Opération de paiement non autorisée : la négligence du client

Notez ce point juridique

Face à un virement frauduleux qui nécessite l’usage du téléphone du client de la banque, cette dernière doit pouvoir tracer les connections de son client (date et heure, type de connection (‘application mobile’), adresse IP, fournisseur de connection, ville de connection, opération effectuée, moyen d’identification ,compte créditeur, compte débiteur, montant). Si l’opération litigieuse n’a pas été matériellement réalisée par le client, elle ne constitue pas une opération autorisée au sens du code monétaire et financier. Le Client fait preuve de négligence et engage sa responsabilité lorsqu’il communique à un tiers des données confidentielles concernant son compte. En droit, le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées s’il n’a pas satisfait par négligence grave, exclusive de toute appréciation de sa bonne foi, à l’obligation imposée à l’utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité du dispositif de sécurité personnalisé mis à sa disposition. Il importe donc peu que l’utilisateur ait été parfaitement dupé en croyant à la véracité du procédé utilisé à son détriment.

La société Caisse d’épargne et de prévoyance Ile-de-France a interjeté appel d’un jugement rendu en son absence par le tribunal judiciaire de Paris, condamnant la société à payer à Mme [Y] [L] une somme de 13 000 euros, ainsi qu’une somme de 1 000 euros au titre de l’article 700 du code de procédure civile. Mme [L] a constitué avocat mais n’a pas déposé de conclusions. L’appelant demande à la cour d’infirmer la décision déférée et de constater que le virement litigieux a été autorisé selon le code monétaire et financier et les dispositions contractuelles. L’appelant affirme que la responsabilité de la société ne peut être engagée en vertu de l’article L. 133-18 du code monétaire et financier. En outre, l’appelant demande à la cour de débouter Mme [L] de l’ensemble de ses demandes, arguant que la société n’a commis aucun manquement à son devoir de vigilance.

Contexte de l’affaire

Mme [Y] [L] est titulaire d’un compte de dépôt dans les livres de la société Caisse d’épargne et de prévoyance Ile-de-France. Elle conteste un virement de 13 000 euros sur son compte et demande le remboursement de ce montant.

Les faits exposés

Mme [L] a reçu des SMS l’informant d’achats depuis son compte, contactée par un individu se faisant passer pour un employé du service des fraudes de la banque. Ce dernier lui demande des codes d’authentification pour annuler des opérations, ce qu’elle fait. La banque lui indique qu’il s’agit d’une escroquerie.

Les arguments de Mme [L]

Mme [L] invoque les articles du code monétaire et financier concernant les opérations non autorisées. Elle estime que la banque aurait dû bloquer l’opération litigieuse et l’alerter.

La décision du tribunal

Le tribunal condamne la banque à rembourser à Mme [L] la somme de 13 000 euros, faute de preuve d’une opération autorisée ou de négligence de la part de Mme [L].

Appel de la décision

La banque fait appel, arguant que l’opération litigieuse a été autorisée via un dispositif d’authentification forte. Elle souligne la négligence de Mme [L] dans la conservation de ses données de sécurité personnalisées.

Argumentation de la banque en appel

La banque démontre que l’opération litigieuse a été autorisée par Mme [L] via le dispositif d’authentification forte. Elle met en avant la négligence grave de Mme [L] dans la conservation de ses données.

Décision de la cour d’appel

La cour d’appel infirme le jugement initial, estimant que l’opération litigieuse a été autorisée par Mme [L] via le dispositif d’authentification forte. Elle conclut que les négligences graves de Mme [L] sont à l’origine de l’opération contestée, la maintenant à sa charge.

Dépens et frais irrépétibles

Mme [L] est condamnée aux dépens, mais aucune condamnation n’est prononcée au titre de l’article 700 du code de procédure civile.

– Mme [Y] [L] : Déboutée de sa demande de remboursement de 13 000 euros.
– Mme [Y] [L] : Condamnée aux entiers dépens d’appel.
– Maître Bertrand Chambreuil : Admis au bénéfice des dispositions de l’article 699 du code de procédure civile.
– Pas de condamnation au titre de l’article 700 du code de procédure civile.

Sommaire

Réglementation applicable

Aux termes de l’article L. l33-18 du code monétaire et financier, dans sa rédaction applicable au litige, ‘en cas d’opération de paiement non autorisé signalée par l’utilisateur dans les conditions prévues à l’article L. 133-24, le prestataire de services de paiement du payeur rembourse immédiatement au payeur le montant de l’opération non autorisée et, le cas échéant, rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisé n’avait pas eu lieu’.

– En application des articles L. 133-19 IV et L. 133-23 du code monétaire et financier, lorsqu’un utilisateur de services de paiment nie avoir autorisé une opération de paiement qui a été exécutée, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre, et il appartient également à la banque, qui se prévaut des articles L. 133-16 et L. 133-17 du code monétaire et financier imposant à l’utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d’informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l’instrument de paiement ou des données qui lui sont liées, de prouver la négligence du titulaire du compte, constitutive d’une faute lourde.

