CEntre de Recherche sur les CLauses ABusives
Résultats de la recherche

CA PARIS (pôle 5 ch. 6), 11 juin 2025

Nature : Décision
Titre : CA PARIS (pôle 5 ch. 6), 11 juin 2025
Pays : France
Juridiction : Paris (CA), Pôle 5 ch. 6
Demande : 24/04060
Date : 11/06/2025
Nature de la décision : Infirmation
Mode de publication : Judilibre
Date de la demande : 21/02/2024
Décision antérieure : TJ Créteil (3e ch.) 8 décembre 2023 : RG n° 22/05776
Décision antérieure :
  • TJ Créteil (3e ch.) 8 décembre 2023 : RG n° 22/05776
Imprimer ce document

 

CERCLAB - DOCUMENT N° 24049

CA PARIS (pôle 5 ch. 6), 11 juin 2025 : RG n° 24/04060 

Publication : Judilibre

 

Extrait (rappel du jugement) : « Sur ce dernier point, le tribunal a considéré qu'une telle clause, en exonérant le prestataire de services de paiement de toute responsabilité y compris en cas d'utilisation frauduleuse de cet instrument par un tiers a pour effet de le dispenser du remboursement des sommes en cas de paiement non autorisé, ce qui constitue une dérogation prohibée aux dispositions de l'article L. 133-18 du code monétaire et financier relatives à l'obligation de remboursement du paiement non autorisé. Ne pouvant dès lors se prévaloir de dérogations contractuelles contraires aux dispositions impératives du code monétaire et financier, Le Crédit Lyonnais reste soumis au régime légal qui lui impose de rembourser le paiement non-autorisé sauf à prouver la faute intentionnelle ou la négligence grave du payeur. »

Extrait (motifs) : « Afin de déterminer si les opérations sont autorisées, le code monétaire et financier prévoit : - en son article L. 133-3, que l'opération de paiement est une action indépendante de toute obligation sous-jacente en sorte que l'éventuelle illicéité de la cause sous-jacente est sans conséquence sur la validité de l'ordre, - en ses articles L. 133-6 et L. 133-7, que le caractère autorisé de l'opération dépend du consentement du payeur lequel est donné « sous la forme convenue entre le payeur et son prestataire ». Une des formes convenues envisagée par la loi est l'usage d'un dispositif de paiement avec données de sécurité personnalisées défini à l'article L. 133-4 du code monétaire et financier qui permettent d'authentifier son auteur : « a) Les données de sécurité personnalisées s'entendent des données personnalisées fournies à un utilisateur de services de paiement par le prestataire de services de paiement à des fins d'authentification ».

Aussi, compte tenu des explications faites par la banque s'agissant de l'enchainement des événements ainsi que des pièces qu'elle produit à ce sujet, notamment le listing faisant objet de sa pièce 4, et au regard des stipulations contractuelles, pleinement valables et opposables à M. X., pour l'ensemble des raisons détaillées par la banque appelante dans ses écritures, il y a lieu de considérer comme autorisées les opérations contestées par ce dernier « soit les six opérations de virements effectués les 25 et 26 février 2022 pour un montant total de 55.000 euros, établis comme suit : le 25 février à 17h36 : 4 550 euros à l'ordre de X. ; le 25 février à 17h40 : 10.000 euros à l'ordre de [D] [T] ; le 25 février à 17h42 : 12.000 euros à l'ordre Z.; le 25 février à 17h43 : 10.000 euros à l'ordre de W. ; le 25 février à 17h46 : 8 450 euros à l'ordre de V. ; le 26 février à 10h05 : 10.000 euros à l'ordre de U..

En présence d'une opération de paiement autorisée, l'article L. 133-21 alinéa 1 du code monétaire et financier prévoit qu'un ordre de paiement exécuté conformément à l'identifiant unique fourni par l'utilisateur du service de paiement est réputé dûment exécuté pour ce qui concerne le bénéficiaire désigné par l'identifiant unique. Il en résulte un régime de non-responsabilité du prestataire de service de paiement pour les ordres exécutés conformément à l'identifiant unique (c'est-à-dire l'IBAN) fourni par l'utilisateur du service de paiement.

Aussi, selon l'article L. 133-23 du code monétaire et financier, lorsqu'un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l'opération de paiement n'a pas été exécutée correctement, il incombe à son prestataire de service de paiement de prouver que l'opération en question a été authentifiée, dûment enregistrée et comptabilisée, et qu'elle n'a pas été affectée par une déficience technique ou autre. L'alinéa 2 de cet article L. 133-23 prévoit que 'l'utilisation de l'instrument de paiement telle qu'enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l'opération a été autorisée par le payeur ou que celui-ci n'a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière. Enfin, selon le dernier alinéa de l'article L. 133-23 du code monétaire et financier, le prestataire de services de paiement fournit des éléments afin de prouver la fraude ou la négligence grave commise par l'utilisateur de services de paiement.

