Changement de bénéficiaire de virements bancaires : la responsabilité de la banque

Notez ce point juridique

1. Assurez-vous de prendre toutes les mesures nécessaires pour préserver la sécurité de vos dispositifs de sécurité personnalisés liés à vos opérations bancaires, et informez immédiatement votre prestataire de services en cas d’utilisation non autorisée de votre instrument de paiement.

2. En cas de litige concernant une opération de paiement non autorisée, demandez à votre prestataire de services de rapporter la preuve que vous avez agi frauduleusement ou que vous n’avez pas respecté intentionnellement ou par négligence grave vos obligations.

3. Si vous contestez une opération de paiement non autorisée, exigez que votre prestataire de services apporte la preuve que l’opération a été authentifiée, enregistrée et comptabilisée correctement, et qu’elle n’a pas été affectée par une déficience technique ou autre.

M. [E] [X] est titulaire d’un compte chèque à la BNP Paribas Banque Privée. Le 12 juillet 2019, un virement frauduleux de 5 970 euros a été effectué depuis son compte vers un bénéficiaire dont l’IBAN avait été modifié en ligne. M. [X] a contesté l’opération et a déposé plainte. Le tribunal judiciaire de Paris l’a débouté de ses demandes en mars 2022, considérant qu’il avait commis une négligence grave en utilisant ses codes d’identification pour valider le virement. M. [X] a interjeté appel et demande le remboursement de 2 970 euros, des dommages et intérêts, ainsi que des frais de procédure. La BNP Paribas soutient que M. [X] a commis une négligence grave en divulguant ses identifiants et en validant l’opération frauduleuse. Elle demande le rejet des demandes de M. [X]. L’affaire a été plaidée le 29 novembre 2023.

MOTIFS DE LA DÉCISION

Sur la demande de remboursement des sommes prélevées au titre du virement

Aux termes des articles L. 133-16 et L. 133-17 du code monétaire et financier, il appartient à l’utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité des dispositifs de sécurité personnalisés et d’informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l’instrument de paiement ou des données qui lui sont liées.

Cependant, c’est à ce prestataire qu’il appartient en application des articles L. 133-19 IV et L. 133-23 du même code de rapporter la preuve que l’utilisateur qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence grave, à ses obligations.

Il est admis que cette preuve ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés.

En cas d’utilisation d’un dispositif de sécurité personnalisé, il appartient également au prestataire de prouver que l’opération en cause a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre.

ANALYSE DE LA SITUATION

En l’espèce, le virement litigieux de 5 970 euros réalisé le 12 juillet 2019 a été effectué par utilisation des données et des codes de reconnaissance personnalisés, dont le numéro de client et le code confidentiel d’accès à l’espace sécurisé en ligne de M. [X] sur l’application « mabanque.bnpparibas » et du dispositif de sécurité qui leur était associé ainsi que par l’utilisation du dispositif lui-même permettant d’intégrer un bénéficiaire de virement ou d’en modifier les données.

M. [X] ne conteste pas la réception d’un SMS sur son téléphone portable le 11 juillet 2019 à 13 h 10 mais en conteste l’utilisation en indiquant avoir été en mer à cette date et ne pas avoir été à ce moment-là en possession de son téléphone portable, mais s’être rendu compte à son retour de la réception de ce SMS émanant de la BNP Paribas lui demandant de valider le changement d’IBAN du bénéficiaire d’un virement dans les 24 heures. Il estime que c’est à la banque de prouver qu’il aurait commis une négligence grave ce qu’il conteste.

M. [X] produit en pièce 10 copie du SMS reçu rédigé en ces termes : « BNP Paribas, pour activer votre bénéficiaire sur mabanque.bnpparibas, veuillez saisir votre code 68067 sous 24 h. En cas de doute, contactez votre conseiller ».

Il justifie avoir déposé plainte auprès du Commissariat de police du [Localité 5] le 29 juillet 2019 pour virement frauduleux expliquant qu’à son retour de voyage, le 17 juillet 2019, en consultant ses comptes, il avait constaté un virement de 5 970 euros au profit de la SAF à la date du 12 juillet 2019 contestant en être l’auteur et rappelant qu’il était bien adhérant de la SAF mais qu’après vérification, cette structure n’avait aucune trace d’un virement à cette date et que l’IBAN modifié n’était pas le sien.

