Type de juridiction : Cour d’appel

Juridiction : Cour d’appel de Paris

Thématique : Responsabilité bancaire et négligence dans la protection des données personnelles.

Copies exécutoires RÉPUBLIQUE FRANÇAISE

délivrées aux parties le : AU NOM DU PEUPLE FRANÇAIS

COUR D’APPEL DE PARIS

Pôle 4 – Chambre 9 – A

ARRÊT DU 03 AVRIL 2025

(n° , 2 pages)

Numéro d’inscription au répertoire général : N° RG 23/18947 – N° Portalis 35L7-V-B7H-CISUF

Décision déférée à la Cour : Jugement du 21 septembre 2023 – Juge des contentieux de la protection de SUCY EN BRIE – RG n° 11-22-000836

APPELANTE

La CAISSE DE CRÉDIT MUTUEL DE [Localité 11] (CCM [Localité 11]), société coopérative de crédit à capital variable représenté par son gérant domicilié en cette qualité audit siège

N° SIRET : 315 843 300 00023

[Adresse 4]

[Localité 5]

représentée et assistée de Me Pauline BINET, avocat au barreau de PARIS, toque : G0560

INTIMÉ

Monsieur [B] [M]

né le [Date naissance 2] 1969 à [Localité 8] (TOGO)

[Adresse 3]

[Localité 6]

représenté par Me Emilie CHANDLER, avocat au barreau de PARIS, toque : A0215

COMPOSITION DE LA COUR :

En application des dispositions des articles 805 et 907du code de procédure civile, l’affaire a été débattue le 12 février 2025, en audience publique, les avocats ne s’y étant pas opposés, devant Mme Laurence ARBELLOT, Conseillère, chargée du rapport.

Ce magistrat a rendu compte des plaidoiries dans le délibéré de la Cour, composée de :

Mme Muriel DURAND, Présidente de chambre

Mme Laurence ARBELLOT, Conseillère

Mme Hélène BUSSIERE Conseillère

Greffière, lors des débats : Mme Camille LEPAGE

ARRÊT :

– CONTRADICTOIRE

– par mise à disposition de l’arrêt au greffe de la Cour, les parties en ayant été préalablement avisées dans les conditions prévues au deuxième alinéa de l’article 450 du code de procédure civile.

– signé par Mme Muriel DURAND, Présidente et par Mme Camille LEPAGE, Greffière à laquelle la minute de la décision a été remise par le magistrat signataire.

FAITS, PROCÉDURE ET PRÉTENTIONS DES PARTIES

M. [B] [M] est titulaire d’un compte ouvert dans les livres de la société Caisse de crédit mutuel de [Localité 11] ci-après Caisse de crédit mutuel.

Le 13 janvier 2022, M. [M] a reçu un appel téléphonique d’une personne disant opérer pour le compte du Crédit mutuel et a constaté le lendemain que plusieurs opérations de paiement avaient été effectuées sur son compte pour un montant global de 5 420,28 euros (1 265,28 euros et 905 euros à Leroy Merlin [Localité 10], 1 250 euros, 1 000 euros et 1 000 euros à Intersport [Localité 9]).

Contestant être à l’origine de ces opérations, et ayant appris par sa conseillère bancaire que l’appel ne provenait pas de sa banque, M. [M] a fait opposition le même jour à sa carte bancaire et déposé plainte le 15 janvier 2022.

Le 28 janvier 2022, la Caisse de crédit mutuel a répondu à la demande qu’il lui avait faite le même jour qu’elle refusait toute prise en charge dans la mesure où les opérations contestées avaient fait l’objet d’une authentification forte avec confirmation depuis le téléphone portable de M. [M] enregistré dans l’espace personnel de sa banque à distance et que dans ce contexte, sa responsabilité n’était pas engagée.

M. [M] a à nouveau saisi sa banque par le biais d’une association de défense des consommateurs le 5 avril 2022, laquelle a apporté une réponse identique de refus de prise en charge le 14 avril suivant.

Invoquant la responsabilité de plein droit de l’établissement bancaire en cas d’opérations de paiement non autorisées, M. [M] a, par acte délivré le 15 juillet 2022, fait assigner la Caisse de crédit mutuel devant le juge des contentieux de la protection du tribunal de proximité de Sucy-en-Brie afin de la voir condamner principalement à lui rembourser les sommes indûment prélevées en réparation de son préjudice matériel outre une somme de 1 000 euros au titre de son préjudice moral et de jouissance.

Suivant jugement contradictoire rendu le 21 septembre 2023, le juge a condamné la société Caisse de crédit mutuel de [Localité 11] à payer à M. [M] la somme de 5 420,28 euros avec intérêts au taux légal à compter du prononcé du jugement outre une somme de 1 000 euros au titre des frais exposé par M. [M] et aux dépens, rejetant le surplus des demandes.

