1. Il est essentiel pour les utilisateurs de services de paiement de prendre toutes les mesures raisonnables pour préserver la sécurité de leurs données de sécurité personnalisées. Cela inclut ne pas divulguer ses identifiants et mots de passe à des tiers et être vigilant quant à l’utilisation de ses dispositifs de sécurité.
2. En cas d’opérations de paiement non autorisées, il est impératif d’informer immédiatement son prestataire de services de paiement de toute utilisation non autorisée de l’instrument de paiement ou des données qui lui sont liées. La négligence grave dans la préservation de la sécurité de ses dispositifs de sécurité personnalisés peut entraîner la responsabilité de l’utilisateur de services de paiement.
3. En cas de litige lié à des opérations frauduleuses, il est important de prouver que l’inexécution de l’obligation provient d’une cause étrangère qui ne peut être imputée à la partie concernée. Il est également essentiel de respecter les obligations légales en matière de sécurité des transactions financières pour éviter toute responsabilité en cas de fraude.
Monsieur [T] a été victime de trois virements frauduleux d’un montant total de 9 000 € effectués à son insu au profit de bénéficiaires inconnus. Il a déposé une plainte pénale et a saisi le Tribunal judiciaire de Paris pour obtenir le remboursement de la somme ainsi que des dommages-intérêts. Monsieur [T] accuse la BNP Paribas d’avoir manqué à ses obligations de dépositaire de fonds en autorisant les virements frauduleux et demande le remboursement des sommes indûment virées. La BNP Paribas affirme avoir respecté ses obligations de sécurisation des opérations en ligne et accuse Monsieur [T] d’avoir commis une négligence grave en permettant aux fraudeurs d’accéder à son compte. L’affaire a été mise en délibéré pour le 11 janvier 2024.
Remboursement des opérations frauduleuses
Dans cette affaire, Monsieur [T] a demandé le remboursement des opérations frauduleuses effectuées sur son compte. Cependant, il a été débouté de ses demandes car les opérations litigieuses ont été dûment authentifiées selon les dispositions du code monétaire et financier.
Obligation de vigilance
Monsieur [T] a également invoqué l’obligation de vigilance de la banque. Cependant, il a été jugé que sa négligence grave, en communiquant ses identifiants et mots de passe à des fraudeurs, a permis les opérations frauduleuses. Par conséquent, il a été débouté de ses demandes fondées sur le défaut de vigilance de la banque.
Frais irrépétibles et dépens
En tant que partie perdante, Monsieur [T] a été condamné aux dépens de l’instance. Cependant, compte tenu du contexte, il n’a pas été accordé de frais au titre de l’article 700 du code de procédure civile.
– LABORATOIRES NHCO NUTRITION est condamné à payer :
– Les dépens.
– 8000,00 € à la société [O]-CASSE au titre de l’article 700 du Code de procédure civile.
Réglementation applicable
Avocats
Bravo aux Avocats ayant plaidé ce dossier :
– Me Parfait HABA, avocat au barreau de PARIS
– Maître Philippe METAIS du PARTNERSHIPS BRYAN CAVE LEIGHTON PAISNER (France) LLP, avocats au barreau de PARIS
Mots clefs associés
– Remboursement
– Code monétaire et financier
– Dispositif de sécurisation
– Authentification forte
– Notification
– IBAN
– Clé Digitale
– Numéro de client
– Code confidentiel
– Obligation de vigilance
– Dommages et intérêts
– Sécurité des données
– Utilisation non autorisée
– Négligence grave
– Fraude
– Dépens
– Article 700 du code de procédure civile
– Remboursement : Action de restituer une somme d’argent qui avait été payée précédemment, souvent suite à une rétractation, un service non conforme ou un produit défectueux.
– Code monétaire et financier : Ensemble de textes législatifs et réglementaires qui régissent le droit monétaire et financier en France, incluant les règles relatives aux institutions financières, aux marchés financiers, aux instruments financiers, et à la protection des consommateurs de services financiers.
– Dispositif de sécurisation : Mécanisme ou procédure mise en place pour protéger des données, des transactions ou des accès contre les intrusions, les fraudes ou tout autre risque de sécurité.
– Authentification forte : Procédure de vérification de l’identité d’un utilisateur qui combine au moins deux éléments d’authentification issus de catégories différentes (connaissance, possession, inhérence) afin de renforcer la sécurité.
