[1]
Expéditions
exécutoires
délivrées le :

à
Me MOUSSAFIR
Me GALLET

■

9ème chambre 3ème section

N° RG 23/15544
N° Portalis 352J-W-B7H-C3IPD

N° MINUTE : 6

Assignation du :
30 Novembre 2023

JUGEMENT
rendu le 21 Novembre 2024
DEMANDEURS

Madame [J] [O] épouse [R]
[Adresse 1]
[Localité 4]

Monsieur [Y] [R]
[Adresse 1]
[Localité 4]

représentés par Maître Gilles MOUSSAFIR, avocat au barreau de PARIS, vestiaire #P0562

DÉFENDERESSE

Société CAISSE D’ÉPARGNE ET DE PREVOYANCE ÎLE DE FRANCE
[Adresse 2]
[Localité 3]

représentée par Maître Vincent GALLET, avocat au barreau de PARIS, vestiaire #E1719
Décision du 21 Novembre 2024
9ème chambre 3ème section
N° RG 23/15544 – N° Portalis 352J-W-B7H-C3IPD

COMPOSITION DU TRIBUNAL

Béatrice CHARLIER-BONATTI, Vice-présidente
Gilles MALFRE, Vice-présidente
Anne-Cécile SOULARD, Vice-présidente

assistés de Madame Chloé DOS SANTOS, Greffière.

DÉBATS

A l’audience du 03 Octobre 2024 tenue en audience publique devant Béatrice CHARLIER-BONATTI, juge rapporteur, qui, sans opposition des avocats, a tenu seule l’audience, et, après avoir entendu les conseils des parties, en a rendu compte au Tribunal, conformément aux dispositions de l’article 805 du Code de Procédure Civile. Avis a été donné aux avocats des parties que la décision serait rendue le 21 Novembre 2024.

JUGEMENT

Rendu publiquement par mise à disposition au greffe
Contradictoire
En premier ressort

Monsieur [Y] [R] est titulaire d’un compte de dépôt ouvert dans les livres de la Caisse d’Epargne île de France, ci-après dénommée CEIDF.

Monsieur et Madame [R] sont par ailleurs titulaires d’un compte joint ouvert dans les livres de la CEIDF. Ils bénéficient du service de banque à distance DIRECT ECUREUIL qui est associé à un processus d’identification renforcée.

Monsieur [R] a été victime d’une escroquerie au faux conseiller bancaire.

Le 22 septembre 2022, « aux alentours de 16h », il a reçu un appel sur son téléphone portable d’un individu se présentant comme un employé de la CEIDF rattaché à son service de lutte contre la fraude. Ce dernier a justifié son appel en invoquant « une attaque informatique sur l’application Caisse d’Epargne »

Des virements ont été effectués les 22 et 23 septembre 2022.

Le 27 septembre 2022, Monsieur [R] a déposé plainte pour escroquerie.

Par assignation en date du 30 novembre 2023, Madame [J] [O], épouse [R] et Monsieur [Y] [R] ont assigné la CEIDF devant le tribunal judiciaire de Paris.

Par conclusions en date du 30 avril 2024, Madame [J] [O], épouse [R] et Monsieur [Y] [R] demandent au tribunal de :
“CONDAMNER la Caisse d’Epargne île de France à verser aux Consorts [R] :
-22 811 € au titre des sommes détournées,
-3147 € au titre des intérêts de l’article L133-18 du code monétaire et financier,
-les intérêts légaux calculés sur le principal augmenté des intérêts dus de plein droit soit sur une assiette de 25 958 € ;
ORDONNER la capitalisation des intérêts calculés sur la somme de 25 958 € à compter du 5 octobre 2022 ;
CONDAMNER AU TITRE DE LA PERTE D’UNE CHANCE la Caisse d’Epargne île de France à vers aux Consorts [R] :
– 40 000 € de dommage résultant du surcoût du projet engendré par le retard de six mois dans sa réalisation,
-25 000 € au titre de la perte du chiffre d’affaires correspondant à la location de la chambre et de la terrasse pour une année,
– 3000 € de préjudice moral ;
CONDAMNER la Caisse d’Epargne île de France à vers aux Consorts [R] 5000 € au titre de l’article 700 ainsi qu’aux entiers dépens”.

