|
S’il appartient à l’utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d’informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l’instrument de paiement ou des données qui lui sont liées, c’est au prestataire qu’il incombe de rapporter la preuve que l’utilisateur a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence grave à ses obligations.
Cette preuve ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés. Aucune présomption n’est attachée à l’infaillibilité supposée des instruments de paiement sécurisés dès lors que le risque de la fraude ne pèse pas sur l’utilisateur. Le fonctionnement du système de la « clé digitale » répond aux exigences du gouvernement qui, depuis une ordonnance du 9 août 2017, exige des établissements de crédit d’assurer une « authentification forte » lorsqu’un utilisateur de services bancaires en ligne réalise une opération en ligne basée sur le fait que le client possède « son smartphone » et est seul à connaître son code secret. Ce fonctionnement du système de la « clé digitale » est la mise en place de l’« authentification forte » d’une opération en ligne basée sur le fait que le client possède « son smartphone » et est seul à connaître « son code secret ». Dans un premier temps, le client télécharge l’application « Mes comptes » de la BNP PARIBAS sur son téléphone mobile. En la cause, il résulte des traces informatiques des serveurs de la BNP PARIBAS, versées aux débats, que la clé digitale de la cliente a été installée sur un nouveau téléphone de marque Apple. Cette opération n’a été rendue possible que par l’utilisation du lien reçu par SMS, adressé au numéro de téléphone dont la cliente est titulaire ; les opérations de fraude ultérieures n’ont été rendues possibles que par la communication par la cliente du contenu du SMS qui lui avait été adressé sur son téléphone ; la connaissance du code était nécessaire à l’enrôlement de la clé digitale sur le téléphone portable du fraudeur. La responsabilité de la cliente était donc engagée. |
→ Résumé de l’affaireMadame [L] a constaté des paiements frauduleux sur son compte bancaire et a assigné la BNP PARIBAS en justice. Elle demande à la société d’être tenue responsable des opérations de paiement non autorisées, de rembourser les fonds, de réparer les préjudices matériels et moraux subis, et de verser des dommages et intérêts. La BNP PARIBAS conteste les accusations et demande le rejet des demandes de Madame [L]. L’affaire a été mise en délibéré pour le 30 mai 2024.
|
→ Les points essentielsSur la responsabilité de la BNP PARIBASLa BNP PARIBAS a respecté ses obligations en matière de sécurisation de la carte bancaire de Madame [L], qui a été victime d’une fraude. La banque a correctement exécuté les achats réalisés et n’a commis aucune faute. Madame [L] a été négligente dans la conservation de son moyen de paiement, ce qui a permis à l’escroc d’enrolement la clé digitale sur son téléphone et de valider des paiements frauduleux. Sur les autres demandesMadame [L] sera condamnée aux dépens, car elle a été négligente dans la conservation de son moyen de paiement. Il n’est pas inéquitable de ne pas faire droit à ses demandes au titre de l’article 700 du code de procédure civile. Les montants alloués dans cette affaire: – Madame [F] [L] est déboutée de l’ensemble de ses demandes
– Aucune somme n’est allouée à Madame [F] [L] au titre de l’article 700 du code de procédure civile – Madame [F] [L] est condamnée aux entiers dépens |
→ Réglementation applicable |
→ AvocatsBravo aux Avocats ayant plaidé ce dossier: – Maître Emilie CHANDLER
– Maître Arnaud DELOMEL – Maître Dominique PENIN |
→ Mots clefs associés & définitions– BNP PARIBAS
– Code monétaire et financier – Sécurité des données – Utilisateur de services de paiement – Opération de paiement non autorisée – Responsabilité du payeur – Fraude – Authentification forte – Clé digitale – Smartphone – Code secret – Enrôlement – Escroc – Carte bancaire – Obligation de vigilance – Négligence – Demande de remboursement – Dépens – Article 700 du code de procédure civile – BNP PARIBAS: une banque française internationale