En l'espèce, la banque appelante fait la preuve que l'opération a été authentifiée, dûment enregistrée et comptabilisée. Elle établit également que contrairement à ce qu'avance M. X. sans pour autant apporter d'élément tangible en ce sens, qu'elle n'a pas été affectée par une déficience technique ou autre. Ainsi, au vu de l'ensemble de ces éléments M. X. n'établit pas qu'il s'agirait d'opérations non autorisées. Par conséquent, aucun remboursement n'est dû à M. X.

Au surplus, M. X. tient à souligner qu'il a réagi dès le 26 février aux virements effectués la veille et le jour-même. Cependant, force est de constater qu'il ne l'a pas fait à réception des messages l'informant de l'enregistrement d'un nouvel appareil de confiance, alors que cela aurait empêché la fraude de se poursuivre, participant ainsi à la réalisation de son préjudice.

Conséquemment à ce qui précède, le jugement déféré doit être infirmé du chef de la condamnation prononcée à l'encontre de la banque et en toutes ses dispositions subséquentes. »

 

RÉPUBLIQUE FRANÇAISE

AU NOM DU PEUPLE FRANÇAIS

 

COUR D’APPEL DE PARIS

PÔLE 5 CHAMBRE 6

ARRÊT DU 11 JUIN 2025

 

ÉLÉMENTS D’IDENTIFICATION DE LA DÉCISION       (N.B. : mention ne figurant pas sur l’original)

R.G. n° 24/04060 (10 pages). N° Portalis 35L7-V-B7I-CJADG. Décision déférée à la Cour : Jugement du 8 décembre 2023 - Tribunal judiciaire de Créteil 3ème chambre - RG n° 22/05776.

 

APPELANTE :

SA CRÉDIT LYONNAIS

[Adresse 4], [Localité 5], N°SIREN : XXX, agissant poursuites et diligences de ses représentants légaux domiciliés en cette qualité audit siège, Représentée par Maître Julien MARTINET du cabinet SWIF LITIGATION, avocat au barreau de Paris, toque : D1329, Ayant pour avocat plaidant Maître Aurélien GAZEL du cabinet SWIF LITIGATION, avocat au barreau de Paris, toque : D1329

 

INTIMÉ :

Monsieur X.

[Adresse 3], [Localité 6], Représenté par Maître Stéphanie SECQ, avocat au barreau de Val-de-Marne, toque : 432, Ayant pour avocat plaidant Maître Franck LANGLOIS de la SCP BONIFACE DAKIN & ASSOCICÉS, avocat au barreau de Rouen, substitué à l'audience par Me Jeanne CIVEYRAC de la SCP BONIFACE DAKIN & ASSOCICÉS, avocat au barreau de Rouen

 

COMPOSITION DE LA COUR : En application des dispositions des articles 805 et 907 du code de procédure civile, l'affaire a été débattue le 3 avril 2025, en audience publique, les avocats ne s'y étant pas opposés, devant Madame Pascale SAPPEY-GUESDON, conseillère, entendue en son rapport.

Ce magistrat a rendu compte des plaidoiries dans le délibéré de la Cour, composée de : M. Marc BAILLY, président de chambre, Mme Pascale SAPPEY-GUESDON, conseillère, Mme Laurence CHAINTRON, conseillère.

Greffier, lors des débats : Mme Mélanie THOMAS

ARRÊT : - contradictoire - par mise à disposition de l'arrêt au greffe de la Cour, les parties en ayant été préalablement avisées dans les conditions prévues au deuxième alinéa de l'article 450 du code de procédure civile. - signé par Marc BAILLY, président de chambre et par Mélanie THOMAS, Greffier, présent lors de la mise à disposition.

 

EXPOSÉ DU LITIGE                                                           (N.B. : mention ne figurant pas sur l’original)

PROCÉDURE ET PRÉTENTIONS DES PARTIES :

Par déclaration reçue au greffe de la cour le 21 février 2024, la société Le Crédit Lyonnais a interjeté appel du jugement rendu le 8 décembre 2023 en ce que le tribunal judiciaire de Créteil saisi par voie d'assignation en date du 26 juillet 2022 délivrée à la requête de M. X. à la société Le Crédit Lyonnais, a condamné cette dernière à payer à M. X. la somme de 55.000 euros, et l'a condamnée aux dépens ainsi qu'au versement de la somme de 4.000 euros en application des dispositions de l'article 700 du code de procédure civile.

* * *

À l'issue de la procédure d'appel clôturée le 4 mars 2025 les prétentions des parties s'exposent de la manière suivante.

Au dispositif de ses dernières conclusions, communiquées par voie électronique le 4 septembre 2024, l'appelant présente, en ces termes, ses demandes à la cour :

« Il est demandé à la Cour de céans de :

- Infirmer le jugement en ce qu'il a condamné LE CRÉDIT LYONNAIS à restituer à M. X. la somme de 55.000 € assortie des intérêts au taux légal à compter du 28 février 2022, 4.000 € d'article 700 CPC et les dépens.

