1. Il est essentiel de prendre toutes les mesures raisonnables pour préserver la sécurité de ses données de sécurité personnalisées, conformément aux dispositions du Code monétaire et financier. Cela inclut l’utilisation d’instruments de paiement de manière objective, non discriminatoire et proportionnée.
2. En cas d’opération de paiement non autorisée signalée, il est important de contacter immédiatement son prestataire de services de paiement pour obtenir un remboursement dans les délais prévus par la loi. Il est également crucial de coopérer avec les autorités compétentes pour résoudre le litige.
3. Il est primordial de rester vigilant face à toute demande suspecte, notamment en ce qui concerne la communication de données bancaires. Il est recommandé de ne jamais divulguer ses informations personnelles à des tiers et de vérifier l’identité des interlocuteurs avant de partager des données sensibles.
M. et Mme [U] ont constaté des virements non autorisés sur leur compte bancaire, effectués après un appel frauduleux se faisant passer pour la BNP PARIBAS. La BNP PARIBAS a réussi à récupérer une partie des fonds détournés, mais M. [U] a engagé une action en justice pour obtenir le remboursement total des virements non autorisés, ainsi que des dommages et intérêts pour préjudice moral. La BNP PARIBAS conteste la responsabilité de la banque, affirmant que les virements ont été validés par Mme [U] via son service de compte en ligne et que les identifiants de connexion ont été fournis à un tiers. Les parties ont présenté leurs arguments devant le tribunal, qui a rendu une ordonnance de clôture le 12 septembre 2023.
Contexte de l’affaire
L’article L. 133-16 du Code monétaire et financier impose à l’utilisateur de services de paiement de prendre des mesures pour préserver la sécurité de ses données. En cas d’opération non autorisée, le prestataire de services de paiement doit rembourser le montant immédiatement. Il incombe au prestataire de prouver l’authentification de l’opération en cas de contestation. Le principe de non-immixtion du banquier cède en cas d’anomalies manifestes.
Les faits de l’affaire
Les époux [U] ont utilisé une clé digitale pour effectuer des opérations financières sur leur compte bancaire. Toutes les opérations ont été approuvées par eux et réalisées à partir de leur téléphone mobile. Des comptes bancaires frauduleux ont été ajoutés après un appel téléphonique suspect.
Décision du tribunal
M. [U] n’a pas pris les mesures nécessaires pour préserver la sécurité de ses dispositifs de sécurité personnalisés. Sa demande de restitution de fonds et de dommages et intérêts est rejetée. Il est condamné aux dépens et à verser une somme à la BNP PARIBAS au titre des dispositions de l’article 700 du code de procédure civile. L’exécution provisoire est constatée.
– Monsieur [P] [U] est débouté de toutes ses demandes.
– Monsieur [P] [U] doit verser 2.000 euros à la société BNP PARIBAS au titre de l’article 700 du code de procédure civile.
– Monsieur [P] [U] est condamné aux dépens.
Réglementation applicable
– Article 1217 du code civil
– Article 700 du code de procédure civile
– Article 699 du code de procédure civile
– Article 455 du code de procédure civile
Avocats
Bravo aux Avocats ayant plaidé ce dossier :
– Maître Sandrine PRISO de la SELARL SOCIETE D’AVOCAT GOGET-PRISO
– Maître Dominique PENIN du LLP KRAMER LEVIN NAFTALIS & FRANKEL LLP
Mots clefs associés
– Code monétaire et financier
– Sécurité des données
– Opération de paiement non autorisée
– Remboursement
– Service d’initiation de paiement
– Indemnisation
– Preuve d’authentification
– Dommages et intérêts
– Force majeure
– Principe de non-immixtion
– Anomalies et irrégularités
– Clé digitale
– Authentification forte
– Virement
– Escroquerie
– Mesures de sécurité
– Dispositifs de sécurité personnalisés
– Préjudice moral
– Dépens
– Exécution provisoire
– Code monétaire et financier : Ensemble de lois et règlements qui régissent les activités financières et monétaires dans un pays, incluant la régulation des institutions financières, des marchés financiers et des instruments financiers.
