1. Assurez-vous de protéger vos dispositifs de sécurité personnalisés, tels que vos identifiants et mots de passe, et ne les communiquez à personne, même à un prétendu conseiller de votre banque.
2. En cas d’opération de paiement non autorisée, signalez-la à votre prestataire de services de paiement dans les délais prévus par la loi pour bénéficier d’un remboursement, sauf en cas de fraude de votre part.
3. Soyez vigilant quant à l’utilisation de vos cartes bancaires et de vos dispositifs de sécurité, et ne les remettez à personne, même à un coursier, pour éviter toute utilisation frauduleuse.
Mme [T] [M] et la SAS [T] [M] médiateure ont constaté des opérations frauduleuses sur leurs comptes bancaires ouverts à la BNP Paribas, incluant des achats en ligne, des retraits d’espèces et des virements non autorisés. Elles ont demandé le remboursement des sommes débitées ainsi que des dommages-intérêts pour résistance abusive. La BNP Paribas a refusé de rembourser les sommes et a contesté la demande des demanderesses. Les parties ont présenté des arguments contradictoires, la banque soutenant que les demanderesses ont fait preuve de négligence et de mauvaise foi, tandis que les demanderesses affirment n’avoir pas communiqué leurs données de sécurité et que les opérations litigieuses n’ont pas été authentifiées correctement. L’affaire a été plaidée devant le tribunal judiciaire de Paris et mise en délibéré pour le 24 janvier 2024.
Sur la responsabilité de la BNP Paribas et la faute de l’utilisateur
Il est rappelé que la responsabilité du prestataire de services de paiement est engagée en cas d’opération de paiement non autorisée, sauf s’il peut prouver une fraude de l’utilisateur. Dans cette affaire, la banque a démontré que les opérations litigieuses ont été effectuées avec les identifiants et codes confidentiels de l’utilisateur, ce qui exclut toute responsabilité de la banque. Par conséquent, les demandes d’indemnisation ont été rejetées.
Sur la résistance abusive
Les demanderesses ont invoqué une résistance abusive de la part de la banque à restituer les fonds, mais cette allégation n’a pas été retenue par le tribunal. En l’absence de caractérisation de résistance abusive, aucune indemnisation n’a été accordée.
Sur les demandes accessoires
Sur les frais du procès
Les demanderesses ayant été déboutées, elles ont été condamnées à supporter les dépens et à verser une somme de 3.000 euros à la BNP Paribas au titre de l’article 700 du code de procédure civile.
Sur l’exécution provisoire
Bien que l’exécution provisoire soit de droit, elle a été écartée compte tenu de l’issue du litige.
– Indemnité d’occupation mensuelle: Montant équivalent au loyer et aux charges normalement exigibles jusqu’à la libération des lieux.
– Remboursement des fruits civils: 800 € payables à la société CNP ASSURANCES.
– Domages-intérêts: 2000 € payables à la société CNP ASSURANCES.
– Frais de procédure (article 700 CPC): 1800 € payables à la société CNP ASSURANCES.
– Dépens: Payables par Monsieur [W] [K].
Réglementation applicable
– Article 700 du code de procédure civile
– Article 4g de la loi du 06/07/1989
– Article 8 de la loi du 06/07/1989
Avocats
Bravo aux Avocats ayant plaidé ce dossier :
– Me Dorothée LANTER, avocat au barreau de PARIS
– Me Dominique PENIN, avocat au barreau de PARIS
Mots clefs associés
– Dispositif de paiement sécurisé
– Authentification forte
– Opération de paiement non autorisée
– Responsabilité du payeur
– Fraude
– Codes confidentiels
– Identifiants
– Négligence grave
– Résistance abusive
– Dommages et intérêts
– Frais du procès
– Exécution provisoire
– Dispositif de paiement sécurisé : Mécanisme ou ensemble de procédures garantissant la sécurité des transactions de paiement, protégeant les données sensibles contre les accès non autorisés.
