CA VERSAILLES (ch. civ. 1-6), 13 mars 2025
- TJ Nanterre, 27 octobre 2023 : RG n° 22/10660
CERCLAB - DOCUMENT N° 23739
CA VERSAILLES (ch. civ. 1-6), 13 mars 2025 : RG n° 23/08358
Publication : Judilibre ; JurisData n° 2025-002929
Extrait : « Le syndicat des copropriétaires (auquel la qualité de non-professionnel a pu être reconnue par la jurisprudence) évoque diverses clauses des conditions générales du service « LCL Access » le privant de toute possibilité de démontrer, aux fins d'échapper à sa responsabilité, que ses données ont fait l'objet d'un piratage du fait du défaut de sécurité des systèmes informatiques qui serait imputable à ce dernier et d'obtenir réparation de son préjudice en demandant à la cour de les déclarer non-écrites, comme abusives.
Tandis que la banque soutient que ces clauses permettant de présumer que sont autorisées les opérations de paiement résultant du parcours d'autorisation ne créent pas un déséquilibre significatif dès lors qu'elles sont la contrepartie essentielle à l'autonomie offerte au client, à la dématérialisation des actions réalisées depuis leurs espaces bancaires et à la rapidité d'exécution des opérations imposée aux prestataires de services de paiement ; qu'en outre, le prestataire de services de paiement est lui-même tenu à une série d'obligations relatives à l'utilisation du service explicitées à l'article L 133-15 du code monétaire et financier, son paragraphe IV prévoyant notamment : 'Le prestataire de services de paiement supporte le risque lié à l'envoi au payeur d'un instrument de paiement ou de toute donnée de sécurité personnalisée de celui-ci'.
Cela étant, si les clauses invoquées stipulent bien que « le client est responsable de l'usage et de la conservation de son code secret, ainsi que d'une divulgation à quiconque » ou encore « pour lui-même, et le cas échéant pour l'utilisateur internet, de l'usage et de la conservation des données de sécurité personnalisées », l'article L 133-19 du code monétaire et financier prévoit l'engagement de la responsabilité du payeur, sauf dans les cas qu'il précise, « en cas d'opération de paiement non autorisée consécutive à la perte ou au vol de l'instrument de paiement ».
Or la cour a retenu que les opérations litigieuses devaient être qualifiées d'autorisées, si bien qu'il n'y a pas lieu de statuer sur ce moyen. »
RÉPUBLIQUE FRANÇAISE
AU NOM DU PEUPLE FRANÇAIS
COUR D’APPEL DE VERSAILLES
CHAMBRE CIVILE 1-6
ARRÊT DU 13 MARS 2025
ÉLÉMENTS D’IDENTIFICATION DE LA DÉCISION (N.B. : mention ne figurant pas sur l’original)
R.G. n° 23/08358. N° Portalis DBV3-V-B7H-WHWE. Code nac : 38E. CONTRADICTOIRE. Décision déférée à la cour : Jugement rendu le 27 octobre 2023 par le TJ hors JAF, JEX, JLD, J. EXPRO, JCP de NANTERRE : N° RG : 22/10660.
LE TREIZE MARS DEUX MILLE VINGT CINQ, La cour d'appel de Versailles a rendu l'arrêt suivant dans l'affaire entre :
APPELANTE :
SA CRÉDIT LYONNAIS
N° Siret XXX (RCS Lyon), [Adresse 2], [Localité 3], Prise en la personne de ses représentants légaux domiciliés en cette qualité audit siège, Représentant : Maître Magali TARDIEU-CONFAVREUX de l'AARPI TARDIEU GALTIER LAURENT DARMON associés, Plaidant/Postulant, avocat au barreau de PARIS, vestiaire : R010 - N° du dossier 26515
INTIMÉE :
SYNDICAT DES COPROPRIÉTAIRES DU [Adresse 4]
Représenté par son syndic, X., née le [Date naissance 1] à [Localité 5], de nationalité française et demeurant [Adresse 4], [Adresse 4], [Localité 5], Représentant : Maître Dan ZERHAT de l'AARPI OHANA ZERHAT Cabinet d'Avocats, Postulant, avocat au barreau de VERSAILLES, vestiaire : 731 - N° du dossier 24078043 - Représentant : Maître Rachid MADID, Plaidant, avocat au barreau de PARIS
Composition de la cour : L'affaire a été débattue à l'audience publique du 29 janvier 2025, Madame Sylvie NEROT, Magistrat honoraire exerçant des fonctions juridictionnelles, ayant été entendu en son rapport, devant la cour composée de : Madame Fabienne PAGES, Présidente, Madame Florence MICHON, Conseillère, Madame Sylvie NEROT, Magistrat honoraire exerçant des fonctions juridictionnelles, qui en ont délibéré,
Greffier, lors des débats : Mme Mélanie RIBEIRO
EXPOSÉ DU LITIGE (N.B. : mention ne figurant pas sur l’original)
EXPOSÉ DU LITIGE :
Titulaire depuis janvier 2013 d'un compte bancaire ouvert dans les livres du Crédit Lyonnais, le syndicat des copropriétaires de l'immeuble situé [Adresse 4] à [Localité 5], ayant pour syndic bénévole madame X., a souscrit le 24 octobre 2020, moyennant un abonnement et via le service de banque en ligne, au service dénommé LCL Access accessible par le portail internet www.monespace.lcl.fr>.
Comme décrit dans les conditions générales du service, la réalisation d'actions depuis l'espace bancaire (telles l'initiation d'un virement, l'ajout d'un bénéficiaire de confiance ou encore l'augmentation des plafonds) selon un dispositif de sécurisation pouvait être effectuée par la connexion à l'espace client depuis le site internet précité ou bien par la connexion à l'application mobile 'mes comptes-LCL’par l'intermédiaire d'un smartphone, d'une tablette ou de tout autre appareil connecté, l'enrôlement d'un téléphone portable puis le suivi d'un parcours soumis à authentification forte.
