☎ :[XXXXXXXX01]

N° RG 24/01366 – N° Portalis DBZS-W-B7I-YAFY

JUGEMENT

DU : 25 Novembre 2024

[J] [I] épouse [O]

C/

S.A. CREDIT LYONNAIS

REPUBLIQUE FRANÇAISE

AU NOM DU PEUPLE FRANÇAIS

JUGEMENT DU 25 Novembre 2024

DANS LE LITIGE ENTRE :

DEMANDEUR(S)

Mme [J] [I] épouse [O], demeurant [Adresse 4]

représentée par Représentant : Me Laurent CALONNE, avocat au barreau de LILLE

ET :

DÉFENDEUR(S)

S.A. CREDIT LYONNAIS, dont le siège social est sis [Adresse 3]

représenté par Me Patrick DUPONT-THIEFFRY, avocat au barreau de LILLE

COMPOSITION DU TRIBUNAL LORS DES DÉBATS À L’AUDIENCE PUBLIQUE DU 30 Septembre 2024

Magali CHAPLAIN, Juge, assisté(e) de Deniz AGANOGLU, Greffier

COMPOSITION DU TRIBUNAL LORS DU DÉLIBÉRÉ

Par mise à disposition au Greffe le 25 Novembre 2024, date indiquée à l’issue des débats par Magali CHAPLAIN, Juge, assisté(e) de Deniz AGANOGLU, Greffier

RG : 24/1366 PAGE

Mme [J] [I] épouse [O] est titulaire d’un compte bancaire n° [XXXXXXXXXX02] ouvert dans les livres du Crédit Lyonnais en son agence de Lille.

Les 25 et 28 mars 2022, deux virements pour un montant de 6 000 euros et de 5 300 euros ont été opérés de son compte au profit de [K] [F] et de [M] [G] [E].

Un troisième virement effectué le 28 mars 2022 a été bloqué par la banque.

Mme [O] a contesté être à l’origine de ces virements et la banque a accepté de la rembourser partiellement.

Par courriers recommandés avec avis de réception signés le 3 mai 2022 et le 3 octobre 2022, Mme [O] et son conseil ont écrit à la société LCL Crédit Lyonnais pour solliciter le remboursement intégral des prélèvements non autorisés, en vain.

Par acte d’huissier du 24 janvier 2024, Mme [J] [I] épouse [O] a fait assigner la SA Crédit Lyonnais devant le tribunal judiciaire de Lille, aux fins de la voir condamner à lui verser les sommes suivantes au visa de l’article L133-18 du code monétaire et financier :

– 5 650 euros avec intérêts au taux légal majoré de 5 points pour la période du 1er au 7 avril 2022, majoré de dix points du 7 avril au 30 avril 2022, majoré de 15 points à compter du 1er mai 2022,
– 1 000 euros à titre de dommages et intérêts pour résistance abusive,
– 1 000 euros sur le fondement de l’article 700 du code de procédure civile, outre les dépens.

L’affaire a été appelée à l’audience du 17 juin 2024, lors de laquelle les parties, représentées par leurs avocats respectifs, ont signé un calendrier de procédure et accepté de soumettre la procédure à l’application de l’article 446-2 du code de procédure civile. L’audience de plaidoiries a été fixée au 30 septembre 2024.

A cette audience, Mme [O], représentée par son conseil, soutient ses dernières conclusions écrites et visées par le greffier, aux termes desquelles elle maintient ses demandes initiales.

A l’appui de ses demandes, Mme [O] expose qu’elle a été victime d’agissements frauduleux sur son compte bancaire qui a été débité les 25 et 28 mars 2022 de deux virements de 6000 euros et de 5 300 euros dont elle n’est pas à l’origine, que son téléphone portable a été piraté, ce qui a permis au tiers fraudeur l’enregistrement d’un nouvel appareil de confiance, le relèvement du plafond d’opérations et l’émission de virements, qu’elle n’a constaté les opérations litigieuses que le 31 mars 2022 lorsqu’elle en a eu connaissance. Elle précise avoir déposé plainte le 1er avril 2022.

