[1]
Copies délivrées le: 15/01/2025
Me HADDAD AJUELOS – A0172 (exécutoire)
Me PENIN – J008 (certifiée conforme)

■

9ème chambre 2ème section

N° RG :
N° RG 23/14615 – N° Portalis 352J-W-B7H-C3EKS

N° MINUTE : 13

Assignation du :
09 Novembre 2023

JUGEMENT
rendu le 15 Janvier 2025
DEMANDERESSE

Madame [M] [F]
[Adresse 3]
[Localité 6]

représentée par Maître Hélène HADDAD AJUELOS, avocat au barreau de PARIS, avocat postulant, vestiaire #A0172, et Maître Jérémie OUSTRIC, avocat au barreau de MONTPELLIER, avocat plaidant

DÉFENDERESSE

S.A. BNP PARIBAS, prise en la personne de son représentant légal
[Adresse 4]
[Localité 5]

représentée par Maître Dominique PENIN du LLP KRAMER LEVIN NAFTALIS & FRANKEL LLP, avocats au barreau de PARIS, avocats plaidant, vestiaire #J0008

Décision du 15 Janvier 2025
9ème chambre 2ème section
N° RG 23/14615 – N° Portalis 352J-W-B7H-C3EKS

COMPOSITION DU TRIBUNAL

Monsieur Gilles MALFRE, Premier Vice-président adjoint
Monsieur Augustin BOUJEKA, Vice-Président
Monsieur Alexandre PARASTATIDIS, Juge

assistés de Madame Alice LEFAUCONNIER, Greffière

DÉBATS

A l’audience du 30 Octobre 2024 tenue en audience publique devant Monsieur PARASTATIDIS, juge rapporteur, qui, sans opposition des avocats, a tenu seul l’audience, et, après avoir entendu les conseils des parties, en a rendu compte au Tribunal, conformément aux dispositions de l’article 805 du Code de Procédure Civile. Avis a été donné aux avocats que la décision serait rendue le 15 janvier 2025.

JUGEMENT

Rendu publiquement par mise à disposition au greffe
Contradictoire
En premier ressort

Exposant avoir été victime d’une escroquerie de type « spoofing » suite à un appel reçu dans la matinée du 27 septembre 2022, Mme [F] conteste avoir autorisé les achats détaillés ci-après pour un montant total de 14.312,19 euros, effectués depuis son espace en ligne avec sa carte bancaire liée à son compte courant ouvert dans les livres de la SA BNP Paribas :

Un achat le 26 septembre 2022 (3.000 euros) ;Deux achats le 27 septembre 2022 (3.500 euros + 464,74 euros); Un achat le 28 septembre 2022 (916 euros) ;Un achat le 30 septembre 2022 (1.350 euros) ; Trois achats le 1er octobre 2022 (140 euros + 685,81 euros + 2.450 euros) ; Un achat le 2 octobre 2022 (1.805,64 euros).
Le 21 octobre 2022, Mme [F] a fait un signalement en ligne auprès des services de la gendarmerie nationale.

Ses recours auprès de la banque et du médiateur de la Fédération bancaire française pour obtenir le remboursement des sommes contestées sont demeurées infructueuses.

C’est dans ce contexte que Mme [F] a fait assigner la BNP Paribas par exploit de commissaire de justice du 9 novembre 2023 devant le tribunal judiciaire de Paris en recherche de la responsabilité de cet établissement.

Aux termes de ses dernières conclusions signifiées par voie électronique le 17 septembre 2024, aux visas des articles L.133-6 et suivants du code monétaire et financier et 1217 et suivants du code civil, elle demande au tribunal de :

« A TITRE PRINCIPAL :

– CONDAMNER la SA BNP PARIBAS à payer à Madame [M] [F] la somme de 14.067,19 euros avec intérêts aux taux légal à compter du 26 octobre 2022, date de la mise en demeure ;

SUBSIDIAIREMENT :

– CONDAMNER la SA BNP PARIBAS à payer à Madame [M] [F] la somme de 13.926,51 euros au titre de son préjudice de perte de chance, avec intérêts au taux légal à compter du 26 octobre 2022, date de la mise en demeure ;