Alors que les actions du syndicat des copropriétaires étaient effectuées depuis l'espace bancaire en ligne et validées au moyen de codes à usage unique envoyés sur le téléphone portable de madame X., le 05 novembre 2021 il était procédé à l'ajout d'un compte bénéficiaire de virement via le site internet précité (s'agissant d'une entreprise de plomberie dont la créance n'est pas contestée), mais aussi à l'enrôlement d'un appareil de confiance donnant lieu à l'envoi d'un SMS sur ce téléphone portable ; le 7 novembre suivant, les options du contrat souscrit étaient modifiéesau moyen de l'appareil de confiance nouvellement enrôlé, le plafond de virement de 3.000 euros étant porté à 45.000 euros, de même qu'évoluait la liste des pays destinataires de virements.
Par courrier du 30 décembre 2021, le syndicat des copropriétaires a, par son conseil, informé la société Crédit Lyonnais qu'ont été effectuées cinq opérations de paiement, réaliséesau moyen de l'appareil de confiance pour un montant total de 45.200 euros en se prévalant de leur caractère frauduleux et l'a mise en demeure de procéder à la restitution de leurs montants.
Plus précisément, il s'est agi de virements réalisés vers différents comptes domiciliés en Espagne (nouveau pays destinataire), soit :
- le 7 novembre 2021 (à 14h 36) un virement instantané au montant de 9.000 euros ayant pour bénéficiaire monsieur [U] [N] [G],
- le 7 novembre 2021 (à 14h 40) un autre virement instantané de 6.000 euros ayant pour bénéficiaire monsieur [J] [E] [Y],
- le 7 novembre 2021 (à 14h 51) un virement Single Euro Payments Area (ou SEPA) au montant de 10.000 euros ayant pour bénéficiaire madame [I] [M],
- le 7 novembre 2021 (à 14h 53) un virement SEPA de 11.000 euros ayant pour bénéficiaire monsieur [F] [W],
- le 9 novembre 2021, un virement SEPA de 9.200 euros ayant pour bénéficiaire monsieur [A] [R].
Par ailleurs, ce syndicat a déposé plainte devant les services de police le 05 janvier 2022.
En l'absence de réponse favorable de la banque à sa réclamation réitérée par divers courriers, suivant assignation du 30 mai 2022 il a saisi le juge des référés du tribunal judiciaire de Nanterre d'une demande en paiement à titre provisionnel.
Retenant l'existence d'une contestation sérieuse mais aussi d'une situation d'urgence, par ordonnance rendue le 23 décembre 2022, celui-ci a renvoyé l'affaire et les parties devant la juridiction de fond.
Par jugement contradictoire rendu le 27 octobre 2023 le tribunal judiciaire de Nanterre, rappelant que l'exécution provisoire est de droit, a :
- condamné la société Crédit Lyonnais-LCL à payer au syndicat des copropriétaires du [Adresse 4] à [Localité 5] les sommes de 45.200 euros en réparation de son préjudice financier (et de) 2.500 euros en réparation de son préjudice moral,
- débouté le syndicat des copropriétaires du [Adresse 4] à [Localité 5] de sa demande d'astreinte,
- condamné la société Crédit Lyonnais-LCL à verser au syndicat des copropriétaires du [Adresse 4] à [Localité 5] la somme de 5.000 euros en application des dispositions de l'article 700 du code de procédure civile (ainsi qu') aux dépens de la présente instance,
- rejeté toute demande plus ample ou contraire,
- rejeté la demande de constitution de garantie formulée par la société Crédit Lyonnais-LCL.
[*]
Par dernières conclusions (n° 3) notifiées le 22 novembre 2024 la société anonyme Crédit Lyonnais, appelante de ce jugement selon déclaration reçue au greffe le 14 décembre 2023, demande à la cour, au visa des articles L 133-1 et suivants du code monétaire et financier et 1231-1 (anciennement 1147) du code civil :
- de débouter le syndicat des copropriétaires du [Adresse 4] de l'intégralité de ses demandes, fins et conclusions,
- d'infirmer le jugement entrepris en ce qu'il a : condamné la société Crédit Lyonnais-LCL à payer au syndicat des copropriétaires du [Adresse 4] à [Localité 5] les sommes de 45.200 euros en réparation de son préjudice financier (et) 2.500 euros en réparation de son préjudice moral // condamné la société Crédit Lyonnais-LCL à verser au syndicat des copropriétaires du [Adresse 4] à [Localité 5] la somme de 5.000 euros en application des dispositions de l'article 700 du code de procédure civile (ainsi qu') aux dépens de la présente instance // rejeté toute demande plus ample ou contraire,
et statuant à nouveau
- de débouter le syndicat des copropriétaires du [Adresse 4], pris en la personne de madame X., de l'intégralité de ses demandes,
- de condamner le syndicat des copropriétaires du [Adresse 4], pris en la personne de madame X., au paiement de la somme de 8.000 euros au titre de l'article 700 du code de procédure civile (et) à supporter l'intégralité des dépens,
en tout état de cause
- de condamner le syndicat des copropriétaires du [Adresse 4], pris en la personne de madame X., au paiement de la somme de 8.000 euros au titre de l'article 700 du code de procédure civile (et) à supporter l'intégralité des dépens.