– Authentification forte : Procédure de vérification de l’identité d’un utilisateur demandant l’accès à un système ou une transaction, utilisant au moins deux éléments indépendants catégorisés comme connaissance (ce que seul l’utilisateur sait), possession (ce que seul l’utilisateur possède) ou inhérence (ce que l’utilisateur est).
– Opération de paiement non autorisée : Transaction effectuée sans le consentement du titulaire du moyen de paiement, pouvant résulter d’une usurpation d’identité ou d’une utilisation frauduleuse du moyen de paiement.
– Responsabilité du payeur : Obligation du payeur de couvrir les pertes liées à des transactions non autorisées, sauf en cas de fraude ou de négligence grave de la part de la banque ou de l’émetteur du moyen de paiement.
– Fraude : Acte délibéré visant à obtenir un avantage illégitime, souvent financier, par des moyens trompeurs ou illégaux.
– Codes confidentiels : Séries de chiffres ou de lettres utilisées pour sécuriser l’accès à un dispositif, un compte ou une information, devant rester secrets pour garantir la sécurité.
– Identifiants : Informations permettant l’identification unique d’un utilisateur dans un système, pouvant inclure des noms d’utilisateur, des numéros de compte ou des adresses électroniques.
– Négligence grave : Manquement significatif au devoir de prudence ou de diligence, allant au-delà de la simple négligence ou de l’erreur involontaire.
– Résistance abusive : Comportement d’une partie qui, sans motif légitime, refuse de se conformer à une décision de justice ou entrave l’exécution d’une décision.
– Dommages et intérêts : Compensation financière accordée à une partie lésée pour réparer le préjudice subi du fait des agissements d’une autre partie.
– Frais du procès : Ensemble des dépenses engagées pour la conduite d’une action en justice, incluant les honoraires d’avocat, les frais de tribunal, etc.
– Exécution provisoire : Mesure permettant l’application immédiate d’une décision de justice, avant que tous les recours ne soient épuisés, sous certaines conditions fixées par la loi ou le juge.
* * *
REPUBLIQUE FRANÇAISE
AU NOM DU PEUPLE FRANÇAIS
TRIBUNAL
JUDICIAIRE
DE PARIS [1]
[1]
Expéditions
exécutoires
délivrées le:
■
9ème chambre
2ème section
N° RG 22/03901
N° Portalis 352J-W-B7G-CWPC7
N° MINUTE : 4
Assignation du :
24 Mars 2022
JUGEMENT
rendu le 24 Janvier 2024
DEMANDERESSES
Société SAS [T] [M] MEDIATEURE
prise en la personne de son représentant légal
[Adresse 3]
[Localité 7]
Madame [T] [M]
[Adresse 3]
[Localité 7]
représentées par Me Dorothée LANTER, avocat au barreau de PARIS, vestiaire #A0640
DÉFENDERESSE
S.A. BNP PARIBAS
prise en la personne de son représentant légal
[Adresse 2]
[Localité 7]
représentée par Me Dominique PENIN, avocat au barreau de PARIS, vestiaire #J0008
Décision du 24 Janvier 2024
9ème chambre 2ème section
N° RG 22/03901 – N° Portalis 352J-W-B7G-CWPC7
COMPOSITION DU TRIBUNAL
Monsieur Gilles MALFRE, 1er Vice-président adjoint
Monsieur Alexandre PARASTATIDIS, Juge
Monsieur Augustin BOUJEKA, Vice-Président
assistés de Chloé GAUDIN, greffier lors des débats et de Clarisse GUILLAUME, greffier lors de la mise à disposition,
DÉBATS
A l’audience du 08 Novembre 2023 tenue en audience publique devant Monsieur PARASTATIDIS, juge rapporteur, qui, sans opposition des avocats, a tenu seul l’audience, et, après avoir entendu les conseils des parties, en a rendu compte au Tribunal, conformément aux dispositions de l’article 805 du Code de Procédure Civile. Avis a été donné que la décision serait rendue par mise à disposition au greffe le 24 janvier 2024.