Il justifie également d’une demande de remboursement adressée à sa banque le 28 septembre 2019 maintenant les mêmes explications en ajoutant que son ordinateur était fermé à la maison et que pour accéder à ses comptes il faut disposer de son code secret qu’il est seul à connaître et qu’il n’utilise pas son téléphone portable pour ses opérations bancaires.

Ces démarches ont été suivies d’une saisine du médiateur de la banque en janvier 2020 et de sa compagnie d’assurance en août 2020.

CONCLUSION

– Condamnation de la société BNP Paribas à payer à M. [E] [X] la somme de 2 970 euros augmentée des intérêts au taux légal à compter du 13 août 2020.
– Condamnation de la société BNP Paribas à payer à M. [E] [X] la somme de 1 500 euros sur le fondement de l’article 700 du code de procédure civile.

Sommaire

Réglementation applicable

– Code monétaire et financier
– Article L. 133-16
– Article L. 133-17
– Article L. 133-19 IV
– Article L. 133-23
– Code de procédure civile
– Article 700

Avocats

Bravo aux Avocats ayant plaidé ce dossier :

– Me Marine DEPOIX de la SELARL AKAOUI DEPOIX PICARD, avocat au barreau de PARIS
– Me Philippe METAIS du PARTNERSHIPS BRYAN CAVE LEIGHTON PAISNER (France) LLP, avocat au barreau de PARIS

Mots clefs associés

– Remboursement
– Sécurité des dispositifs
– Utilisation non autorisée
– Preuve de l’utilisateur
– Dispositif de sécurité personnalisé
– Opération de paiement
– Authentification
– Utilisation frauduleuse
– Négligence grave
– SMS de validation
– Plainte
– Virement frauduleux
– Réception de SMS
– Code secret
– Opérations bancaires
– Médiateur de la banque
– Compagnie d’assurance
– Validation du SMS
– Défense technique
– Action frauduleuse
– Remboursement du virement
– Indemnisation
– Préjudice moral
– Résistance abusive
– Dépens
– Article 700 du code de procédure civile

– Remboursement : Action de restituer une somme d’argent qui a été payée précédemment, souvent suite à une rétractation ou un désaccord sur la prestation de service ou la qualité d’un produit.

– Sécurité des dispositifs : Ensemble des mesures techniques et organisationnelles mises en place pour protéger les dispositifs électroniques contre les accès non autorisés ou les dommages.

– Utilisation non autorisée : Utilisation d’un bien ou service sans le consentement du propriétaire ou en violation des conditions d’utilisation établies.

– Preuve de l’utilisateur : Élément de preuve qui démontre l’identité de l’utilisateur ou les actions effectuées par celui-ci.

– Dispositif de sécurité personnalisé : Mécanisme ou équipement conçu spécifiquement pour sécuriser l’accès ou l’utilisation de services par une personne déterminée, souvent par des moyens biométriques ou des mots de passe.

– Opération de paiement : Transaction financière par laquelle un montant d’argent est transféré d’un compte à un autre.

– Authentification : Processus de vérification de l’identité d’une personne ou de la validité d’une transaction.

– Utilisation frauduleuse : Utilisation malveillante d’informations ou de biens, souvent dans le but de tirer un avantage financier ou matériel.

– Négligence grave : Manquement significatif à un devoir de prudence ou de diligence qui aurait raisonnablement dû être observé dans des circonstances données.

– SMS de validation : Message texte envoyé sur un téléphone mobile pour confirmer une opération ou une action, souvent utilisé dans les processus d’authentification.

– Plainte : Déclaration formelle accusant quelqu’un d’un acte répréhensible, souvent utilisée dans un contexte légal pour initier une procédure judiciaire.

– Virement frauduleux : Transfert non autorisé de fonds d’un compte à un autre, réalisé dans l’intention de détourner des fonds.

– Réception de SMS : Acte de recevoir un message texte sur un appareil mobile.

– Code secret : Combinaison de chiffres ou de lettres utilisée pour sécuriser l’accès à des informations ou des services.

– Opérations bancaires : Ensemble des transactions financières réalisées par une banque pour le compte de ses clients.

– Médiateur de la banque : Personne indépendante chargée de résoudre les litiges entre les banques et leurs clients de manière impartiale.

– Compagnie d’assurance : Entreprise qui fournit des couvertures de risques en échange de primes.

– Validation du SMS : Confirmation de l’authenticité d’un message texte, souvent utilisée dans les processus de vérification.