[*]
Par dernières conclusions (n° 2) notifiées le 04 novembre 2024 le syndicat des copropriétaires du [Adresse 4], représenté par madame X. agissant en qualité de syndic bénévole de cette copropriété, visant les articles L 133-2, L 133-6, L 133-7, L 133-15 à L 133-19, L 133-23, L 233-24 et L 561-6 du code monétaire et financier, 1110 et 1171 du code civil, les articles liminaires et L 212-1, L 212-2, L 141-1 et R 212-1 du code de la consommation, et enfin L 131-1 du code des procédures civiles d'exécution, prie la cour :
à titre principal
- de confirmer le jugement (entrepris) en qu'il a jugé que les opérations litigieuses n'avaient pas été autorisées par le syndicat des copropriétaires du [Adresse 4] // que le Crédit Lyonnais a violé son obligation de vigilance à l'égard du compte n° 0000008903K ouvert au nom du syndicat des copropriétaires du [Adresse 4] // qu'aucune faute ni négligence grave ne saurait être imputée au syndicat des copropriétaires du [Adresse 4],
- en conséquence, de confirmer le jugement (entrepris) en ce qu'il a condamné Crédit Lyonnais à payer au syndicat des copropriétaires du [Adresse 4] la somme de 45.200 euros en réparation de son préjudice financier,
à titre subsidiaire
- d'infirmer le jugement (entrepris) en ce qu'il a considéré les clauses contractuelles d'exclusion de la responsabilité du Crédit Lyonnais inopposables au syndicat des copropriétaires du [Adresse 4], faute de lui avoir été notifiées,
statuant à nouveau
de juger non écrites les clauses d'exclusion de la responsabilité du Crédit Lyonnais en ce qu'elles - revêtent un caractère abusif au sens de code de la consommation,
à titre infiniment subsidiaire
- de juger non écrites les clauses contractuelles d'exclusion de la responsabilité du Crédit Lyonnais en ce qu'elles revêtent un caractère abusif au sens du code civil,
en conséquence
- de condamner Crédit Lyonnais à payer au syndicat des copropriétaires du [Adresse 4] la somme de 45.200 euros en réparation de son préjudice financier,
en tout état de cause
- de débouter Crédit Lyonnais de l'ensemble de ses moyens, fins et conclusions,
- d'infirmer le jugement (entrepris) en ce qu'il a condamné le Crédit Lyonnais à payer au syndicat des copropriétaires du [Adresse 4] la somme de 2.500 euros en réparation de son préjudice moral,
statuant à nouveau
- de condamner le Crédit Lyonnais à payer au syndicat des copropriétaires du [Adresse 4] la somme de 5.000 euros en réparation de son préjudice moral,
- d'infirmer le jugement (entrepris) en ce qu'il a condamné le Crédit Lyonnais à verser au syndicat des copropriétaires du [Adresse 4] la somme de 5.00 euros (sic) en application des dispositions de l'article 700 du code de procédure civile,
statuant à nouveau
- de condamner le Crédit Lyonnais à payer ausyndicat des copropriétaires du [Adresse 4] la somme de 7.000 euros en application des dispositions de l'article 700 du code de procédure civile,
- de confirmer le jugement (entrepris) en ce qu'il a condamné le Crédit Lyonnais à supporter les entiers dépens.
[*]
L'ordonnance de clôture a été rendue le 17 décembre 2024.
MOTIFS (justification de la décision) (N.B. : mention ne figurant pas sur l’original)
MOTIFS DE LA DÉCISION :
Il convient de rappeler que, pour statuer comme il l'a fait, le tribunal, se prononçant sur les différents moyens soumis à son appréciation et dont il est à nouveau débattu :
- a d'abord considéré que les opérations litigieuses devaient être qualifiées d'opérations non autorisées et que les articles L 133-19 et L 133-23 du code monétaire et financier prévoyant l'obligation de remboursement de la banque avaient vocation à trouver application,
- a jugé, en réponse au moyen du syndicat des copropriétaires qui invoquait le caractère abusif des clauses d'exclusion de responsabilité, que les stipulations dont se prévalait la banque ne résultaient que d'une mise à jour, à compter du 15 juillet 2021, des conditions générales en vigueur depuis le mois de septembre 2012 et que faute pour la banque de démontrer que ces clauses telles que mises à jour ont été remises au syndicat, elle était mal fondée à les lui opposer,
- a retenu l'absence de négligence du syndic dans le cadre de ses obligations de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et, par ailleurs, d'informer sans tarder la banque du détournement de ses données de sécurité personnalisées,
- a, 'au surplus', jugé que si le syndicat des copropriétaires ne pouvait de prévaloir de la violation des dispositions des articles L 561-5 et L 561-6 du code monétaire et financier en ce qu'ils imposent un devoir spécial de vigilance dans le cadre de la lutte contre le trafic de stupéfiants et la criminalité organisée, il pouvait être suivi en son invocation du devoir général de vigilance issu du droit commun en retenant l'existence d'irrégularités et d'anomalies apparentes que la banque aurait dû détecter en en avisant son client, évaluant la perte de chance à 100%.
Sur l'engagement de la responsabilité de la banque pour avoir procédé à des opérations de paiement non autorisées :
Reprenant point par point la motivation du tribunal pour la critiquer, l'appelante rappelle liminairement que le régime de responsabilité des prestataires de services de paiement institué par la directive 2007/64/CE et transposé par le législateur aux articles L. 133-1 et suivants du code monétaire et financier est exclusif de tout régime national de responsabilité civile contractuelle ; que, selon les articles L 133-6 et L 133-7 de ce code, « une opération est autorisée si le payeur donne son consentement à son exécution » et « le consentement est donné sous la forme convenue entre le payeur et son prestataire de service de paiement » et qu'en cas d'opérations de paiement non autorisées, outre la possibilité d'opposer aux professionnels une clause exclusive de responsabilité, la négligence grave du titulaire du compte est exonératoire de responsabilité conformément à l'article L 133-19 (IV) de ce code.