Aux termes de sa décision, le juge a retenu que si M. [M] contestait avoir divulgué ses données de sécurité personnelles (numéro de sa carte bancaire, date d’expiration, cryptogramme), il résultait des pièces communiquées par la banque (3 et 7) que la preuve n’était pas rapportée de ce que les cinq opérations litigieuses avaient été authentifiées, dûment enregistrées et comptabilisées. Il a relevé que la capture d’écran produite ne permettait pas de vérifier quel était le mode d’authentification prétendue forte utilisée, ni que les messages d’authentification avaient bien été adressés sur le numéro de téléphone réel de M. [M] sans que le risque de modification du numéro et d’intrusion par un tiers ne soit écarté. Il a relevé également que n’était pas communiqués au débat les éléments relatifs à l’accès à l’espace personnel du client pour comprendre les étapes du processus d’authentification des opérations.

Il en a conclu que la banque n’apportait pas la preuve de l’absence de déficience technique ayant affecté les opérations comme l’exige l’article L. 133-23 du code monétaire et financier ni de négligence grave de son client de nature à l’exonérer de sa responsabilité.

Il a retenu que si la banque affirmait que M. [M] aurait dû se méfier de son interlocuteur qui n’était pas son conseiller habituel, du numéro de mobile utilisé qui n’était pas celui de sa banque et de la durée de l’appel anormalement long, l’interlocuteur s’était fait passer pour une personne ‘uvrant à la lutte contre les fraudes de la banque pour mettre M. [M] en confiance ce qui pouvait expliquer que le client, croyant être en ligne avec sa banque, n’ait pas pris le temps de lire le mail qui lui avait été envoyé lui indiquant son identifiant à distance, l’invitant à signaler s’il était à l’origine de cette demande et l’informant d’une augmentation de son plafond bancaire.

Au regard de la responsabilité de la banque, il a fait droit à la demande de remboursement et rejeté la demande d’indemnisation supplémentaire comme infondée.

La Caisse de crédit mutuel de [Localité 11] a interjeté appel de ce jugement par déclaration enregistrée le 24 novembre 2023.

Aux termes de ses conclusions déposées par voie électronique le 24 janvier 2024, elle demande à la cour :

– de la recevoir en ses demandes et de les déclarer recevables et bien fondées,

– en conséquence, d’infirmer le jugement,

– statuant à nouveau,

– de la recevoir en ses demandes et de les déclarer recevables et bien fondées,

– de débouter M. [M] de l’ensemble de ses demandes formées à son encontre,

– de le condamner à lui payer une somme de 4 000 euros sur le fondement de l’article 700 du code de procédure civile et aux entiers dépens de première instance et d’appel.

Elle rappelle que le 13 janvier 2022 M. [M] a eu un entretien téléphonique avec un interlocuteur se faisant passer pour un salarié de la banque, que cet échange téléphonique a duré 1h15, au cours duquel M. [M] a fourni à son interlocuteur des données bancaires et identifiants personnels permettant à ce dernier de prendre le contrôle de son espace bancaire personnel sécurisé. Elle indique qu’en effet, au cours de l’appel téléphonique le client a reçu des messages de la part de la Caisse de crédit mutuel l’informant que son identifiant personnel permettant l’accès à son espace personnel Cybermut avait été modifié de sorte que l’interlocuteur avait la mainmise sur le compte Cybermut de ce dernier. Elle ajoute que M. [M] reconnaît lui-même avoir permis à son interlocuteur d’accéder à son compte bancaire dans un mail adressé à sa conseillère bancaire le soir même.

Elle affirme qu’aucune défaillance technique n’a été constatée dans la procédure d’authentification forte indispensable à la réalisation des paiements intervenus par la suite pour 5 420,28 euros, rappelle que les opérations litigieuses ont été validées via la confirmation Mobile, nécessitant l’utilisation d’informations confidentielles qui ne doivent en aucun cas être communiquées et ont également requis la saisie des données de la carte bancaire (numéro à 16 chiffres, date d’expiration et cryptogramme). Elle note que la validation des paiements litigieux a nécessité d’une part, la possession du téléphone portable enregistré de M. [M] sur lequel ont été envoyés les codes de confirmation à répercuter dans les minutes suivantes pour valider les paiements, et d’autre part, la connaissance du code personnel à six chiffres de M. [M]. Elle souligne que les codes de confirmation envoyés par SMS sur le téléphone enregistré, appartenant à M. [M] ont tous été saisis au cours de la conversation téléphonique de ce dernier avec le fraudeur (entre 15h52 et 17h07), que M. [M] déclare être toujours resté en possession de sa carte bancaire, de sorte que ladite carte n’a pas été volée, ainsi que de son téléphone portable, ayant servi à la validation des opérations litigieuses. Elle en conclut que M. [M] a nécessairement validé ces opérations de paiements, en suivant manifestement les consignes dictées par son interlocuteur et sans faire preuve de vigilance quant aux messages reçus de la part de la banque. Elle note à cet égard que l’intéressé a déposé plainte pour vol opéré par obtention du code bancaire par ruse.

