Type de juridiction : Cour d’appel

Juridiction : Cour d’appel de Reims

Thématique : La notion de négligence grave du client de la banque

ARRET N°

du 15 octobre 2024

R.G : N° RG 23/01261 – N° Portalis DBVQ-V-B7H-FLZX

S.A. BNP PARIBAS

c/

[B] ÉPOUSE [F]

BD

Formule exécutoire le :

à :

la SCP BADRE HYONNE SENS-SALIS ROGER

la SCP DELVINCOURT – CAULIER-RICHARD – CASTELLO AVOCATS ASSOCIES

COUR D’APPEL DE REIMS

CHAMBRE CIVILE- SECTION INSTANCE

ARRET DU 15 OCTOBRE 2024

APPELANTE :

d’un jugement rendu le 19 juillet 2023 par le Juge des contentieux de la protection de Troyes

S.A. BNP PARIBAS

[Adresse 2]

[Localité 4]

Représentée par Me Jean ROGER de la SCP BADRE HYONNE SENS-SALIS ROGER, avocat au barreau de REIMS, et Maître Philippe METAIS, avocat au barreau de PARIS

INTIMEE :

Madame [E] [B] épouse [F]

[Adresse 3]

[Localité 5]

Représentée par Me Mélanie CAULIER-RICHARD de la SCP DELVINCOURT – CAULIER-RICHARD – CASTELLO AVOCATS ASSOCIES, avocat au barreau de REIMS

COMPOSITION DE LA COUR LORS DES DEBATS ET DU DELIBERE :

M. Bertrand DUEZ, président de chambre

Madame Christel MAGNARD, conseiller

Madame Claire HERLET, conseiller

GREFFIER :

Madame Lucie NICLOT, greffier

DEBATS :

A l’audience publique du 10 septembre 2024, où l’affaire a été mise en délibéré au 15 octobre 2024,

ARRET :

Contradictoire, prononcé par mise à disposition au greffe le 15 octobre 2024 et signé par M. Bertrand DUEZ, président de chambre, et Madame Lucie NICLOT, greffier, auquel la minute a été remise par le magistrat signataire.

* * * * *

Exposé du litige

Madame [E] [B] épouse [F] est titulaire auprès de la société BNP PARIBAS d’un compte chèque n° 30004 01905 00000xxxxxx28 auquel est lié une carte bancaire.

Le 20 décembre 2022, des paiements par carte bancaire pour la somme de 8.955,74 euros ont été effectués depuis le compte de Mme [B]-[F], paiements se détaillant comme suit et aux profits respectifs :

d’une société EMIRATES pour 1.113,10 €

de la société Conflans Moto pour 7.192 €

de la société Auchan (paiement par carte bancaire) pour 650,64 €.

Le 22 décembre 2022, Mme [B]-[F] a déposé plainte pour usage frauduleux de sa carte bancaire.

Par lettre recommandée du 29 décembre 2022, Mme [B]-[F] a mis en demeure la société BNP PARIBAS de procéder aux remboursements sous huitaine des sommes débitées.

Par lettre du 30 décembre 2022, la société BNP PARIBAS a fait savoir à Mme [F] quelle ne procéderait pas au remboursement sollicité.

Par acte d’huissier du 24 janvier 2023, Mme [B]-[F] a assigné la banque BNP PARIBAS devant le tribunal judiciaire de Troyes aux fins de remboursement des sommes débitées sur son compte, outre 1 000 euros à titre de dommages et intérêts et 3.000 euros au titre de l’article 700 du code de procédure civile.

Par jugement du 19 juillet 2023 le tribunal judiciaire de Troyes a :

Condamné la société BNP PARIBAS à payer à Mme [B]-[F] la somme de 8 955,74 euros.

Assorti la condamnation des intérêts au taux légal

– Majoré de 5 points à compter du 2 janvier 2023.

– Majoré de 10 points à compter du 9 janvier 2023,

– Majoré de 15 points à compter du 22 janvier 2023 et jusqu’au complet paiement.

Débouté Madame [B]-[F] de sa demande de dommages et intérêts pour résistance abusive ;

Condamné la société BNP PARIBAS aux dépens et à payer à Mme [B]-[F] la somme de 900 euros au titre de l’article 700 du code de procédure civile.