Elle soutient à titre principal et en application de ce droit spécial que les opérations de paiement litigieuses ont été autorisées par le syndicat des copropriétaires et, identifiant les seules opérations soumises à authentification forte en regard de l'article L 133-44 dudit code, elle entend démontrer, par la production d'extractions des SMS envoyés et du relevé télématique, que les opérations litigieuses ont été réalisées suivant la 'forme convenue’ entre son client et elle-même (telle que prévue aux conditions générales du service) afin qu'il donne son consentement à la réalisation des opérations de paiement, observant que l'intimé reconnaît désormais que madame X. a reçu le SMS du 05 novembre 2021 à 13h 50 indiquant : 'LCL : pour enregistrer votre appareil de confiance saisir le code 991537 à ne jamais fournir par mail/téléphone à LCL ou à un tiers’ qui précédait l'enrôlement de l'appareil de confiance intitulé 'iPhone DRNCC’à 13h 52.
Elle ajoute que le fait que madame X. ait renseigné elle-même le code à usage unique ou qu'elle l'ait transmis à un tiers ne remet pas en cause l'enrôlement de l'appareil de confiance.
Elle porte une appréciation critique sur la motivation du tribunal qui a opéré, selon elle, une confusion entre le caractère 'frauduleux’et le caractère 'autorisé’des opérations de paiement litigieuses dès lors que les articles L 133-6 et L 133-7 du code monétaire et financier prévoient une objectivisation du consentement, contrepartie indispensable à l'autonomie offerte au client, à la dématérialisation des actions réalisées depuis leurs espaces bancaires en ligne et à la rapidité d'exécution des opérations imposées aux prestataires de services de paiement.
De même qu'elle le critique en ce qu'il a retenu que l'ajout des comptes bénéficiaires des virements litigieux aurait dû faire l'objet d'une procédure d'identification forte. Elle observe qu'un délai de 48 heures s'est écoulé entre l'enrôlement de l'appareil de confiance et son activation, que l'intimé n'a constaté l'existence des opérations de paiement litigieuses que deux mois après leurréalisation, que le délai de quelques jours invoqué par l'intimé pour valider l'ajout des bénéficiaires des virements litigieux n'aurait pas été utile et fait valoir que ni le législateur ni les conditions générales du service n'imposent une procédure d'authentification forte portant sur les opérations de paiement en cause.
Elle soutient, de plus, que contrairement à ce qu'a jugé le tribunal, elle rapporte la preuve que les opérations de paiement réalisées entre les 05 et 9 novembre 2021 n'ont pas été affectées par une déficience technique qui n'est que prétendue, eu égard aux fichiers de preuves relatifs aux opérations de paiement litigieuses qu'elle produit et dont la valeur probante n'est pas contestée par son adversaire, faisant en outre valoir que le relevé télématique sur lequel figurent les adresses IP n'a été extrait du système informatique que postérieurement à la révélation de la fraude et qu'elle n'était donc pas en mesure, en temps réel, de détecter l'existence de connexion depuis des adresses IP différentes ou encore qu'elle n'est soumise à aucune obligation de vérification des adresses IP se connectant aux comptes de ses clients.
Tirant, par ailleurs, argument de l'article L 133-2 du code monétaire et financier qui autorise les parties personnes morales agissant pour des besoins professionnels à déroger contractuellement à la charge de la preuve du caractère autorisé d'une opération de paiement prévue aux termes de l'article L 133-23 du même code et des conditions générales du service LCL Access, opposables à l'intimé, selon lesquelles :
'le client est responsable pour lui-même, et le cas échéant pour l'utilisateur internet, de l'usage et de la conservation des données de sécurité personnalisées ou de tout autre dispositif de sécurité spécifique communiqués par LCL et assume seul les conséquences de leur divulgation', elle se prévaut du fait que les opérations de paiement sont présumées autorisées au sens de ce code et qu'il revient au demandeur d'apporter la preuve contraire ; elle ajoute que, dans le même sens, les dispositions générales de banque - professionnels et petites entreprises, 2021 précisent que :
'sauf dispositions contraires prévues dans un contrat spécifique et par dérogation à l'article L 133-19 du code monétaire et financier, le client assume toute la responsabilité des opérations de paiement non autorisées effectuées à l'aide d'un instrument doté de données de sécurité personnalisées et ce jusqu'à la demande de blocage de l'instrument de paiement concerné y compris en cas de fraude, perte, vol ou contrefaçon dudit instrument ou des données de sécurité qui lui sont liées'.
Contrairement à ce qu'a jugé le tribunal, poursuit-elle, elle démontrait (et démontre à nouveau) par la production d'un relevé de compte de l'intimé que cette version actualisée lui était opposable.
Et, à rebours de ce que prétend son adversaire dont elle considère qu'il entretient volontairement l'opacité sur les circonstances de la fraude, lesdites clauses ne sauraient être réputées non écrites dès lors qu'elles constituent une contrepartie essentielle aux avantages précités procurés au client.
A titre subsidiaire, si le caractère autorisé des opérations n'était pas retenu, elle invoque les articles L 133-19 (point IV) et L 133-16 du code monétaire et financier et soutient qu'à l'inverse de ce qu'a jugé le tribunal, la négligence grave de son adversaire est ici caractérisée du fait qu'il n'a pas pris les mesures raisonnables pour préserver la sécurité de ses données personnelles, qu'il a dissimulé la réception d'un SMS contenant un code à usage unique aux premiers juges ou dans son dépôt de plainte, qu'il n'a dénoncé la fraude que le 30 décembre 2021, alors qu'il s'est connecté par trois fois, le 8 novembre 2021, à son espace bancaire en ligne - ce qui lui permettait de constater la diminution du solde de son compte de près de 36.000 euros entre les 05 et 07novembre 2021 - ou encore qu'il n'a pas non plus réagi à réception de son relevé de compte de début décembre, tous éléments constitutifs d'une opacité volontairement entretenue lui permettant de se prévaloir d'une exclusion de responsabilité.