– Code monétaire et financier: ensemble des lois et règlements régissant les activités financières en France – Sécurité des données: protection des informations personnelles et sensibles contre les accès non autorisés – Utilisateur de services de paiement: personne utilisant des services de paiement tels que les virements bancaires ou les paiements par carte – Opération de paiement non autorisée: transaction effectuée sans le consentement du titulaire du compte – Responsabilité du payeur: obligation du titulaire du compte de payer les opérations autorisées – Fraude: acte illégal visant à tromper une personne pour obtenir un avantage financier – Authentification forte: méthode de vérification de l’identité d’un utilisateur à l’aide de plusieurs facteurs de sécurité – Clé digitale: code numérique utilisé pour sécuriser les transactions en ligne – Smartphone: téléphone intelligent permettant d’accéder à internet et d’effectuer des opérations bancaires – Code secret: combinaison de chiffres confidentielle utilisée pour sécuriser l’accès à un compte bancaire – Enrôlement: processus d’inscription d’un utilisateur à un service ou une plateforme en ligne – Escroc: individu utilisant des stratagèmes frauduleux pour tromper les gens et leur soutirer de l’argent – Carte bancaire: moyen de paiement électronique émis par une banque permettant d’effectuer des transactions – Obligation de vigilance: devoir de surveiller et de signaler toute activité suspecte ou frauduleuse – Négligence: manquement à prendre les précautions nécessaires pour éviter un préjudice – Demande de remboursement: requête adressée à une banque pour obtenir le remboursement d’une opération non autorisée – Dépens: dépenses effectuées dans le cadre d’une transaction ou d’un achat – Article 700 du code de procédure civile: disposition légale permettant au juge de condamner une partie à payer les frais de justice de l’autre partie dans le cadre d’un litige civil |
REPUBLIQUE FRANÇAISE
AU NOM DU PEUPLE FRANÇAIS
Tribunal judiciaire de Paris
RG n° 23/01390
JUDICIAIRE
DE PARIS [1]
[1]
Expéditions
exécutoires
délivrées le :
à
Me CHANDLER
Me PENIN
■
9ème chambre 3ème section
N° RG 23/01390 –
N° Portalis 352J-W-B7H-CY2ME
N° MINUTE : 2
Assignation du :
25 Janvier 2023
JUGEMENT
rendu le 30 Mai 2024
DEMANDERESSE
Madame [F] [L]
[Adresse 1]
[Localité 4]
représentée par Maître Emilie CHANDLER, avocat au barreau de PARIS, avocat postulant, vestiaire E0159 et Maître Arnaud DELOMEL, avocat au barreau de Rennes, avocat plaidant
DÉFENDERESSE
S.A. BNP PARIBAS
[Adresse 2]
[Localité 3]
représentée par Maître Dominique PENIN du LLP KRAMER LEVIN NAFTALIS & FRANKEL LLP, avocats au barreau de PARIS, vestiaire J0008
Décision du 30 Mai 2024
9ème chambre 3ème section
N° RG 23/01390 – N° Portalis 352J-W-B7H-CY2ME
COMPOSITION DU TRIBUNAL
Béatrice CHARLIER-BONATTI, Vice-présidente
Gilles MALFRE, Vice-président
Hadrien BERTAUX, Vice-président
assistés de Chloé DOS SANTOS, Greffière lors de l’audience et de la mise à disposition.
DÉBATS
A l’audience du 02 Mai 2024 tenue en audience publique devant Béatrice CHARLIER-BONATTI, juge rapporteur, qui, sans opposition des avocats, a tenu seule l’audience, et, après avoir entendu les conseils des parties, en a rendu compte au Tribunal, conformément aux dispositions de l’article 805 du Code de Procédure Civile. Avis a été donné aux parties que la décision serait rendue par mise à disposition au greffe le 30 Mai 2024.
JUGEMENT
Rendu publiquement par mise à disposition au greffe
Contradictoire
En premier ressort
Par conclusions en date du 30 janvier 2024, Madame [F] [L] demande au tribunal de :
“- Juger Madame [L] recevable et bien fondée en sa demande ;
– Juger que la société BNP PARIBAS est responsable de plein droit, en matière d’opérations de paiement non autorisées, aux termes des dispositions des articles L. 133-17 et suivants du code monétaire et financier ;
– Juger que la société BNP PARIBAS n’a pas respecté son obligation de remboursement des fonds suite à des opérations de paiement non autorisées, conformément aux dispositions des articles L. 133-18 et suivants du code monétaire et financier ;
– Juger que la société BNP PARIBAS ne rapporte pas la preuve de la commission d’agissements frauduleux ou de manquement intentionnel/négligence grave de la part de Madame [L] ;
– Juger que la société BNP PARIBAS est responsable des préjudices subis par Madame [L] ;
EN CONSEQUENCE : – Condamner la société BNP PARIBAS à verser à Madame [L] la somme de 12.143,04 euros, en réparation de son préjudice matériel, au titre du remboursement du prélèvement frauduleux ;
– Condamner la société BNP PARIBAS à verser à Madame [L] la somme de 346,87 euros, en réparation de son préjudice matériel, ayant trait à la facture de téléphonie suite à la fraude subie ;
– Condamner la société BNP PARIBAS à verser à Madame [L] la somme de 2.000 euros, en réparation de son préjudice moral et de jouissance ;
– Condamner la société BNP PARIBAS à verser à Madame [L] la somme de 2.200 euros, au titre des dispositions de l’article 700 du code de procédure civile ;
– Condamner la même aux entiers dépens”.
