délivrées aux parties le : AU NOM DU PEUPLE FRANÇAIS

COUR D’APPEL DE PARIS

Pôle 5 – Chambre 11

ARRET DU 10 JANVIER 2025

(n° , 10 pages)

Numéro d’inscription au répertoire général : N° RG 22/11677 – N° Portalis 35L7-V-B7G-CGAHB

Décision déférée à la Cour : Jugement du 18 Mai 2022 -Tribunal de Commerce de PARIS – RG n° 2020036302

APPELANTE

S.A.S. PAYPLUG

prise en la personne de ses représentants légaux

[Adresse 1]

[Localité 4]

immatriculée au RCS de PARIS sous le numéro 443 222 682

Représentée par Me Francine HAVET, avocat au barreau de PARIS, toque : D1250

Assistée de Me Julian COAT, avocat au barreau de PARIS

INTIMEE

S.A.S. GLADY

Société anciennement dénommée Wedoogift

prise en la personne de ses représentants légaux

[Adresse 2]

[Localité 3]

immatriculée au RCS de PARIS sous le numéro 799 025 234

Représentée par Me Xavier CHABEUF de l’AARPI CARDINAL, avocat au barreau de PARIS, toque : C1894

Assistée de Me Tristan AUBRY-INFERNOSO, avocat au barreau de PARIS

COMPOSITION DE LA COUR :

En application des dispositions des articles 805 et 907 du code de procédure civile, l’affaire a été débattue le 02 Octobre 2024, en audience publique, les avocats ne s’y étant pas opposé, devant Mme Marie-Sophie L’ELEU DE LA SIMONE, conseillère, chargée du rapport.

Ce magistrat a rendu compte des plaidoiries dans le délibéré de la Cour, composée de :

M. Denis ARDISSON, Président de chambre

Mme Marie-Sophie L’ELEU DE LA SIMONE, conseillère,

Madame CAROLINE GUILLEMAIN, conseillère,

Qui en ont délibéré.

Greffier, lors des débats : M.Damien GOVINDARETTY

ARRÊT :

– contradictoire

– par mise à disposition de l’arrêt au greffe de la Cour, les parties en ayant été préalablement avisées dans les conditions prévues au deuxième alinéa de l’article 450 du code de procédure civile.

– signé par Denis ARDISSON, Président de chambre et par Damien GOVINDARETTY, Greffier, présent lors de la mise à disposition.

La société Payplug Enterprise (ci-après « Payplug »), venant aux droits de la société Payplug, fournit des services de paiement.

La société Wedoogift (devenue Glady mais ci-après « Wedoogift ») développe des solutions informatiques pour les entreprises et met à leur disposition des plateformes informatiques. Elle propose également une solution de chèque cadeau dématérialisé multi-enseignes pour les directions d’entreprises et les comités d’entreprises.

Aux termes d’un bon de commande du 5 mars 2016, la société Payplug s’est engagée à fournir à la société Wedoogift une interface de gestion lui permettant d’accepter des opérations de paiement par carte en vente à distance et de lui faire profiter d’un dispositif imaginé par elle nommé « Smart 3-D Secure » consistant à calculer en temps réel un score de risque associé à tout paiement visant à prévenir les opérations bancaires frauduleuses.

De juin à septembre 2019, la société Wedoogift a exposé avoir été victime d’une série d’opérations frauduleuses, et a décidé, le 4 septembre 2019, de ne plus travailler avec la société Payplug.

C’est dans ce contexte que la société Wedoogift a mis en demeure la société Payplug le 21 janvier 2020 de réparer le préjudice résultant des fraudes et de débloquer les fonds séquestrés à hauteur de 45.674,91 euros.

La société Payplug, ayant accepté de restituer les fonds retenus versés en deux fois en avril 2020, a refusé le 25 février 2020 de faire droit aux demandes indemnitaires formulées par la société Wedoogift.

Suivant exploit du 17 juillet 2020, la société Wedoogift a fait assigner la société Payplug en réparation devant le tribunal de commerce de Paris.

Par jugement du 18 mai 2022, le tribunal de commerce de Paris a :

– condamné la société Payplug à verser à la société Wedoogift la somme de 37.294,90 euros assortie des intérêts au taux légal à compter du 23 janvier 2020, avec anatocisme,

– condamné la société Payplug à verser 3.000 euros à la société Wedoogift en application des dispositions de l’article 700 du code de procédure civile,

– dit les parties mal fondées dans leurs demandes plus amples ou contraires et les en a débouté,

– condamné la société Payplug aux dépens,

– rappelé l’exécution provisoire du présent jugement.