En réplique, l'intimé approuve le jugement et se prévaut d'abord de l'absence de caractère autorisé des opérations litigieuses en soutenant que l'enrôlement de l'appareil iPhoneDRNCC n'est pas de son fait, qu'en l'absence de divulgation du code à usage unique contenu dans le SMS reçu par madame X., il est manifeste qu'il l'a été en fraude de ses droits et ne saurait être considéré comme dûment enrôlé, que la fraude entachant l'enrôlement initial de l'appareil de confiance contamine nécessairement toutes les opérations ultérieures susceptibles d'avoir été réalisées via cet appareil de confiance et il est donc exclu que les opérations réalisées par cet appareil soient considérées comme l'ayant été dans le respect du parcours d'authentification forte convenu.
En outre, poursuit-il, les relevés télématiques font apparaître que les opérations autorisées par ce processus d'authentification ont porté sur l'augmentation du plafond de virement à 45.000 euros, sur l'ajout de l'Espagne au titre des pays pouvant être destinataires de virements ainsi que sur la réalisation des virements litigieux et il est donc 'incontestable’ qu'il n'a jamais autorisé l'ajout des cinq comptes destinataires des virements litigieux (au demeurant inhabituels) à la liste des comptes bénéficiaires donnant normalement lieu à une authentification forte et à validation, comme ce fut le cas pour l'opération relative au virement destiné à rémunérer l'entreprise de plomberie.
Il conteste, par ailleurs, le moyen de son adversaire tiré de l'article 13 du règlement européen n° 2018/389 du 27 novembre 2017 pour dire que n'était pas obligatoire une authentification forte et lui reproche d'en faire une lecture tronquée ; il estime qu'il ne saurait être déduit de ces dispositions qu'une opération de virement soumise à une authentification forte puisse être réalisée alors que l'ajout de son bénéficiaire n'avait pas été lui-même soumis à une telle authentification, ajoutant que l'invocation des articles 3.3 et 4.2 des conditions générales se heurte au fait que le service de virement utilisé, à savoir 'LCL-mes comptes', ne permettait pas la possibilité de virement offerte par le service 'LCL Access', de sorte que les opérations litigieuses nécessitaient une authentification forte.
Pour se prévaloir du fait qu'il n'est pas à l'origine de ces virements frauduleux, il fait en outre valoir que madame X. est cliente de l'opérateur SFR pour sa ligne téléphonique, que Bouygues Télécom est son fournisseur d'accès à internet et que les opérations ont été réalisées par un appareil Apple iPhone via l'opérateur Orange ou l'opérateur mobile Bouygues Télécom, ajoutant que les adresses IP utilisées ne correspondent à aucune des adresses habituellement utilisées et étaient, partant, suspectes.
Il soutient subsidiairement, en revendiquant son exclusion de la catégorie des professionnels et en se prévalant des articles L 212-2, L 241-1, R 212-1 du code de la consommation et 1171 du code civil, que le jugement doit être infirmé en ce qu'il ne retient que le caractère inopposable des clauses d'exclusion de responsabilité alors qu'elles doivent être déclarées non écrites eu égard à leur caractère abusif ; outre le fait que la législation applicable aux professionnels ne pouvait l'être au syndicat des copropriétaires, ces clauses créent, selon lui, un déséquilibre significatif en ce qu'elles le privent de toute possibilité d'échapper à l'engagement de responsabilité en dispensant la banque d'apporter la moindre preuve quant au fait que son client a commis une négligence grave ou une fraude ; plus subsidiairement, poursuit-il, il s'agit de clauses non négociables dans un contrat d'adhésion, qualifiables de clauses abusives au sens du code civil.
Sur le caractère autorisé des opérations litigieuses :
Il y a lieu de considérer qu'à juste titre, sur le fondement des articles L 133-6 et L 133-7 du code monétaire et financier, la banque se prévaut de la nécessaire appréciation objective du consentement, à savoir selon la forme convenue entre le payeur et son prestataire de services de paiement.
Il appartient à ce dernier d'en faire la démonstration et, à défaut, ces opérations seront réputées non autorisées, engageant sa responsabilité par application des articles L 133-19 et L 133-23 du même code.
S'agissant des opérations donnant lieu à authentification forte qui divisent les parties, l'article L 133-44 (applicable) de ce code dispose :
I - Le prestataire de service de paiements applique l'authentification forte du client définie au f de l'article L 133-4 ( à savoir : reposant sur l'utilisation de deux éléments ou plus appartenant à diverses catégories conçue de manière à protéger la confidentialité des données d'authentification) lorsque le payeur (...) 2° Initie une opération de paiement électronique (...)'.
Le règlement délégué (UE) 2018/389 de la Commission du 27 novembre 2017 'complétant la directive (UE) 2015/2366 du Parlement européen et du Conseil par des normes techniques de réglementation relatives à l'authentification forte du client et des normes ouvertes communes et sécurisées de communication', obligatoire et directement applicable dans tous les Etats membres selon son article 38, a toutefois prévu que les prestataires de services de paiement puissent (article 1, b) :
'déroger à l'application des exigences de sécurité relatives à l'authentification forte du client, sous réserve de conditions bien définies et limitées fondées sur le niveau de risque, le montant et le caractère récurrent de l'opération de paiement et le moyen utilisé pour l'exécuter'.
Ainsi, son article 13 intitulé 'bénéficiaires de confiance’prévoit-il :
'1. Les prestataires de services de paiement appliquent l'authentification forte du client lorsqu'un payeur crée ou modifie une liste de bénéficiaires de confiance par l'intermédiaire du prestataire de services de paiement gestionnaire de son compte.
2. Les prestataires de services de paiement sont autorisés à ne pas appliquer l'authentification forte du client, sous réserve du respect des exigences générales en matière d'authentification, lorsque le payeur initie une opération dans une listede paiement et que le bénéficiaire figure dans une liste de bénéficiaires de confiance préalablement créée par le payeur.'