– Notification : Acte par lequel une information est officiellement transmise à une personne, souvent pour lui faire savoir qu’une action a été prise ou doit être prise.
– IBAN (International Bank Account Number) : Numéro de compte bancaire international standardisé qui facilite les transactions internationales et réduit les risques d’erreurs de transcription.
– Clé Digitale : Outil ou dispositif numérique utilisé pour sécuriser l’accès à des services ou des données, souvent par cryptage ou par authentification.
– Numéro de client : Identifiant unique attribué à un client par une entreprise ou une institution, utilisé pour gérer les relations et les transactions avec ce client.
– Code confidentiel : Séquence de chiffres utilisée pour sécuriser l’accès à un dispositif, un compte ou une information, connue seulement de l’utilisateur et de l’entité qui l’a émise.
– Obligation de vigilance : Devoir légal imposé à certaines entreprises ou professionnels de surveiller activement et de prendre des mesures préventives contre des activités illégales telles que le blanchiment d’argent ou le financement du terrorisme.
– Dommages et intérêts : Compensation financière accordée à une partie lésée pour réparer le préjudice subi du fait d’une action ou d’une inaction d’une autre partie.
– Sécurité des données : Ensemble des mesures techniques et organisationnelles mises en place pour protéger les données contre les accès non autorisés, les pertes ou les altérations.
– Utilisation non autorisée : Utilisation d’un bien, d’un service ou d’une information sans permission ou en violation des termes d’un accord.
– Négligence grave : Manquement significatif au devoir de prudence ou de diligence qui aurait raisonnablement dû être observé dans une situation donnée, souvent associé à un risque élevé de dommage.
– Fraude : Acte délibéré de tromperie ou de dissimulation dans le but de gagner un avantage injuste ou illégal.
– Dépens : Frais de justice qui incluent les coûts liés à la procédure judiciaire, tels que les frais d’huissier, de greffe, etc., généralement à la charge de la partie perdante.
– Article 700 du code de procédure civile : Disposition légale en France qui permet à une partie dans un procès de demander une indemnisation pour les frais non couverts par les dépens, tels que les honoraires d’avocat.
* * *
REPUBLIQUE FRANÇAISE
AU NOM DU PEUPLE FRANÇAIS
TRIBUNAL
JUDICIAIRE
DE PARIS [1]
[1]
Expéditions
exécutoires
délivrées le:
■
9ème chambre 3ème section
N° RG :
N° RG 22/14916 – N° Portalis 352J-W-B7G-CYOOE
N° MINUTE : 4
Assignation du :
14 Décembre 2022
JUGEMENT
rendu le 11 Janvier 2024
DEMANDEUR
Monsieur [J] [X] [P] [T]
[Adresse 3]
[Localité 5]
représenté par Me Parfait HABA, avocat au barreau de PARIS, vestiaire #C0220
DÉFENDERESSE
S.A. BNP PARIBAS
[Adresse 2]
[Localité 4]
représentée par Maître Philippe METAIS du PARTNERSHIPS BRYAN CAVE LEIGHTON PAISNER (France) LLP, avocats au barreau de PARIS, vestiaire #R030
Décision du 11 Janvier 2024
9ème chambre 3ème section
N° RG 22/14916 – N° Portalis 352J-W-B7G-CYOOE
COMPOSITION DU TRIBUNAL
Madame CHARLIER-BONATTI, Vice-présidente
Madame SAJIE, Vice-Présidente
Monsieur BERTAUX, Juge
assistée de Alise CONDAMINE, Greffière lors de l’audience, et Pierre-Louis MICHALAK, Greffier lors de la mise à disposition,
DÉBATS
A l’audience du 09 Novembre 2023 tenue en audience publique devant Madame CHARLIER-BONATTI, juge rapporteur, qui, sans opposition des avocats, a tenu seule l’audience, et, après avoir entendu les conseils des parties, en a rendu compte au Tribunal, conformément aux dispositions de l’article 805 du Code de Procédure Civile. Avis a été donné que la décision serait rendue par mise à disposition au greffe le 11 Janvier 2024.
JUGEMENT
Prononcé en audience publique
Contradictoire
en premier ressort
EXPOSE DU LITIGE
Monsieur [J] [T] est titulaire d’un compte bancaire n°[XXXXXXXXXX01] domicilié à la BNP Paribas.
