Q/R juridiques soulevées : Dans le cadre d’une authentification forte, la communication d’un code d’autorisation à un interlocuteur téléphonique (escroc) engage la responsabilité du client en cas de paiement frauduleux. La communication des données confidentielles transmises par la banque constitue une négligence grave de la part du client. Une authentification forte s’entend d’une authentification reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories « connaissance » (quelque chose que seul l’utilisateur connaît telle qu’un mot de passe, un code secret, une question secrète, etc…), « possession » (quelque chose que seul l’utilisateur possède telle qu’un téléphone portable, une montre connectée, une clé USB etc…) et « inhérence » (quelque chose que l’utilisateur est, telle que la reconnaissance faciale ou vocale, la reconnaissance par empreinte digitale, etc…) et indépendants en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d’authentification. L’authentification forte repose donc sur l’utilisation de deux de ces éléments, voire plus. En la cause, les codes d’activation à usage unique permettant l’opposition puis la transaction en ligne ont été envoyés sur le téléphone de la cliente de la banque, lequel est toujours resté en sa possession. Il en résulte qu’elle a nécessairement communiqué à son interlocuteur les données reçues par SMS permettant l’achat de 8 500 euros. L’article L.133-18 du code monétaire et financier pose le principe du remboursement par la banque des opérations de paiement non autorisées : « En cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L. 133-24, le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement et s’il communique ces raisons par écrit à la Banque de France. Le cas échéant, le prestataire de services de paiement du payeur rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu. » Par dérogation à ce principe, l’article L.133-19 IV prévoit que le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L.133-16 et L.133-17, lesquels lui font obligation notamment de préserver la sécurité de ses données. L’article L.133-23 du code monétaire et financier fixe les règles de preuve applicables lorsque l’utilisateur conteste avoir donné son autorisation au paiement : « En application de l’article L.133-23 du code monétaire et financier, lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre. L’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière. Le prestataire de services de paiement, y compris, le cas échéant, le prestataire de services de paiement fournissant un service d’initiation de paiement, fournit des éléments afin de prouver la fraude ou la négligence grave commise par l’utilisateur de services de paiement. » La négligence grave de l’utilisateur ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été utilisés. En outre, si le prestataire de services de paiement choisit de prendre le risque de ne pas recourir à une authentification forte, il doit en assumer le risque sans pouvoir invoquer, notamment, la négligence grave de son client. Il ressort de l’article L. 133-19, V, du code monétaire et financier, dans sa rédaction issue de l’ordonnance n° 2017-1252 du 9 août 2017, que, sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si l’opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement du payeur n’exige une authentification forte du payeur. L’article L. 133-4 (f) du même code précise qu’une authentification forte s’entend d’une authentification reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories « connaissance » (quelque chose que seul l’utilisateur connaît telle qu’un mot de passe, un code secret, une question secrète, etc…), « possession » (quelque chose que seul l’utilisateur possède telle qu’un téléphone portable, une montre connectée, une clé USB etc…) et « inhérence » (quelque chose que l’utilisateur est, telle que la reconnaissance faciale ou vocale, la reconnaissance par empreinte digitale, etc…) et indépendants en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d’authentification. L’authentification forte repose donc sur l’utilisation de deux de ces éléments, voire plus.

Décision du 27 Novembre 2024
9ème chambre 1ère section
N° RG 23/15797 – N° Portalis 352J-W-B7H-C3KVM

TRIBUNAL
JUDICIAIRE
DE PARIS [1]

[1]
Expéditions
exécutoires
délivrées le :

■

9ème chambre 1ère section

N° RG 23/15797

N° Portalis 352J-W-B7H-C3KVM

N° MINUTE :

Contradictoire

Assignation du :
07 décembre 2023

JUGEMENT
rendu le 27 novembre 2024
DEMANDERESSE

Madame [K] [D] [S]
[Adresse 1]
[Localité 5]

représentée par Me Théophile TOUNY, avocat au barreau de PARIS, avocat plaidant

DÉFENDERESSE

S.A. SOCIETE GENERALE
[Adresse 2]
[Localité 4]

représentée par Maître Dominique FONTANA de la SELARL DREYFUS FONTANA, avocat au barreau de PARIS, avocat plaidant, vestiaire #K0139

COMPOSITION DU TRIBUNAL

Madame Anne-Cécile SOULARD, Vice-présidente,
Monsieur Patrick NAVARRI, Vice-président,
Madame Marine PARNAUDEAU, Vice-présidente,

assistés de Madame Sandrine BREARD, Greffière.