EN TOUT ETAT DE CAUSE :

– CONDAMNER la SA BNP PARIBAS à payer à Madame [M] [F] la somme de 1.500 euros au titre de la résistance abusive et à 1.000 euros en réparation de son préjudice moral ;

– CONDAMNER la SA BNP PARIBAS à payer à Madame [M] [F] la somme de 3.000 euros au titre de l’article 700 du Code de procédure civile ainsi qu’aux entiers dépens ;

– RAPPELER l’exécution provisoire de droit ; »

A l’appui de ses prétentions, Mme [F] expose que le 27 septembre 2022 au matin, elle a pris connaissance d’un SMS qui lui a été adressé la veille à 23h47 l’informant de ce que l’usage de sa carte bancaire était restreint « suite à une suspicion de fraude » et que sa banque faisait le nécessaire pour protéger ses fonds sans autre action de sa part. Elle indique avoir reçu dans la même matinée un appel d’une prétendue Mme [S] se présentant comme une employée du service opposition sur carte bancaire de sa banque et dont le numéro d’appel ([XXXXXXXX01]), après vérification de sa part sur internet, correspondait au numéro de téléphone officiel de ce service. Son interlocutrice lui a alors signalé des paiements suspects et confirmé que sa carte était placée en usage restreint. Elle l’a ensuite invitée à modifier sa clé d’accès à son compte en ligne. Mme [F] ajoute avoir envoyé immédiatement à son conseiller clientèle BNP Paribas un courriel l’informant de la situation qui est resté sans réponse. Le 28 septembre 2022, elle a reçu un nouveau SMS lui confirmant la restriction de sa carte bancaire et, le lendemain, un autre message l’informant de l’activation de sa clé digitale. Elle indique que ces messages correspondant aux échanges qu’elle pensait avoir eus avec la BNP Paribas, elle n’avait pas de raison de s’alarmer. Cependant, ne parvenant plus à se connecter à son espace en ligne, elle a contacté le 5 octobre 2022 les services de la banque qui l’ont informée de diverses opérations effectuées pour un montant de 14.312,19 euros.

A titre principal, Mme [F] sollicite la condamnation de la banque au titre de son obligation de remboursement, cette dernière ne rapportant pas la preuve que les opérations litigieuses ont fait l’objet d’une authentification forte, aucun SMS de confirmation des opérations effectuées sur son compte ne lui ayant été adressé notamment lors du changement du numéro de téléphone sur son espace en ligne auquel le fraudeur a accédé, précisant que la BNP Paribas ne rapporte pas la preuve non plus de l’absence d’une déficience technique qui ne peut se déduire de l’authentification forte des opérations qu’elle entend démontrer par la production d’un extrait du back-office. Elle fait ainsi valoir le caractère non autorisé des opérations passées sans son consentement et l’absence de preuve d’une fraude ou d’une négligence grave de sa part, contestant avoir communiqué à un tiers ses données personnelles ou d’identification, qui selon elle ont été piratées, pour demander la condamnation de la banque à lui payer la somme de 14.067,19 euros en application de l’article L.133-18 du code monétaire et financier, avec intérêts au taux légal à compter du 26 octobre 2022, date de la réception de la mise en demeure, précisant par ailleurs avoir été diligente dès lors qu’elle a adressé un courriel à son conseiller clientèle dès le 27 septembre 2022 qui est resté sans suite.

A titre subsidiaire, elle entend rechercher la responsabilité de la banque sur le fondement du régime de droit commun, faisant valoir que le caractère exclusif du régime de responsabilité du prestataire de services de paiement à l’égard de l’utilisateur en cas d’opérations non autorisées, énoncé par la chambre commerciale de la Cour de cassation dans un arrêt du 27 mars 2024, entrave nécessairement le droit à un procès équitable garanti par l’article 6 de la Convention européenne de sauvegarde des droits de l’Homme (CESDH). Dès lors, fondant son action sur l’article 1217 du code civil, elle fait grief à la banque de ne pas avoir sécurisé son numéro de téléphone ni immédiatement pris les mesures nécessaires pour protéger ses fonds suite à son courriel du 27 septembre 2022 qui était de nature à l’alerter sur le risque de fraude. Elle conclut en conséquence à une négligence manifeste et à un manquement à son devoir de conseil de la banque qui sont la cause d’un préjudice de perte de chance, distinct du préjudice indemnisé par les dispositions du régime spécial, d’avoir pu mettre en échec les huit opérations frauduleuses réalisées entre le 27 septembre et le 2 octobre 2022 et qu’elle évalue à la somme de 13.926,51 euros, soit 99% du préjudice financier.