Il a été victime les 17, 20 et 22 juillet 2020 de trois virements frauduleux d’un montant de 3.000 € chacun, soit un montant total de 9.000 €, effectués à son insu au profit de bénéficiaires inconnus.
Le 26 juillet 2020, Monsieur [T] a déposé une plainte pénale.Aux termes de cette plainte, Monsieur [T] indique avoir été victime d’une tierce personne ayant pris le contrôle de son ordinateur et ayant pu, à cette occasion, collecter ses données personnelles, dont ses coordonnées bancaires BNP Paribas, son ordinateur portable contenant alors les données de sa deuxième carte bleue à la banque BNP.
Par assignation en date du 14 décembre 2022, Monsieur [T] a saisi le Tribunal judiciaire de Paris aux fins d’obtenir le remboursement de la somme de 9.000 euros, outre le paiement de 10.000 euros de dommages-intérêts.
Par conclusions en date du 1er juin 2023, Monsieur [T] demande au tribunal de:
“DÉCLARER Monsieur [J] [T] recevable et bien fondé en ses demandes ;
En conséquence,
À titre principal,
JUGER que la société BNP Paribas a manqué à ses obligations de dépositaire de fonds en autorisant les virements frauduleux d’un montant 9.000,00 € au préjudice de Monsieur [J] [T] ;
JUGER que Monsieur [J] [T] n’a commis aucune négligence de nature à exonérer partiellement ou totalement la société BNP Paribas dans l’exécution des virements frauduleux ;
Par conséquent,
CONDAMNER la société BNP Paribas à rembourser à Monsieur [T] [J] la somme de 9.000 € correspondant au montant des sommes indûment virées aux escrocs outre le paiement des intérêts au taux légal à compter du 13 octobre 2021 et ce sous astreinte de 150 € par jour de retard à l’expiration d’un délai de 7 jours suivant la signification de la décision à intervenir jusqu’au complet paiement de la créance ;
À titre subsidiaire,
JUGER que la société BNP Paribas a manqué à son devoir de vigilance et commis des fautes de négligence en autorisant les virements frauduleux d’un montant 9.000,00 € au préjudice de Monsieur [J] [T] ;
JUGER que Monsieur [J] [T] n’a commis aucune négligence de nature à exonérer partiellement ou totalement la société BNP Paribas de sa responsabilité contractuelle au titre des virements frauduleux ;
En conséquence,
CONDAMNER la société BNP Paribas à payer et porter à Monsieur [T] [J] la somme de 9.000 € correspondant au montant des sommes indûment virées aux escrocs outre le paiement des intérêts au taux légal à compter du 13 octobre 2021 et ce sous astreinte de 150 € par jour de retard à l’expiration d’un délai de 7 jours suivant la signification de la décision à intervenir jusqu’au complet paiement de la créance ;
CONDAMNER la société BNP Paribas à payer et porter à Monsieur [T] [J] la somme de 10.000 € à titre de dommages-intérêts pour préjudice moral, outre le paiement des intérêts au taux légal à compter du 13 octobre 2021 et ce sous astreinte de 150 € par jour de retard à l’expiration d’un délai de 7 jours suivant la signification de la décision à intervenir jusqu’au complet paiement de la créance ;
ORDONNER la capitalisation des intérêts échus pour l’ensemble des sommes dues en application de l’article 1343-2 du Code civil ;
DIRE n’y avoir lieu à écarter l’exécution provisoire de la décision à intervenir ;
En tout état de cause,
DÉBOUTER la société BNP Paribas de l’ensemble de ses demandes, fins et conclusions ;
CONDAMNER la société BNP Paribas à verser à Monsieur [T] [J] la somme de 4.000 € au titre de l’article 700 du code de procédure civile ;
CONDAMNER la BNP Paribas aux dépens.”
Monsieur [T] développe d’une part l’obligation qui pèserait sur la banque de rembourser le montant des opérations frauduleuses et d’autre part invoque la responsabilité de la banque pour manquement à ses obligations de vigilance et de vérification.