DÉBATS

A l’audience du 16 octobre 2024 tenue en audience publique devant Madame Anne-Cécile SOULARD, juge rapporteur, qui, sans opposition des avocats, a tenu seule l’audience, et, après avoir entendu les conseils des parties, en a rendu compte au Tribunal, conformément aux dispositions de l’article 805 du Code de procédure civile.

JUGEMENT

Rendu publiquement par mise à disposition au greffe
Contradictoire
En premier ressort

EXPOSÉ DU LITIGE
Mme [K] [D] [S] est titulaire d’un compte bancaire ouvert dans les livres de la Société Générale.
Elle conteste avoir autorisé des opérations de paiement effectuées entre le 26 avril 2023 et le 15 mai 2023 pour un montant total de 24 655 euros.
Mme [D] [S] conteste les opérations suivantes :
– un paiement en ligne du 26 avril 2023 pour un montant de 8 500 euros en faveur de « COMMERCE ELCTRONIQUE KRONOS »,
– quatre retraits auprès de distributeurs du 12 mai 2023 pour des montants respectifs de 900 euros, 2 000 euros, 2 000 euros et 1 000 euros,
– un achat de 1 700 euros effectué le 15 mai 2023 auprès de la boutique Fendi à [Localité 6],
– un achat de 8 555 euros effectué le 15 mai 2023 auprès de la boutique Gucci à [Localité 6].
Mme [D] [S] a déposé plainte le 16 mai 2023 auprès du commissariat de police de [Localité 7].
Deux personnes ont été interpellées en possession de la carte bancaire de Mme [D] [S] et des achats effectués auprès de l’enseigne Gucci. Les achats ont été restitués à cette enseigne et le compte de Mme [D] [S] a été recrédité de la somme de 8 555 euros.
Par jugement du 29 juin 2023 de la 23ème chambre correctionnelle du tribunal judiciaire de Paris, ces deux personnes ont été condamnées au titre des achats effectués auprès des enseignes Fendi et Gucci et relaxées pour les retraits d’espèces.
Mme [D] [S] a mis en demeure la Société Générale de lui rembourser la somme de 16 100 euros par courrier du 27 septembre 2023, ce que la Société Générale a refusé.
Par acte de commissaire de justice du 7 décembre 2023, Mme [D] [S] a fait assigner la société anonyme Société Générale devant le tribunal judiciaire de Paris.

