoofing », par un prétendu conseiller de la Bred BP qui l'a contacté par téléphone et amené, en faisant état d'opérations réelles passées sur son compte, à valider à partir de l'application Bred sur son téléphone portable des opérations présentées comme des oppositions alors qu'il s'agissait des autorisations des paiements litigieux.

Le demandeur fait tout d'abord valoir qu'en application des articles L. 641-6, L. 133-18 et L. 133-19 du code monétaire et financier, la banque, tenue à une obligation générale de vigilance et de vérification, a l'obligation de rembourser les opérations non autorisées par son client sauf à démontrer que celles-ci ont été authentifiées, dûment enregistrées et comptabilisées et qu'elles n'ont pas été affectées par une déficience technique ou autre.

Il expose qu'au cas particulier, il n'a communiqué aucune donnée de sécurité personnalisée ni aucune information au fraudeur qui cependant a nécessairement eu accès à son compte avant de le contacter puisqu'il était en mesure de lui donner l'historique des mouvements y figurant. Il conclut dès lors à la responsabilité de la banque dans la défaillance de son système informatique qu'elle reconnaît d'ailleurs elle-même en évoquant l'intrusion de tiers dans son système informatique dans une publication intitulée « Le faux service fraude » sur son site internet.

Il ajoute que la Bred BP ne saurait renverser la charge de la preuve du caractère autorisé des opérations qui lui incombe en application de l'article L.133-23 du code précité en lui opposant l'article préliminaire des conditions générales applicables aux « Personnes morales et entrepreneurs individuels », dont il souligne la rédaction imprécise, qui stipule que l'utilisation de l'instrument de paiement telle qu'enregistrée par le prestataire de services de paiement suffit nécessairement en tant que telle à prouver que l'opération a été autorisée par le payeur ou que celui-ci n'a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant, en ce que la banque ne démontre pas qu'il en a eu connaissance, aucun exemplaire signé de sa main n'étant versé au débat. Il relève par ailleurs qu'exerçant une profession libérale, son compte bancaire devrait être régi par les conditions générales intitulées « Convention Bredacces prof lib » qui stipulent que l'utilisation de l'instrument de paiement telle qu'enregistrée par la banque ne suffit pas nécessairement à prouver le caractère autorisé de l'opération. A titre subsidiaire, il demande que la clause litigieuse soit déclarée non écrite en ce que celle-ci, intégrée dans un contrat d'adhésion que constituent les conditions générales qui n'ont pas été négociées, crée un déséquilibre significatif entre les droits et les obligations des parties car elle prive l'utilisateur de la possibilité de rechercher la responsabilité de sa banque.

M. X. ajoute que la Bred BP a de plus manqué à son obligation de vigilance en ne relevant pas les anomalies apparentes affectant les opérations au regard de leur nature, montant et fréquence sur une seule journée.

Il sollicite en conséquence la condamnation de la banque à lui rembourser la somme de 10.369,41 euros outre la publication de la condamnation aux frais de la défenderesse qu'il chiffre pour mémoire à la somme de 30.000 euros.

[*]

Aux termes de ses dernières conclusions signifiées par voie électronique le 7 novembre 2023, aux visas des articles 1103 du code civil et L.133-1 et suivants du code monétaire et financier, la Bred BP demande au tribunal de :

« RECEVOIR la BRED en ses conclusions, l'y déclarant bien fondée ;

JUGER que Monsieur X. ne peut obtenir le remboursement par la BRED des opérations de paiement en ligne qu'il conteste en présence d'opérations conformément authentifiées et donc autorisées et, en toute hypothèse, exécutées suite à ses négligences graves,

DEBOUTER en conséquence Monsieur X. de l'ensemble de ses demandes, fins et prétentions à l'encontre de LA BRED,

CONDAMNER Monsieur X. à verser à la BRED la somme de 2.000 € au titre de l'article 700 du Code de procédure civile,

CONDAMNER Monsieur X. aux entiers dépens. »