Afin de déterminer si les opérations sont autorisées, le code monétaire et financier prévoit :

– en son article L. 133-3, que l’opération de paiement est une action indépendante de toute obligation sous-jacente en sorte que l’éventuelle illicéité de la cause sous-jacente est sans conséquence sur la validité de l’ordre,

– en ses articles L. 133-6 et L. 133-7, que le caractère autorisé de l’opération dépend du

consentement du payeur lequel est donné ‘sous la forme convenue entre le payeur et son prestataire’. Une des formes convenues envisagée par la loi est l’usage d’un dispositif de paiement avec données de sécurité personnalisées défini à l’article L. 133-4 du code monétaire et financier qui permettent d’authentifier son auteur : ‘a) Les données de sécurité personnalisées s’entendent des données personnalisées fournies à un utilisateur de services de paiement par le prestataire de services de paiement à des fins d’authentification’.

S’agissant de la démonstration du caractère autorisé d’une opération de paiement, l’article L. 133-23 du code monétaire et financier dispose que ‘l’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur’. Par l’emploi du terme ‘nécessairement’, le législateur a entendu réserver des cas dans lesquels l’utilisation conforme de l’instrument de paiement pouvait prouver le caractère autorisé de l’opération.

À ce titre la Directive 2015/2366 /CE du 25 novembre 2015 dite DSP II distingue et définit en son article 4 la simple authentification et l’authentification forte, distinction et définition qui ont été transposées à l’article 133-4 en ses points e et f. L’article L. 133-4, e) du code monétaire et financier définit ainsi l’authentification comme une ‘procédure permettant au prestataire de services de paiement de vérifier l’identité d’un utilisateur de services de paiement ou la validité de l’utilisation d’un instrument de paiement spécifique, y compris l’utilisation des données de sécurité personnalisées de l’utilisateur’. L’article L. 133-4, f) du même code prévoit une authentification forte, encore plus sécurisée, définie comme l’authentification reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories ‘connaissance’ (quelque chose que seul l’utilisateur connaît), ‘possession’ (quelque chose que seul l’utilisateur possède) et ‘inhérence'(quelque chose que l’utilisateur est) et indépendants, en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d’authentification’. La directive DSP II tire les conséquences de cette distinction en matière de responsabilité puisqu’elle prévoit en son article 74 ‘Responsabilité du payeur en cas d’opérations de paiement non autorisées’ : ‘2 Lorsque le prestataire de services de paiement n’exige pas une authentification forte du client, le payeur ne supporte aucune perte financière éventuelle à moins qu’il n’ait agi frauduleusement…’. Le législateur européen a donc entendu donner à la procédure d’authentification forte un rôle déterminant dans l’analyse des responsabilités. Cette disposition a été transposée à l’article L. 133-19 V du code monétaire et financier : ‘Sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si l’opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement du payeur n’exige une authentification forte du payeur prévue à l’article L. 133-44.’. L’exigence et le respect d’une procédure d’authentification forte doit donc constituer l’hypothèse dans laquelle l’utilisation conforme de l’instrument de paiement détermine le caractère autorisé de l’opération.

En application des articles L. 133-19 IV et L. 133-23 du code monétaire et financier, lorsqu’un utilisateur de services de paiment nie avoir autorisé une opération de paiement qui a été exécutée :

1- Il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre,

2- Il appartient également à la banque, qui se prévaut des articles L. 133-16 et L. 133-17 du code monétaire et financier imposant à l’utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d’informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l’instrument de paiement ou des données qui lui sont liées, de prouver la négligence du titulaire du compte, constitutive d’une faute lourde.

En application des dispositions de l’article L. 133-16 du code monétaire et financier, l’utilisateur du service de paiement est tenu de préserver la sécurité de ses données de sécurité personnalisées lesquelles s’entendent en application de l’article L. 132-4 des données fournies à des fins d’authentification. À défaut, il doit supporter conformément aux dispositions de l’article L. 133-19, toutes les pertes occasionnées par les opérations de paiement non autorisées.

Avocats

Bravo aux Avocats ayant plaidé ce dossier :

– Me Bertrand CHAMBREUIL, avocat au barreau de Paris
– Me Emmanuelle LECRENAIS, avocat au barreau de Paris
– Me Julien MALLET de la SELASU MVA AVOCATS, avocat au barreau de Paris

Mots clefs associés

– Appel de la Caisse d’épargne et de prévoyance Ile-de-France
– Jugement du tribunal judiciaire de Paris
– Condamnation de la Caisse d’épargne à payer 13 000 euros et 1 000 euros selon l’article 700
– Absence de dépôt de conclusions par Mme [Y] [L]
– Clôture de la procédure d’appel le 9 janvier 2024
– Demande d’infirmer la décision précédente
– Virement litigieux autorisé selon le code monétaire et financier
– Non-engagement de la responsabilité de la banque
– Authentification et enregistrement de l’opération contestée
– Négligence de Mme [L] à l’origine de la fraude
– Absence de manquement au devoir de vigilance de la banque
– Demande de condamnation de Mme [L] au paiement de frais selon l’article 700
– Référence aux articles du code monétaire et financier et du code civil