– Défense technique : Ensemble des moyens techniques utilisés pour se défendre contre des accusations ou des attaques, souvent dans un contexte juridique ou informatique.

– Action frauduleuse : Acte délibéré visant à tromper ou à induire en erreur afin d’obtenir un avantage illégitime.

– Remboursement du virement : Restitution des fonds à une personne qui a été victime d’un virement frauduleux.

– Indemnisation : Compensation financière accordée pour un préjudice ou une perte subie.

– Préjudice moral : Dommage non matériel subi par une personne, tel que la souffrance, l’angoisse ou la réputation endommagée.

– Résistance abusive : Refus injustifié par une partie de se conformer à une décision de justice ou à un accord, souvent dans le but de retarder ou d’empêcher l’exécution de celle-ci.

– Dépens : Frais de justice qui doivent être payés par une partie à l’autre dans le cadre d’une procédure judiciaire.

– Article 700 du code de procédure civile : Disposition légale en France qui permet à une partie de demander à l’autre le remboursement des frais non compris dans les dépens.

* * *

REPUBLIQUE FRANÇAISE

AU NOM DU PEUPLE FRANÇAIS

Copies exécutoires RÉPUBLIQUE FRANÇAISE

délivrées aux parties le : AU NOM DU PEUPLE FRANÇAIS

COUR D’APPEL DE PARIS

Pôle 4 – Chambre 9 – A

ARRÊT DU 18 JANVIER 2024

(n° , 2 pages)

Numéro d’inscription au répertoire général : N° RG 22/08830 – N° Portalis 35L7-V-B7G-CFYPX

Décision déférée à la Cour : Jugement du 7 mars 2022 – Tribunal judiciaire de PARIS – RG n° 11-21-004695

APPELANT

Monsieur [E] [X]

né le [Date naissance 1] 1940 à [Localité 7] (33)

[Adresse 2]

[Localité 5]

représenté par Me Marine DEPOIX de la SELARL AKAOUI DEPOIX PICARD, avocat au barreau de PARIS, toque : C0673

INTIMÉE

La société BNP PARIBAS, société anonyme agissant poursuites et diligences de son représentant légal domicilié en cette qualité audit siège

N° SIRET : 662 042 449 00014

[Adresse 3]

[Localité 4]

représentée par Me Philippe METAIS du PARTNERSHIPS BRYAN CAVE LEIGHTON PAISNER (France) LLP, avocat au barreau de PARIS, toque : J002

COMPOSITION DE LA COUR :

En application des dispositions des articles 805 et 907 du code de procédure civile, l’affaire a été débattue le 29 novembre 2023, en audience publique, les avocats ne s’y étant pas opposés, devant Mme Laurence ARBELLOT, Conseillère, chargée du rapport

Ce magistrat a rendu compte des plaidoiries dans le délibéré de la Cour, composée de :

Mme Muriel DURAND, Présidente de chambre

Mme Laurence ARBELLOT, Conseillère

Mme Sophie COULIBEUF, Conseillère

Greffière, lors des débats : Mme Ophanie KERLOC’H

ARRÊT :

– CONTRADICTOIRE

– par mise à disposition de l’arrêt au greffe de la Cour, les parties en ayant été préalablement avisées dans les conditions prévues au deuxième alinéa de l’article 450 du code de procédure civile.

– signé par Mme Muriel DURAND, Présidente et par Mme Camille LEPAGE, Greffière à laquelle la minute de la décision a été remise par le magistrat signataire.

FAITS, PROCÉDURE ET PRÉTENTIONS DES PARTIES

M. [E] [X] est titulaire d’un compte chèque n° [XXXXXXXXXX06] ouvert dans les livres de la société BNP Paribas Banque Privée.

Le 11 juillet 2019, l’IBAN d’un bénéficiaire existant, la Société Française d’Astronomie, a été modifié sur l’espace en ligne de M. [X] et le 12 juillet 2019, un virement externe d’un montant de 5 970 euros a été effectué depuis le compte chèque vers le compte externe du bénéficiaire mis à jour la veille.

Le 17 juillet 2019, M. [X] a contesté être à l’origine de ce virement auprès de sa banque en sollicitant le remboursement de la somme de 5 970 euros frauduleusement soustraite puis il a déposé plainte le 29 juillet suivant.