A l'appui de ses prétentions, s'agissant tout d'abord du caractère autorisé des opérations, la Bred BP entend souligner que M. X. reconnaît aux termes de son assignation avoir autorisé les paiements litigieux, pensant valider des « oppositions ». Elle soutient de plus qu'en application de l'article L. 133-2 du code monétaire et financier, qui permet de déroger aux dispositions de l'article L. 133-23 du même code, et des stipulations de l'article préliminaire et de l'article 7 des conditions générales qui sont parfaitement applicables au défendeur qui entre bien dans la catégorie des entrepreneurs individuels, l'utilisation de l'instrument de paiement suffit en tant que telle à prouver que l'opération a été autorisée par le payeur ou que celui-ci n'a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière. Elle fait valoir qu'il appartient dès lors à M. X. de renverser cette présomption, ce qu'il ne fait pas au cas particulier. Elle ajoute que les conditions générales produites par le défendeur concernent exclusivement les services de banque en ligne de la Bred et non la gestion de compte courant et des instruments de paiement du client, ce qui explique l'absence de stipulations dérogeant à l'article L. 133-23 du code monétaire et financier. Elle conclut enfin au rejet de la demande tendant à voir déclarée non écrite la clause prévoyant la dérogation, celle-ci étant conforme à l'article L. 133-2 du même code.

L'établissement bancaire fait dès lors valoir le caractère autorisé par authentification forte des opérations, conformément aux dispositions de l'article L.133-44 du code monétaire et financier, qui exclut toute responsabilité de sa part et donc obligation de remboursement, et ce a fortiori, au regard des négligences graves commises par le demandeur qui reconnaît avoir autorisé les opérations dans le cadre d'une escroquerie de type « phishing ».

S'agissant des manquements à son devoir de vigilance, la banque soutient qu'en qualité d'établissement teneur de compte, elle est soumise à un devoir de non-ingérence dans les affaires de son client et est tenue d'exécuter les ordres de ce dernier sans pouvoir d'appréciation sur les opérations demandées, sur leur licéité ou encore sur leur opportunité.

Enfin, elle conclut au débouté de la demande de publication dont M. X. ne démontre ni le bien-fondé ni le coût qu'il a évalué unilatéralement.

[*]

Conformément aux dispositions de l'article 455 du code de procédure civile, il est renvoyé aux dernières écritures des parties pour l'exposé des moyens et arguments venant au soutien de leurs demandes.

La clôture de l'instruction a été prononcée le 10 janvier 2024 et l'affaire a été fixée pour être plaidée à l'audience tenue en juge rapporteur du 28 février 2024 à laquelle elle a été évoquée et mise en délibéré au 15 mai 2024.

 

MOTIFS DE LA DÉCISION :

1 - Sur la demande de remboursement :

Une opération de paiement n'est autorisée au sens des articles L. 133-3 et L. 133-6 du code monétaire et financier que si le payeur l'a initiée et a consenti au montant de l'opération.

En cas d'opération de paiement non autorisée signalée par l'utilisateur dans les délais prévus par l'article L. 133-24 du même code, le prestataire de services de paiement du payeur rembourse à ce dernier le montant de l'opération non autorisée sauf s'il a de bonnes raisons de soupçonner une fraude de l'utilisateur du service de paiement.

Dans cette hypothèse, il incombe au prestataire de paiement de prouver que l'opération litigieuse a été effectuée après une authentification forte, dûment enregistrée et comptabilisée et qu'elle n'a pas été affectée par une déficience technique ou autre, l'utilisation de l'instrument de paiement telle qu'enregistrée par le prestataire de services de paiement, à savoir l'utilisation des identifiants du client et l'absence de déficience technique ou autre, notamment par le biais de la production d'un relevé de ses connexions, ne suffisant pas nécessairement en tant que telle à prouver que l'opération a été autorisée par le payeur.

L'article L. 133-4 (f) du code précité précise qu'une authentification forte s'entend d'une authentification reposant sur l'utilisation de deux éléments ou plus appartenant aux catégories « connaissance » (quelque chose que seul l'utilisateur connaît telle qu'un mot de passe, un code secret, une question secrète, etc…), « possession » (quelque chose que seul l'utilisateur possède telle qu'un téléphone portable, une montre connectée, une clé USB etc…) et « inhérence » (quelque chose que l'utilisateur est telle que la reconnaissance faciale ou vocale, la reconnaissance par empreinte digitale, etc…) et indépendants en ce sens que la compromission de l'un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d'authentification. L'authentification forte repose donc sur l'utilisation de deux de ces éléments, voire plus.