– Sécurité des données : Mesures et protocoles destinés à protéger les données personnelles et sensibles contre les accès non autorisés, les utilisations abusives, les divulgations, les destructions ou les modifications.
– Opération de paiement non autorisée : Transaction effectuée sans le consentement du titulaire du compte, souvent due à une fraude ou à un vol d’identité.
– Remboursement : Action de restituer une somme d’argent à une personne qui a effectué un paiement, souvent en raison d’une erreur ou d’une rétractation.
– Service d’initiation de paiement : Service qui permet à un consommateur d’initier un ordre de paiement en ligne à partir de son compte bancaire, via un prestataire de services de paiement tiers.
– Indemnisation : Compensation financière accordée à une personne pour réparer un préjudice ou un dommage subi.
– Preuve d’authentification : Élément de preuve utilisé pour vérifier l’identité d’une personne lors d’une transaction ou d’un accès à un service, souvent sous forme de mot de passe, code PIN, empreinte digitale, etc.
– Dommages et intérêts : Somme d’argent versée à une partie lésée pour compenser les pertes subies en raison d’un acte illégal ou d’une faute d’une autre partie.
– Force majeure : Événement imprévisible et irrésistible qui empêche l’exécution normale d’un contrat et libère les parties de leurs obligations contractuelles.
– Principe de non-immixtion : Principe selon lequel une autorité ou une institution ne doit pas intervenir dans les affaires qui ne relèvent pas de sa compétence ou de ses responsabilités.
– Anomalies et irrégularités : Écarts par rapport à la norme ou à la procédure standard, souvent indiquant des erreurs, des fraudes ou des dysfonctionnements.
– Clé digitale : Outil de sécurité utilisé pour crypter et décrypter des informations, assurant la confidentialité et l’intégrité des données échangées.
– Authentification forte : Méthode d’authentification qui utilise au moins deux facteurs indépendants pour vérifier l’identité de l’utilisateur, augmentant ainsi la sécurité des transactions.
– Virement : Opération bancaire par laquelle une somme d’argent est transférée d’un compte à un autre, soit au sein d’une même banque, soit entre différentes banques.
– Escroquerie : Acte de tromperie délibéré visant à obtenir un avantage financier ou autre au détriment d’une autre personne.
– Mesures de sécurité : Ensemble de politiques, de procédures et de technologies mises en place pour protéger les personnes, les biens et les informations contre divers risques.
– Dispositifs de sécurité personnalisés : Outils ou mécanismes spécifiquement conçus pour sécuriser l’accès et l’utilisation de services ou de données, souvent personnalisés pour chaque utilisateur.
– Préjudice moral : Dommage non matériel subi par une personne, tel que la souffrance, l’angoisse ou la réputation endommagée.
– Dépens : Frais de justice que la partie perdante peut être condamnée à payer à la partie gagnante dans un procès.
– Exécution provisoire : Mesure permettant l’application immédiate d’une décision de justice, avant que tous les recours ne soient épuisés.
* * *
REPUBLIQUE FRANÇAISE
AU NOM DU PEUPLE FRANÇAIS
TRIBUNAL
JUDICIAIRE
DE PARIS [1]
[1]
Expéditions
exécutoires
délivrées le:
■
9ème chambre 1ère section
N° RG 22/09134
N° Portalis 352J-W-B7G-CXFF3
N° MINUTE : 2
Contradictoire
Assignation du :
13 juillet 2022
JUGEMENT
rendu le 30 Janvier 2024
DEMANDEUR
Monsieur [P] [U]
[Adresse 1]
[Localité 4]
représenté par Maître Sandrine PRISO de la SELARL SOCIETE D’AVOCAT GOGET-PRISO, avocat au barreau d’ESSONNE, avocat plaidant, vestiaire #PC39
DÉFENDERESSE
S.A. BNP PARIBAS
[Adresse 2]
[Localité 3]
représentée par Maître Dominique PENIN du LLP KRAMER LEVIN NAFTALIS & FRANKEL LLP, avocat au barreau de PARIS, avocat plaidant, vestiaire #J0008
COMPOSITION DU TRIBUNAL
Madame Anne-Cécile SOULARD, Vice-présidente,
Monsieur Patrick NAVARRI,Vice-président,
Madame Marine PARNAUDEAU, Vice-présidente,
assistés de Madame Sandrine BREARD, greffière.