Elle considère, sur le fondement des L. 133-18 et L. 133-20 du code monétaire et financier, que la responsabilité de la banque est engagée et qu’elle doit recréditer le montant de l’opération, évoquant les failles du système de sécurité de la banque. Elle fait valoir qu’elle n’a commis aucune faute, contestant avoir communiqué ses données de sécurité personnalisées, et soutient que le Crédit Lyonnais ne prouve pas qu’elle a commis une négligence, cette preuve lui incombant. Elle conteste également avoir réceptionné les messages adressés par la banque par SMS au moment des opérations litigieuses et met en cause le protocole de sécurité du Crédit Lyonnais

La SA Crédit Lyonnais, représentée par son conseil, soutient oralement ses conclusions écrites visées par le greffier, aux termes desquelles elle conclut au débouté des prétentions adverses et sollicite la condamnation de Mme [O] au paiement d’une indemnité de procédure de 1 000 euros, outre les dépens.

Elle estime que le dispositif de sécurité mis en place est conforme aux exigences de la directive européenne sur les services de paiement, que le processus de sécurisation requiert une authentification forte qui suppose une confirmation mobile avec un code confidentiel via le smartphone de l’utilisateur, que les demandes d’autorisation de paiement ont été notifiées sur le téléphone de Mme [O] et validées, que la connexion d’un nouvel appareil à l’espace en ligne de Mme [O] n’a pu s’effectuer que par la saisie de son identifiant, de son code personnel d’accès ainsi que du code à usage unique que la banque lui a transmis en temps réel par SMS le 18 mars 2022 au numéro de téléphone qui lui appartient, alors que ces données sont confidentielles. Elle ajoute que Mme [O] n’a pas réagi aux différents SMS reçus, le second SMS de sécurité confirmant le succès de l’opération et invitant Mme [O] à modifier son code d’accès personnel en cas de doute, ce qu’elle n’a pas fait.

Elle considère dès lors que la requérante a commis une négligence grave ayant conduit à l’exécution des opérations de paiement litigieuse, d’une part, en ne prenant pas les mesures raisonnables nécessaires pour préserver la sécurité de ses données de sécurité personnalisées et, d’autre part, en signalant tardivement à la banque le détournement et l’utilisation non autorisée desdites données personnelles. Elle précise en effet que la cliente n’a pas réagi durant le délai de temporisation de sept jours alors qu’elle avait été informée par deux SMS de ce qu’un appareil voulait s’enregistrer et accéder à ses comptes, qu’elle n’a pas alerté la société Crédit Lyonnais dès la réception de ses messages. Elle considère dès lors que la négligence grave de Mme [O] fait obstacle au remboursement.

Pour un plus ample exposé des faits, moyens et prétentions des parties, il est renvoyé aux écritures de celles-ci conformément aux dispositions de l’article 455 du code de procédure civile.

L’affaire a été mise en délibéré au 25 novembre 2024 par mise à disposition au greffe.

Sur la demande de remboursement des virements effectués :

Aux termes de l’article L. 133-6 du code monétaire et financier, I. Une opération de paiement est autorisée si le payeur a donné son consentement à son exécution. Toutefois, le payeur et son prestataire de services de paiement peuvent convenir que le payeur pourra donner son consentement à l’opération de paiement après l’exécution de cette dernière. II. – Une série d’opérations de paiement est autorisée si le payeur a donné son consentement à l’exécution de la série d’opérations, notamment sous la forme d’un mandat de prélèvement.

Aux termes de l’article L. 133-7 du code monétaire et financier, le consentement est donné sous la forme convenue entre le payeur et son prestataire de services de paiement. Le consentement peut être donné par l’intermédiaire du bénéficiaire ou d’un prestataire de services de paiement fournissant un service d’initiation de paiement mentionné au 7° du II de l’article L. 314-1. En l’absence d’un tel consentement, l’opération ou la série d’opérations de paiement est réputée non autorisée. Le consentement peut être retiré par le payeur tant que l’ordre de paiement n’a pas acquis un caractère d’irrévocabilité conformément aux dispositions de l’article L. 133-8. Le consentement à l’exécution d’une série d’opérations de paiement peut aussi être retiré, avec pour effet que toute opération posté-rieure est réputée non autorisée.