JUGEMENT
rendu publiquement par mise à disposition
contradictoire
en premier ressort
FAITS ET PROCEDURE
Mme [T] [M] et la SAS [T] [M] médiateure (ci-après la SAS DDM) étaient titulaires chacune de comptes ouverts dans les livres de la SA BNP Paribas auxquels étaient rattachées respectivement les cartes bancaires « Carte Premier n°[XXXXXXXXXX04] XXXX XXXX [XXXXXXXXXX06] » et « Gold Business n°[XXXXXXXXXX04] XXXX XXXX [XXXXXXXXXX05] », et sur lesquels ont été débitées les opérations suivantes que les titulaires des comptes contestent avoir autorisées :
Sur le compte de Mme [M] :
Le 4 février 2021 : deux achats de 1.147,90 et 11.571 euros réalisés sur internet entre 18h26 et 18h36 d’un montant total de 12.718,90 euros, validés par clé digitale ; deux retraits d’espèces de 1.000 et 2.000 euros au distributeur automatique de banque entre 20h36 et 20h37 réalisés avec la carte bancaire ; un virement de 20.000 euros à 21h32 vers un compte tiers ; Le 5 février 2021 : un paiement de 500 euros avec usage physique de la carte bancaire (opération « SNC Olivia »).
Sur le compte de la SAS DDM :
Le 4 février 2021 : cinq retraits d’espèces (2 x 500 euros, 2 x 200 euros et une fois 100 euros) au distributeur automatique de banque entre 20h39 et 20h42 ; Le 5 février 2021 : un paiement d’un montant de 1.500 euros (opération « SNC Olivia »).
Le 5 février 2021, Mme [M] a déposé une plainte contre X pour escroquerie.
Par lettres du 9 février 2021, Mme [M] a sollicité le remboursement des sommes débitées auprès de la BNP Paribas qui, par lettres des 25 février et 24 mars 2021, lui a opposé un refus.
Par acte du 25 octobre 2021, Mme [M] a assigné la BNP Paribas devant le juge des référés qui l’a déboutée de sa demande de communication de pièces sous astreinte.
C’est dans ces conditions que par acte d’huissier de justice du 24 mars 2022, Mme [T] [M] a fait assigner la banque devant le tribunal judiciaire de Paris aux fins de la voir condamnée à lui payer les sommes de 39.218,90 euros en remboursement des sommes débitées frauduleusement de ses comptes bancaires, 15.000 euros à titre de dommages-intérêts pour résistance abusive et 5.000 euros au titre de l’article 700 du code de procédure civile ainsi que les entiers dépens, sous le bénéfice d’une astreinte de 1.000 euros par jour de retard à compter du prononcé du jugement à intervenir.
Par conclusions d’incident du 21 septembre 2022, la BNP Paribas a soulevé une fin de non-recevoir tirée du défaut d’intérêt à agir de Mme [M] au motif que certaines opérations avaient été réalisées sur le compte courant de la SAS DDM.
La SAS DDM est intervenue volontairement à l’instance.
Par ordonnance du 30 novembre 2022, le juge de la mise en état a constaté le désistement d’incident de la BNP Paribas et renvoyé l’affaire et les parties à l’audience de mise en état du 25 janvier 2023.