* * *

REPUBLIQUE FRANÇAISE

AU NOM DU PEUPLE FRANÇAIS

Copies exécutoires REPUBLIQUE FRANCAISE

délivrées aux parties le : AU NOM DU PEUPLE FRANCAIS

COUR D’APPEL DE PARIS

Pôle 5 – Chambre 6

ARRET DU 20 MARS 2024

(n° , 10 pages)

Numéro d’inscription au répertoire général : N° RG 22/17661 – N° Portalis 35L7-V-B7G-CGROE

Décision déférée à la Cour : Jugement du 02 Septembre 2022 -tribunal judiciaire de Paris – 9ème chambre 3ème section – RG n° 22/01852

APPELANTE

S.C.O.P. S.A. CAISSE D’EPARGNE ET DE PREVOYANCE ILE DE FRANCE

[Adresse 1]

[Localité 3]

N°SIRET : 382.900.942

agissant poursuites et diligences en la personne de son représentant légal domicilé en cette qualité audit siège

Représentée par Me Bertrand CHAMBREUIL, avocat au barreau de Paris, toque : B0230

Ayant pour avocat plaidant Me Emmanuelle LECRENAIS, avocat au barreau de Paris, toque : G1186

INTIMÉE

Madame [Y] [L]

[Adresse 2]

[Localité 4]

Représentée par Me Julien MALLET de la SELASU MVA AVOCATS, avocat au barreau de Paris, toque : A0905

COMPOSITION DE LA COUR :

En application des dispositions des articles 805 et 907 du code de procédure civile, l’affaire a été débattue le 08 Février 2024, en audience publique, les avocats ne s’y étant pas opposés, devant Madame Pascale SAPPEY-GUESDON, Conseillère,entendue en son rapport.

Ce magistrat a rendu compte des plaidoiries dans le délibéré de la Cour,, composée de :

M. Marc BAILLY, président de chambre

MMe Pascale SAPPEY-GUESDON, conseillère

MMe Laurence CHAINTRON, conseillère

Greffier, lors des débats : Mme Mélanie THOMAS

ARRET :

– Contradictoire

– par mise à disposition de l’arrêt au greffe de la Cour, les parties en ayant été préalablement avisées dans les conditions prévues au deuxième alinéa de l’article 450 du code de procédure civile.

– signé par Marc BAILLY, président de chambre et par Mélanie THOMAS, greffier, présent lors de la mise à disposition.

* * * * *

FAITS PROCEDURE ET PRETENTIONS DES PARTIES

Par déclaration reçue au greffe de la cour le 14 octobre 2022, la société Caisse d’épargne et de prévoyance Ile-de-France a interjeté appel du jugement du tribunal judiciaire de Paris rendu en son absence, le 2 septembre 2022, dans l’instance l’opposant à Mme [Y] [L], et dont le dispositif est ainsi rédigé :

‘CONDAMNE la Caisse d’épargne et de prévoyance d’Ile-de-France à payer à madame [Y] [L] la somme de 13 000 euros ;

CONDAMNE la Caisse d’épargne et de prévoyance d’Ile-de-France à payer à madame [Y] [L] la somme de 1 000 euros au titre de l’article 700 du code de procédure civile ;

CONDAMNE la Caisse d’épargne et de prévoyance d’lle-de-France aux dépens’.

Mme [L] a constitué avocat mais n’a pas fait déposer de conclusions.

La procédure d’appel a été clôturée le 9 janvier 2024.

Au dispositif de ses dernières conclusions, communiquées par voie électronique le 10 janvier 2023, l’appelant présente, en ces termes, ses demandes à la cour :

‘Vu Les articles L. 133-6, L. 133-7 du Code monétaire et financier

Les articles L. 133-19, L. 133-16 et L. 133-23 du code monétaire et financier

L’article 1103 du code civil

Il est demandé à la Cour de :

Infirmer la décision déférée en toutes ses dispositions

Statuant à nouveau :

À titre principal,

Constater que le virement litigieux a été autorisé au sens du code monétaire et financier et des dispositions contractuelles

Dire et juger en conséquence que la responsabilité de la concluante ne saurait dès lors être

engagée sur le fondement des dispositions de l’article L. 133-18 du code monétaire et financier

Débouter en conséquence Mme [L] de l’ensemble de ses demandes

À titre subsidiaire

Constater que la CAISSE D’EPARGNE ET DE PREVOYANCE ILE DE FRANCE établit que l’opération contestée a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre.

Constater que la CAISSE D’EPARGNE ET DE PREVOYANCE ILE DE FRANCE établit que la grave négligence de Mme [L] est seule à l’origine de la fraude

La débouter en conséquence de l’intégralité de ses demandes

À titre plus subsidiaire

Constater que la Banque n’a commis aucun manquement à son devoir de vigilance

Débouter en conséquence Mme [L] de l’intégralité de ses demandes

En toute hypothèses,

Condamner Madame [Y] [L] à payer à la CAISSE D’EPARGNE ET DE PREVOYANCE ILE DE FRANCE la somme de 1.500 € au titre de l’article 700 ainsi que les entiers dépens qui seront recouvrés par Maître Bertrand CHAMBREUIL avocat au barreau de Paris dans les conditions de l’article 699 du code de procédure civile.’