Par conclusions en date du 7 mai 2024, la société CAISSE D’EPARGNE ET DE PREVOYANCE ILE-DE-FRANCE demande au tribunal de :
“ – JUGER que la CAISSE D’EPARGNE ET DE PREVOYANCE ILE-DE-FRANCE justifie que les opérations de paiement critiquées ont été authentifiées, dûment enregistrées et comptabilisées suivant les modalités convenues ;
Et en conséquence,
– JUGER que Monsieur [R] a fait preuve de négligence grave en suivant les instructions d’un tiers qui l’avait contacté par téléphone et notamment en procédant à l’ajout de comptes externes à la liste des bénéficiaires autorisés, en ordonnant des paiements au bénéfice desdits comptes externes et en validant des opérations de paiement ordonnées par un tiers ;
– JUGER que la CEIDF ne peut être tenue de rembourser les opérations de paiement litigieuses exécutées suivant recours à un dispositif d’authentification forte ;
– DEBOUTER Madame [J] [O] épouse [R] et Monsieur [Y] [R] de l’ensemble de leurs demandes, fins et prétentions ;
– CONDAMNER in solidum Madame [J] [O] épouse [R] et Monsieur [Y] [R] à payer à la CAISSE D’EPARGNE ET DE PREVOYANCE ILE-DEFRANCE la somme de 2 500 euros par application de l’article 700 du code de procédure civile, outre les entiers dépens.”

Conformément à l’article 455 du code de procédure civile, il est renvoyé aux écritures susvisées pour l’exposé complet des prétentions respectives des parties et de leurs moyens.

L’ordonnance de clôture est intervenue le 17 mai 2024 avec fixation à l’audience de plaidoirie du 21 Juin 2024. En raison du départde la juridiction d’un magistrat, le dossier a été renvoyé au 3 octobre 2024. L’affaire a été mise en délibéré au 21 novembre 2024.

I. Sur la demande de remboursement des virements

L’article L.133-6 du code monétaire et financier dispose que :
« I. – Une opération de paiement est autorisée si le payeur a donné son consentement à son exécution.
Toutefois, le payeur et son prestataire de services de paiement peuvent convenir que le payeur pourra donner son consentement à l’opération de paiement après l’exécution de cette dernière.
II. – Une série d’opérations de paiement est autorisée si le payeur a donné son consentement à
l’exécution de la série d’opérations, notamment sous la forme d’un mandat de prélèvement ».

L’article L.133-7 du même code souligne que « le consentement est donné sous la forme convenue [en ce compris une authentification forte] entre le payeur et son prestataire de services de paiement […] ».

Les articles L.133-3, L.133-8 et L.133-13 du code monétaire et financier prévoient quant à eux qu’à réception par l’établissement bancaire du consentement de son client, et de l’autorisation susmentionnée, celui-ci a l’obligation de l’exécuter, l’opération étant devenue irrévocable.

L’article L. 133-4 du code monétaire et financier qui impose aux prestataires de services de paiement de mettre en place un dispositif de sécurisation des instruments de paiement dispose notamment que :
« a) Les données de sécurité personnalisées s’entendent des données personnalisées fournies à un utilisateur de services de paiement par le prestataire de services de paiement à des fins d’authentification; […]
c) Un instrument de paiement s’entend, alternativement ou cumulativement, de tout dispositif personnalisé et de l’ensemble de procédures convenu entre l’utilisateur de services de paiement et le prestataire de services de paiement et « utilisé » pour donner un ordre de paiement ; […]
e) Une authentification s’entend d’une procédure permettant au prestataire de services de paiement de vérifier l’identité d’un utilisateur de services de paiement ou la validité de l’utilisation d’un instrument de paiement spécifique, y compris l’utilisation des données de sécurité personnalisées de l’utilisateur.
f) Une authentification forte du client s’entend d’une authentification reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories  » connaissance »,  »
possession  » et « inhérence  » et indépendants en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d’authentification ; »

L’article L.133-44 du code monétaire et financier poursuit en disposant :
« I. – Le prestataire de services de paiement applique l’authentification forte du client définie au f de l’article L. 133-4 lorsque le payeur :
1° Accède à son compte de paiement en ligne ;
2° Initie une opération de paiement électronique ;
3° Exécute une opération par le biais d’un moyen de communication à distance, susceptible de comporter un risque de fraude en matière de paiement ou de toute autre utilisation frauduleuse.
II. – Pour les opérations de paiement électronique à distance, l’authentification forte du client définie au f de l’article L. 133-4 comporte des éléments qui établissent un lien dynamique entre l’opération, le montant et le bénéficiaire donnés. »

L’article L. 133-16 du code monétaire et financier dispose que : « dès qu’il reçoit l’instrument de paiement, l’utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés. Il utilise l’instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation ».

L’article L 133-19 du code monétaire et financier énonce en son IV que « le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17. »

Enfin, l’article L.133-21 du code de monétaire et financer dispose :
« Un ordre de paiement exécuté conformément à l’identifiant unique fourni par l’utilisateur du service de paiement est réputé dûment exécuté pour ce qui concerne le bénéficiaire désigné par l’identifiant unique.
Si l’identifiant unique fourni par l’utilisateur du service de paiement est inexact, le prestataire de services de paiement n’est pas responsable de la mauvaise exécution ou de la non-exécution de l’opération de paiement […] ».