Aux termes de leurs dernières conclusions communes communiquées par voie électronique le 11 septembre 2023, aux visas des articles L.133-4 (f), L.133-18, L.133-19, L.133-23 et L.133-44 du code monétaire et financier et 32-1 du code de procédure civile, Mme [M] et la SAS DDM demandent au tribunal de :
« DEBOUTER la BNP PARIBAS de l’ensemble de ses demandes, moyens et prétentions ;
CONDAMNER la BNP PARIBAS à verser à Madame [T] [M] la somme de 36.218,90 € en remboursement des sommes débitées frauduleusement de ses comptes bancaires ;
CONDAMNER la BNP PARIBAS à verser à la SAS [T] [M] MEDIATEURE la somme de 3.000 € en remboursement des sommes débitées frauduleusement de ses comptes bancaires :
CONDAMNER la BNP PARIBAS à verser à chacune des requérantes la somme de :
− 15.000 € à titre de dommages-intérêts pour résistance abusive ;
− 5.000 € au titre de l’article 700 du CPC ainsi qu’aux entiers dépens ;
ASSORTIR l’ensemble des condamnations qui seront prononcées d’une astreinte de 1.000 € par jour de retard à compter du prononcé du jugement à intervenir ;
DIRE n’y avoir lieu à écarter l’exécution provisoire du jugement à intervenir. »
A l’appui de leurs prétentions, elles exposent qu’il résulte de l’application cumulative des articles L.133-18 et L.133-19 du code monétaire et financier que toute opération non autorisée et signalée par le client doit être remboursée à ce dernier sans tarder par l’établissement de crédit et sans franchise lorsque les opérations ont été réalisées sans utilisation des données de sécurité personnalisée, lorsque l’instrument de paiement ou les données qui lui sont liées ont été détournées à l’insu du client, ou lorsque l’opération a été réalisée sans que la banque n’exige d’authentification forte. Elles ajoutent que la Cour de cassation considère que la banque ne peut s’exonérer de son obligation de rembourser son client au motif que ce dernier aurait intentionnellement ou par négligence grave manqué à ses obligations, que si elle démontre également que l’opération en cause a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre.
Au cas particulier, elles soutiennent que la banque ne rapporte la preuve d’aucune des deux conditions énoncées ci-dessus.
Ainsi, elles font tout d’abord valoir que la BNP Paribas ne rapporte pas la preuve d’un acte positif de leur part constitutif d’une négligence grave au sens des textes précités, s’appuyant sur des décisions de cours d’appel et de la Cour de cassation excluant de cette catégorie la seule utilisation par le fraudeur de l’instrument de paiement ou des données personnelles qui y sont liées, la communication sans en avoir conscience au fraudeur des codes reçus par SMS ou encore l’usage par le client de son code confidentiel dès lors qu’il n’est pas démontré qu’il l’a communiqué à un tiers.
Elles ajoutent que la banque ne démontre pas avoir alerté sa clientèle antérieurement aux faits litigieux, sa première communication sur ce type d’escroquerie datant de décembre 2021.
Elles soutiennent que la banque, sur laquelle pèse la charge de la preuve, ne rapporte pas la preuve de ce qu’elles auraient communiqué leurs codes de cartes bancaires, ni leurs identifiants de connexion ou de clé digitale au fraudeur, précisant qu’en toute hypothèse de tels faits ne sont pas constitutifs d’une négligence grave et qu’il est possible que l’auteur des faits ait réinitialisé leurs codes secrets, une telle demande ayant été enregistrée le 4 février 2021 à 21h33 à partir d’une adresse IP qui n’est pas la leur.
Elles font également valoir que la remise des cartes bancaires ne peut leur être opposée dès lors qu’elles n’ont pas communiqué leurs codes secrets.
S’agissant de la seconde condition, elles soutiennent que la BNP Paribas ne démontre pas que les opérations litigieuses ont été authentifiées, dûment enregistrées et comptabilisées et qu’elles n’auraient pas été affectées par une déficience technique ou autre. Ainsi, elles se prévalent des conclusions d’un expert informatique mandaté par leurs soins qui, dans un rapport du 11 octobre 2021, conclut à l’absence de piratage de l’ordinateur et du téléphone portable de Mme [M] ainsi qu’à l’absence de connexion de ceux-ci à l’application BNP Paribas sur le temps de l’escroquerie.
Elles ajoutent que c’est à tort que la BNP Paribas leur attribue la titularité de la seule adresse IP ([Numéro identifiant 8]) qu’elle a finalement communiquée à Mme [M], celle-ci étant une adresse IP publique statique alors que celle de Mme [M] est une adresse IP publique dite dynamique, ajoutant qu’une seconde expertise informatique réalisée à la demande de Mme [M] confirme que cette adresse IP, localisée sur la commune de [Localité 11] où les demanderesses n’ont pas d’attache, et à partir de laquelle le code secret a été modifié le 4 février 2021 à 19h23, n’est pas la sienne.