En tout état de cause, Mme [F] sollicite la condamnation de la banque à des dommages et intérêts à hauteur de 1.500 euros pour résistance abusive, estimant que la mauvaise foi de la défenderesse est caractérisée par l’usage de motifs erronés et trompeurs sur l’existence d’une authentification forte pour s’opposer au remboursement des sommes. Elle réclame également la somme de 1.000 euros à titre de dommages et intérêts en réparation du préjudice moral résultant du temps consacré à la recherche d’une issue amiable et de l’indisponibilité de ses fonds pendant une longue période.

Aux termes de ses dernières conclusions signifiées par voie électronique le 15 octobre 2024, la BNP Paribas demande au tribunal de :
« Débouter Madame [F] de l’intégralité de ses demandes à toutes fins qu’elles comportent.

Ecarter l’exécution provisoire.

Condamner Madame [F] à verser à BNP Paribas la somme de 3.000 € au titre de l’article 700 du Code de procédure civile ainsi qu’aux entiers dépens. »

En réplique, la banque conteste tout d’abord la chronologie des faits relatée par Mme [F], expliquant que cette dernière ne rapporte pas la preuve de la date de l’appel frauduleux, sa pièce n°2 (journal d’appels) ne comportant aucune information pertinente sur ce point. Elle ajoute que la demanderesse a reçu le 26 septembre 2022 à 16h34 un courriel de notification d’enrôlement de la clé digitale sur un nouveau téléphone, ce qui laisse raisonnablement penser qu’elle a été en contact avec le fraudeur dès le 26 septembre 2022, date à laquelle ce dernier a d’ailleurs pu effectuer un premier achat de 3.000 euros à partir de son propre appareil avec la carte bancaire de sa cliente qui pourtant alertée d’une suspicion de fraude par un SMS envoyé le même jour à 23h47 l’invitant à contacter le service fraude au [XXXXXXXX02] n’a pas effectué de diligence, permettant ainsi au fraudeur de poursuivre ses achats. Elle ajoute qu’un second SMS identique au premier a été adressé à Mme [F] le 28 septembre 2022 à 23h47 suite à de nouveaux achats suspects sans susciter de réaction de sa part.

Elle fait valoir le bien-fondé de son refus de procéder au remboursement en ce que les recherches effectuées par ses services ont permis de déterminer que les achats initiés en ligne ont été validés à l’aide de la clé digitale, soit un dispositif de sécurité et d’authentification forte que le fraudeur n’a pu utiliser qu’après son enrôlement sur un nouveau téléphone qui nécessite impérativement une connexion préalable à l’espace digital du titulaire du compte au moyen des identifiant et mot de passe qui sont personnels et confidentiels et qui n’ont pu être communiqués que par Mme [F] malgré les consignes de sécurité relayées par les établissements bancaires, les médias et les autorités publiques. Elle ajoute que les traces informatiques mettent en évidence que la clé digitale a été installée et utilisée sur le téléphone IPhone de Mme [F] entre le 9 juillet et le 26 septembre 2022 et qu’elle a ensuite été enrôlée sur un nouveau téléphone portable, également IPhone, le 26 septembre 2022 après approbation de l’opération au moyen d’un SMS envoyé sur le numéro de téléphone de Mme [F] contenant un « lien cliquable » composé d’un code nécessaire à la finalisation de l’enrôlement qui a ensuite été notifié à la demanderesse par courriel envoyé à 16h34. Elle ajoute que l’usage d’une IP différente de celle de Mme [F] n’était pas de nature à l’alerter, sa cliente pouvant utiliser un VPN et qu’elle ne peut être tenue par ailleurs responsable de l’usurpation apparente de son numéro de téléphone par un tiers qui appelle en réalité avec un autre numéro, les mesures de sécurité en la matière reposant sur les opérateurs téléphoniques aux termes de l’article L.44 V du code des postes et communications électroniques. Enfin, elle entend rappeler que l’arrêt de la cour d’appel de Versailles cité par la demanderesse excluant la négligence grave du client victime de « spoofing » fait l’objet d’un pourvoi en cassation. Elle conclut en conséquence à la négligence grave de Mme [F] et la mise hors de cause de son système informatique.