- Infirmer le jugement en ce qu'il a débouté LE CRÉDIT LYONNAIS de ses demandes, notamment au titre de l'article 700 CPC.

- Débouter M. X. de ses demandes, appel, fins et conclusions à toutes fins qu'elles comportent,

- Condamner M. X. à payer à LE CRÉDIT LYONNAIS 5.000 € sur le fondement d'article 700 du Code de procédure civile tant au titre de la première instance que de l'appel ainsi qu'aux entiers dépens. »

[*]

Au dispositif de ses dernières conclusions, communiquées par voie électronique le 22 juillet 2024, l'intimé présente, en ces termes, ses demandes à la cour :

« Vu les dispositions des articles L. 133-3, L. 133-6, L. 133-15, L. 133-18, L. 133-19 et L. 133-23 du Code Monétaire et Financier,

Vu les dispositions de l'article 1171 du Code Civil,

- CONFIRMER le jugement rendu par le Tribunal judiciaire de Créteil le 8 décembre 2023 en toutes ses dispositions.

En conséquence :

- CONDAMNER la SA CRÉDIT LYONNAIS à restituer à Monsieur X. la somme de 55.000 euros assortie des intérêts au taux légal à compter du 28 février 2022.

- CONDAMNER la SA CRÉDIT LYONNAIS à payer à Monsieur X. la somme de 4.000 euros au titre de l'article 700 du code de procédure civile.

- CONDAMNER la SA CRÉDIT LYONNAIS aux dépens.

Y ajoutant :

- CONDAMNER la SA CRÉDIT LYONNAIS à payer à Monsieur X. une indemnité complémentaire de 4.000 euros sur le fondement de l'article 700 du Code de procédure civile, outre les dépens d'appel. »

[*]

Par application des dispositions de l'article 455 du code de procédure civile, il est renvoyé, pour un plus ample exposé des prétentions et moyens des parties, à leurs conclusions précitées.

 

MOTIFS (justification de la décision)                                  (N.B. : mention ne figurant pas sur l’original)

MOTIFS DE LA DÉCISION :

M. X. est titulaire d'un compte professionnel n°376103 L ouvert dans les livres du Crédit Lyonnais depuis le 2 octobre 2020 en son agence de [Localité 8]. Les 25 et 26 février 2022, six virements d'un montant total de 55.000 euros ont été effectués depuis ce compte. Le 26 février 2022, M. X. a informé sa banque qu'il ne les avait pas autorisés.

Au motif que ces virements ont été faits à son insu, et faisant grief au Crédit Lyonnais de les avoir laissés s'exécuter, M. X. a sollicité la garantie de la banque, lui reprochant un manquement à son obligation de sécurité des transactions. Le Crédit Lyonnais estimant que les opérations de virements ont été réalisées conformément au dispositif informatique de sécurité personnalisé suite à la validation d'une demande d'ajout d'un nouvel appareil de confiance le 18 février 2022, a refusé de donner suite à cette demande.

C'est dans ces circonstances que par acte de commissaire de justice en date du 26 juillet 2022 M. X. a fait assigner devant le tribunal judiciaire de Créteil la société Crédit Lyonnais aux fins de condamnation de cette dernière à lui restituer les sommes correspondant aux six virements querellés.

****

A) Le tribunal a exactement relevé :

- Qu'il résulte des articles L. 133-19 et L. 133-23 du code monétaire et financier, qu'en cas d'opération de paiement non autorisée, réalisée au moyen d'un instrument de paiement doté de données de sécurité personnalisées, et signalée par l'utilisateur dans les conditions prévues à l'article L. 133-24, le prestataire de services de paiement du payeur rembourse au payeur le montant de l'opération non autorisée, sauf si la responsabilité du payeur est engagée en application de l'article L. 133-19 (Com., 30 nov. 2022, n°21-17.614) ;

- Qu'il en résulte encore que c'est au prestataire de services de paiement qu'il incombe de rapporter la preuve que l'utilisateur qui nie avoir autorisé une opération de paiement a agi frauduleusement ou n'a pas satisfait intentionnellement ou par négligence grave à ses obligations, et que cette preuve ne peut se déduire du seul fait que les instruments de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisées par un tiers ;

- Que toutefois, il peut être dérogé à ces deux textes par contrat, ainsi que le permet expressément l'article L. 133-2 qui énumère limitativement les articles auxquels les parties peuvent déroger, au nombre desquels ne figure pas l'article L. 133-18 [qui dispose qu'en cas d'opération de paiement non autorisée signalée par l'utilisateur dans les conditions prévues à l'article L. 133-24, le prestataire de services de paiement du payeur rembourse immédiatement au payeur le montant de l'opération non autorisée et, le cas échéant, rétablit le compte débité dans l'état où il se serait trouvé si l'opération de paiement non autorisée n'avait pas eu lieu] ;