De même, elles soutiennent qu’il n’est pas démontré que l’adresse IP [Numéro identifiant 9] à partir de laquelle deux achats ont été réalisés le 4 février 2021 à 18h26 appartiendrait à Mme [M], relevant par ailleurs que selon le tableau produit par la banque ces opérations ont été authentifiées non pas par une clé digitale mais par empreinte digitale, système d’authentification que Mme [M] n’a jamais installé.
Enfin, elles soutiennent que la Cour de cassation a rappelé, par arrêt du 30 août 2023, que sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si l’opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement du payeur n’exige une authentification forte de ce dernier prévue par l’article L.133-44 du code monétaire et financier. Elles exposent qu’au cas particulier toutes les opérations litigieuses, à l’exception des retraits aux distributeurs automatiques, nécessitaient une authentification forte. Or, elles relèvent qu’il ressort notamment de la jurisprudence versée aux débats par la banque que les opérations validées par clé digitale sont identifiées sur les relevés télématiques par la mention « CANALVALID », mention qui en l’espèce n’apparaît dans les pièces produites par la BNP Paribas qu’une seule fois le 4 février à 21h26 pour une opération validée depuis une adresse IP [Numéro identifiant 10] ne leur appartenant pas. Elles ajoutent que la banque ne rapporte nullement la preuve d’une réelle authentification forte pour les autres opérations.
Elles concluent en conséquence à la condamnation de la banque à leur payer la somme de 36.218,90 correspondant aux sommes débitées frauduleusement sur leurs comptes.
Elles soutiennent enfin que la BNP Paribas a résisté abusivement à leur demande de règlement amiable en leur opposant une négligence grave inexistante alors que selon elles, l’adresse IP [Numéro identifiant 1] à partir de laquelle quatre opérations ont été validées le 4 février 2021 s’est révélée finalement appartenir à la défenderesse, ce qui permet de suspecter la participation d’un de ses salariés à l’escroquerie, les explications de la banque devant selon elles être rejetées sur ce point, l’attestation de son service informatique étant sans valeur probante. Arguant notamment d’un préjudice lié à la forte anxiété ressentie par Mme [M], elles sollicitent sur ce fondement la condamnation de la banque à leur payer la somme de 15.000 euros chacune.
Elles demandent que l’ensemble des condamnations soient prononcées sous peine d’astreinte.
Aux termes de ses dernières conclusions communiquées par voie électronique le 8 septembre 2023, la BNP Paribas demande au tribunal de :
« Débouter Madame [M] et la SAS [T] [M] Médiateure de l’intégralité de leurs demandes à toutes fins qu’elles comportent.
Condamner Madame [M] et la SAS [T] [M] Médiateure à verser à BNP Paribas la somme de 5.000 € au titre de l’article 700 du Code de procédure civile ainsi qu’aux entiers dépens.
Ecarter l’exécution provisoire de droit en faveur de Madame [M] et la SAS [T] [M] Médiateure. »
A l’appui de ses prétentions, la BNP Paribas fait valoir qu’il résulte de la plainte déposée par Mme [M] l’aveu de sa propre négligence et imprudence et donc du manquement aux obligations issues de l’article L.133-16 du code monétaire et financier lui incombant de prendre toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées, ajoutant que les demanderesses ne peuvent se prévaloir de la circonstance particulière d’une fraude sur internet au regard de l’usage répandu de celui-ci par 97% de la population et des alertes à la vigilance sur ce type d’escroquerie relayées par les médias et les pouvoirs publics.
Elle soutient tout d’abord que la connexion à l’espace client se fait nécessairement au moyen de l’identifiant et du mot de passe et qu’en l’absence de preuve d’une défaillance ou d’un piratage de son système informatique, le fraudeur a nécessairement eu accès aux données de sécurité personnelles des demanderesses pour se connecter.
Elle expose ensuite que Mme [M] et la SAS DDM ont manqué à leurs obligations contractuelles de conservation et d’utilisation de leurs cartes personnelles et de la confidentialité des codes PIN attachées à celles-ci en remettant physiquement leurs instruments de paiement à un coursier envoyé par le fraudeur, permettant ainsi la réalisation du préjudice résultant des retraits aux distributeurs automatiques.