L’article L.133-23 du code monétaire et financier prévoit que :
« Lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre.
L’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière. Le prestataire de services de paiement, y compris, le cas échéant, le prestataire de services de paiement fournissant un service d’initiation de paiement, fournit des éléments afin de prouver la fraude ou la négligence grave commise par l’utilisateur de services de paiement.»

En vertu de l’article L.133-23 du code monétaire et financier, la responsabilité du prestataire de services de paiement n’est pas engagée s’il prouve la négligence grave commise par l’utilisateur de services de paiement.
Cette négligence grave évoquée aux termes de l’article L. 133-19 susvisé s’apprécie in concreto, par référence à un utilisateur normalement attentif.

La connexion à l’espace personnel par la saisie de l’identifiant et du code confidentiel puis la validation du dispositif d’authentification forte caractérisent le consentement du client lorsque le virement litigieux a été initié via l’espace personnel de banque à distance.

Au cas présent, il résulte des propres déclarations de Monsieur [R] ainsi que des relevés informatiques des connexions à son espace de banque à distance, qu’il a accepté de suivre les instructions d’un interlocuteur qu’il ne connaissait pas et qu’il a lui-même accepté :
-D’ajouter à la liste de ses bénéficiaires autorisés des comptes externes ;
-D’ordonner des opérations de virement au profit desdits comptes externes, sans assurance qu’il en obtiendrait le remboursement ;
-D’authentifier une opération d’achat par carte bancaire qu’il n’avait pas lui-même ordonnée.

En conséquence, les opérations de paiement considérées ont été régulièrement ordonnées à distance par Monsieur [R], suivant authentification forte.

Les pièces versées aux débats démontrent ainsi que les opérations litigieuses régulièrement authentifiées par Monsieur [R], ont été dument enregistrées et comptabilisées en application de l’article L. 133-23 alinéa 1er du code monétaire et financier, sans qu’aucune déficience technique ne puisse être observée.

Le système de sécurité a détecté la connexion d’un appareil jusqu’alors inconnu, une notification de type « Push »,message créé par l’application Banxo et apparaissant sur le téléphone portable du titulaire du compte, a été générée à 18 :42 :23. Aux termes de cette notification, Monsieur [R] a été enjoint de « confirmer son authentification à [son] espace de banque à distance ». Sans délai, Monsieur [R] a authentifié être à l’origine de cette connexion associée à un nouvel appareil via les fonctions biométriques de son téléphone portable, en l’espèce au moyen du dispositif de reconnaissance des empreintes digitales (« finger print »).

La CEIDF, simple teneuse de compte, a donc convenablement exécuté les virements ordonnés par son client.

La CEIDF, banque émettrice des virements litigieux, avait une obligation de résultat dans l’exécution des ordres donnés et simple mandataire du client, elle n’avait pas à contrôler l’usage de fonds dont ils avaient la libre disposition.

Le principe de la non-ingérence du banquier dans les affaires de son client cède devant son obligation de vigilance portant sur la régularité apparente du fonctionnement d’un compte. Ce principe oblige le banquier à exécuter rapidement les instructions reçues de son client pour son compte dès lors que les instructions qu’il reçoit ont l’apparence de la régularité.

En application des principes de non ingérence et de non immixion qui s’imposent à un établissement bancaire, la CEIDF ne pouvait s’opposer aux virements émanant de ses clients, parfaitement authentifiés et dûment autorisés.Sa responsabilité ne peut être mise en cause.

En conséquence de quoi, Madame [J] [O], épouse [R] et Monsieur [Y] [R] seront déboutés de leurs demandes.

II. Sur les frais irrépétibles et les dépens

Succombant à l’instance, Madame [J] [O], épouse [R] et Monsieur [Y] [R] seront condamnés aux dépens.

L’équité commande cependant de ne pas faire droit aux demandes au titre de l’article 700 du code de procédure civile.

Le tribunal, statuant publiquement, par jugement contradictoire, rendu en premier ressort, par mise à disposition au greffe :

DEBOUTE Madame [J] [O], épouse [R] et Monsieur [Y] [R] de l’ensemble de leurs demandes formées contre la CAISSE D’EPARGNE ILE-DE-FRANCE ;

CONDAMNE Madame [J] [O], épouse [R] et Monsieur [Y] [R] aux dépens ;

DIT n’y avoir lieu à application des dispositions de l’article 700 du code de procédure civile.

Fait et jugé à Paris le 21 Novembre 2024.

LA GREFFIERE LA PRÉSIDENTE