Demandes et moyens de Mme [D] [S]
Dans ses dernières conclusions communiquées par voie électronique le 27 juin 2024, Mme [D] [S] demande au tribunal de :
« CONDAMNER la Société Générale à devoir verser à Madame [D] [S] la somme de 16.100 euros avec intérêts à taux légal à compter du 5 septembre 2023, en remboursement des sommes indument débitées de son compte bancaire n°[XXXXXXXXXX03] ;
− CONDAMNER la Société Générale à devoir verser à Madame [D] [S] la somme de 3.000 euros de dommages et intérêts pour la résistance abusive dont elle a fait preuve ;
− CONDAMNER la Société Générale à devoir verser à Madame [D] [S] la somme de 3.000 euros au titre de l’article 700 du Code de procédure civile ;
− RAPPELER que l’exécution provisoire est de droit. »
Mme [D] [S] relate qu’à la fin du mois d’avril 2023, elle a reçu un appel d’un interlocuteur se présentant comme le service fraude de la Société Générale et que cet interlocuteur lui a indiqué que son compte bancaire présentait des mouvements suspects et que sa carte allait être bloquée. Mme [D] [S] a constaté alors que sa carte était bloquée et qu’elle n’avait plus accès à son compte en ligne sans qu’elle n’ait effectué aucune démarche en ce sens.
Elle en a alors avisé son conseiller à la Société Générale, M. [G] [Z], en lui indiquant qu’un paiement non autorisé de 8 500 euros avait été effectué en ligne le 26 avril 2023 auprès de « COMMERCE ELECTRONIQUE KRONOS » et en lui demandant d’annuler ce débit. Cependant, malgré la promesse de son conseiller, ce débit n’a pas été annulé.
Mme [D] [S] expose ensuite qu’elle a de nouveau été contactée par téléphone le 12 mai 2023 par une personne se présentant comme une conseillère bancaire de la Société Générale pour l’aviser de l’existence de mouvements suspects et du blocage de sa carte. Sur les indications de cette personne, Mme [D] [S] a remis sa carte bancaire à un individu qui s’est présenté chez elle, sans toutefois lui remettre le code confidentiel de sa carte de paiement. Mme [D] [S] a ensuite constaté que des retraits avaient été effectués avec sa carte le 12 mai 2023 et des paiements effectués le 15 mai 2023 auprès des commerces Fendi et Gucci. Mme [D] [S] n’a retrouvé l’accès à son espace bancaire en ligne qu’à compter du 24 mai 2023.
Mme [D] [S] affirme qu’elle n’a validé aucun des paiements contestés, ni communiqué ses données d’identification et d’accès à son espace personnel ou ses données et codes de cartes bancaires.
Elle conteste avoir commis une quelconque négligence. Elle relève qu’il n’est pas justifié que les opérations auraient été authentifiées, dûment enregistrées et comptabilisées et qu’elles n’auraient pas été affectées par une déficience technique ou autre.
Elle reproche à la Société Générale d’avoir fait preuve d’une résistance injustifiée lors de leurs échanges en lui communiquant des informations contradictoires et évasives.

Demandes et moyens de la Société Générale
Dans ses dernières conclusions communiquées par voie électronique le 10 septembre 2024, la Société Générale demande au tribunal de :
« DECLARER Madame [K] [D] [S] mal fondée en ses demandes.
En conséquence,
L’EN DEBOUTER.
CONDAMNER Madame [K] [D] [S] à payer à SOCIETE GENERALE la somme de 3.000 € au titre de l’article 700 du C.P.C.
CONDAMNER Madame [K] [D] [S] aux entiers dépens en application de l’article 696 du C.P.C.
Subsidiairement,
ORDONNER la suspension de l’exécution provisoire de la décision à intervenir. » 
La Société Générale considère que, contrairement à ce qu’affirme Mme [D] [S], elle a communiqué spontanément ses données personnelles et a validé plusieurs opérations.
La Société Générale affirme que l’achat de 8 500 euros réalisé auprès de KRONOS le 26 avril 2023 a été validé au moyen d’un code secret aléatoire envoyé sur le téléphone de Mme [D] [S].
Elle souligne que cette opération a été validée au moyen d’une authentification forte.
La Société Générale conteste l’existence d’un dysfonctionnement de la banque à distance ou d’une faille de sécurité de son système.
Elle estime qu’elle ne pouvait rembourser cette opération puisqu’elle a été validée le 26 avril 2023 alors que Mme [D] [S] a fait opposition sur sa carte bancaire le 27 avril 2024.
La Société Générale observe que les retraits et les paiements contestés du mois de mai 2023 ont été effectués en utilisant la carte de Mme [D] [S] ainsi que son code confidentiel. Elle relève que ces opérations ont été réalisées après que Mme [D] [S] a remis sa carte aux fraudeurs et leur a donné l’accès à sa banque en ligne leur permettant de découvrir son code.
La Société Générale soutient que Mme [D] [S] a commis une négligence grave en remettant sa carte et en communiquant ses données personnelles.
* * *
Conformément aux dispositions de l’article 455 du code de procédure civile, il sera renvoyé aux dernières écritures des parties pour l’exposé des moyens et arguments venant au soutien de leurs demandes et de leurs défenses.
Le juge de la mise en état a clôturé l’instruction de l’affaire par ordonnance du 12 Septembre 2024 et fixé l’affaire pour être plaidée à l’audience tenue en juge rapporteur du 16 octobre 2024.