Par ailleurs, la responsabilité du payeur n'est pas engagée si l'opération de paiement non autorisée a été effectuée en détournant, à son insu, l'instrument de paiement ou les données qui lui sont liées. Cependant, il supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d'agissements frauduleux de sa part ou s'il n'a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17 du code précité.

Ainsi, pour échapper au remboursement de l'opération contestée, le prestataire de services de paiement doit démontrer, soit que l'ordre émanait bel et bien du client dûment authentifié dans son espace personnel, soit que le vol des identifiants de connexion (ou d'autres données) n'est que la conséquence d'une faute grave de sa part consistant à ne pas avoir satisfait intentionnellement aux obligations lui incombant en la matière ou à les avoir gravement négligées.

Cependant, l'article L. 133-2 du même code dispose que sauf dans les cas où l'utilisateur est une personne physique agissant pour des besoins non professionnels, il peut être dérogé par contrat à certaines de ces règles régissant la responsabilité des professionnels et que la charge de la preuve peut notamment incomber à l'utilisateur client.

Enfin, si la négligence grave du payeur ne saurait résulter de la seule utilisation de son instrument de paiement, en revanche, elle peut être déduite de son comportement à l'occasion d'une telle utilisation et des circonstances de l'espèce.

En l'espèce, s'agissant des règles de preuve, la Bred BP ne produit pas d'exemplaires des conditions générales applicables aux « Personnes morales et entrepreneurs individuels » paraphé et signé par M. X. ni aucun document contractuel dont il ressortirait que ce dernier en a eu communication et les a approuvées. En conséquence, la banque ne peut se prévaloir d'un renversement de la charge de la preuve, accepté par les parties, concernant le caractère autorisé des opérations litigieuses et/ou un manquement intentionnel ou par négligence grave de l'utilisateur client.

Cependant, M. X. reconnaît aux termes de ses écritures avoir validé et donc autorisé les paiements litigieux depuis l'application de la banque, lancée automatiquement sur son téléphone par le fraudeur, selon la procédure d'authentification forte mise en place par la banque, pensant, au contraire, s'y opposer.

La preuve étant rapportée que l'authentification des opérations résulte d'une action humaine, en l'espèce celle de M. X., l'hypothèse d'une déficience technique du système de sécurisation de la banque doit être écartée sauf à ce que le demandeur rapporte la preuve contraire, ce qu'il ne fait pas au cas particulier.

A cet égard, contrairement à ce que soutient M. X., il ne résulte nullement de sa pièce n°9 consistant en un extrait du site de la défenderesse intitulé « Le faux service fraude » une reconnaissance de cette dernière d'une défaillance de son système informatique. Aux termes de ce document, la banque attire seulement l'attention des usagers de ses services sur certaines techniques frauduleuses susceptibles de les amener à divulguer leurs données confidentielles et bancaires à des tiers et préconise les "bons réflexes" à adopter en pareil cas.

Ainsi, la connaissance par le fraudeur de l'historique du compte de M. X. et le fait qu'il a pu initier les paiements et donc lancer l'application pour les valider sur le téléphone de M. X., ce qui induit qu'il était en possession des identifiant et mot de passe d'accès à l'espace en ligne du demandeur et des données de sa carte bancaire, ne sauraient, sans élément probant, être imputés à la banque, étant rappelé que ces données ont pu être divulguées par M. X. dans le cadre d'une escroquerie de type « phishing » consistant à leurrer un internaute pour l'inciter, notamment par le biais de sites frauduleux sur lequel la victime pense effectuer un paiement, à communiquer des données personnelles et/ou bancaires.

Néanmoins, si M. X. a effectivement validé les opérations, il n'est pas démontré que ce dernier a consenti aux paiements litigieux dès lors qu'il pensait, au contraire, les invalider. Il convient dès lors de considérer que les opérations n'ont pas été autorisées par le demandeur et de rechercher s'il peut se voir reprocher une négligence grave au sens des articles L. 133-16 et suivants du code monétaire et financier faisant obstacle à son indemnisation.