S'agissant de la 'forme convenue', la banque peut se prévaloir de l'opposabilité des termes de leur convention au syndicat des copropriétaires lequel, en faisant précéder sa signature des conditions particulières du contrat du 24 janvier 2020, a reconnu avoir pris connaissance et être en possession des conditions du service 'LCL Access’et des dispositions générales de banque 'professionnels et petites entreprises’en en acceptant expressément les dispositions, de même que sa version actualisée a étéportée à sa connaissance et par lui acceptée le 17 juin 2021 (pièces n° 2 et 13 de l'appelante).
La forme convenue ressort des conditions générales du service LCL Access :
- l'article 3.3 intitulé 'authentification forte’stipule, en particulier, que 'L'identifiant et le code personnel d'accès sont les données nécessaires à la connexion du service LCL Access. LCL met également en oeuvre des procédures d'identification fortes conformément à la réglementation. Les procédés d'authentification forte du client ou de l'utilisateur internet mis en oeuvre dans le cadre du service LCL Access reposent sur l'identifiant et le code personnel d'Access, d'une part, et la ressaisie d'un code d'usage unique reçu par téléphone (SMS sur mobile ou sur serveur vocal pour les lignes fixes) ou l'utilisation d'un appareil de confiance, d'autre part. (...) L'authentification forte est requise lors de la première connexion aux services LCL Access et au moins tous les 90 jours ainsi que pour la validation de certaines opérations de paiement réalisées à distance (ajout d'un compte de bénéficiaire, confirmation d'un paiement en ligne)',
- l'article 3.5 intitulé 'signature électronique’ prévoit que 'Par son acceptation des conditions générales du service LCL Access, le client : reconnaît que la saisie de son identifiant et de son code personnel d'accès, assorti le cas échéant du code d'usage unique envoyé sur son téléphone (l'OTP/SMS) participera de la signature électronique ou de la validation électronique du client, en permettant son identification et en prouvant son consentement aux opérations effectuées (notamment virement, souscription, prélèvement) et l'imputation de ces dernières au client ou à son mandant (...).
- l'article 4.2 intitulé 'virement’ stipule notamment : 'Le service LCL Access propose au client un service de virements en ligne en euros vers des comptes dont il est titulaire ou co-titulaire ainsi que pour des comptes pour lesquels il détient une procuration (virements de compte à compte). (...) Le consentement par le client à une opération de virement résulte du respect des modalités décrites dans le présent article. (...).
Dans un sous-paragraphe relatif à la 'liste des bénéficiaires de confiance', il est stipulé :
'Avant tout premier virement au profit d'un bénéficiaire, le client doit enregistrer le compte du bénéficiaire dans la liste des bénéficiaires de confiance.
Aux fins de confirmation de cette demande, LCL soumet la validation à l'ajout de ce nouveau compte bénéficiaire (IBAN) à une authentification forte telle que décrite à l'article 'authentification forte’des présentes conditions générales.
L'ensemble des bénéficiaires ainsi enregistrés par le client constitue la lise des bénéficiaires de confiance de sorte que chaque ordre de virement fait à leur bénéfice via les services en ligne LCL ne fera pas l'objet d'une identification forte supplémentaire.
Lorsque le service de virement utilisé permet d'adresser un ordre de virement vers un bénéficiaire non présent sur la liste des bénéficiaires de confiance, l'exécution de cet ordre est assujettie à une authentification forte systématique du client'.
Dans les sous-paragraphes intitulés 'liste des pays autorisé’et 'modification de la valeur du plafond de virement’les parties sont convenues que :
'Le client peut, à tout moment et en toute autonomie ajouter un autre pays (...) // modifier la valeur du plafond de virement via l'application Mes comptes LCL. Aux fins de confirmation de cette demande, LCL soumet la validation de l'ajout / de la modification de plafond à une authentification forte telle que décrite à l'article 'authentification forte’des présentes conditions générales.
Le client peut également demander l'ajout de pays // la modification de virement en agence ou via le service LCL Access. Dans ce cas et aux fins de confirmation de la demande, LCL pourra faire parvenir au client un courrier de confirmation de façon sécurisée et contenant un code de sécurité à usage unique qu'il conviendra de saisir pour valider la demande (...)'.
Au cas particulier, il est constant que pour l'enregistrement d'un appareil de confiance, la modification des pays destinataires et des virements - toutes opérations que le syndicat des copropriétaires considère comme n'ayant pas été autorisées - elles ont été effectuées au moyen du service LCL Access et qu'avant le 05 novembre 2021, le client n'avait pas procédé à l'enrôlement d'un tel appareil de confiance.
Il résulte des éléments de preuve versés aux débats conformes à ceux visés à l'article 6 des conditions générales d'accès au service LCL Access -à savoir : les notifications par SMS sur un numéro de téléphone portable correspondant à celui de madame X. et appartenant à la catégorie 'possession', le relevé télématique des opérations réalisées entre le 5 novembre 2021 (à 13h 50) et le 9 novembre 2021 (à 11h 01) outre le détail des opérations litigieuses entre ces deux dates (pièces n° 5 à 7 de la banque) -qu'un appareil de confiance à été enrôlé le 05 novembre 2021 (à 13h 52) après l'envoi d'un code à usage unique (991537) que madame X. reconnaît désormais avoir reçu en précisant que 'n'étant pas à l'origine de la demande, elle ne donnait pas suite à ce SMS, n'y répondait pas et ne communiquait pas son contenu à quiconque’(page 5/49 des conclusions de l'intimé).
Eu égard au critère objectif d'appréciation du consentement du client ci-dessus rappelé et au parcours d'activation et d'enrôlement ainsi suivi, l'invocation d'un défaut de divulgation est inopérant et ne permet pas de le remettre en cause.
Pour ce qui est de la modification de la liste des pays autorisés et de la liste des bénéficiaires après connexion au moyen de l'appareil de confiance, le 7 novembre 2021 (à 14h 31), il résulte des stipulations sus-reprises que l'envoi par la banque au client utilisant le service LCL Access d'une confirmation par courrier sécurisé n'est qu'une faculté aux termes du contrat ['LCL pourra faire parvenir au client un courrier de confirmation de façon sécurisée et contenant un code de sécurité à usage unique qu'il conviendra de saisir pour valider la demande (...)'] de sorte que les griefs de l'intimé ne peuvent prospérer.