Sur le fondement juridique subsidiaire invoqué par Mme [F], la BNP Paribas fait valoir le caractère exclusif du régime de responsabilité défini aux articles L.133-18 à L.133-24 du code monétaire et financier issus de la transposition des articles 58, 59 et 60 de la directive 2007/64/CE, à l’exclusion de tout régime alternatif de responsabilité résultant du droit national en matière d’opérations de paiement non autorisées ou mal exécutées. Elle conclut en conséquence au rejet de ce moyen.

Elle sollicite également le débouté des demandes de condamnation au titre du préjudice moral et sur le fondement de la résistance abusive, faisant valoir que les préjudices allégués ne sont pas démontrés.

Conformément aux dispositions de l’article 455 du code de procédure civile, il est renvoyé aux dernières écritures des parties pour l’exposé des moyens et arguments venant au soutien de leurs demandes.

La clôture de l’instruction a été prononcée le 16 octobre 2024. L’affaire a été évoquée à l’audience tenue en juge rapporteur du 30 octobre 2024 et mise en délibéré au 15 janvier 2025.

Une opération de paiement n’est autorisée au sens des articles L.133-3 et L.133-6 du code monétaire et financier que si le payeur l’a initiée et a consenti au montant de l’opération.

Dès lors que la responsabilité d’un prestataire de services de paiement est recherchée en raison d’une opération de paiement non autorisée ou mal exécutée, seul est applicable le régime de responsabilité défini aux articles L. 133-18 à L. 133-24 du code monétaire et financier qui transposent les articles 58, 59 et 60, § 1, de la directive 2007/64/CE, tout autre régime alternatif de responsabilité résultant du droit national devant être écarté.

Ainsi, en cas d’opération de paiement non autorisée signalée par l’utilisateur dans les délais prévus par l’article L.133-24 du même code, le prestataire de services de paiement du payeur rembourse à ce dernier le montant de l’opération non autorisée sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement.

Dans cette hypothèse, il incombe au prestataire de paiement de prouver que l’opération litigieuse a été effectuée après une authentification forte, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre, l’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement, à savoir l’utilisation des identifiants du client et l’absence de déficience technique ou autre, notamment par le biais de la production d’un relevé de ses connexions, ne suffisant pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur.

L’article L.133-4 (f) du code précité précise qu’une authentification forte s’entend d’une authentification reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories « connaissance » (quelque chose que seul l’utilisateur connaît telle qu’un mot de passe, un code secret, une question secrète, etc…), « possession » (quelque chose que seul l’utilisateur possède telle qu’un téléphone portable, une montre connectée, une clé USB etc…) et « inhérence » (quelque chose que l’utilisateur est telle que la reconnaissance faciale ou vocale, la reconnaissance par empreinte digitale, etc…) et indépendants en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d’authentification. L’authentification forte repose donc sur l’utilisation de deux de ces éléments, voire plus.

Par ailleurs, la responsabilité du payeur n’est pas engagée si l’opération de paiement non autorisée a été effectuée en détournant, à son insu, l’instrument de paiement ou les données qui lui sont liées. Cependant, il supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’agissements frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L.133-16 et L.133-17 du code précité.

Ainsi, pour échapper au remboursement de l’opération contestée, le prestataire de services de paiement doit démontrer, soit que l’ordre émanait bel et bien du client dûment authentifié dans son espace personnel, soit que le vol des identifiants de connexion (ou d’autres données) n’est que la conséquence d’une faute grave de sa part consistant à ne pas avoir satisfait intentionnellement aux obligations lui incombant en la matière ou à les avoir gravement négligées.