Par application des dispositions de l’article 455 du code de procédure civile, il est renvoyé, pour un plus ample exposé des prétentions et moyens de l’appelant, à ses conclusions précitées.

MOTIFS DE LA DECISION

Mme [Y] [L] est titulaire d’un compte de dépôt dans les livres de la société Caisse d’épargne et de prévoyance Ile-de-France.

Selon les énonciations du jugement, contestant avoir effectué un virement de 13 000 euros sur ce compte Mme [L] a fait assigner la société Caisse d’épargne et de prévoyance Ile-de-France devant le tribunal judiciaire de Paris, afin d’obtenir le remboursement de ce montant, outre l’allocation d’une somme de 2 000 euros au titre de l’article 700 du code de procédure civile et la condamnation de son contradicteur aux entiers dépens.

Le jugement énonce qu’à l’appui de sa demande Mme [L] expliquait avoir reçu, le 18 septernbre 2021, plusieurs SMS l’informant de la réalisation d’achats depuis son compte, dont elle n’était pourtant pas à l’origine, et avoir été, à cette occasion, contactée téléphoniquement par un individu se présentant comme un employé du service des fraudes de la banque. Cette personne l’avisait d’un virement de 13 000 euros et lui demandait de lui transmettre les codes d’authentification reçus par SMS, afin d’annuler les opérations. Elle s’exécutait, avant d’annoncer qu’elle allait mettre fin à l’appel, après quoi il lui était demandé d’authentifier une dernière opération.

Mme [L] exposait avoir été informée par la banque de ce qu’il s’agissait en réalité d’une escroquerie, la Caisse d’épargne lui indiquant qu’elle n’était pas à l’origine de cet appel, que les identifiants1ui permettant d’accéder à 1a banque en ligne avaient été modifiés, et qu’un virement de 13 000 euros avait été effectué au profit d’un nouveau bénéficiaire.

Mme [L] déposait plainte le 21 septembre 2021.

Au soutien de sa demande en remboursement, Mme [L] invoquait les dispositions des articles L. 133-19 et L. 133-23 du code monétaire et financier, faisait valoir qu’il appartient à la banque de prouver que l’opération litigieuse a été authentifiée et qu’elle n’a pas été affectée d’une déficience technique, ce que la Caisse d’épargne et de prévoyance Ile-de-France ne démontrait pas, en l’occurrence. Mme [L] contestait avoir autorisé le virement de 13 000 euros, et ajoutait que son contradicteur ne prouve pas sa négligence. Elle faisait valoir à cet égard que l’appel téléphonique reçu le 18 septembre 2021 apparaissait tout à fait crédible.

Mme [L] poursuivait en invoquant les dispositions de l’article 1231-1 du code civil. Elle soutenait que la banque a manqué au devoir de vigilance auquel elle était tenue, vu les anomalies de fonctionnement affectant son compte. Elle considérait que l’opération litigieuse était inhabituelle, au regard notamment de son montant, exorbitant, et de sa destination finale. Elle estimait que la société défenderesse aurait dû l’alerter et bloquer l’opération, en soulignant avoir fait opposition à sa carte bancaire dans un temps très court, moins d’1 heure 30 après la réalisation du virement litigieux.

Le tribunal a exactement rappelé les textes applicables aux faits de l’espèce tels qu’exposés par Mme [L] :

– Aux termes de l’article L. l33-18 du code monétaire et financier, dans sa rédaction applicable au litige, ‘en cas d’opération de paiement non autorisé signalée par l’utilisateur dans les conditions prévues à l’article L. 133-24, le prestataire de services de paiement du payeur rembourse immédiatement au payeur le montant de l’opération non autorisée et, le

cas échéant, rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisé n’avait pas eu lieu’.

La société Caisse d’épargne et de prévoyance lle-de-France ne comparaissant pas, il n’a pas été rapporté la preuve de ce qu’il se serait agi d’une opération autorisée, ni de la négligence fautive de Mme [L]. C’est donc en toute logique que dans ces conditions, le tribunal a condamné la banque à rembourser à Mme [L] la somme de 13 000 euros, correspondant au virement litigieux, sans qu’il soit nécessaire d’examiner le moyen de Mme [L] tiré du manquement de la banque à son devoir de vigilance.

En cause d’appel, la société Caisse d’épargne et de prévoyance lle-de-France se propose de faire cette démonstration. Notamment elle procède à la description du dispositif d’authentification forte ‘Sécur’Pass’ lié à l »appareil de confiance’ de l’utilisateur, et précise que l’ajout du nouveau bénéficiaire a été fait depuis cet appareil, pour en conclure que l’opération litigieuse a été autorisée au sens du code monétaire et financier.