Elle conteste toute responsabilité sur le fondement de l’article L. 133-19 du code monétaire et financier en invoquant une négligence grave de la part de M. [M] au sens de l’article L. 233-23 du même code, celui-ci étant resté 1h15 en ligne avec une personne se faisant passer pour un salarié de la banque, son interlocuteur l’ayant contacté avec un numéro de mobile alors que la banque ne contacte jamais ses clients avec un numéro de mobile mais bien avec le numéro de l’agence et alors que M. [M] ne connaissait pas son interlocuteur puisque celui-ci n’était pas son conseiller habituel. Elle ajoute que M. [M] a reçu des mails durant l’appel téléphonique ne laissant aucun doute sur le fait que son interlocuteur avait eu accès à l’espace personnel de la banque à distance alors même qu’ils étaient encore au téléphone ensemble. Elle en conclut que ce sont manifestement les informations personnelles communiquées par M. [M] à son interlocuteur lors de cet échange téléphonique qui ont permis à ce dernier d’effectuer ces manipulations puis les opérations contestées. Elle demande le rejet des demandes au vu de la négligence grave de son client.

Aux termes de ses conclusions numéro 2 déposées par voie électronique le 9 janvier 2025, M. [M] demande à la cour :

– de confirmer le jugement en toutes ses dispositions,

– statuant à nouveau,

– de condamner la Caisse de crédit mutuel à lui verser une somme de 3 000 euros au titre des dispositions de l’article 700 du code de procédure civile et aux entiers dépens.

Il fait valoir que la banque ne développe aucun élément nouveau, ne produit aucune nouvelle pièce et qu’elle fait une narration des faits odieuse car mensongère. Il conteste fermement avoir permis à quiconque d’accéder à son compte bancaire et conteste fermement avoir permis la réalisation d’opération quelconque.

Il rappelle avoir contacté son établissement bancaire dans les heures suivant les virements et en allant déposer plainte dès les jours suivants et soutient que la responsabilité du consommateur n’est jamais engagée lorsque l’instrument de paiement a été détourné à son insu ou les données liées à celui-ci, qu’il n’a pas donné son consentement au sens de l’article L. 133-6 du code monétaire et financier et fait état de la responsabilité de plein droit, sans faute édictée par les articles L. 133-17 et suivants du code monétaire et financier de sorte que sa demande de remboursement est fondée.

Il indique que la Cour de cassation vient de marquer un point final quant au point de savoir si le fait d’être appelé par un faux conseiller bancaire et d’exécuter les indications données par téléphone constituait ou non une négligence grave puisque par un arrêt rendu le 23 octobre 2024, au regard des circonstances de la fraude (apparition sur le téléphone du client du numéro d’appel identique à celui de la vraie conseillère bancaire, assurance qu’en suivant les consignes le client effectuait une opération sécurisée), la cour a retenu qu’il ne pouvait être reproché au client d’avoir commis une négligence grave.

Il estime que la banque échoue à rapporter la preuve d’une négligence grave, se contentant d’allégations infondées et surtout injustifiées.

Pour un plus ample exposé des faits, moyens et prétentions des parties, il est renvoyé aux écritures de celles-ci conformément aux dispositions de l’article 455 du code de procédure civile.

L’ordonnance de clôture a été rendue le 14 janvier 2025 et l’affaire a été appelée à l’audience du 12 février 2025 pur être mise en délibéré au 3 avril 2025 par mise à disposition au greffe.

PAR CES MOTIFS

LA COUR,

Statuant par arrêt contradictoire,

Infirme le jugement en toutes ses dispositions sauf en ce qu’il a rejeté les demandes d’indemnisation pour préjudice moral et de jouissance ;

Statuant à nouveau et y ajoutant,

Déboute M. [B] [M] de l’intégralité de ses demandes à l’encontre de la société Caisse de crédit mutuel de [Localité 11] ;

Condamne M. [B] [M] aux dépens de première instance et d’appel ;

Dit n’y avoir lieu à application des dispositions de l’article 700 du code de procédure civile ;

Déboute les parties de toute autre demande plus ample ou contraire.

La greffière La présidente