- Qu'en conséquence, si les parties ne peuvent déroger à l'obligation de remboursement immédiat du paiement non-autorisé par le prestataire de service de paiement, prévue à l'article L. 133-18, elles restent libres de déroger aux règles légales qui font peser sur le prestataire la charge de prouver la faute du payeur et qui précisent que cette preuve ne résulte pas de la seule effectivité du paiement non-autorisé ;

B) Toutefois les textes auxquels fait référence le tribunal se rapportent au régime applicable en matière d'opérations non autorisées. Or, et spécifiquement à hauteur d'appel, la société Le Crédit Lyonnais soutient encore que l'opération frauduleuse en sa globalité constitue une opération autorisée en ce qu'a été mis en œuvre le système d'authentification forte prévu par les parties pour mouvementer le compte à distance, au moyen d'un identifiant (code à dix chiffres) et d'un code personnel d'accès (à six chiffres, à saisir à chaque opération).

Elle détaille que les relations de M. X., stomatologue, sont régies par une convention « LCL à la carte Pro » signée le 2 octobre 2020 ainsi que par les « Dispositions Générales de Banque » (DGB) comprenant des conditions générales « Relevés et Documents en [Localité 7] » (p.33 à 36), « LCL Access » (p. 36 à 44) et « des dispositions relatives à la preuve » (p. 44 à 48), dont il reconnaissait dans la convention, page 14, « avoir pris connaissance et être en possession d'un exemplaire » et en « accepter les dispositions ». Il était également tenu par les mises à jour de ces conditions auxquelles son relevé de compte n°8 du 1er mai 2021 au 2 juin 2021 faisait référence par une mention indiquant que : « À partir du 15 juillet, les Dispositions Générales de Banque (DGB) Professionnels et Petites entreprises incluant la convention de compte de dépôt évoluent. Elles seront disponibles dès le 15 juin dans nos agences ou sur le site LCL.fr, et vous seront remises ou adressées sur simple demande. Si vous souhaitez refuser les modifications proposées, vous pouvez résilier votre convention de compte de dépôt sans frais avant leur date d'entrée en vigueur. A défaut, vous êtes réputés les avoir acceptées. »

L'article 2.2.2 des Conditions Générales de service rappelait aux utilisateurs que : « les systèmes de protection de LCL ne peuvent fonctionner de manière optimale que si le Client de son côté, se protège également contre les risques informatiques. […] », et que « le Client ou l'Utilisateur Internet est entièrement responsable de l'usage et de la conservation de son code personnel d'accès, ainsi que des conséquences d'une divulgation à quiconque. »

L'article 2.5. intitulé « Preuves et enregistrements des ordres passées par LCL Access » rappelait en outre que « l'utilisation du code vaut signature de la part du Client et que les ordres transmis par ce moyen ont été donnés par lui et font preuve. Pour les opérations le nécessitant, le Client convient également que l'utilisation du code à usage unique, transmis sur un téléphone du Client fait également preuve. ».

La preuve du caractère autorisé d'une opération était ainsi aménagée, comme la loi l'autorise avec la clientèle professionnelle, par les conditions générales qui prévoyaient que : « La validation des transactions [i.e. saisie du code personnel délivré au client / utilisation d'un code à usage unique délivré par téléphone] vaut signature électronique du Client, l'utilisation de l'un des authentifiants dans les termes et conditions [prévus à la convention] prouvant son consentement aux transactions ainsi effectuées, et l'imputation de ces dernières au client ou à son mandant. »

Les Dispositions Générales de Banque précisant que « par dérogation à l'article L. 133-19 du Code Monétaire et Financier, le client assume toute la responsabilité des opérations de paiement non autorisées effectuées à l'aide d'un instrument de paiement doté de données de sécurité personnalisées et ce jusqu'à la demande de blocage de l'instrument de paiement concerné y compris en cas de fraude, perte, vol ou contrefaçon dudit instrument ou des données de sécurité personnalisées qui lui sont liées. ».

La banque explique avoir reçu le 18 février 2022 une demande d'ajout d'un nouvel appareil de confiance et avoir envoyé en réponse à M. X. un code à usage unique (YYY) qui a été saisi depuis le téléphone de M. X. soit le [XXXXXXXX01], étant à rappeler que M. X. n'allègue pas qu'on lui aurait volé son téléphone. La banque a donc envoyé un second message pour confirmation de l'enrôlement de l'appareil comprenant l'indication que le destinataire devait se manifester si cette opération n'était pas de son chef. Or, M. X. ne s'est pas manifesté, pendant une période de sept jours.

Dans un second temps, les 25 et 26 février la banque par l'intermédiaire de ce dispositif sécurisé a reçu des instructions de virement données depuis l'appareil de confiance enregistré au nom de M. X. le 18 février 2022 et validées via son application mobile :

Date Opération Bénéficiaire Montant

25/02/2022 Virement M. X. 4.550 €

25/02/2022 Virement Mme Y. 10.000 €

25/02/2022 Virement M. Z.12.000 €

25/02/2022 Virement Mme W. 10.000 €

25/02/2022 Virement Mme V. 8.450 €

26/02/2022 Virement M. U. 10.000 €

Le Crédit Lyonnais, tenu à une obligation de prompte exécution des ordres de ses clients, n'a évidemment pas fait obstacle à ces mouvements reçus via le portail sécurisé de M. X. présentant tous les gages de régularité, et ordonnées au débit d'un compte suffisamment provisionné.