Les motifs décisoires de cette décision ont retenu que Mme [B]-[F] a été contactée par un tiers, se prétendant frauduleusement conseiller de sa banque et lui indiquant que des paiements frauduleux à destination du Sénégal avaient été ordonnés pour 7.000 € mais temporairement bloqués.

Ce tiers proposait alors à Mme [B]-[F] de restreindre le plafond de paiement sur transfert d’un code d’activation qu’elle allait recevoir par SMS.

En croyant transmettre à son conseiller bancaire les informations lui permettant de faire échec à un paiement frauduleux, Mme [B]-[F] a en réalité transmis à un tiers les clés d’authentification pour la validation des paiements.

La décision déférée a retenu que Mme [B]-[F] n’avait pas commis de négligence grave dans la gestion de ses identifiants personnels au sens des articles L. 133-16 et L. 133-17 du code monétaire et financier.

La décision déférée considère que le système de sécurité de double authentification de la banque suppose que le tiers à l’origine de la fraude ait pu avoir accès à deux éléments d’authentification simultanément par la négligence de l’utilisateur.

Le premier juge a estimé que :

Mme [B]-[F] avait transmis ses identifiants personnels sur appel frauduleux d’une personne utilisant une fausse qualité et sur réception concomitante d’un SMS de validation de provenance apparemment fiable puisque correspondant en tous points à ceux reçus antérieurement de la banque.

L’utilisation du lien de connexion contenu dans le SMS frauduleux ne permettait pas d’accéder aux données du compte bancaire de Mme [B]-[F] mais uniquement à la page de présentation de l’application bancaire, les données personnelles du client de la banque ne pouvaient être accessibles qu’après identification par un code secret ou une reconnaissance faciale.

Le premier juge en a déduit qu’en l’espèce, un tiers a pu se connecter à l’espace sécurisé de Mme [B]-[F] auprès de la BNP PARIBAS, et ce à plusieurs reprises dans l’après-midi du 20/12/2022, sans que la banque ne justifie que Mme [B]-[F] ait pu laisser à un tiers l’accès à ses codes et identifiants personnels, soit directement ou lors de précédents paiements sur des sites non sécurisés.

Le 27 juillet 2023 la SA BNP PARIBAS a interjeté appel de cette décision en toutes ses dispositions hormis celle rejetant la demande de dommages-intérêts pour résistance abusive.

Par conclusions signifiées par RPVA et déposées à la cour le 22 janvier 2024 Mme [B]-[F] a sollicité la confirmation de la décision déférée en toutes ses dispositions sauf celle rejetant sa demande de dommages-intérêts pour résistance abusive de la banque, formulée au visa de l’article 1231-1 du code civil.

Elle a formé appel incident sur cette disposition et réclame à la SA BNP PARIBAS la somme de 3.000 € à titre de dommages-intérêts.

Par conclusions récapitulatives N° 3 signifiées et déposées à la cour le 27 août 2024, la SA BNP PARIBAS sollicite de la cour l’infirmation de la décision déférée en toutes ses dispositions contestées sauf en son rejet de la demande de dommages-intérêts pour résistance abusive.

Statuant de nouveau la SA BNP PARIBAS demande de :

Juger que les transactions litigieuses ont été dûment authentifiées et que BNP Paribas a parfaitement respecté ses obligations en matière de sécurisation de l’instrument de paiement de Madame [F] ;

Juger que Madame [F] a commis une négligence grave au sens de l’article L. 133-19, IV du Code monétaire et financier ;

En conséquence :

Débouter Mme [F] de sa demande de remboursement des opérations litigieuses à hauteur de 8.955,74 euros.

Juger que BNP Paribas n’a commis aucune inexécution contractuelle ; Juger que le régime de responsabilité des prestataires de services de paiement fait l’objet d’une application exclusive et autonome ;

En conséquence :

Débouter Madame [F] de sa demande de paiement à hauteur de 3.000,00 euros au titre de la prétendue résistance abusive de BNP Paribas ;

En tout état de cause :

Débouter Madame [F] de l’intégralité de ses demandes, fins et conclusions à l’encontre de BNP Paribas ;

Condamner Madame [F] à verser à BNP Paribas la somme de 5.000 euros au titre de l’article 700 du Code de procédure civile ainsi qu’aux entiers dépens ;

Au soutien de ses prétentions la SA BNP PARIBAS expose principalement que Mme [B]-[F] ne peut avoir tenu qu’un rôle particulièrement actif dans la réalisation des opérations frauduleuses compte tenu des process de sécurisation des comptes bancaires.