Enfin, concernant les cinq virements litigieux opérés à compter du 7 novembre 2021 (à 14h 36) après connexion de l'appareil de confiance précédemment autorisé, leur caractère autorisé dépend également du consentement apprécié objectivement.
A cet égard, la banque fait justement valoir que contrairement à ce qu'ont retenu les premiers juges en se référant, en particulier, à la procédure suivie avant l'activation de l'appareil de confiance afin de procéder à un virement (sus-évoqué et non contesté) au profit de l'entreprise de plomberie, elle n'était pas tenue de mettre en œuvre une procédure d'authentification forte visant à valider l'ajout des cinq bénéficiaires des virements litigieux.
L'authentification forte visée à l'article L 133-44 du code monétaire et financier prévoit, en effet, son application obligatoire non point lorsqu'est ajouté un bénéficiaire mais lorsque le payeur '2° initie une opération de paiement électronique'.
Et, en présence, comme en l'espèce, d'un bénéficiaire de confiance enregistré selon la forme convenue, en conformité avec l'article 13 (2) du Règlement 2018/389 précité qui permet de déroger à l'application des exigences de sécurité relatives à l'authentification forte du client, la société Crédit Lyonnais peut se prévaloir de la clause contenue à l'article 4.2 (également précitée) ainsi que des modalités d'exécution et de validation des opérations effectuées prévues à l'article 3.5 des conditions générales du service LCL Access. Comme elle peut opposer à son adversaire l'absence d'efficacité de la seconde procédure d'authentification qu'il invoque du fait de l'usage de l'appareil de confiance.
Il s'évince de tout ce qui précède que l'enregistrement d'un appareil de confiance, la modification des pays destinataires et des virements ont été consentis selon les formes convenues aux termes des conditions générales, qu'il s'agit par conséquent d'opérations autorisées qui ne sont pas susceptibles d'engager la responsabilité de la banque sur le fondement des articles L 133-1 et suivants du code monétaire et financier.
Sur le moyen tiré du caractère abusif des clauses exclusives de responsabilité de la banque :
Le syndicat des copropriétaires (auquel la qualité de non-professionnel a pu être reconnue par la jurisprudence) évoque diverses clauses des conditions générales du service « LCL Access » le privant de toute possibilité de démontrer, aux fins d'échapper à sa responsabilité, que ses données ont fait l'objet d'un piratage du fait du défaut de sécurité des systèmes informatiques qui serait imputable à ce dernier et d'obtenir réparation de son préjudice en demandant à la cour de les déclarer non-écrites, comme abusives.
Tandis que la banque soutient que ces clauses permettant de présumer que sont autorisées les opérations de paiement résultant du parcours d'autorisation ne créent pas un déséquilibre significatif dès lors qu'elles sont la contrepartie essentielle à l'autonomie offerte au client, à la dématérialisation des actions réalisées depuis leurs espaces bancaires et à la rapidité d'exécution des opérations imposée aux prestataires de services de paiement ; qu'en outre, le prestataire de services de paiement est lui-même tenu à une série d'obligations relatives à l'utilisation du service explicitées à l'article L 133-15 du code monétaire et financier, son paragraphe IV prévoyant notamment : 'Le prestataire de services de paiement supporte le risque lié à l'envoi au payeur d'un instrument de paiement ou de toute donnée de sécurité personnalisée de celui-ci'.
Cela étant, si les clauses invoquées stipulent bien que « le client est responsable de l'usage et de la conservation de son code secret, ainsi que d'une divulgation à quiconque » ou encore « pour lui-même, et le cas échéant pour l'utilisateur internet, de l'usage et de la conservation des données de sécurité personnalisées », l'article L 133-19 du code monétaire et financier prévoit l'engagement de la responsabilité du payeur, sauf dans les cas qu'il précise, « en cas d'opération de paiement non autorisée consécutive à la perte ou au vol de l'instrument de paiement ».
Or la cour a retenu que les opérations litigieuses devaient être qualifiées d'autorisées, si bien qu'il n'y a pas lieu de statuer sur ce moyen.
Sur l'engagement de la responsabilité de la banque pour manquement à son obligation de vigilance :
Sur l'exclusivité du régime harmonisé de responsabilité ressortant des articles L 133-1 et suivants du code monétaire et financier
Alors que le syndicat des copropriétaires poursuit la confirmation du jugement en ce qu'il a retenu que la banque a failli à son devoir de vigilance, cette dernière soutient qu'il ne lui est pas possible de rechercher sa responsabilité sur le fondement du droit commun du fait du caractère exclusif du droit spécial et se réclame notamment d'une jurisprudence de la Cour de cassation dont elle sollicite l'application.(Cass, com, 27 mars 2024, pourvoi n° 22-21200, publié au bulletin).
Le syndicat des copropriétaires rétorque que le régime exclusif de responsabilité invoqué ne trouve application que si l'utilisateur de services de paiement a manqué à son obligation de notifier à son prestataire l'opération contestée dans le délai de treize mois prévu à l'article 58 de la directive 2007/64/CE du Parlement européen et du Conseil concernant les services de paiement dans le marché intérieur.
Ceci étant relaté, s'il est vrai qu'il ressort de l'arrêt de la Cour de cassation invoqué par l'appelante et rendu au visa de l'article 1231-1 du code civil ainsi que des dispositions précitées du code monétaire et financier, que la responsabilité contractuelle de droit commun n'est pas applicable en présence d'un régime de responsabilité exclusif en raison du régime harmonisé de responsabilité établi dans la directive 2007/64 qui ne saurait être concurrencé par un régime alternatif de responsabilité prévu dans le droit national reposant sur les mêmes faits et le même fondement, elle s'est prononcée dans une espèce où la responsabilité du prestataire de services de paiement était recherchée en raison d'une opération de paiement non autorisée ou mal exécutée.