Ainsi, c'est l'ensemble du processus sécurisé qui a été respecté. Conformément à la jurisprudence de la présente chambre de la cour d'appel de Paris, dans ces circonstances il y a lieu de retenir qu'il s'agit d'opérations autorisées.

M. X. soutient que pour qu'une opération soit autorisée il est nécessaire qu'elle ait été initiée par le payeur et que celui-ci ait consenti à son exécution. Il défend qu'il n'a découvert l'existence des virements frauduleux que les 25 et 26 février. Il assure qu'il ne les a pas initiés, qu'il n'y a jamais consenti, qu'il n'a jamais communiqué aucun code à quiconque.

M. X. estime qu'aucune des pièces communiquées par la banque ne permet d'établir que l'ajout de cet appareil résulterait d'une action délibérée de M. X. et que les virements litigieux auraient été effectués par l'intermédiaire de ce téléphone. Le document produit par Le Crédit Lyonnais n'est qu'un document interne à la banque, auquel les clients n'ont pas accès, il ne peut être déduit de cette pièce que M. X. avait connaissance de l'ajout d'un nouvel appareil de confiance et qu'il l'aurait validé. Certes il s'agit bien de son numéro de téléphone, et M. X. est bien propriétaire d'un Iphone Bouygues, mais il n'a jamais transmis ses codes d'accès et ne pouvait anticiper la fraude, étant à relever qu'il n'y a pas eu d'opération pendant six jours. La seule explication possible à la fraude est l'existence d'une faille dans le système de la banque. D'ailleurs celle-ci aurait dû s'alerter d'opérations inhabituelles effectuées juste après l'enregistrement d'un nouveau téléphone.

Sur ce,

Déjà en première instance la banque produisait un relevé informatique internet « Extranet Push » du 18 février 2022 - pièce n°4 -attestant de l'envoi sur le numéro de portable Iphone [XXXXXXXX02] de deux SMS dont le premier contenait un mot de passe à usage unique pour valider l'enrôlement du nouvel appareil de confiance, et le second confirmant l'enrôlement de ce nouvel appareil tout en invitant son destinataire, en cas de doute, à changer son code d'accès personnel.

Comme jugé par le tribunal, en l'espèce, il résulte des pièces produites par la banque que M. X. a bien reçu communication des « Dispositions générales de Banque Clientèle des Professionnels et des Petites entreprises » au moment de la souscription du contrat, et ne s'y est pas opposé lors de leurs modifications ultérieures, qui lui seraient ainsi opposables, en ce comprise la clause 3.3 relative aux services de paiement sur laquelle la banque fonde toute une partie de ses développements tendant au rejet des prétentions de M. X..

Cette clause dans sa partie relative à la « Contestation des opérations de paiements » stipule que « LCL peut ne pas rembourser une opération contestée ou annuler un remboursement (et donc procéder au débit d'une opération initialement remboursée) dans les situations suivantes : (…) - l'opération contestée s'avère autorisée par le client et ce notamment dès lors que l'ordre comporte la signature d'une personne autorisée par le client ; Certains instruments de paiement sont dotés de données de sécurité personnalisées qui s'entend de tout moyen technique affecté par la banque au client pour l'utilisation d'un instrument de paiement. Ce dispositif, propre au client et placé sous sa garde, vise à l'authentifier. Le client prend toutes les mesures raisonnables pour préserver la sécurité de son instrument de paiement. En cas de perte, de vol ou de détournement d'un tel instrument de paiement, le client doit en avertir LCL sans délai et le confirmer par écrit. Sauf dispositions contraires prévues dans un contrat spécifique et par dérogation à l'article L. 133-19 du code monétaire et financier, le client assume toute la responsabilité des opérations de paiement non autorisées effectuées à l'aide d'un instrument de paiement doté de données de sécurité personnalisées et ce jusqu'à la demande de blocage de l'instrument de paiement concerné y compris en cas de fraude, perte, vol ou contrefaçon dudit instrument ou des données de sécurité personnalisées qui lui sont liées. »

Sur ce dernier point, le tribunal a considéré qu'une telle clause, en exonérant le prestataire de services de paiement de toute responsabilité y compris en cas d'utilisation frauduleuse de cet instrument par un tiers a pour effet de le dispenser du remboursement des sommes en cas de paiement non autorisé, ce qui constitue une dérogation prohibée aux dispositions de l'article L. 133-18 du code monétaire et financier relatives à l'obligation de remboursement du paiement non autorisé. Ne pouvant dès lors se prévaloir de dérogations contractuelles contraires aux dispositions impératives du code monétaire et financier, Le Crédit Lyonnais reste soumis au régime légal qui lui impose de rembourser le paiement non-autorisé sauf à prouver la faute intentionnelle ou la négligence grave du payeur.