Décision du 30 Janvier 2024
9ème chambre 1ère section
N° RG 22/09134 – N° Portalis 352J-W-B7G-CXFF3
DÉBATS
A l’audience du 14 novembre 2023 tenue en audience publique devant Monsieur Patrick NAVARRI, juge rapporteur, qui, sans opposition des avocats, a tenu seul l’audience, et, après avoir entendu les conseils des parties, en a rendu compte au Tribunal, conformément aux dispositions de l’article 805 du Code de procédure civile.
JUGEMENT
Rendu publiquement par mise à disposition au greffe
Contradictoire
En premier ressort
FAITS CONSTANTS
M. [P] [U] et son épouse Mme [Y] [U] sont titulaires d’un compte bancaire ouvert auprès de l’agence BNP PARIBAS. Ils effectuent des opérations sur leur compte à partir de leur téléphone mobile.
Le 28 août 2019, Mme [Y] [U] a reçu un appel téléphonique d’une personne qui l’a informée d’un problème de connexion en se présentant comme un intervenant de la BNP PARIBAS.
Les 29, 30 et 31 août 2019, les époux [U] ont constaté que des virements avaient été effectués de leur compte bancaire respectivement pour des sommes de 5.928 euros, 5.918 euros et 5.600 euros vers d’autres comptes au motif de« achat facture » et au bénéfice de [L] [J] [H], sans autorisation de leur part.
La BNP PARIBAS a adressé à la banque bénéficiaire une demande de restitution des fonds qui a abouti à la restitution de la somme de 5.600 euros.
Le 3 septembre 2019, Mme [Y] [U] a porté plainte pour ces faits.
Devant le refus de la société BNP PARIBAS de le rembourser, M. [P] [U] a engagé une action en justice.
PROCEDURE PRETENTIONS ET MOYENS DES PARTIES
Par assignation en date du 13 juillet 2022 et par dernières conclusions notifiées par RPVA le 16 janvier 2023, M. [P] [U] demande de :
« Vu les articles L.133-16 et suivants du Code monétaire et financier ;
Vu l’article 1231-1, 1315 devenu 1353 du Code civil ;
Vu l’article 515 du Code de procédure civile ;
Dire et juger recevable et bien fondée la demande des époux [U];
En conséquence,
DIRE que la responsabilité contractuelle de la société BNP PARIBAS est engagée et CONDAMNER la partie adverse à payer la somme de 11.846 € correspondant au remboursement des deux virements non autorisés des 29 et 30 août 2019 ;
CONDAMNER la partie adverse à payer la somme de 3.000 € en réparation du préjudice moral des demandeurs ;
CONDAMNER la même au paiement de la somme de 1.500 € sur le fondement de l’article 700 du code de procédure civile outre aux entiers dépens en ce compris les frais d’expertise amiable ;
Voir ordonner l’exécution provisoire de la décision à intervenir ».
A l’appui de sa demande il fait valoir :
– qu’en cas d’opérations non autorisées le prestataire de services rembourse le montant de ces opérations conformément à l’article L 133-18 du Code monétaire et financier ;
– que la banque a manqué à son obligation de vigilance et d’alerte alors que des fonds ont été détournés en l’espace de quelques jours ;
– que l’existence d’un dispositif de paiement avec données de sécurité personnalisées ne peut pas exclure la responsabilité de la banque et, par conséquent, son obligation de restitution ;
– que la société BNP PARIBAS ne démontre pas l’existence d’une faute ou d’une négligence commise par ses clients ;
– que le banquier est assujetti à un devoir de vigilance ;
– qu’en l’espace de deux jours des transferts pour des montants importants à destination de comptes inconnus ont été effectués.
Par dernières conclusions notifiées le 13 mars 2023, la SA BNP PARIBAS demande de :
– Débouter Monsieur [U] de l’intégralité de ses demandes à toutes fins qu’elles comportent.