En l’espèce, la banque produit un document intitulé « Parcours clé digitale » dont il ressort que la clé digitale associée au compte de Mme [F] a été enrôlée le 9 juillet 2022 sur un appareil IPhone 14 à 09h07, puis le 26 septembre 2022 à 16h31 sur un appareil IPhone 10, et le 14 décembre 2022 à 19h19 de nouveau sur un appareil IPhone 14.

Figure également sur ce document la copie d’un courriel envoyé sur l’adresse électronique [Courriel 7] le 26 septembre 2022 à 16h34 ainsi rédigé :
« Bonjour MME [M] [F] [D]
Nous venons d’enregistrer l’activation de la Clé Digitale sur votre apareil IPhone.
Depuis cet appareil, vous pouvez dès à présent valider vos opérations sensibles en saisissant simplement le code secret identique à celui utilisé pour la connexion à vos comptes.
Si vous n’êtes pas à l’origine de cette demande de changement, merci de contacter rapidement le service Relation Client.
Merci de votre confiance.
BNP Paribas.»
Le tribunal relève par ailleurs que la première opération contestée par Mme [F] pour un montant de 3.000 euros est intervenue le 26 septembre 2022, soit le jour de l’enrôlement de la Clé Digitale sur un nouvel appareil selon le document précité.

Il s’en déduit que le fraudeur a nécessairement eu connaissance des identifiant et mot de passe pour accéder à l’espace en ligne de Mme [F] et initié la demande d’enrôlement de la clé digitale sur un nouvel appareil pour ensuite procéder à un premier achat frauduleux le 26 septembre 2022. 

Or, comme le relève la banque, l’enrôlement de la clé digitale sur un nouvel appareil ne peut intervenir qu’après validation de l’opération depuis l’appareil sur lequel est enrôlée la clé digitale au moment de la demande, soit au cas particulier celui de Mme [F] qui ne déclare pas avoir perdu son appareil à l’époque des faits.

Ces éléments sont de nature à remettre en question les déclarations de la demanderesse sur la date réelle de l’appel qu’elle a reçu du fraudeur, et ce d’autant plus que sur le fil de discussion issu de son téléphone, il apparaît qu’immédiatement au-dessus du message qu’elle produit pour la cause en date du 26 septembre 2022 à 23h47, on peut lire la fin du message précédent rédigé en ces termes « En cas de doute, contactez votre conseiller » qui interroge sur les messages précédemment reçus par Mme [F] qui n’a pas donné de suite favorable à la sommation délivrée par la BNP Paribas de communiquer la copie du fil des SMS qui lui ont été adressés par la banque le 26 septembre 2022 et notamment la copie intégrale du message évoqué ci-avant.

Ceci étant, il n’est pas discuté par la banque que Mme [F] a fait l’objet d’une escroquerie et qu’elle n’a pas consenti sciemment aux opérations litigieuses tant dans leur principe que dans leur quantum.

Il convient dès lors de considérer que les opérations en cause n’ont pas été autorisées au sens des dispositions du code monétaire et financier et que la responsabilité de la BNP Paribas ne peut être recherchée que sur le fondement du régime de responsabilité défini aux articles L. 133-18 à L. 133-24 du code monétaire et financier.

Or, le seul fait qu’un tiers utilise les données personnelles du client est insuffisant pour caractériser une négligence grave commise par ce dernier au sens des articles L.133-16, L.133-17 et L.133-19 IV et suivants du code monétaire et financier faisant obstacle à son indemnisation.

Au cas particulier, le tribunal relève que si Mme [F] rapporte la preuve par la production du journal des appels reçus de son téléphone qu’elle a été appelée le 27 septembre 2022 par le numéro [XXXXXXXX01] (Paris Île-de-France), il ne peut s’agir de l’appel par lequel le fraudeur l’a amené à enrôler sa Clé Digitale sur un autre appareil, la première opération contestée ayant été réalisée la veille comme développé précédemment.

Mme [F] ne rapporte donc pas la preuve d’avoir été victime d’une escroquerie de type spoofing et ne démontre donc pas que le fraudeur a usé d’un mode opératoire suffisamment élaboré pour la mettre en confiance et diminuer sa vigilance au point de la conduire à suivre des instructions qui l’ont amenée à valider à son insu l’enrôlement de sa clé digitale sur un appareil autre que le sien.