Par assignation du 29 mars 2021, le tribunal judiciaire de Paris a été saisi par M. [E] [X] d’une demande en paiement dirigée contre la société BNP Paribas pour un montant de 2 970 euros correspondant à la somme débitée moins la somme de 3 000 euros remboursée, en remboursement de l’opération de paiement en ligne effectuée le 12 juillet 2019 ainsi que des sommes de 1 200 euros en réparation de son préjudice moral, 1 000 euros de dommages et intérêts pour résistance abusive et 1 000 euros en application de l’article 700 du code de procédure civile.

Par jugement contradictoire rendu le 7 mars 2022, le tribunal a débouté M. [X] de ses demandes, l’a condamné aux dépens et laissé à la société BNP Paribas la charge de ses frais irrépétibles.

Aux termes de son jugement, le tribunal a retenu que le virement réalisé le 12 juillet 2019 n’avait pu être réalisé à partir de l’espace en ligne de M. [X] qu’avec l’utilisation de ses codes d’identification (n° client et code secret) et l’activation préalable du bénéficiaire, qui nécessitait également les codes de reconnaissance ainsi qu’une validation mobile, pour laquelle M. [X] a reconnu avoir reçu un SMS. Il a considéré que M. [X] avait utilisé à tort le code mobile qui lui avait été adressé pour procéder au changement d’IBAN d’un bénéficiaire enregistré et est donc à l’origine de l’erreur ayant conduit au détournement de la somme de 5 970 euros. Il a noté que la banque avait toutefois procédé au versement de la somme de 3 000 euros à M. [X] en guise de geste commercial et qu’il n’y avait donc pas lieu de faire droit à ses demandes indemnitaires.

M. [X] a interjeté appel de ce jugement par déclaration enregistrée le 2 mai 2022.

Aux termes de ses dernières conclusions déposées par voie électronique le 25 juillet 2022, M. [X] demande à la cour :

– de le déclarer recevable et bien fondé en ses demandes,

– d’infirmer le jugement en ce qu’il l’a débouté de l’ensemble de ses demandes et l’a condamné aux dépens et statuant à nouveau,

– de condamner la société BNP Paribas à lui verser la somme de 2 970 euros en remboursement du reliquat de la somme due avec intérêts de droit au taux légal à compter du 13 août 2020,

– de condamner la société BNP Paribas à lui verser la somme de 1 200 euros au titre du préjudice moral,

– de condamner la société BNP Paribas à lui verser la somme de 1 000 euros à titre de dommages et intérêts pour résistance abusive,

– de condamner la société BNP Paribas à lui verser la somme de 2 000 euros au titre des dispositions de l’article 700 du code de procédure civile,

– de condamner la société BNP Paribas aux entiers dépens de l’instance.

Il ne conteste pas avoir reçu le SMS du 11 juillet 2019 relatif au changement d’IBAN du bénéficiaire, mais conteste avoir validé le changement d’IBAN et donc être à l’origine de l’opération et indique ne pas être à l’origine d’une quelconque négligence grave. Il estime que c’est à la banque de démontrer qu’il a commis une négligence grave et que la seule existence d’un système de sécurité renforcé est insuffisante à prouver que seule la délivrance par l’utilisateur de ses données personnalisées a pu permettre la réalisation des opérations contestées. A cet égard, il prétend que le tribunal a inversé la charge de la preuve. Il soutient avoir subi un stress du fait de cette procédure justifiant le versement de dommages et intérêts.

Aux termes de ses dernières conclusions, déposées par voie électronique le 24 octobre 2022, la société BNP Paribas demande à la cour :

– de juger que M. [X] a commis une négligence grave au sens de l’article L. 133- 19 IV du code monétaire et financier,

– en conséquence, de confirmer le jugement,

– de débouter M. [X] de l’intégralité de ses demandes, fins et conclusions,

– de condamner M. [X] à lui payer la somme de 3 000 euros au titre de l’article 700 du code de procédure civile ainsi qu’aux entiers dépens.