– Le condamner à verser à BNP Paribas la somme de 2.500 € au titre de l’article 700 du Code de
procédure civile ainsi qu’aux entiers dépens.
A l’appui de ses demandes elle fait valoir :
– que si le payeur a donné son accord pour le paiement, l’ordre doit être exécuté ; que si le payeur peut renverser cette présomption en prouvant que l’ordre a été passé par un tiers, en revanche il ne peut s’exonérer de sa responsabilité si la perte financière résulte d’une négligence grave aux obligations mentionnées à l’article L 133-16 du code monétaire et financier ;
– que les virements contestés ont été passés par Mme [U] via son service de compte en ligne et les bénéficiaires ont été validés par la clé digitale ; que cette clé digitale n’a été enregistrée que sur le terminal mobile de Mme [U] et n’a jamais été transférée ; que par conséquent les époux [U] ont forcément fourni à un tiers qui a commis une escroquerie leurs identifiants de connexion qui ont permis de commettre des virements frauduleux ;
– que la banque ne doit pas s’immiscer dans les affaires de son client et que les montants concernés par ces virements n’ont rien d’anormal.
Pour un exposé des moyens il sera renvoyé aux conclusions des parties conformément à l’article 455 du Code de procédure civile.
L’ordonnance de clôture a été rendue le 12 septembre 2023.
MOTIVATION
Sur le fond
L’article L. 133-16 du Code monétaire et financier dispose que « Dès qu’il reçoit un instrument de paiement, l’utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées.
Il utilise l’instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation qui doivent être objectives, non discriminatoires et proportionnées ».
L’article L. 133-18 du Code monétaire et financier dispose que « En cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L 133-24, le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement et s’il communique ces raisons par écrit à la Banque de France. Le cas échéant, le prestataire de services de paiement du payeur rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu.
Lorsque l’opération de paiement non autorisée est initiée par l’intermédiaire d’un prestataire de services de paiement fournissant un service d’initiation de paiement, le prestataire de services de paiement gestionnaire du compte rembourse immédiatement, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, au payeur le montant de l’opération non autorisée et, le cas échéant, rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu. La date de valeur à laquelle le compte de paiement du payeur est crédité n’est pas postérieure à la date à laquelle il avait été débité.
Si le prestataire de services de paiement qui a fourni le service d’initiation de paiement est responsable de l’opération de paiement non autorisée, il indemnise immédiatement le prestataire de services de paiement gestionnaire du compte, à sa demande, pour les pertes subies ou les sommes payées en raison du remboursement du payeur, y compris le montant de l’opération de paiement non autorisée.
Le payeur et son prestataire de services de paiement peuvent décider contractuellement d’une indemnité complémentaire ».
En application des articles L.133-19 IV et L.133-23 du code monétaire et financier, lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre, et il appartient également à la banque, qui se prévaut des articles L.133-16 et L.133-17 du code monétaire et financier imposant à l’utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d’informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l’instrument de paiement ou des données qui lui sont liées, que l’utilisateur a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence grave à ses obligations. Cette preuve ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés.
L’article 1231-1 du Code civil dispose que « Le débiteur est condamné, s’il y a lieu, au paiement de dommages et intérêts soit à raison de l’inexécution de l’obligation, soit à raison du retard dans l’exécution, s’il ne justifie pas que l’exécution a été empêchée par la force majeure. »
Il y a lieu de rappeler que selon le principe de non-immixtion, il est constant que le banquier n’a pas à se substituer à son client dans la conduite de ses affaires, ni à intervenir pour empêcher son client d’effectuer un acte irrégulier, inopportun ou dangereux.
En outre, la banque n’a pas à effectuer de recherches, à réclamer de justifications pour s’assurer que les opérations qui lui sont demandées par un client sont régulières.
Toutefois ce principe cède en présence d’anomalies et d’irrégularités manifestes, que le banquier doit détecter.
Pour le banquier, non alerté par des éléments extérieurs tangibles, le simple caractère inhabituel d’une opération n’implique pas nécessairement qu’elle soit illicite ou frauduleuse.