Or, il résulte des éléments exposés précédemment que M. X. a, d'une manière ou d'une autre communiqué ses données de sécurité personnalisées puis a suivi les instructions d'un tiers, sans avoir vérifié l'identité de ce dernier, pour valider des opérations de paiement dont il n'était pas à l'origine et ce, contrairement aux avertissements de la banque contenus notamment dans l'extrait du site de cette dernière qu'il produit lui-même et qui décrit dans le détail le scénario de la fraude dont il a été victime.

Il doit donc être considéré que M. X. n'a pas satisfait aux obligations mises à sa charge par les articles L. 133-16 et L. 133-17 du code monétaire et financier et notamment celles de préserver la sécurité de ses données de sécurité personnalisées et qu'il a ainsi commis une négligence grave au sens de l'article L. 133-19 IV du même code qui le prive de la possibilité de faire supporter par la banque les pertes occasionnées par les opérations de paiement non autorisées qu'il a lui-même validées.

Enfin, s'il est tenu à une obligation générale de vigilance, il est de principe que l'établissement bancaire teneur de compte est également astreint à une obligation de non-ingérence qui lui interdit de s'immiscer dans les affaires de son client. Il ne saurait dès lors procéder à des investigations particulières pour déterminer notamment l'identité du bénéficiaire ou l'objet de l'opération, ni intervenir pour empêcher son client d'effectuer un acte inopportun ou dangereux pour ses intérêts. L'établissement bancaire n'a donc pas à se préoccuper de la destination des fonds ou de l'opportunité des opérations effectuées. Il engage d'ailleurs sa responsabilité s'il n'exécute pas les virements ordonnés par son client.

Il en va différemment s'il se trouve confronté, à l'occasion d'opérations demandées par son client, à des anomalies et irrégularités manifestes qu'il doit détecter, conformément à son obligation de vigilance.

En l'espèce, il ne peut être fait grief à la banque d'avoir manqué à son devoir de vigilance dès lors que les opérations ont été validées au moyen d'un dispositif d'authentification forte par M. X., titulaire du compte dont il n'est pas soutenu, et a fortiori démontré, qu'il aurait par ailleurs été en position débitrice du fait des opérations contestées.

Tenu à un devoir de non-immixtion dans les affaires de son client, la banque n'avait dès lors pas à s'interroger sur les montants, dont le plus important s'élevait à la somme de 3.972,33 euros, ni sur la dénomination des bénéficiaires dont il n'est pas rapporté la preuve qu'elles constituaient un élément de suspicion, ni sur leur fréquence.

En conséquence, la demande d'indemnisation est rejetée.

 

2 - Sur les demandes accessoires :

2.1 - Sur la demande de publication :

Compte tenu de l'issue donnée au litige, la demande tendant à voir ordonner la publication du présent jugement est rejetée.

 

2.2 - Sur les frais du procès :

M. X. qui succombe supportera les dépens.

Il est également condamné au paiement à la Bred BP d'une somme de 2.000 euros sur le fondement de l'article 700 du code de procédure civile.

 

2.3 - Sur l'exécution provisoire :

La présente décision est revêtue de droit de l'exécution provisoire conformément aux dispositions de l'article 514 du code de procédure civile dans sa version applicable en l'espèce, l'instance ayant été introduite postérieurement au 31 décembre 2019.

Cependant, l'issue donnée au litige nécessite d'écarter l'exécution provisoire.

 

PAR CES MOTIFS :

Le tribunal statuant publiquement par jugement contradictoire, en premier ressort et par mise à disposition au greffe :

DEBOUTE M. X. de ses demandes ;

CONDAMNE M. X. aux dépens ;

CONDAMNE M. X. à payer à la SA Bred Banque populaire la somme de 2.000 euros sur le fondement de l'article 700 du code de procédure civile ;

ECARTE l'exécution provisoire de droit.

Fait et jugé à Paris le 15 mai 2024

Le Greffier                                       Le Président