Par conclusions en réponse en date du 21 mars 2023, la BNP PARIBAS demande au tribunal de :
“Juger que les transactions litigieuses ont été dûment authentifiées et que BNP Paribas a parfaitement respecté ses obligations en matière de sécurisation de l’instrument de paiement de Monsieur [T] ;
Juger que Monsieur [T] a commis une négligence grave au sens de l’article L.133-19 IV du Code monétaire et financier ;
Juger que BNP Paribas n’a commis aucune inexécution contractuelle;
En tout état de cause :
Débouter Monsieur [T] de l’intégralité de ses demandes, fins et conclusions à l’encontre de BNP Paribas ;
Condamner Monsieur [T] à verser à BNP Paribas la somme de 2.500 euros au titre de l’article 700 du Code de procédure civile ainsi qu’aux entiers dépens.”
La Banque soutient qu’elle a parfaitement respecté ses obligations relatives à la sécurisation des opérations en ligne en ce que le dispositif de sécurité comprend des données et des codes de reconnaissance personnalisés, dont les numéro de client et code confidentiel d’accès à l’espace sécurisé en ligne de Monsieur [T], données secrètes dont seul ce dernier a la garde.
Par ailleurs elle considère que Monsieur [T] a manqué à son obligation de prendre toutes mesures raisonnables pour préserver la sécurité de ses dispositifs de sécurité personnalisés.
Cette négligence grave commise par Monsieur [T] a permis aux fraudeurs de soustraire de son compte chèque par trois fois les 17, 20 et 22 juillet 2020, la somme de 3.000 euros, soit la somme totale de 9.000 euros.
Conformément à l’article 455 du code de procédure civile, il est renvoyé aux écritures susvisées pour l’exposé complet des prétentions respectives des parties et de leurs moyens.
L’ordonnance de clôture est intervenue le 26 octobre 2023 avec fixation à l’audience de plaidoirie du 9 novembre 2023. L’affaire a été mise en délibéré au 11 janvier 2024.
SUR CE:
I. Sur la demande principale de remboursement du montant des opérations frauduleuses:
L’article L. 133-4 du code monétaire et financier impose aux prestataires de services de paiement de mettre en place un dispositif de sécurisation des instruments de paiement :
« a) Les données de sécurité personnalisées s’entendent des données personnalisées fournies à
un utilisateur de services de paiement par le prestataire de services de paiement à des fins
d’authentification ; […]
c) Un instrument de paiement s’entend, alternativement ou cumulativement, de tout dispositif
personnalisé et de l’ensemble de procédures convenu entre l’utilisateur de services de paiement et le prestataire de services de paiement et « utilisé » pour donner un ordre de paiement ; […]
e) Une authentification s’entend d’une procédure permettant au prestataire de services de
paiement de vérifier l’identité d’un utilisateur de services de paiement ou la validité de
l’utilisation d’un instrument de paiement spécifique, y compris l’utilisation des données de
sécurité personnalisées de l’utilisateur.
f) Une authentification forte du client s’entend d’une authentification reposant sur l’utilisation
de deux éléments ou plus appartenant aux catégories » connaissance « , » possession » et “inhérence » et indépendants en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d’authentification ; »
L’article L.133-44 du code monétaire et financier poursuit en disposant:
« I. – Le prestataire de services de paiement applique l’authentification forte du client définie
au f de l’article L. 133-4 lorsque le payeur :
1° Accède à son compte de paiement en ligne ;
2° Initie une opération de paiement électronique ;
3° Exécute une opération par le biais d’un moyen de communication à distance, susceptible
de comporter un risque de fraude en matière de paiement ou de toute autre utilisation
frauduleuse.
II. – Pour les opérations de paiement électronique à distance, l’authentification forte du client
définie au f de l’article L. 133-4 comporte des éléments qui établissent un lien dynamique
entre l’opération, le montant et le bénéficiaire donnés. »
Au cas présent, il ressort des éléments du dossier que Monsieur [T] a reçu pour l’ajout du bénéficiaire une notification sur son téléphone portable l’invitant à valider cette demande d’opération. Cette notification comporte le détail de l’opération à valider, à savoir la validation de l’IBAN du nouveau bénéficiaire et l’identité du bénéficiaire. Le nom du bénéficiaire des opérations frauduleuses figurait sur la notification qu’il a reçue, à savoir “[Y] [E] [U] [L]”. Monsieur [T] a ensuite nécessairement cliqué sur l’onglet « Valider » après avoir jugé correctes les informations reprises dans la notification d’« ajout de bénéficiaire » reçue.