Or, la communication à un tiers de données personnelles sécurisées telles que le code d’activation d’une clé digitale, et ce en dépit des campagnes d’information et des SMS contenant les liens pour valider une telle opérations rappelant qu’il s’agit de données confidentielles à ne communiquer sous aucun prétexte, caractérise une négligence grave au sens de l’article L.133-19 du code monétaire et financier qui la prive de la possibilité de faire supporter par la banque les pertes occasionnées par l’opération de paiement non autorisée effectuée le 26 septembre 2022.

S’agissant des autres opérations, Mme [F] ne peut fonder ses demandes sur l’obligation générale de vigilance incombant à sa banque.

En revanche, il ressort des dispositions de l’article L.133-17 précité que l’information de la banque d’une utilisation non autorisée d’un instrument de paiement ou de données qui lui sont liées doit conduire celle-ci à bloquer les opérations, obligation spéciale qui se distingue de son devoir général de vigilance.

Or, Mme [F] rapporte la preuve d’avoir adressé à son conseiller clientèle un courriel le 27 septembre 2022 à 11h34 par lequel elle lui demandait de confirmer l’authenticité de son contact avec le service fraude de la BNP Paribas et l’informait notamment de ce qu’on lui avait demandé « de supprimer l’appli sur mon téléphone pour la réinitialiser (je n’ai pas bien compris quand je dois le faire) ( …). », éléments qui étaient de nature à alerter la banque sur une potentielle fraude en cours.

Or, la défenderesse ne démontre pas avoir donné une suite à ce message et a fortiori avoir pris sans délai des mesures pour bloquer ou, à tout le moins, surveiller le compte de sa cliente aux fins de vérifier avec elle l’authenticité des opérations postérieures au signalement, mesure qui aurait permis d’éviter le préjudice lié aux sept autres paiements par carte bancaire effectués entre les 27 septembre et 2 octobre 2022, étant précisé qu’en l’absence d’élément communiqué par la banque sur l’heure à laquelle ont été effectués les achats du 27 septembre, il convient de considérer qu’ils sont postérieurs à la demande de Mme [F].

En conséquence, la BNP Paribas est condamnée à rembourser à Mme [F] la somme de 11.067,19 euros, correspondant aux achats postérieurs aux 26 septembre 2022, avec intérêts au taux légal à compter du 26 octobre 2022, date de réception de la mise en demeure adressée par son conseil.

2 – Sur la demande de dommages et intérêts pour résistance abusive

Il est de principe que le régime de responsabilité inhérente à l’utilisation des services de paiement prévus aux articles L.133-1 et suivants du code monétaire et financier issus de règles du droit de l’Union européenne, est exclusive de tout autre régime de responsabilité prévu en droit national.

Par suite, la demande de Mme [F] fondée sur la résistance abusive de la BNP Paribas ne peut prospérer, étant relevé au surplus que le préjudice moral allégué n’est étayé par aucun élément.

3 – Sur les demandes accessoires

3.1 – Sur les frais du procès

La BNP Paribas qui succombe est condamnée aux dépens.

Elle est également condamnée au paiement à Mme [F] d’une somme de 2.000 euros sur le fondement de l’article 700 du code de procédure civile.

3.2 – Sur l’exécution provisoire

La présente décision est revêtue de droit de l’exécution provisoire conformément aux dispositions de l’article 514 du code de procédure civile dans sa version applicable en l’espèce, l’instance ayant été introduite postérieurement au 31 décembre 2019.

Le tribunal statuant publiquement par jugement contradictoire, en premier ressort et par mise à disposition au greffe :

CONDAMNE la SA BNP Paribas à payer à Mme [M] [F] la somme de 11.067,19 euros avec intérêts au taux légal à compter du 26 octobre 2022 ;

DEBOUTE les parties de toute demande plus ample ou contraire ;

CONDAMNE la SA BNP Paribas aux dépens ;

CONDAMNE la SA BNP Paribas à payer à Mme [M] [F] la somme de 2.000 euros sur le fondement de l’article 700 du code de procédure civile.

Fait et jugé à Paris le 15 Janvier 2025

La Greffière Le Président