Tout d’abord, la banque appelante entend apporter certaines précisions et observations aux faits tels que relatés par Mme [L], qui visiblement a été victime de ‘spoofing’ téléphonique, escroquerie de plus en plus fréquente, visant à détourner les nouveaux dispositifs de sécurité des paiements et en particulier l’authentification forte mise en place par les banques ‘ l’escroc se fait passer pour un conseiller bancaire et pour tromper la vigilance de ses futures victimes leur fait croire qu’elles sont réellement en contact avec

leur banque en leur demandant de confirmer des informations personnelles (nom, adresse) ou bancaires (numéros de compte ou de carte bancaire, identifiant, mot de passe, etc.) – qu’ils ont collectées sur internet ou achetées sur le ‘Darkweb’. Mise en confiance et manipulée par un discours qui se veut rassurant mais qui incite à réagir rapidement, la victime pense déjouer une fraude à la carte bancaire ou au virement. Elle communique alors un identifiant personnel et le code confidentiel reçu par SMS ou recourt au dispositif sécurisé de son application bancaire pour valider, en réalité, une véritable opération de paiement initiée par l’escroc.

La Caisse d’épargne et de prévoyance lle-de-France relève que c’est précisément ce que relate Mme [L] puisqu’elle indique dans sa plainte pénale qu’alors qu’elle était en train de faire ses courses, le samedi 18 septembre 2021, elle aurait reçu émanant d’ ‘Info’, un premier message, à 17h07, lui demandant de confirmer un achat de 3 200,90 euros, puis un second message, relativement à un montant de 1 350,90 euros, et les deux messages l’invitant à rappeler le numéro 01.84.60.02.12. Ce numéro ayant tenté de la contacter à deux reprises, elle aurait décroché au deuxième appel, et son interlocuteur se serait présenté comme responsable des fraudes à la Caisse d’épargne. Mme [L] qui était occupée aurait raccroché puis aurait rappelé et serait alors tombée sur le standard du service des fraudes bancaires de la Caisse d’épargne qui l’aurait directement mise en relation avec la personne qui venait précisément de la contacter, laquelle lui aurait demandé si elle était à l’origine des paiements. Mme [L] lui ayant répondu par la négative, cette personne lui aurait demandé de se laisser guider afin d’annuler lesdites opérations ainsi que celles prétendument en train de se présenter. À cette fin, Mme [L] lui aurait fourni les codes reçus par SMS. À l’issue de ces annulations, elle aurait reçu un message de renforcement de sécurité sur son compte et ne se serait pas inquiétée. Son interlocuteur aurait ensuite entrepris une série de démonstrations que Mme [L] décrit comme suit : ‘Il a effectué une première démonstration d’un montant de 9 999 euros qu’il a annulée afin de me prouver que ça fonctionnait et qu’il avait bien verrouillé le compte et au final une demande de virement qui a été annulée de 13 000 euros’. Il lui aurait demandé d’authentifier un dernier achat de 2 400 euros ce qu’elle aurait refusé, cette dernière opération la conduisant à couper court à la discussion et à faire opposition à sa carte bancaire. Elle précise enfin que durant cette communication, son interlocuteur qui ‘avait la main’sur son compte, a changé ses identifiants et ajouté un compte bénéficiaire externe, à son nom, dans le but prétendu de faire un test de démonstration. Mme [L] qui n’avait plus accès à ses comptes a pris contact avec son agence le 21 septembre 2021. Elle a ainsi pu constater que dans un premier temps, 15 000 euros ont été virés de son Livret B vers son compte courant personnel, qu’ensuite a été enregistré un débit de 9 999 euros de son compte courant vers son compte professionnel (Mme [L] a indiqué que l’escroc a renvoyé l’argent sur son compte personnel pour ‘brouiller les pistes’ et lui ‘montrer le fonctionnement correct des opérations’) et que pour finir un virement de 13 000 euros a été effectué ‘vers le compte externe qu’il a créé à mon nom comme indiqué précédemment’.

La Caisse d’épargne et de prévoyance Ile-de-France indique ensuite, que le 22 septembre 2021, Mme [L] a contesté auprès d’elle, ledit virement de 13 000 euros. Les démarches entreprises par la Caisse d’épargne et de prévoyance Ile-de-France auprès du banquier du bénéficiaire pour obtenir le retour des fonds n’a pas abouti. Par courrier recommandé du 20 octobre 2021, Mme [L], après avoir exposé les faits, ne s’estimant pas responsable de ce virement de 13 000 euros a sollicité de la Caisse d’épargne et de prévoyance Ile-de-France, la ‘régularisation’ de cette opération. Elle communiquait en annexe à ce courrier, une partie des SMS reçus.

Par courrier en réponse du 10 novembre 2021, la Caisse d’épargne et de prévoyance Ile-de-France a informé Mme [L] qu’il ne lui était pas possible de lui restituer cette somme aux motifs suivants : ‘Vous précisez avoir communiqué à un tiers non identifié le contenu d’au moins trois SMS en pensant annuler des opérations supposées frauduleuses. Au cours de cet entretien téléphonique, vous avez été amenée à valider un virement de 15 000 euros du Livret B vers le compte courant, puis à ajouter un compte externe avec validation d’un virement de 13 000 euros vers celui-ci. Vous avez utilisé l’authentification forte Sécur’Pass (option souscrite en juillet 2020) laquelle nécessite obligatoirement la saisie du code secret, préalablement défini par vos soins, ou l’utilisation de la fonction biométrique’.