La cour a toutefois retenu ci-avant, en procédant à l'appréciation objective du consentement, que les opérations litigieuses ont été autorisées au sens des dispositions du code monétaire et financier.
Et il ne lui est pas demandé, ici, de se prononcer sur la défaillance du service de paiement, regardé comme le fait générateur du préjudice, mais sur le comportement de la banque dont l'absence de détection d'irrégularités apparentes serait par ailleurs à l'origine de ce préjudice.
De sorte que ce moyen de la banque ne peut prospérer.
Sur le manquement de la banque à son devoir de vigilance :
L'appelante reproche au tribunal d'avoir retenu sa responsabilité à ce titre en raison du caractère 'inhabituel’des opérations eu égard à leurs montants, au fonctionnement habituel du compte, à l'identité des bénéficiaires, à leur destination et à leur modalité d'exécution.
Elle fait valoir que le compte demeurait créditeur à l'issue de l'exécution des virements et qu'il ne s'agissait pas d'une anomalie apparente, de même que leur fréquence en regard du fonctionnement antérieur du compte ou de l'usage d'un appareil de confiance ou encore du fait de la situation géographique des comptes destinataires dès lors qu'ils étaient domiciliés dans unEtat membre de l'Union européenne.
L'intimé rétorque que la banque n'a pas jugé bon de s'inquiéter sur une situation 'parfaitement anormale’des mouvements du compte de la copropriété qui n'est composée que de six membres, précise-t-il, eu égard au caractère inhabituel des opérations quant à leurs montants et destinataires, quant à l'absence de demande de validation des bénéficiaires, quant à la multiplication par quinze du plafond, quant à l'ajout de l'Espagne au rang des pays bénéficiaires ou quant au fait que le solde de son compte a été vidé en quelques heures.
Il estime que si un contrôle avait été opéré, conformément à son devoir de vigilance, la banque aurait été fondée à procéder au blocage de ces opérations et à l'en informer, observant que le virement du 9 novembre 2021 a fait l'objet d'un rappel par la banque.
Ceci étant exposé, il est constant et non contesté que le devoir de non immixtion du banquier dans les affaires de son client trouve sa limite, en vertu de son devoir de vigilance, en présence d'anomalies apparentes, qu'elles soient matérielles ou intellectuelles.
Au cas particulier, il convient de considérer, que quand bien même le montant des opérations pouvait être regardé comme élevé en regard de celles précédemment pratiquées, le solde du compte est resté créditeur et que le syndicat des copropriétaires, à même de décider d'opérations concernant la copropriété, était libre de disposer de ses actifs en procédant aux virements litigieux.
Dans le contexte de l'ouverture d'un compte en ligne en octobre 2020, le choix d'opter pour des paiements via le service LCL Access, en novembre 2021, après avoir utilisé le service 'mes comptes-LCL’n'était pas de nature à alerter l'établissement bancaire sur une anomalie et il a été dit que l'ajout d'un appareil de confiance ou la modification du plafond comme des établissements bénéficiaires ont été régulièrement consentis.
Il apparaît en outre, s'agissant de leur fréquence et de leur destination,que les virements litigieux ont été réalisé en un trait de temps le 7 novembre 2021 (entre 14h 36 et 14h 53), étant relevé que le 'rappel’invoqué n'est étayé par aucune pièce, vers l'Espagne, pays membre de l'Union européenne dont les établissements bancaires ne suscitent pas a priori la méfiance, et que l'intimé n'explicite pas selon quelles modalités la banque pouvait exercer le devoir d'information qu'il lui reproche d'avoir méconnu alors que des connexions ont été réalisées par lui-même le 08 novembre 2021, qu'il a été rendu destinataire d'un relevé de compte début décembre 2021 et n'a contesté ces opérations que le 30 décembre 2021.
Il s'en évince que le syndicat des copropriétaires doit être débouté de sa demande indemnitaire à ce titre et que sera infirmé le jugement qui en décide autrement.
La demande de prononcé d'une astreinte devient, par suite, sans objet.
Sur les frais de procédure et les dépens :
La solution donnée au présent litige conduit à infirmer le jugement en ses dispositions relatives aux frais non répétibles et au dépens.
L'équité commande de condamner l'intimé à verser à l'appelante la somme de 2.000 euros en application de l'article 700 du code de procédure civile.
Débouté de ce dernier chef de demande, le syndicat des copropriétaires qui succombe supportera les dépens de première instance et d'appel.
DISPOSITIF (décision proprement dite) (N.B. : mention ne figurant pas sur l’original)
PAR CES MOTIFS :
La Cour, statuant publiquement, contradictoirement et par mise à disposition au greffe ;
INFIRME le jugement entrepris et, statuant à nouveau ;
Déboute le syndicat des copropriétaires du [Adresse 4] de l'ensemble de ses actions en responsabilité à l'encontre de la société anonyme Crédit Lyonnais et en ses demandes subséquentes ;
Rejette sa demande relative au caractère abusif des clauses exclusives de responsabilité ;
Condamne le syndicat des copropriétaires du [Adresse 4], représenté par son syndic en exercice, à verser à la société anonyme Crédit Lyonnais la somme de 2.000 euros par application de l'article 700 du code de procédure civile et à supporter les entiers dépens avec facuté de recouvrement conformément à l'article 699 du même code.
Arrêt prononcé par mise à disposition de l'arrêt au greffe de la cour, les parties en ayant été préalablement avisées dans les conditions prévues au deuxième alinéa de l'article 450 du code de procédure civile, signé par Madame Fabienne PAGES, Présidente et par Madame Mélanie RIBEIRO, Greffière, auquel la minute de la décision a été remise par le magistrat signataire.
La Greffière La Présidente