MOTIFS DE LA DÉCISION
1. Sur les paiements non autorisés
L’article L.133-18 du code monétaire et financier pose le principe du remboursement par la banque des opérations de paiement non autorisées : « En cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L. 133-24, le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement et s’il communique ces raisons par écrit à la Banque de France. Le cas échéant, le prestataire de services de paiement du payeur rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu. »
Par dérogation à ce principe, l’article L.133-19 IV prévoit que le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L.133-16 et L.133-17, lesquels lui font obligation notamment de préserver la sécurité de ses données.
L’article L.133-23 du code monétaire et financier fixe les règles de preuve applicables lorsque l’utilisateur conteste avoir donné son autorisation au paiement : « En application de l’article L.133-23 du code monétaire et financier, lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre.
L’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière. Le prestataire de services de paiement, y compris, le cas échéant, le prestataire de services de paiement fournissant un service d’initiation de paiement, fournit des éléments afin de prouver la fraude ou la négligence grave commise par l’utilisateur de services de paiement. »
La négligence grave de l’utilisateur ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été utilisés.
En outre, si le prestataire de services de paiement choisit de prendre le risque de ne pas recourir à une authentification forte, il doit en assumer le risque sans pouvoir invoquer, notamment, la négligence grave de son client.
Il ressort de l’article L. 133-19, V, du code monétaire et financier, dans sa rédaction issue de l’ordonnance n° 2017-1252 du 9 août 2017, que, sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si l’opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement du payeur n’exige une authentification forte du payeur.
L’article L. 133-4 (f) du même code précise qu’une authentification forte s’entend d’une authentification reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories « connaissance » (quelque chose que seul l’utilisateur connaît telle qu’un mot de passe, un code secret, une question secrète, etc…), « possession » (quelque chose que seul l’utilisateur possède telle qu’un téléphone portable, une montre connectée, une clé USB etc…) et « inhérence » (quelque chose que l’utilisateur est, telle que la reconnaissance faciale ou vocale, la reconnaissance par empreinte digitale, etc…) et indépendants en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d’authentification. L’authentification forte repose donc sur l’utilisation de deux de ces éléments, voire plus.

1.1. Sur le paiement en ligne du 26 avril 2023 d’un montant de 8 500 euros
Mme [D] [S] conteste avoir autorisé le paiement en ligne auprès de COMMERCE ELECTRONIQUE KRONOS effectué le 26 avril 2023 pour un montant de 8 500 euros.
Dans sa plainte du 16 mai 2023, elle indique qu’elle a été appelée, le 26 – 28 avril, par une personne se présentant comme le service fraudes de la Société Générale qui a évoqué des mouvements suspects venant du Sénégal et annoncé le blocage de sa carte. Elle précise que son accès à la banque en ligne a alors été bloqué, de même que sa carte bancaire.
Mme [D] [S] explique que la personne qui l’a appelée fin avril est la même que celle qui l’a appelée au mois de mai et sur les indications de laquelle elle a remis sa carte à un coursier avant qu’elle ne fasse l’objet d’utilisation frauduleuses.
Il en résulte que Mme [D] [S] a fait l’objet d’un appel frauduleux par un faux conseiller.
Mme [D] [S] soutient qu’elle n’a communiqué aucune donnée personnelle.
La Société Générale fournit l’historique des opérations réalisées le 26 avril 2023 et des communications envoyées à destination du numéro de téléphone fourni par Mme [D] [S].
Il en ressort qu’un Pass Sécurité « Opposition Paiement » a été activé le 26 avril 2023 à 12h19 au moyen de l’activation d’un code à usage unique envoyé sur le téléphone de Mme [D] [S].
Par la suite, le paiement en ligne a pu être effectué en saisissant de nouveau un code à usage unique envoyé sur le téléphone de Mme [D] [S].
Le paiement a ainsi été effectué au moyen d’une authentification forte.
Par ailleurs, le même jour à 12h21, le plafond de paiement a été relevé et une confirmation de cette opération a été notifiée par SMS à Mme [D] [S].
Les codes d’activation à usage unique permettant l’opposition puis la transaction en ligne ont été envoyés sur le téléphone de Mme [D] [S], lequel est toujours resté en sa possession. Il en résulte qu’elle a nécessairement communiqué à son interlocuteur les données reçues par SMS permettant l’achat de 8 500 euros.
La communication des données confidentielles transmises par la banque constitue une négligence grave.
Par conséquent, la demande de remboursement de Mme [D] [S] au titre de l’achat de 8 500 euros effectuée le 26 avril 2023 sera rejetée.