Dans ce même courrier il lui était rappelé par ailleurs, que ‘la Caisse d’épargne communique régulièrement auprès de ses clients et les sensibilise aux risques de fraude. À titre d’exemple, vous avez reçu un SMS en date du 2 mars 2021 qui vous invitait à la prudence à la réception d’un appel téléphonique signalant une fraude sur son compte bancaire. La CEIDF ne vous demandera jamais de communiquer vos coordonnées personnelles bancaires (mot de passe, numéro de carte bancaire, code sms) de vous connecter, de confirmer ou de refuser une opération sur sa banque en ligne. Toute démarche contraire quel que soit le canal, relève de l’usurpation de la CEIDF’.

À l’appui de sa demande d’infirmation du jugement déféré la Caisse d’épargne et de prévoyance Ile-de-France soutient qu’elle démontre que sa responsabilité ne saurait être engagée, le virement litigieux consistant en une opération de paiement autorisée et n’ayant en tout état de cause été rendu possible que par suite des négligences graves commises par Mme [L] sans qu’un quelconque manquement à son obligation de vigilance ne puisse être établi à l’encontre de la banque.

Sur le caractère autorisé de l’opération réalisée

La Caisse d’épargne et de prévoyance Ile-de-France souligne, à raison, qu’en droit, seule l’exécution des opérations non autorisées est susceptible d’engager la responsabilité du teneur de compte dans les conditions notamment fixées aux articles L. 133-18 et L.133-19 du code monétaire et financier.

Elle développe ensuite qu’en présence d’une opération de paiement autorisée, l’article L. 133-21 alinéa 1 du code monétaire et financier prévoit qu’un ordre de paiement exécuté conformément à l’identifiant unique fourni par l’utilisateur du service de paiement est réputé dûment exécuté pour ce qui concerne le bénéficiaire désigné par l’identifiant unique. Il en résulte un régime de non-responsabilité du prestataire de service de paiement pour les ordres exécutés conformément à l’identifiant unique (c’est-à-dire l’IBAN) fourni par l’utilisateur du service de paiement.

Afin de déterminer si les opérations sont autorisées, le code monétaire et financier prévoit :

– en ses articles L. 133-6 et L. 133-7, que le caractère autorisé de l’opération dépend du

La Caisse d’épargne et de prévoyance Ile-de-France justifie de ce qu’en l’espèce, ainsi qu’il résulte des logs retraçant l’historique des connexions sur l’espace Direct Ecureuil de Mme [L], tant l’ajout du nouveau bénéficiaire que le virement litigieux à son profit ont été effectués via le dispositif Sécur’Pass, qui est le dispositif d’authentification forte mis en place par la Caisse d’épargne pour valider à distance des opérations bancaires nécessitant un niveau de sécurité élevé et auquel Mme [L] a adhéré en 2020. Ce dispositif est détaillé aux’Conditions générales spécifiques du service Direct Ecureuil’, en sa nature (‘dispositif d’authentification forte’) et quant à son objet (permettre notamment au client d’accéder aux services de Direct Ecureuil et à son compte de dépôt en ligne, de sécuriser l’accès et l’utilisation de certains services, de valider certaines opérations sensibles initiées depuis son espace personnel de banque à distance, tels l’ajout d’un compte de bénéficiaire afin d’effectuer un virement vers ce compte, la réalisation de virement sur un compte de bénéficiaire enregistré au préalable, la validation des opérations de paiements réalisées en ligne (virements) et à distance par carte bancaire. La Caisse d’épargne et de prévoyance Ile-de-France indique que la mise en oeuvre de ce dispositif suppose que le client possède un smartphone compatible et un numéro de téléphone mobile préalablement déclaré à la Caisse d’Epargne en tant que téléphone de sécurité, et l’activation de Sécur’Pass par le client à partir de son espace personnel de banque à distance accessible depuis l’application mobile, en saisissant un code Sécur’Pass qu’il a choisi. Puis, comme il résulte des explications figurant sur le site de la Caisse d’épargne, la validation des opérations bancaires avec Sécur’Pass impose la saisie du code Sécur’Pass sur l’appareil de confiance.

Il doit être rappelé que Mme [L] n’a jamais contesté avoir activé le dispositif Sécur’Pass, ni avoir utilisé son appareil de confiance lors de l’opération litigieuse.

Comme précisé par la banque appelante il n’est pas contestable que tant l’ajout du nouveau bénéficiaire que le virement litigieux ont été validés depuis le téléphone de Mme [L] puisqu’il s’agissait de l’appareil de confiance auquel était associé le système Sécur’Pass. À cet égard la Caisse d’épargne et de prévoyance Ile de France relève que Mme [L] l’admet d’ailleurs, puisqu’elle explique tant dans son courrier du 20 octobre 2021 que dans sa plainte, que l’interlocuteur qu’elle a eu en ligne lui a demandé, à des fins de démonstrations, de valider la création d’un nouveau bénéficiaire et plusieurs virements dont le virement litigieux de 13 000 euros : ‘Ce dernier a voulu prendre la main sur mon compte, j’ai dû lui fournir des codes reçus par SMS pour qu’il ait accès et bloque les achats en cours (‘) Je tiens à préciser que durant la communication avec l’interlocuteur, ce dernier qui avait la main sur mon compte a changé mes identifiants et a ajouté un compte bénéficiaire externe à mon nom dans le but de faire un test de démonstration’.