Aux termes de l’article L. 133-18 du code monétaire et financier, en vigueur du 13 janvier 2018 au 18 août 2022, en cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L. 133-24, le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement et s’il communique ces raisons par écrit à la Banque de France. Le cas échéant, le prestataire de services de paiement du payeur rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu.

Aux termes de l’article L. 133-23 du code monétaire et financier, lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre. L’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière. Le prestataire de services de paiement, y compris, le cas échéant, le prestataire de services de paiement fournissant un service d’initiation de paiement, fournit des éléments afin de prouver la fraude ou la négligence grave commise par l’utilisateur de services de paiement.

En application de ces textes, il appartient à la banque de prouver que l’opération a été authentifiée et vérifiée lorsque le titulaire d’un compte nie avoir autorisé un virement.

Sur la preuve de l’authentification et de la vérification du donneur d’ordre concernant l’augmentation du plafond de virement et les virements effectués, la société Le Crédit Lyonnais qui revendique la mise en place d’un système d’authentification forte conforme aux dispositions de l’article L 133-4 du même code est fondée à opposer à Mme [O] les Dispositions générales de banque versées aux débats.

Il ressort de ces dispositions générales que les ordres de virement peuvent être émis via le site internet lcl.fr ou l’application mobile LCL Mes Comptes, que le consentement à une opération de virement résulte, pour les ordres émis par un canal d’accès à distance, des modalités propres à chaque canal et détaillées dans la partie relative à l’accès à distance. Les dispositions contractuelles prévoient que certaines opérations requièrent une réauthentification appelée « procédure d’authentification forte ». Dans cette hypothèse, un code à usage unique est envoyé par le système informatique de la société LCL Le Crédit Lyonnais au client, sur le téléphone de ce dernier, au numéro préalablement communiqué à la banque.

Il est prévu que pour utiliser le service LCL interactif, le client s’est engagé à :

– changer son code personnel d’accès lors de la première authentification,

– fournir à la banque un numéro de téléphone valide et personnel,

– fournir à la banque une adresse mail valide afin de pouvoir recevoir les notifications que la banque propose de lui adresser,

– mettre en œuvre tous les moyens à sa disposition pour s’assurer que son ordinateur est raisonnablement sécurisé.

Il ressort des conditions générales de la banque que pour effectuer un virement, le Client doit indiquer la référence du compte à débiter, le montant de l’opération, la devise de règlement, le nom du bénéficiaire et les coordonnées bancaires du bénéficiaire, qu’il appartient au Client de s’assurer de l’exactitude de ces références, que si les coordonnées s’avèrent inexactes, la banque n’est pas responsable de la mauvaise exécution du virement.

Le paragraphe 2.2.5. « Contestations et demandes de remboursement » précise que la banque peut ne pas rembourser une opération contestée lorsque l’opération contestée s’avère autorisée par le Client.

Le paragraphe 3.3.2. « Accès aux services » prévoit que le Client s’engage à « informer et avertir LCL de toute tentative de fraude visant à récupérer ses Identifiants et/ou Code Personnel d’Accès, et dont il pourrait être la victime ».

Pour pouvoir utiliser les services digitalisés de relation à distance, Mme [O] s’est vue attribuer un identifiant et un code personnel d’accès, ce qu’elle ne conteste pas.

Mme [O] soutient que le système d’identification forte du Crédit Lyonnais est défaillant, que son téléphone portable a été piraté, que le tiers fraudeur a réussi à passer des ordres de virement, sans qu’elle n’ait été avertie, et qu’elle n’a jamais communiqué ses identifiants et son code personnel pour autoriser de telles opérations.

Pourtant, par les autres pièces qu’elle produit, la banque justifie du fait que les virements litigieux ont été réalisés après une authentification forte.