Elle poursuit en soutenant que Mme [M] bénéficiait d’un système de sécurité renforcée sous la forme d’une clé digitale permettant une authentification forte des opérations réalisées depuis son espace en ligne telles l’ajout de nouveaux bénéficiaires ou des paiements en ligne, au moyen d’une notification détaillée de chaque opération à valider sur son téléphone préalablement identifié, de la validation de ladite opération à partir du même téléphone, suivi d’une confirmation par la composition d’un code secret créé par l’utilisateur et connu de lui seul.
Au cas particulier, elle soutient que les deux opérations d’achat en ligne du 4 février 2021 au profit des enseignes « Boulanger » et « Pack Moto » avec utilisation des numéros de la carte bancaire que Mme [M] reconnaît avoir remise volontairement ont fait l’objet de notifications avec indication de la nature de l’opération, du nom du site marchand et du montant de l’achat sur son téléphone portable, apparaissant sur les relevés télématiques qu’elle produits, et qui ont été ensuite validées selon le mode opératoire exposé précédemment, sans faire l’objet par la suite de démarche de sa part auprès des sites vendeurs pour contester les opérations.
De même, la banque fait valoir que le fait de confier sa carte à un inconnu constitue en soi une négligence grave et que, par ailleurs, Mme [M] fait preuve de mauvaise foi en soutenant qu’elle n’a pas concouru aux retraits d’argent au distributeur de billets le 4 février 2021 et au paiement par carte bancaire chez le commerçant « SNC Olivia » le 5 février 2021, ces opérations ayant été nécessairement effectuées avec la saisie du code PIN qu’elle était seule à connaître.
Elle expose ensuite que Mme [M] a de même nécessairement concouru à l’opération de virement de 20.000 euros du 4 février 2021, la connexion à son espace en ligne s’étant obligatoirement faite au moyen de son identifiant et de son mot de passe et que la demande d’ajout d’un nouveau bénéficiaire envoyée sur son téléphone portable a été validée depuis celui-ci ainsi que l’ordre de virement.
Elle entend préciser à cet égard, au moyen d’une attestation de son responsable informatique, que contrairement à ce qu’affirme les défenderesses, l’adresse IP [Numéro identifiant 1] de la BNP Paribas enregistrée lors des virements n’est pas celle de l’utilisateur ayant réalisé l’opération de saisie du mot de passe et, a fortiori, d’un salarié malhonnête, mais correspond à une adresse IP « par défaut » de son serveur « remontée dans les traces applicatives ».
Elle formule les mêmes observations s’agissant des retraits d’argent et de l’achat chez le commerçant « SNC Olivia » des 4 et 5 février 2021 réalisés avec la carte bancaire de la SAS DDM.
Elle conclut en conséquence au rejet de l’ensemble des demandes, précisant que la demande de dommages et intérêts pour résistance abusive n’est justifiée ni dans son principe ni dans son quantum.
Conformément aux dispositions de l’article 455 du code de procédure civile, il sera renvoyé aux dernières écritures des parties pour l’exposé des moyens et arguments venant au soutien de leurs demandes.
L’ordonnance de clôture de l’instruction de l’affaire a été rendue le 25 octobre 2023 et l’affaire a été fixée pour être plaidée à l’audience tenue en juge rapporteur du 8 novembre 2023 à laquelle elle a été évoquée et mise en délibéré au 24 janvier 2024.
MOTIFS DE LA DÉCISION
1 – Sur la responsabilité de la BNP Paribas et la faute de l’utilisateur
Il résulte de la combinaison notamment des articles L.133-4, L.133-15, L.133-18 et L.133-23 du code monétaire et financier qu’un dispositif de paiement sécurisé se définit comme tout moyen technique affecté par un prestataire de services de paiement à un utilisateur client et communiqué pour l’utilisation et le fonctionnement tant des instruments de paiement que le fonctionnement même du compte. Ce dispositif, dont le prestataire de services de paiement doit s’assurer qu’il n’est pas accessible à d’autres personnes que l’utilisateur client, est placé sous la garde de ce dernier qui l’authentifie lui-même avec un identifiant unique, constitué d’une combinaison de lettres/chiffres/symboles. Pour procéder à la gestion des opérations sur son compte, l’utilisateur client crée des codes personnels qui lui sont demandés à l’occasion des opérations qu’il souhaite effectuer sur son compte bancaire. Lors du fonctionnement du compte avec l’identifiant unique et les codes personnels, la banque envoie à son client un SMS ou un mail pour l’informer des opérations sur son compte. Dès qu’il reçoit un instrument de paiement, l’utilisateur de services de paiement se doit de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés.