La Caisse d’épargne et de prévoyance Ile-de-France de l’ensemble de ces éléments tire la conclusion que l’opération litigieuse est nécessairement autorisée, puisque Mme [L] en a validé l’exécution via le dispositif Sécur’Pass qui requérait la saisie sur son appareil de confiance du code Sécur’pass et constitue dès lors un dispositif d’authentification forte conforme aux prescriptions des articles L. 133-4 f) et L. 133-44 du code monétaire et financier, l’ensemble conformément aux stipulations contractuelles, puisque selon la convention de compte : ‘Les virements SEPA occasionnels immédiats (sans date convenue d’exécution) sont initiés par le client : … via son espace personnel de banque à distance, par la saisie de son numéro d’abonné (identifiant client) et de son code confidentiel ou selon les modalités offertes par l’objet connecté à l’application de banque à distance préalablement configurée sur son téléphone mobile ou sa tablette, et la validation du virement en utilisant le dispositif d’authentification forte éventuellement requis et mis à disposition par la Banque … Par l’application de cette procédure, le client donne son consentement à l’exécution de l’ordre de virement’.

Cependant, il résulte tant des déclarations de Mme [L], relatées ci-dessus, que de la pièce 5 de la banque listant et détaillant les connections de l’intéressée (date et heure, type de connection (‘application mobile’), adresse IP, fournisseur de connection, ville de connection, opération effectuée, moyen d’identification ,compte créditeur, compte débiteur, montant) que l’opération litigieuse n’a pas été matériellement réalisée par Mme [L], et par conséquent il ne peut être considéré que l’opération de paiement litigieuse serait une opération autorisée au sens du code monétaire et financier.

Sur la négligence grave de Mme [L]

La Caisse d’épargne et de prévoyance Ile-de-France écrit que si par impossible la cour devait considérer que l’opération litigieuse bien qu’ayant fait l’objet d’une authentification forte n’a pas été autorisée, elle constaterait tout aussitôt que Mme [L] s’est montrée gravement négligente dans la conservation de ses données de sécurité personnalisées excluant dès lors tout remboursement de la part de la banque.

Sur le premier point, la Caisse d’épargne et de prévoyance Ile-de-France fait observer, à juste titre, que par rapprochement avec les SMS que la Caisse d’épargne a adressés à Mme [L] (joints par celle-ci à son courrier de réclamation à la banque du 20 octobre 2021) et notamment celui de 17h22, l’examen des Logs révèle que la transmission du code de Mme [L] à son interlocuteur a permis à celui-ci de se connecter à l’espace en ligne à 17h23 et de consulter les comptes (colonne opération effectuée : SYNTH-CB) – pièce 5. C’est d’ailleurs à partir de ce moment que selon les propres déclarations de Mme [L], son interlocuteur lui donne la liste des opérations faites sur son compte le 17 septembre 2021. Les Logs établissent aussi que le système a parfaitement fonctionné, les tentatives d’ajout d’un bénéficiaire (18:15:12) et de virement externe (18:31:44 et 18:32:17) sans recours au dispositif Sécur’Pass ayant échoué. La Caisse d’épargne et de prévoyance Ile-de-France déduit de ces éléments, que c’est bien parce que Mme [L] a transmis au fraudeur ses données personnelles et validé par le système Sécur’Pass l’ajout d’un nouveau bénéficiaire que l’opération de virement a été authentifiée par la banque, a ainsi été dûment enregistrée et comptabilisée, et que cette opération n’a pas été affectée par une déficience technique.

Sur le second point, en application des dispositions de l’article L. 133-16 du code monétaire et financier, l’utilisateur du service de paiement est tenu de préserver la sécurité de ses données de sécurité personnalisées lesquelles s’entendent en application de l’article L. 132-4 des données fournies à des fins d’authentification. À défaut, il doit supporter conformément aux dispositions de l’article L. 133-19, toutes les pertes occasionnées par les opérations de paiement non autorisées.

La Caisse d’épargne et de prévoyance Ile-de-France relève que les conditions générales spécifiques du service Direct Écureuil reprennent ces dispositions et précisent notamment à l’article 5.2 que : ‘L’identifiant, le mot de passe attribués au Client et le Code d’authentification sont personnels. Le Client prend toute mesure raisonnable pour préserver la sécurité de son identifiant, de son mot de passe, du Code et de tout élément d’authentification appartenant aux trois catégories précitées. L’utilisation de ses numéros et code est strictement personnelle. Le Client s’oblige à les tenir secrets et à ne les communiquer à quiconque, même à la Banque qui ne peut en avoir connaissance et ne les lui demandera jamais’.

En droit, le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées s’il n’a pas satisfait par négligence grave, exclusive de toute appréciation de sa bonne foi, à l’obligation imposée à l’utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité du dispositif de sécurité personnalisé mis à sa disposition. Il importe donc peu que l’utilisateur ait été parfaitement dupé en croyant à la véracité du procédé utilisé à son détriment.

En l’espèce, comme défendu par la banque appelante, il apparaît que Mme [L] s’est montrée gravement négligente, ce de plusieurs manières.