Il ressort en effet des pièces versées aux débats, notamment les relevés d’enregistrement et les captures d’écran relatives aux virements litigieux et aux SMS de sécurité adressés par la banque, que le 18 mars 2022 à 17h44, le relevé des opérations de l’espace en ligne de Mme [O] enregistrait une connexion au service de la banque en ligne via l’application mobile ayant pour objet d’enregistrer un Appareil de Confiance dans le dispositif d’authentification forte. Au même moment, Mme [O] recevait un SMS d’authentification de la part de sa banque sur son téléphone portable dont le numéro n’est pas discuté par l’intéressée et correspond d’ailleurs à celui donné par elle lors de son dépôt de plainte, contenant un code confidentiel à usage unique (OTP SMS à six chiffres) à saisir pour autoriser l’enregistrement et l’accès d’un nouvel appareil de confiance à ses comptes LCL.

Il résulte des documents produits par la société LCL Le Crédit Lyonnais qu’à 17h46, soit une minute après la réception par Mme [O] du SMS contenant le code confidentiel à usage unique, l’appareil était enregistré comme appareil de confiance.

Par la suite, ce nouvel appareil ayant été enregistré, les opérations frauduleuses ont pu avoir lieu les 25 et 28 mars 2022. Pour rappel, les opérations étaient les suivantes :

– augmentation du plafond des virements,
– ajout d’un nouveau pays bénéficiaire,
– virements de 6 000 euros et de 5 300 euros par débit du compte de dépôt de Mme [O] au crédit des comptes identifiés sous les identités « [K] [F] » et « [M] [G] [E] ».

Il est donc établi par les pièces versées aux débats que les opérations contestées ont été authentifiées, dûment enregistrées et comptabilisées, et qu’elles n’ont pas été affectées par une déficience technique ou autre.

La banque démontre ainsi qu’il n’existe pas de lien de causalité entre son système d’authentification forte et les opérations arguées de fraude.

Pour autant, il lui appartient de rapporter la preuve de la négligence grave de son client – manquement qui lui permet, selon l’article L 133-19-IV du code monétaire et financier, de ne pas avoir à supporter toutes les pertes occasionnées par des opérations de paiement non autorisées – dès lors que, comme il a été dit, celle-ci ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés.

A cet égard, l’article L 133-16 du code monétaire et financier invoqué par la société Le Crédit Lyonnais dispose :

‘ Dès qu’il reçoit un instrument de paiement, l’utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées.

Il utilise l’instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation qui doivent être objectives, non discriminatoires et proportionnées’.

La société Le Crédit Lyonnais démontre, d’abord, que pour procéder à la connexion d’un nouvel appareil en ligne dans le dispositif d’identification forte, le 18 mars 2022 à 17h 46, et désassocier l’ appareil de confiance de Mme [O], il a dû être procédé à la saisie de son identifiant et de son code personnel d’accès qui sont des données confidentielles ; qu’en outre, c’est bien au numéro de téléphone portable de celle-ci (considéré comme tel tant dans le cadre de la présente procédure que dans sa plainte) qu’a été reçu un SMS d’authentification de la banque contenant un code confidentiel à usage unique nécessaire à la validation de ce changement de téléphone, immédiatement suivi d’un second SMS de sécurité reçu à 17h 46 sur ce même numéro lui indiquant : ‘Votre iPhone validera prochainement les opérations sur votre compte. En cas de doute, changez votre code d’accès.’

Bien que tenu de prendre ‘toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées’, il apparaît que Mme [O] n’a pas satisfait à ce devoir alors qu’elle était informée par sa banque de ce qu’un nouvel appareil iPhone « Bouygues Telecom », l’opérateur téléphonique de la requérante étant « SFR », voulait s’enregistrer et accéder à ses comptes..

Si elle nie avoir reçu ces deux SMS de sécurité adressés par la banque, force est de constater que les captures d’écran produits par cette dernière montrent que le statut desdits SMS est indiqué « remis » et que le numéro de téléphone mentionné est celui de Mme [O] (identique au numéro de téléphone donné par cette dernière lors de son dépôt de plainte).