Elle soutient avoir parfaitement respecté ses obligations relatives à la sécurisation des opérations en ligne en ce que le dispositif de sécurité comprend des données et des codes de reconnaissance personnalisés, dont le numéro de client et le code confidentiel d’accès à l’espace sécurisé en ligne de M. [X], données secrètes dont il est seul à avoir la garde. Elle explique que pour valider le changement d’IBAN du bénéficiaire depuis l’espace en ligne de M. [X], ce dernier a reçu un code secret unique communiqué par SMS qu’il reconnaît avoir reçu et que la réception de ce code aurait dû conduire M. [X] à alerter immédiatement sa banque. Elle estime que M. [X] a commis une négligence grave en anéantissant les deux procédés de sécurité mis en place, en communiquant ses identifiants à son espace en ligne, en validant ou en permettant de valider une opération douteuse, en ne prévenant pas sa banque dès l’envoi du SMS de validation du changement d’IBAN et en ne procédant pas à la suppression du nouvel IBAN et au changement de ses identifiants en ligne.

Elle conclut au rejet des demandes de dommages et intérêts de M. [X], dès lors qu’elle n’a commis aucune faute en refusant de lui rembourser les sommes détournées.

Pour un plus ample exposé des faits, moyens et prétentions des parties, il est renvoyé aux écritures de celles-ci conformément aux dispositions de l’article 455 du code de procédure civile.

L’ordonnance de clôture a été rendue le 17 octobre 2023 et l’affaire a été appelée à l’audience du 29 novembre 2023.

MOTIFS DE LA DÉCISION

Sur la demande de remboursement des sommes prélevées au titre du virement

Il est admis que cette preuve ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés.

Ces démarches ont été suivies d’une saisine du médiateur de la banque en janvier 2020 et de sa compagnie d’assurance en août 2020.

Si la réception du SMS ne fait pas de doute, sa validation par M. [X] pour l’ajout d’un nouveau bénéficiaire n’est en rien démontré par la société BNP Paribas, qui ne communique aux débats aucune pièce technique, aucun enregistrement sur support informatique démontrant que les identifiants et mot de passe personnels du service de banque en ligne de M. [X] ont bien été saisis et que le code reçu par SMS a été composé afin d’ajouter le bénéficiaire des opérations ou d’en modifier son IBAN et effectuer le virement litigieux et ce alors que M. [X] n’a jamais fait état d’une quelconque perte ou du vol de son téléphone portable ou d’une quelconque tentative de fraude d’une personne qui aurait cherché à récupérer ses identifiants et codes personnels.

Il appartient au minimum à la banque de démontrer que l’opération en cause a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre, et d’apporter la preuve soit d’une action frauduleuse soit d’une négligence grave.

Aucun élément ne permet de dire que M. [X] aurait imprudemment partagé son identifiant personnel et son code d’accès, ni qu’il a lui-même procédé à la validation du SMS dans le cadre de l’utilisation du dispositif de sécurité renforcée.

Partant, la société BNP Paribas doit donc être tenue au remboursement du virement litigieux et le jugement doit être infirmé.

L’appelant a d’ores et déjà indemnisé à hauteur de 3 000 euros et la société BNP Paribas doit être condamnée à lui verser le complément soit la somme de 2 970 euros augmentée des intérêts au taux légal à compter du 13 août 2020, date du courrier de mise en demeure.

L’appelant ne démontre pas suffisamment l’existence d’un préjudice moral de sorte qu’il doit être débouté de sa demande d’indemnisation à ce titre.

Il ne démontre pas non plus de résistance abusive de la part de la société BNP Paribas de sorte que sa demande d’indemnisation pour résistance abusive doit être rejetée.

Le jugement doit donc être infirmé en ce qu’il a condamné M. [X] aux dépens mais confirmé en ce qu’il a rejeté la demande formée sur le fondement de l’article 700 du code de procédure civile.

La société BNP Paribas est tenue aux dépens de première instance et d’appel et condamnée à payer à M. [X] la somme de 1 500 euros en application de l’article 700 du code de procédure civile, la demande formée par la banque à ce titre étant rejetée.

PAR CES MOTIFS

LA COUR,

Statuant après débats en audience publique, par arrêt contradictoire mis à disposition au greffe,

Infirme le jugement en toutes ses dispositions sauf quant au rejet de la demande sur le fondement de l’article 700 du code de procédure civile ;

Statuant à nouveau et y ajoutant,

Condamne la société BNP Paribas à payer à M. [E] [X] la somme de 2 970 euros augmentée des intérêts au taux légal à compter du 13 août 2020 ;

Condamne la société BNP Paribas aux dépens de première instance et d’appel ;

Condamne la société BNP Paribas à payer à M. [E] [X] la somme de 1 500 euros sur le fondement de l’article 700 du code de procédure civile ;

Déboute les parties de toute autre demande plus ample ou contraire.

La greffière La présidente