Plus précisément, la banque appelante estime que l’intimée est la seule à avoir pu mettre à néant le dispositif de sécurité mis en place par la Banque en :

‘ Divulguant au fraudeur les identifiant et mot de passe de son espace sécurisé en ligne, et ce alors même qu’elle doit en assurer la confidentialité, – ce qui a permis au fraudeur de solliciter le transfert de la Clé Digitale de Madame [F] sur son propre appareil mobile ;

‘ Communiquant au fraudeur, à cinq reprises, le contenu des SMS permettant l’enrôlement de la Clé Digitale sur son propre appareil mobile – ce qui a permis au fraudeur d’activer la Clé Digitale sur son propre appareil mobile et ainsi de valider l’ensemble des Opérations Frauduleuses ;

‘ Communiquant au fraudeur les données confidentielles relatives à sa Carte Bancaire, en ce compris ses numéros, sa date d’expiration et son cryptogramme visuel ‘ ce qui a permis au fraudeur d’initier chacun des paiements frauduleux sur le site marchand ;

‘ Omettant de réagir au courriel d’information de la Banque relatif à l’enrôlement de la Clé Digitale, dont elle savait ne pas être à l’origine.

Aux termes de ses conclusions récapitulatives N° 3 signifiées et déposées à la cour le 02 septembre 2024, Mme [B]-[F] abandonne son appel incident, prenant acte de ce que le régime de responsabilité d’un prestataire de service en cas d’opération de paiement non autorisée ou mal exécutée ne relève pas du droit commun de l’article 1231-1 du code civil mais des articles L. 133-18 à L. 13324 du code monétaire et financier.

Elle sollicite :

La confirmation du jugement rendu par le tribunal judiciaire de Troyes le 19 juillet 2023.

La condamnation de la SA BNP PARIBAS à lui payer la somme de 10.000 euros sur le fondement de l’article 700 du code de procédure civile.

Répondant aux accusations de faute de sa part par la banque appelante Mme [B]-[F] expose principalement que la SA BNP PARIBAS affirme, mais sans en apporter la preuve, que la fraude aurait été ‘permise par la divulgation de trois éléments au fraudeur par Mme [F]: les codes d’accès à son espace en ligne, les données de sa carte bancaire et le SMS de transfert de sa clé digitale.’

Elle indique n’avoir jamais communiqué :

– ni les codes d’accès à son espace en ligne

– ni les données de sa carte bancaire.

Mme [B]-[F] précise que les SMS transférés ne contenaient aucun code secret permettant, soit de pénétrer dans l’application (l’espace en ligne), soit de réaliser ou finaliser un paiement.

Elle indique encore qu’elle n’avait pas reçu sur son adresse mail privée l’information sur l’enrôlement de sa clé digitale sur un autre téléphone portable que le sien et qu’en tout état de cause :

‘ l’enrôlement de la clé digitale sur « son » appareil Iphone (celui de Mme [F] donc) n’était pas de nature à faire suspecter une opération frauduleuse en cours consistant à installer la clé digitale sur un autre appareil que celui de Mme [F] (celui de l’escroc).

Et ce d’autant que Mme [F] n’avait communiqué aucune donnée personnelle permettant d’effectuer un paiement.’

*

Vu les conclusions récapitulatives de l’appelante signifiées le 27 août 2024 et auxquelles il sera renvoyé pour l’exposé des moyens et arguments, conformément à l’article 455 du code de procédure civile.

Vu les conclusions récapitulatives de l’intimée signifiées le 02 septembre 2024 et auxquelles il sera renvoyé pour l’exposé des moyens et arguments, conformément à l’article 455 du code de procédure civile.

Vu l’ordonnance de clôture de la procédure prononcée le 03 septembre 2024.

Par ces motifs

La cour, statuant publiquement par décision contradictoire dans les limites de l’appel :

Confirme en toutes ses dispositions déférées le jugement rendu par le tribunal judiciaire de Troyes le 19 juillet 2023 RG N° 23/00288.

Y ajoutant :

Condamne la SA BNP PARIBAS aux dépens de l’appel.

Condamne la SA BNP PARIBAS à payer à Mme [E] [B]-[F] la somme de 3.000 euros sur le fondement de l’article 700 du code de procédure civile au titre des frais irrépétibles de procédure d’appel.

Le greffier Le président