La société Le Crédit Lyonnais rappelle que les premiers juges ont estimé à titre surabondant que la clause 3.3 des dispositions générales de la Banque prévoyant - conformément aux dispositions de l'article L.133-2 du code monétaire et financier - une dérogation à l'article L. 133-19 du code monétaire et financier s'agissant exclusivement des instruments de paiement 'dotés de données de sécurité personnalisées', serait contraire aux dispositions impératives de l'article L. 133-18 du code monétaire et financier.

La banque soutient que tel n'est pas le sens de l'article 3.3 des dispositions générales de la Banque, qui distingue clairement deux hypothèses :

- la première qui concerne « les instruments de paiements non dotés de données de sécurité personnalisées » qui prévoit que la « banque rembourse le client immédiatement et au plus tard le jour ouvrable suivant la réception de sa demande » et qui correspond au cas visé par l'article L. 133-18 du code monétaire et financier auquel en l'espèce il n'est nullement dérogé contrairement à ce qu'ont retenu à tort les premiers juges ;

- la seconde qui concerne les instruments de paiement « dotés de données de sécurité personnalisées qui s'entend de tout moyen technique affecté par la banque au client pour l'utilisation d'un instrument de paiement » et où il est rappelé que « ce dispositif, propre au client et placé sous sa garde, vise à l'authentifier » et que : « sauf dispositions contraires prévues dans un contrat spécifique et par dérogation à l'article L. 133-19 du Code monétaire et financier, le client assume toute la responsabilité des opérations de paiement non autorisées effectuées à l'aide d'un instrument de paiement doté de données de sécurité personnalisées et ce jusqu'à la demande de blocage de l'instrument de paiement concerné y compris en cas de fraude, perte vol ou contrefaçon dudit instrument ou de ses données de sécurité personnalisées qui lui sont liées », et qui correspondent au cas visé par l'article L. 133-19 du code monétaire et financier figurant dans la sous-section 2 du code monétaire et financier consacrée « au cas particulier des instruments de paiement dotés de données de sécurité personnalisée. »

La société Crédit Lyonnais ajoute que l'article L. 133-2 du code monétaire et financier dispose expressément que 'Sauf dans les cas où l'utilisateur est une personne physique agissant pour des besoins non professionnels, il peut être dérogé par contrat aux dispositions de l'article L. 133-1-1, des deux derniers alinéas de l'article L. 133-7, des articles L. 133-8, L. 133-19, L. 133-20, L. 133-22, L. 133-23, L. 133-25, L. 133-25-1, L. 133-25-2 et aux I et III de l'article L. 133-26.'

Elle fait valoir que faisant application de l'article L. 133-2 du code monétaire et financier, la Cour d'appel de Paris a ainsi validé l'application d'un « article 6 Obligations/responsabilité de l'utilisateur, paragraphe 6-1 Garde des identifiants des conditions générales de la convention Crédit agricole en ligne /contrat utilisateur » qui stipulait que : « le titulaire reconnait qu'il est engagé par toutes les opérations effectuées par l'utilisateur à l'aide de ses identifiants, même si ces opérations, réalisées à la suite d'une divulgation ou d'une perte de ceux-ci, ont été initiées par des personnes non autorisées, à charge pour lui de recourir, le cas échéant, contre l'utilisateur. La responsabilité de la Caisse régionale ne pourra pas être recherchée de ce fait. »- CA [Localité 9], Pôle 5 Chambre 6, 8 février 2023, N°21/07935. Aussi, la doctrine unanime confirme ainsi que la stipulation d'une clause élusive ou limitative de responsabilité dans les conditions générales d'un prestataire de paiement est « licite dans les relations avec les personnes morales ou les personnes physiques agissant pour des besoins professionnels ». La doctrine ajoute que « l'article L. 133-2 permet de déroger à certaines dispositions, relatives à la révocation de l'ordre de paiement et à certaines règles régissant la responsabilité des professionnels, lorsque le client du prestataire n'est pas une personne physique agissant pour des besoins non professionnels. » Il est donc parfaitement possible pour la banque, dans ses relations avec des utilisateurs personnes physiques qui agissent pour des besoins professionnels, ce qui est bien le cas de M. X., de déroger par contrat aux dispositions de l'article L. 133-19 du code monétaire et financier, s'agissant des instruments de paiement dotés de données de sécurité personnalisées.

La société Crédit Lyonnais ajoute que les premiers juges ont en réalité opéré une confusion entre les dispositions de l'article L. 133-18 du code monétaire et financier pour lesquelles aucune dérogation n'est effectivement admise, mais qui ne concerne pas le cas présent, et les dispositions de l'article L. 133-19 du code monétaire et financier pour lesquelles une dérogation est expressément admise par l'article L. 133-2 du code monétaire et financier et qui correspond à la présente situation.