En l’espèce, il est constant que le dispositif de clé digitale qui a été mis en place par la société BNP PARIBAS est utilisé par les époux [U]. Pour utiliser cette clé digitale, les époux [U] ont d’abord dû l’enregistrer sur leur terminal mobile. Cette opération ne pouvait être effectuée qu’une seule fois ou bien être transférée sur un autre appareil mais en respectant une procédure sécurisée.
Il est établi que les époux [U] ont enregistré leur clé digitale sur leur smartphone et qu’elle n’a jamais été transférée sur un autre appareil. Les époux [U] ont utilisé à plusieurs reprises cette clé digitale pour effectuer des opérations financières sur leur compte bancaire.
Une fois la clé digitale enregistrée, la validation de nouveaux bénéficiaires ainsi que chaque opération de paiement doit obligatoirement être effectuée au moyen de cette clé, et ce depuis le terminal mobile sur lequel la clé a été installée. Il s’agit donc d’une authentification forte au sens de l’article L. 133-4 f) du code monétaire et financier.
M. [U] ne conteste pas ces modalités techniques d’utilisation de la clé digitale et ne fait pas état d’un vol ou d’une perte du téléphone mobile.
Il en résulte que, dès lors que la clé digitale n’a jamais été transférée, toutes les opérations ont été effectuées à partir du téléphone mobile des époux [U] et que la validation des bénéficiaires ainsi que les virements effectués ont donc été approuvés par les époux [U]. Par conséquent les modalités de réalisation des virements contestés, au moyen de la clé digitale, excluent qu’il puisse s’agir d’opérations de paiement non autorisées.
En outre, le même jour que l’appel téléphonique par une personne se présentant comme un intervenant de la BNP PARIBAS, le RIB [XXXXXXXXXX06] intitulé « Mise à jour BNP Paribas de Mlle [U] [P] » a été ajouté le 28 août 2019 à 13h07 puis validé à 13h08 et que le RIB [XXXXXXXXXX05] intitulé « Mise à jour BNP Paribas » a été ajouté et validé le 28 août 2019 à 13h10. Or ce sont ces comptes bancaires qui ont été utilisés par l’escroc.
Pour chacun des RIB, une notification intitulée « Ajout de bénéficiaire » a été envoyée sur le téléphone des époux [U].
Or, dans son dépôt de plainte, Mme [U], quand bien même elle précise n’avoir communiqué aucune donnée bancaire, ajoute qu’en raison du problème de connexion elle a accepté de coopérer avec la personne se déclarant comme un intervenant de la BNP PARIBAS.
Par la suite les 29 et 30 août 2019, l’authentification client par empreinte digitale avec l’adresse IP habituelle des époux [U] a été constatée.
Ainsi il ressort des conditions d’intervention de la personne se déclarant comme un intervenant de la BNP PARIBAS puis des conditions d’ajout des comptes bénéficiaires ainsi que des conditions d’utilisation du compte bancaire que M. [U] n’a pas pris toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés.
Par conséquent il y a lieu de rejeter sa demande de restitution de la somme de 11.846 euros ainsi que, par voie de conséquence, la demande de dommages et intérêts au titre du préjudice moral.
Sur les autres demandes
Monsieur [U] étant la partie perdante, il y a lieu de le condamner au paiement des dépens et à verser une somme de 2.000 euros à la BNP PARIBAS au titre des dispositions de l’article 700 du code de procédure civile.
Il y a lieu de constater l’exécution provisoire.
PAR CES MOTIFS
Le tribunal statuant publiquement par mise à disposition au greffe, par jugement contradictoire et en premier ressort :
DÉBOUTE Monsieur [P] [U] de toutes ses demandes ;
CONDAMNE Monsieur [P] [U] à verser une somme de 2.000 euros à la société BNP PARIBAS au titre des dispositions de l’article 700 du code de procédure civile ;
CONDAMNE Monsieur [P] [U] aux dépens.
CONSTATE l’exécution provisoire.
Fait et jugé à Paris le 30 janvier 2024
LA GREFFIÈRELA PRÉSIDENTE