En cas d’opération de paiement non autorisée signalée par l’utilisateur dans les délais prévus par l’article L.133-24 du même code, le prestataire de services de paiement du payeur rembourse à ce dernier le montant de l’opération non autorisée sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement.
Dans cette hypothèse, il incombe au prestataire de paiement de prouver que l’opération litigieuse a été effectuée après une authentification forte, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre, l’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement, à savoir l’utilisation des identifiants du client et l’absence de déficience technique ou autre, notamment par le biais de la production d’un relevé de ses connexions, ne suffisant pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur.
L’article L.133-4 (f) du code précité précise qu’une authentification forte s’entend d’une authentification reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories « connaissance » (quelque chose que seul l’utilisateur connaît telle qu’un mot de passe, un code secret, une question secrète, etc…), « possession » (quelque chose que seul l’utilisateur possède telle qu’un téléphone portable, une montre connectée, une clé USB etc…) et « inhérence » (quelque chose que l’utilisateur est telle que la reconnaissance faciale ou vocale, la reconnaissance par empreinte digitale, etc…) et indépendants en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d’authentification. L’authentification forte repose donc sur l’utilisation de deux de ces éléments, voire plus.
Par ailleurs, la responsabilité du payeur n’est pas engagée si l’opération de paiement non autorisée a été effectuée en détournant, à son insu, l’instrument de paiement ou les données qui lui sont liées. Cependant, il supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’agissements frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L.133-16 et L.133-17 du code précité.
Ainsi, pour échapper au remboursement de l’opération contestée, le prestataire de services de paiement doit démontrer, soit que l’ordre émanait bel et bien du client dûment authentifié dans son espace personnel, soit que le vol des identifiants de connexion (ou d’autres données) n’est que la conséquence d’une faute grave de sa part consistant à ne pas avoir satisfait intentionnellement aux obligations lui incombant en la matière ou à les avoir gravement négligées.
En l’espèce, il résulte des relevés informatiques produits par la banque que les opérations litigieuses ont été réalisées sur le compte de dépôt de Mme [M] et sur le compte professionnel de la SAS DDM au moyen de leurs cartes bancaires authentiques et avec leurs codes confidentiels, ou en faisant usage de leurs identifiants et mot de passe permettant l’accès à leur espace en ligne sur le site de la banque.
Il ressort de ces mêmes relevés que la première opération contestée, à savoir la modification du plafond de la carte bancaire de Mme [M], est intervenue le 4 février 2021 à 18h11
Or, aux termes de sa plainte, Mme [M] indique avoir reçu l’appel d’un prétendu conseiller du service des fraudes de la BNP Paribas le même jour « vers 18h10 » avec lequel elle a procédé à des vérifications en se connectant sur son espace en ligne, son interlocuteur l’ayant informé de suspicions de paiements frauduleux.
Il convient de relever la concomitance de ces deux événements qui induit que Mme [M] a concouru à la réalisation des opérations litigieuses et qui exclut l’hypothèse d’une déficience technique du système de sécurisation de l’espace en ligne de la BNP Paribas ou d’une fraude d’un préposé de la banque qui n’est fondée sur aucun élément probant.
Or, il ressort des comptes-rendus d’investigations numériques produits par la demanderesse qu’il n’a été retrouvé aucune trace d’intrusion dans son ordinateur et/ou son téléphone portable, ce qui permet d’écarter une appropriation de ses données de sécurités personnelles ainsi que la validation des opérations depuis son téléphone portable à son insu.