Ainsi, la société Le Crédit Lyonnais est-elle fondée à se prévaloir à tout le moins d’une grave négligence de Madame [O] qui n’a pas pris les mesures raisonnables pour préserver la sécurité de ses données de sécurité personnalisées.

La banque se prévaut ensuite d’une seconde négligence grave de Madame [O] tenant au fait qu’elle lui a tardivement signalé, le 31 mars 2022, le détournement et l’utilisation non autorisée de ses données de sécurité personnalisés qui ont permis l’enrôlement, le 18 mars 2022, de l’ appareil de confiance litigieux alors que l’article L 133-17 -I du code monétaire et financier dispose :

‘Lorsqu’il a connaissance de la perte, du vol, du détournement ou de toute utilisation non autorisée de son instrument de paiement ou des données qui lui sont liées, l’utilisateur de services de paiement en informe sans tarder, aux fins de blocage de l’instrument, son prestataire ou l’entité désignée par celui-ci’.

Madame [O] n’a pas été suffisamment diligente pour signaler à son prestataire de services de paiement une opération qui aurait dû lui apparaître douteuse, s’agissant du défaut de réaction sus-évoqué à réception d’un SMS dénué d’obscurité le 18 mars 2022, alertant de l’opération portant sur la substitution d’un téléphone de confiance.

Madame [O] n’a pas davantage réagi à la suite du second message d’authentification reçu le 18 mars 2022 à 17h46 l’informant que les opérations sur son compte seraient prochainement validées et l’invitant, en cas de doute, à changer son code d’accès personnel.

Par ailleurs, le système de sécurité mis en place par Le Crédit Lyonnais introduisait un délai de temporisation de sept jours avant lequel ne peut être exécuté un virement, par l’intermédiaire d’un appareil de confiance nouvellement enrôlé.

Les virements litigieux n’ont été effectués qu’à compter du 25 mars 2022, soit passé ce délai de sept jours, et la banque peut prétendre qu’il aurait pu être évité, comme l’opération suivante intervenue le 28 mars 2022, si la demanderesse s’était manifestée dans ledit délai de temporisation.

Il s’évince de tout ce qui précède qu’il est démontré par la banque que les opérations qui ont permis les virements litigieux ne peuvent lui être imputés à faute dès lors qu’elle a exécuté les ordres en conformité avec le système d’authentification forte mis en place, exempt de défaillance technique, pour authentifier, enregistrer et comptabiliser les opérations mais qu’elles ont été rendues possibles par les négligences graves de son utilisateur, Madame [O], qui ne s’est pas manifestée auprès de sa banque durant le délai de temporisation de sept jours après réception des messages lui signalant la demande d’enregistrement d’un nouvel appareil autre que le sien pour accéder à ses comptes.

Par suite, Madame [O] sera déboutée de sa demande de remboursement et de sa demande de condamnation à titre indemnitaire de la banque venant sanctionner sa résistance abusive.

Sur les demandes accessoires :

En application de l’article 696 du code de procédure civile, Mme [O], qui succombe en ses prétentions, sera condamnée aux dépens et sera en conséquence déboutée de sa demande d’indemnité de procédure.

La situation économique des parties et l’équité commande de ne pas faire application des dispositions de l’article 700 du code de procédure civile. La société LCL Crédit Lyonnais sera donc déboutée de sa demande au titre des frais irrépétibles.

En application de l’article 514 du code de procédure civile, les décisions de première instance sont de droit exécutoires à titre provisoire.

Le juge des contentieux de la protection, statuant publiquement, par jugement contradictoire et en premier ressort :

DEBOUTE Mme [J] [I] épouse [O] de toutes ses demandes ;

DEBOUTE la société LCL Crédit Lyonnais de sa demande fondée sur l’article 700 du code de procédure civile ;

CONDAMNE Mme [J] [I] épouse [O] aux dépens de l’instance :

DEBOUTE les parties de toutes demandes plus amples ou contraires ;

RAPPELLE l’exécution provisoire de droit attachée aux décisions de première instance ;

Ainsi jugé et prononcé par mise à disposition au greffe le 25 novembre 2024.

LE GREFFIER LE JUGE
D.AGANOGLU M.CHAPLAIN