Essentiellement, tel a été le cas en ce qu’elle a donné suite à l’appel téléphonique frauduleux reçu, technique de fraude contre laquelle elle avait pourtant été précisément mise en garde par la banque, comme cela lui a été rappelé dans le courrier du 10 novembre 2021, Mme [L] ayant notamment reçu le 2 mars 2021 un SMS l’invitant à la prudence en cas de réception d’un appel téléphonique signalant une fraude sur son compte bancaire, et surtout, lui précisant que la Caisse d’épargne et de prévoyance Ile-de-France ne lui demanderait jamais de communiquer ses coordonnées personnelles bancaires (mot de passe, numéro de carte bancaire, code sms), de se connecter, de confirmer ou de refuser une opération sur sa banque en ligne et lui indiquant que toute démarche contraire, quel qu’en soit le canal, relève de l’usurpation de l’identité de la Caisse d’épargne et de prévoyance Ile-de-France.

Par ailleurs il ressort également des pièces produites que précédemment, Mme [L] avait déjà été avisée, par SMS du 10 novembre 2020, qu’il ne fallait en aucun cas donner ses codes obtenus par SMS ou mot de passe à un tiers, et ce quel qu’en soit le motif ou le canal utilisé (mails, sms, chats, téléphone).

Au surplus, Mme [L] s’est encore montrée négligente en ne tenant pas compte d’autres indices qui auraient dû l’alerter : en premier lieu, lorsque Mme [L] a rappelé son interlocuteur, elle aurait dû en premier lieu s’étonner que son appel prétendument réceptionné par le ‘standard du service des fraudes bancaires de la Caisse d’épargne’ soit transmis directement à la personne qu’elle venait d’avoir en ligne, car si comme on voulait le lui faire croire, il avait existé un service dédié pour traquer les fraudes en direct de l’ensemble des clients de la Caisse d’épargne et de prévoyance Ile-de-France, nul doute qu’il aurait employé plusieurs personnes ; en second lieu, et comme Mme [L] l’explique elle-même, son interlocuteur lui fera d’abord croire que des opérations s’étaient présentées au paiement, et pour l’en convaincre, lui avait adressé des SMS qui n’émanaient pas de la Caisse d’épargne et de prévoyance Ile de France mais d’INFO, contenaient des fautes d’orthographe grossières ‘votre achat (..) à bien été effectué’ formule employée qui n’était au demeurant pas habituelle, tout comme l’indication du numéro à rappeler, la banque usuellement invitant en cas de doute, à contacter l’agence ; en troisième lieu, il était suspect que l’interlocuteur de Mme [L] lui propose de faire des démonstrations aux fins prétendues de s’assurer de la sécurité optimale de ses comptes, d’autant plus que lesdites démonstrations ont consisté dans un premier temps à effectuer des achats, ce qui heurtait tout sens commun, et en outre les SMS adressés à cette fin à Mme [L] comportaient également de nombreuses fautes d’orthographe.

Ces anomalies auraient d’autant plus dû attirer son attention que dans le même temps Mme [L] recevait les SMS de la Caisse d’épargne et de prévoyance Ile de France contenant les codes lui permettant de se connecter à son espace direct, qui se présentaient différemment, en ce qu’ils émanaient expressément de la Caisse d’épargne et de prévoyance Ile de France et l’invitaient, si elle n’était pas à l’origine de la demande, à contacter l’agence.

Enfin, Mme [L] a elle-même validé par le moyen de Sécur’Pass associé à son téléphone mobile, la demande d’ajout d’un bénéficiaire qu’elle n’avait pas initiée ainsi que la demande de virement au profit dudit bénéficiaire, indiquant dans sa plainte : ‘Je tiens à préciser que durant la communication avec l’interlocuteur, ce dernier qui avait la main sur mon compte a changer mes identifiants et à ajouter un compte bénéficiaire externe à mon nom qui était dans le but de faire un test de démonstration’.

Par conséquent, comme conclu par la Caisse d’épargne et de prévoyance Ile de France, les négligences graves de Mme [L] sont plurielles, et étant seules à l’origine de l’opération contestée dont il est établi qu’elle a été authentifiée, le virement litigieux doit demeurer à sa charge conformément aux dispositions de l’article L. 133-19 IV du code monétaire et financier.

Le jugement entrepris sera donc infirmé en toutes ses dispositions.

Sur les dépens et les frais irrépétibles

Mme [L], partie qui succombe, supportera la charge des dépens.

L’équité conduit à ne pas prononcer de condamnation au titre de l’article 700 du code de procédure civile.

PAR CES MOTIFS

La cour, statuant dans les limites de l’appel,

INFIRME le jugement déféré,

Statuant à nouveau,

DÉBOUTE Mme [Y] [L] de sa demande de remoursement par la banque de la somme de 13 000 euros ;

DIT n’y avoir lieu à condamnation au titre de l’article 700 du code de procédure civile ;

CONDAMNE Mme [Y] [L] aux entiers dépens d’appel et admet Maître Bertrand Chambreuil, avocat constitué, du Barreau de Paris, au bénéfice des dispositions de l’article 699 du code de procédure civile.

LE GREFFIER LE PRÉSIDENT