Il convient de retenir dès lors que d’une façon ou d’une autre, même si elle le conteste, Mme [M] a transmis ses identifiants et mots de passe pour l’accès à son espace personnel et à celui de la SAS DDM à son interlocuteur qui par la suite a pu depuis cet espace réaliser les opérations aujourd’hui contestées, ce que confirme l’usage d’adresses IP pour lesquelles Mme [M] n’est pas identifiée comme titulaire.
De plus, il résulte également des relevés informatiques produits par la BNP Paribas que les achats en ligne, l’ajout des coordonnées bancaires du compte bénéficiaire du virement de 20.000 euros et l’ordre de virement ont fait l’objet d’une validation au moyen de la clé digitale de la demanderesse.
Or, Mme [M] reconnait dans sa plainte s’être connectée via son téléphone portable à sa clé digitale à la demande de son interlocuteur pour qu’il la désactive et lui en donne une nouvelle, opération qui a nécessairement rendu inefficace le système d’authentification forte mis en place par la banque et qui explique que par la suite Mme [M] n’a plus été destinataire des demandes d’autorisation qu’elle conteste avoir validées.
Par ailleurs, Mme [M] a admis dans sa plainte avoir remis à un coursier les cartes bancaires qui ont été ensuite utilisées pour des achats avec présentation physique des instruments de paiement et des retraits à des distributeurs automatiques de banque. Ces opérations ont nécessairement été réalisées avec l’utilisation du code associé à ces cartes dont seule Mme [M] avait connaissance, ce dont il se déduit, sauf démonstration contraire qui n’est pas apportée par la demanderesse, qu’ils ont été remis en même temps que les cartes par la demanderesse ou que ceux-ci ont été appréhendés via les espaces en ligne des demanderesses qui ont été rendus accessibles par la négligence de Mme [M].
Dès lors, il doit être considéré que Mme [M] et la SAS DDM qu’elle représente, n’ont pas satisfait aux obligations mises à leur charge par les articles L.133-16 et L.133-17 du code monétaire et financier et qu’elles ont ainsi commis une négligence grave au sens de l’article L.133-19 du même code qui les prive de la possibilité de faire supporter par la banque les pertes occasionnées par les opérations de paiement non autorisées.
En conséquence, leurs demandes d’indemnisation sont rejetées.
2 – Sur la résistance abusive
Les demanderesses font valoir la résistance abusive de la banque à restituer les fonds, ce que cette dernière conteste.
Sur ce,
L’exercice d’une action en justice ou la défense à une telle action peut constituer un abus de droit donnant lieu à l’octroi de dommages et intérêts, en cas d’intention de nuire ou de mauvaise foi.
En l’espèce, au regard de l’issue donnée au litige, la résistance abusive n’est pas caractérisée.
3 – Sur les demandes accessoires
3.1 – Sur les frais du procès
Mme [M] et la SAS DDM qui succombent supporteront les dépens et sont condamnées au paiement à la BNP Paribas d’une somme de 3.000 euros sur le fondement de l’article 700 du code de procédure civile.
3.2 – Sur l’exécution provisoire
La présente décision est revêtue de droit de l’exécution provisoire conformément aux dispositions de l’article 514 du code de procédure civile dans sa version applicable en l’espèce, l’instance ayant été introduite postérieurement au 31 décembre 2019.
Cependant, l’issue donnée au litige nécessite d’écarter l’exécution provisoire.
PAR CES MOTIFS
Le tribunal statuant publiquement par jugement contradictoire, en premier ressort et par mise à disposition au greffe :
DEBOUTE Mme [T] [M] et la SAS [T] [M] médiateure de leurs demandes ;
CONDAMNE Mme [T] [M] et la SAS [T] [M] médiateure aux dépens ;
CONDAMNE Mme [T] [M] et la SAS [T] [M] médiateure à payer à la SA BNP Paribas la somme de 3.000 euros sur le fondement de l’article 700 du code de procédure civile ;
ECARTE l’exécution provisoire de droit.
Fait et jugé à Paris le 24 Janvier 2024
Le GreffierLe Président