Madame [L] conteste formellement avoir autorisé ou validé ou authentifié les opérations bancaires querellées. Par conclusions en date du 19 octobre 2023, la BNP PARIBAS demande au tribunal de :
“ – Débouter Madame [L] de l’intégralité de ses demandes à toutes fins qu’elles comportent ;
– Condamner Madame [L] à verser à BNP Paribas la somme de 2.500 € au titre de l’article 700 du code de procédure civile ainsi qu’aux entiers dépens”. Conformément à l’article 455 du code de procédure civile, il est renvoyé aux écritures susvisées pour l’exposé complet des prétentions respectives des parties et de leurs moyens.
L’ordonnance de clôture est intervenue le 25 avril 2024 avec fixation à l’audience de juge unique du 2 mai 2024. L’affaire a été mise en délibéré au 30 mai 2024.
I. Sur la responsabilité de la BNP PARIBAS
L’article L133-16 du code monétaire et financier dispose que :
« Dès qu’il reçoit un instrument de paiement, l’utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées.
Il utilise l’instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation qui doivent être objectives, non discriminatoires et proportionnées. »
L’article L133-17 du code monétaire et financier dispose que :
« I. – Lorsqu’il a connaissance de la perte, du vol, du détournement ou de toute utilisation non autorisée de son instrument de paiement ou des données qui lui sont liées, l’utilisateur de services de paiement en informe sans tarder, aux fins de blocage de l’instrument, son prestataire ou l’entité désignée par celui-ci.
II. – Lorsque le paiement est effectué par une carte de paiement émise par un établissement de crédit, une institution ou un service mentionné à l’article L.518-1 et permettant à son titulaire de retirer ou de transférer des fonds, il peut être fait opposition au paiement en cas de procédure de redressement ou de liquidation judiciaires du bénéficiaire tant que le compte du prestataire de services de paiement du bénéficiaire n’a pas été crédité du montant de l’opération de paiement ».
L’article L133-18 du code monétaire et financier dispose que :
« En cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L.133-24, le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement et s’il communique ces raisons par écrit à la Banque de France. Le cas échéant, le prestataire de services de paiement du payeur rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu.
Lorsque l’opération de paiement non autorisée est initiée par l’intermédiaire d’un prestataire de services de paiement fournissant un service d’initiation de paiement, le prestataire de services de paiement gestionnaire du compte rembourse immédiatement, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, au payeur le montant de l’opération non autorisée et, le cas échéant, rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu. La date de valeur à laquelle le compte de paiement du payeur est crédité n’est pas postérieure à la date à laquelle il avait été débité.
Si le prestataire de services de paiement qui a fourni le service d’initiation de paiement est responsable de l’opération de paiement non autorisée, il indemnise immédiatement le prestataire de services de paiement gestionnaire du compte, à sa demande, pour les pertes subies ou les sommes payées en raison du remboursement du payeur, y compris le montant de l’opération de paiement non autorisée.
Le payeur et son prestataire de services de paiement peuvent décider contractuellement d’une indemnité complémentaire. »
L’article L.133-19 du code monétaire et financier dispose que :
« I. – En cas d’opération de paiement non autorisée consécutive à la perte ou au vol de l’instrument de paiement, le payeur supporte, avant l’information prévue à l’article L.133-17, les pertes liées à l’utilisation de cet instrument, dans la limite d’un plafond de 50 €.
Toutefois, la responsabilité du payeur n’est pas engagée en cas d’opération de paiement non autorisée effectuée sans utilisation des données de sécurité personnalisées ; de perte ou de vol d’un instrument de paiement ne pouvant être détecté par le payeur avant le paiement; de perte due à des actes ou à une carence d’un salarié, d’un agent ou d’une succursale d’un prestataire
de services de paiement ou d’une entité vers laquelle ses activités ont été externalisées.
II. – La responsabilité du payeur n’est pas engagée si l’opération de paiement non autorisée a été effectuée en détournant, à l’insu du payeur, l’instrument de paiement ou les données qui lui sont liées.
Décision du 30 Mai 2024
9ème chambre 3ème section
N° RG 23/01390 – N° Portalis 352J-W-B7H-CY2ME
Elle n’est pas engagée non plus en cas de contrefaçon de l’instrument de paiement si, au moment de l’opération de paiement non autorisée, le payeur était en possession de son instrument.
III. – Sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si le prestataire de services de paiement ne fournit pas de moyens appropriés permettant l’information aux fins de blocage de l’instrument de paiement prévue à l’article L.133-17.
IV. – Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L.133-16 et L.133-17.
V. – Sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si l’opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement du payeur n’exige une authentification forte du payeur prévue à l’article L.133-44.
VI. – Lorsque le bénéficiaire ou son prestataire de services de paiement n’accepte pas une
authentification forte du payeur prévue à l’article L.133-44, il rembourse le préjudice financier causé au prestataire de services de paiement du payeur. »
Enfin, l’article L133-33 du code monétaire et financier dispose que :
« Lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre.
L’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière. Le prestataire de services de paiement, y compris, le cas échéant, le prestataire de services de paiement fournissant un service d’initiation de paiement, fournit des éléments afin de prouver la fraude ou la négligence grave commise par l’utilisateur de services de paiement. »
Ainsi, s’il appartient à l’utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d’informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l’instrument de paiement ou des données qui lui sont liées, c’est au prestataire qu’il incombe de rapporter la preuve que l’utilisateur a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence grave à ses obligations.
Cette preuve ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés.
Aucune présomption n’est attachée à l’infaillibilité supposée des instruments de paiement sécurisés dès lors que le risque de la fraude ne pèse pas sur l’utilisateur.
Le fonctionnement du système de la « clé digitale » répond aux exigences du gouvernement qui, depuis une ordonnance du 9 août 2017, exige des établissements de crédit d’assurer une « authentification forte » lorsqu’un utilisateur de services bancaires en ligne réalise une opération en ligne basée sur le fait que le client possède « son smartphone » et est seul à connaître son code secret.
Ce fonctionnement du système de la « clé digitale » est la mise en place de l’« authentification forte » d’une opération en ligne basée sur le fait que le client possède « son smartphone » et est seul à connaître « son code secret ». Dans un premier temps, le client télécharge l’application « Mes comptes » de la BNP PARIBAS sur son téléphone mobile.
Il résulte des traces informatiques des serveurs de la BNP PARIBAS, versées aux débats, que la clé digitale de Madame [L] a été installée sur un nouveau téléphone de marque Apple dénommé « IPhone de [F] ».
Cette opération n’a été rendue possible que par l’utilisation du lien reçu par SMS, adressé au numéro de téléphone dont Mme [L] est titulaire ; les opérations de fraude ultérieures n’ont été rendues possibles que par la communication par Madame [L] du contenu du SMS qui lui avait été adressé sur son téléphone ; la connaissance du code était nécessaire à l’enrôlement de la clé digitale sur le téléphone portable du fraudeur.
Le schéma d’authentification permet en effet l’envoi sur le téléphone mobile d’une notification permettant de valider expressément ou non la transaction en cours.
A l’issue de la manipulation, l’escroc a ainsi disposé de la possibilité de valider, à l’aide de son propre téléphone, les achats réalisés avec la carte bancaire de Madame [L].
Le défaut d’attention de Madame [L] a permis l’enrolement de la clé digitale sur le mobile de l’escroc le 10 aout 2022 et quatre paiements sur la carte bancaire de Madame [L] validés à l’aide de la clé digitale.
La BNP PARIBAS, simple teneuse de compte, a convenablement exécuté les achats réalisés et, en conséquence, il ne saurait lui être reproché un manquement au sujet de son obligation de vigilance.
Il convient ainsi de constater que la BNP PARIBAS a parfaitement respecté ses obligations en matière de sécurisation de la carte bancaire de Madame [L] qui sera déboutée de l’ensemble de ses demandes, aucune faute de la BNP PARIBAS n’ayant été démontrée, Madame [L] ayant été négligente dans la conservation de son moyen de paiement.
II. Sur les autres demandes
Madame [L] qui succombe, sera condamnée aux dépens.
Il n’apparait cependant pas inéquitable de ne pas faire droit aux demandes au titre de l’article 700 du code de procédure civile.
Le tribunal, statuant publiquement, par jugement contradictoire, rendu en premier ressort, par mise à disposition au greffe :
DÉBOUTE Madame [F] [L] de l’ensemble de ses demandes ;
DIT n’y avoir lieu à application des dispositions de l’article 700 du code de procédure civile ;
CONDAMNE Madame [F] [L] aux entiers dépens.
Fait et jugé à Paris le 30 Mai 2024.
LA GREFFIERELA PRÉSIDENTE