En effet, le client est invité à vérifier la validité de l’IBAN renseigné et l’identité du bénéficiaire et s’interroger sur sa création , s’il n’est pas l’auteur et s’il ne l’a pas initié, il ne doit pas la valider. Monsieur [T] a ensuite entré le code confidentiel de sa Clé Digitale qu’il a lui-même créée et personnalisée lors de l’activation de ladite Clé Digitale. Monsieur [T] a ensuite reçu pour la création du bénéficiaire un courriel de la Banque confirmant l’ajout d’un nouveau bénéficiaire.
Ainsi, il apparait que la création d’un nouveau bénéficiaire de virement n’est possible qu’à la suite de différentes étapes, qui requièrent le numéro de client, le code confidentiel et personnel d’accès aux comptes sur internet et enfin la validation par l’usage d’un code adressé sur le téléphone mobile préalablement enregistré par le client lui-même sur son espace sécurisé,téléphone resté en sa possession.
En conséquence, Monsieur [T] sera débouté de ses demandes à ce titre, les opérations litigieuses ayant été dûment authentifiées.
II. Sur l’obligation de vigilance invoquée:
Aux termes de l’article 1231-1 du code civil, le débiteur est condamné s’il y a lieu au paiement de dommages et intérêts, soit à raison de l’inexécution de l’obligation, soit à raison du retard dans l’exécution, toutes les fois qu’il ne justifie pas que l’inexécution provient d’une cause étrangère qui ne peut lui être imputée, encore qu’il n’y ait aucune mauvaise foi de sa part.
L’article L. 133-16 alinéa 1 du code monétaire et financier dispose : «Dès qu’il reçoit un instrument de paiement, l’utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées. »
L’article L. 133-19, IV du code monétaire et financier poursuit en précisant que : « Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 13316 et L. 133-17 ».
Les articles L. 133-16 et L. 133-17 du code monétaire et financier mettent à la charge de l’utilisateur de services l’obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d’informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l’instrument de paiement ou des données qui lui sont liées.
Décision du 11 Janvier 2024
9ème chambre 3ème section
N° RG 22/14916 – N° Portalis 352J-W-B7G-CYOOE
En vertu de l’article L.133-23 du code monétaire et financier,la responsabilité du prestataire de services de paiement n’est pas engagée, s’il prouve la négligence grave commise par l’utilisateur de services de paiement.
Au cas présent, Monsieur [T] indique tout d’abord avoir conservé sur son ordinateur portable les données de sa carte bancaire et reconnait avoir donné accès à son ordinateur à un inconnu.
Le fraudeur a donc pu aux opérations frauduleuses du fait de la négligence grave de Monsieur [T] puisque ce dernier est le seul à avoir pu mettre à néant l’ensemble des dispositifs de sécurité en communiquant aux fraudeurs les identifiants et mot de passe de son espace sécurisé, validant l’ajout d’un nouveau bénéficiaire qu’il ne connaissait pas, validant l’enrôlement de sa Clé digitale sur un nouvel appareil et ne réagissant pas pour faire cesser la fraude, immédiatement dès le 16 juillet 2020.
Monsieur [T] a ainsi manqué à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés.
Cette négligence grave commise par Monsieur [T] a permis aux fraudeurs de soustraire de son compte chèque par trois fois les 17, 20 et 22 juillet 2020, la somme de 3.000 euros, soit la somme totale de 9.000 euros.
En conséquence de quoi, Monsieur [T] sera débouté de ses demandes fondées sur le défaut de vigilance de la banque.
III. Sur les frais irrépétibles et les dépens:
Succombant à l’instance, Monsieur [T] sera condamné aux dépens, sur le fondement de l’article 696 du code de procédure civile.
Compte tenu du contexte, il n’apparait cependant pas inéquitable de ne pas faire droit aux demandes au titre de l’article 700 du code de procédure civile.
PAR CES MOTIFS :
Le tribunal, statuant publiquement, par jugement contradictoire, rendu en premier ressort, par mise à disposition au greffe :
DEBOUTE Monsieur [J] [T] de l’ensemble de ses demandes formées contre la SA BNP Paribas ;
REJETTE les demandes au titre de l’article 700 du code de procédure civile ;
CONDAMNE Monsieur [J] [T] aux dépens.
Le greffier La présidente