1.2. Sur les opérations contestées du mois de mai 2023

Dans sa plainte du 16 mai 2023, Mme [D] [S] indique avoir reçu le 12 mai 2023 un appel de la même personne que celle qui l’avait appelée fin avril l’avisant de nouveau que des mouvements suspects avaient lieu sur son compte et qu’ils nécessitaient le blocage de son compte. Sur les indications de cette personne, elle a remis sa carte sans transmettre son code.

Il ressort de l’historique des opérations effectuées sur l’espace bancaire en ligne de Mme [D] [S] et des communications envoyées sur son téléphone que le 12 mai 2023 à 14h49 un nouveau Pass Sécurité « Opposition paiement » a été activé au moyen d’un code d’activation envoyé par SMS à Mme [D] [S]. En outre, un SMS de notification l’informant de cette opération lui a été envoyé.
Le même jour, Mme [D] [S] a remis sa carte bancaire à un tiers contrevenant ainsi à l’obligation de rester en possession de ses moyens de paiement.
Les retraits et paiements ont été effectués au moyen d’une authentification forte puisqu’ils impliquent la possession de la carte bancaire et la connaissance du code PIN de cette carte.
En remettant sa carte bancaire à un tiers et en donnant à un tiers les données transmises par sa banque, Mme [D] [S] a permis aux fraudeurs d’utiliser sa carte pour effectuer des retraits et des achats frauduleux.
En ne préservant pas la confidentialité de ses données bancaires et en se dépossédant de sa carte bancaire au profit d’un tiers, Mme [D] [S] a commis des négligences graves.
Par conséquent, ses demandes de remboursement au titre des opérations contestées du mois de mai 2023 seront rejetées.
2. Sur la résistance abusive
Mme [D] [S] ayant permis la fraude par sa négligence grave, c’est à bon droit que la Société Générale a refusé le remboursement des opérations litigieuses. Par conséquent, les demandes de Mme [D] [S] au titre de la résistance abusive seront rejetées.
3. Sur les frais du procès
L’article 695 du code de procédure civile énumère les frais du procès qui entrent dans la catégorie des dépens. Il est de principe que les dépens sont à la charge de la partie perdante, conformément à l’article 696 du code de procédure civile.
Partie perdante au procès, Mme [D] [S] sera condamnée au paiement des entiers dépens, conformément à l’article 696 du code de procédure civile.
Elle sera également condamnée à payer à la Société Générale la somme de 3 000 euros afin de compenser les frais de justice non compris dans les dépens qu’elle a dû exposer afin d’assurer la défense judiciaire de ses intérêts, en application de l’article 700 du code de procédure civile.
4. Sur l’exécution provisoire
Les décisions de première instance sont de droit exécutoires à titre provisoire, en application de l’article 514 du code de procédure civile.
Le juge peut toutefois écarter l’exécution provisoire de droit, en tout ou partie, s’il estime qu’elle est incompatible avec la nature de l’affaire, conformément à l’article 514-1 du code de procédure civile.
Aucune circonstance du présent litige n’impose d’écarter l’exécution provisoire.

PAR CES MOTIFS
Le tribunal, statuant publiquement, par jugement contradictoire, mis à disposition au greffe et en premier ressort,
REJETTE l’ensemble des demandes de Mme [K] [D] [S] ;
CONDAMNE Mme [K] [D] [S] aux entiers dépens ;
CONDAMNE Mme [K] [D] [S] à payer à la Société Générale la somme de 3 000 euros au titre de l’article 700 du code de procédure civile ;
REJETTE toute autre demande plus ample ou contraire ;
RAPPELLE que le présent jugement est de droit exécutoire à titre provisoire.

Fait et jugé à Paris le 27 novembre 2024.

LA GREFFIÈRE LA PRÉSIDENTE