Ainsi, la dérogation figurant à l'article 3.3 des conditions générales de LCL qui constitue une simple application des articles L. 133-2 et L. 133-19 du code monétaire et financier est donc parfaitement valable et totalement opposable à M. X. C'est donc à tort que M. X. affirme page 5 de ses conclusions que 'les parties ne peuvent pas déroger contractuellement à ce principe ainsi qu'il se déduit de l'article L. 133-2 du code monétaire et financier qui énumère limitativement les articles auxquels les parties peuvent déroger au nombre desquels ne figure par l'article L. 133-18', puisque les virements litigieux ne relèvent pas de l'article L. 133-18 du code monétaire et financier mais de l'article L. 133-19 du même code puisqu'ils ont été réalisés à l'aide d'un instrument doté de données de sécurité personnalisées.

La société Crédit Lyonnais rappelle que M. X. prétend enfin que cette clause s'inscrirait dans un contrat d'adhésion et qu'elle devrait par conséquent être réputée non écrite (cf. pages 9 et s.) et que LCL ne rapporterait pas la preuve que ses dispositions générales auraient été portées à sa connaissance, ni qu'il les aurait expressément acceptées. Or la convention de l'offre « LCL à la carte Pro » conclue entre LCL et M. X. porte l'inscription « Lu et approuvé » ainsi que la signature de M. X. sous un paragraphe par lequel M. X. a déclaré 'avoir pris connaissance et être en possession d'un exemplaire des documents suivants dont il accepte les dispositions :

- les ['] conditions particulières ; [']

- les Dispositions générales de Banque 'Clientèle des Professionnels et des Petites Entreprises’(réf. 55301) régissant la convention de compte courant ainsi que les produits proposés par le Crédit Lyonnais ['] ».

La preuve de la connaissance et de l'acception desdites conditions générales par M. X. est ainsi clairement rapportée.

La société Crédit Lyonnais ajoute que par ailleurs, cette clause est la simple retranscription d'une faculté offerte par la loi de sorte qu'elle ne saurait créer un déséquilibre significatif entre les parties, ni mériter d'être réputée non écrite et ce d'autant moins qu'elle prévoit expressément la possibilité de sa neutralisation par la formule « sauf dispositions contraires prévues dans un contrat spécifique ». Elle ne fait donc en tout état de cause pas partie d'un contrat d'adhésion.

Le jugement déféré sera par conséquent infirmé en ce qu'il a faussement retenu que : « une telle clause [l'article 3-3 des dispositions générales de la Banque], en exonérant le prestataire de services de paiement de toute responsabilité y compris en cas d'utilisation frauduleuse de cet instrument par un tiers a pour effet de le dispenser du remboursement des sommes en cas de paiement non autorisé, ce qui constitue une dérogation prohibée aux dispositions de l'article L. 133-18 du code monétaire et financier relatives à l'obligation de remboursement du paiement non autorisé. Ne pouvant dès lors se prévaloir de dérogations contractuelles contraires aux dispositions impératives du code monétaire et financier, LE CRÉDIT LYONNAIS reste soumis au régime légal qui lui impose de rembourser le paiement non-autorisé sauf à prouver la faute intentionnelle ou la négligence grave du payeur ».

La société Le Crédit Lyonnais conclut qu'il résulte donc de ce qui précède que, intentionnellement ou par négligence grave, M. X. n'a pas pris toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées au sens de l'article L. 133-19 IV du code monétaire et financier. C'est donc bien à tort que les premiers juges après avoir relevé que 'les opérations de virement litigieuses ont été effectuées depuis l'appareil enregistré le 18 février 2022’ont estimé que la concluante « n'apporte pas la preuve de son allégation selon laquelle les six ordres de virements litigieux n'auraient été possibles que par la négligence grave de Monsieur X. du seul fait qu'il aurait autorisé l'appareillage d'un nouvel appareil de confiance » alors qu'il s'agit évidemment là d'une négligence grave qui se trouve encore renforcée par 'l'utilisation des données personnelles qui sont liées à l'instrument de paiement pour la réalisation des virements', qui étaient sous la garde exclusive de M. X., la banque ignorant ces informations, elle ne pouvait les avoir divulguées. C'est pourquoi il est convenu que LCL ne peut être tenu pour responsable ‘quant aux conséquences qui résulteraient d'un usage frauduleux ou abusif du code dans le cas ou le Client, du fait d'une négligence grave, n'aurait pas satisfait à ses obligations de protection de la confidentialité des données nécessaires à son authentification’(article 2.2.2). Au cas présent, il est établi que les virements litigieux ont bien été dûment autorisés ou à tout le moins qu'ils ont pu être effectués du fait des négligences graves de M. X. (authentification, OTP et SMS de confirmation, absence de réaction de M. X. pendant sept jours).

Ceci étant exposé,

Afin de déterminer si les opérations sont autorisées, le code monétaire et financier prévoit :

- en son article L. 133-3, que l'opération de paiement est une action indépendante de toute obligation sous-jacente en sorte que l'éventuelle illicéité de la cause sous-jacente est sans conséquence sur la validité de l'ordre,

- en ses articles L. 133-6 et L. 133-7, que le caractère autorisé de l'opération dépend du consentement du payeur lequel est donné « sous la forme convenue entre le payeur et son prestataire ». Une des formes convenues envisagée par la loi est l'usage d'un dispositif de paiement avec données de sécurité personnalisées défini à l'article L. 133-4 du code monétaire et financier qui permettent d'authentifier son auteur : « a) Les données de sécurité personnalisées s'entendent des données personnalisées fournies à un utilisateur de services de paiement par le prestataire de services de paiement à des fins d'authentification ».

Aussi, compte tenu des explications faites par la banque s'agissant de l'enchainement des événements ainsi que des pièces qu'elle produit à ce sujet, notamment le listing faisant objet de sa pièce 4, et au regard des stipulations contractuelles, pleinement valables et opposables à M. X., pour l'ensemble des raisons détaillées par la banque appelante dans ses écritures, il y a lieu de considérer comme autorisées les opérations contestées par ce dernier « soit les six opérations de virements effectués les 25 et 26 février 2022 pour un montant total de 55.000 euros, établis comme suit : le 25 février à 17h36 : 4 550 euros à l'ordre de X. ; le 25 février à 17h40 : 10.000 euros à l'ordre de [D] [T] ; le 25 février à 17h42 : 12.000 euros à l'ordre Z.; le 25 février à 17h43 : 10.000 euros à l'ordre de W. ; le 25 février à 17h46 : 8 450 euros à l'ordre de V. ; le 26 février à 10h05 : 10.000 euros à l'ordre de U..

En présence d'une opération de paiement autorisée, l'article L. 133-21 alinéa 1 du code monétaire et financier prévoit qu'un ordre de paiement exécuté conformément à l'identifiant unique fourni par l'utilisateur du service de paiement est réputé dûment exécuté pour ce qui concerne le bénéficiaire désigné par l'identifiant unique. Il en résulte un régime de non-responsabilité du prestataire de service de paiement pour les ordres exécutés conformément à l'identifiant unique (c'est-à-dire l'IBAN) fourni par l'utilisateur du service de paiement.

Aussi, selon l'article L. 133-23 du code monétaire et financier, lorsqu'un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l'opération de paiement n'a pas été exécutée correctement, il incombe à son prestataire de service de paiement de prouver que l'opération en question a été authentifiée, dûment enregistrée et comptabilisée, et qu'elle n'a pas été affectée par une déficience technique ou autre. L'alinéa 2 de cet article L. 133-23 prévoit que 'l'utilisation de l'instrument de paiement telle qu'enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l'opération a été autorisée par le payeur ou que celui-ci n'a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière. Enfin, selon le dernier alinéa de l'article L. 133-23 du code monétaire et financier, le prestataire de services de paiement fournit des éléments afin de prouver la fraude ou la négligence grave commise par l'utilisateur de services de paiement.

En l'espèce, la banque appelante fait la preuve que l'opération a été authentifiée, dûment enregistrée et comptabilisée. Elle établit également que contrairement à ce qu'avance M. X. sans pour autant apporter d'élément tangible en ce sens, qu'elle n'a pas été affectée par une déficience technique ou autre. Ainsi, au vu de l'ensemble de ces éléments M. X. n'établit pas qu'il s'agirait d'opérations non autorisées.

Par conséquent, aucun remboursement n'est dû à M. X.

Au surplus, M. X. tient à souligner qu'il a réagi dès le 26 février aux virements effectués la veille et le jour-même. Cependant, force est de constater qu'il ne l'a pas fait à réception des messages l'informant de l'enregistrement d'un nouvel appareil de confiance, alors que cela aurait empêché la fraude de se poursuivre, participant ainsi à la réalisation de son préjudice.

Conséquemment à ce qui précède, le jugement déféré doit être infirmé du chef de la condamnation prononcée à l'encontre de la banque et en toutes ses dispositions subséquentes.

 

Sur les dépens et les frais irrépétibles :

M. X., qui échoue dans ses prétentions, supportera la charge des dépens et ne peut prétendre à aucune somme sur le fondement de l'article 700 du code de procédure civile. En revanche pour des raisons tenant à l'équité il n'y a pas lieu de faire droit à la demande de la banque, formulée sur ce même fondement.

 

DISPOSITIF (décision proprement dite)                             (N.B. : mention ne figurant pas sur l’original)

PAR CES MOTIFS :

La cour, statuant dans les limites de l'appel,

INFIRME le jugement déféré ;

Statuant à nouveau :

DÉBOUTE M. X. de l'ensemble de ses demandes ;

DÉBOUTE les parties de leurs demandes formées sur le fondement de l'article 700 du code de procédure civile à raison des frais irrépétibles exposés en cause d'appel ;

CONDAMNE M. X. aux dépens d'appel.

LE GREFFIER                                LE PRÉSIDENT