La société Payplug a formé appel de ce jugement par déclaration du 20 juin 2022 enregistrée le 6 juillet 2022.

Suivant ses dernières conclusions transmises par le réseau privé virtuel des avocats le 25 septembre 2024, la société Payplug demande à la cour, au visa des articles 1103, 1104, 1112-1 et 1353 du code civil :

– d’infirmer le jugement du tribunal de commerce de Paris du 18 mai 2022 en toutes ses dispositions,

Et statuant à nouveau,

– de débouter la société Wedoogift de l’ensemble de ses demandes, fins et prétentions,

– de condamner la société Wedoogift à payer à la société Payplug la somme de 30.000 euros au titre de l’article 700 du code de procédure civile,

– de condamner la société Wedoogift aux entiers dépens.

Suivant ses dernières conclusions transmises par le réseau privé virtuel des avocats le 18 septembre 2024, la société Wedoogift demande à la cour, au visa des articles 1103, 1103, 1112-1, 1217, 1231-1 et 1604 du code civil :

– de confirmer le jugement rendu par le tribunal de commerce de Paris le 18 mai 2022 en toutes ses dispositions,

– de condamner la société Payplug à payer à la société Wedoogift la somme de 10.000 euros par application des dispositions de l’article 700 du code de procédure civile,

– de condamner la société Payplug aux dépens.

*

La clôture a été prononcée suivant ordonnance en date du 26 septembre 2024.

Sur les manquements reprochés à la société Payplug

La société Payplug, appelante, fait valoir qu’en cas de fraude, la responsabilité ne repose pas sur l’acquéreur de l’opération de sorte que sa responsabilité contractuelle ne peut être engagée. Elle soutient que la société Wedoogift a expressément accepté l’article 24.1 du contrat lequel prévoyait une clause exonératoire de responsabilité en cas de fraude, lequel est une reprise des dispositions du code monétaire et financier. L’appelante soutient également qu’elle n’a pas manqué à son devoir d’information précontractuelle dans la mesure où la société Wedoogift, spécialiste de la vente à distance et du prépaiement, est un professionnel averti et qu’elle était en tout état de cause parfaitement informée des avantages et inconvénients liés à l’utilisation de l’authentification 3D Secure, du « Smart 3-D Secure » et de la facilité de paiement sans authentification en « one click ». L’appelante ajoute d’une part que les premiers juges se sont trompés en jugeant que le système d’authentification 3D Secure pouvait s’appliquer pour les paiements litigieux effectués par un simple clic de souris sur le site de Wedoogift et fait valoir que la société Wedoogift a choisi délibérément d’activer un mode de paiement simplifié pour ses clients.

La société Wedoogift fait valoir que l’appelante a manqué à son obligation précontractuelle d’information en ce qu’elle a présenté son système « Smart 3-D Secure » comme un outil efficace alors qu’il n’offrait manifestement pas des garanties suffisantes en matière de sécurité et qu’il appartenait à la société Payplug de conseiller la société Wedoogift sur la meilleure manière d’assurer la sécurité de sa plate-forme de vente. Elle soutient que l’algorithme de détection des fraudes de PayPlug du système Smart 3D-Secure recommandée par celle-ci n’a pas fonctionné. Elle affirme devoir être qualifiée de professionnel non-averti s’agissant d’un outil novateur et exclusif de la société PayPlug et soutient que l’obligation d’information incombant à la société PayPlug consistait à jouer un rôle actif pour s’adapter à la situation de sa cliente. La société Glady anciennement Wedoogift fait également valoir que la société PayPlug a manqué à son devoir de conseil au cours de l’exécution du contrat, n’ayant pas été en mesure de lui conseiller à partir du moment où des fraudes ont été détectées, le 12 juin 2019, les mesures de nature à y mettre un terme. L’appelante a même commencé à lui conseiller de ne rien faire au motif que le risque était assuré. Elle précise que rien ne s’opposait à ce que les paiements « one click » soit soumis à une authentification 3D-Secure. Enfin la société Glady soutient que la clause d’exonération de responsabilité prévue par les conditions générales de vente de la société PayPlug ne peut s’appliquer en cas de manquement à son devoir d’information et de conseil. Elle réclame donc la réparation du préjudice que lui a causé ce défaut de conseil et qui représente le montant découlant des fraudes qui auraient pu être évitées si un système 3D Secure avait été mis en place sur toutes les transactions.

Le contrat ayant été conclu avec l’entrée en vigueur de l’ordonnance n° 2016-131 du 10 février 2016 portant réforme du droit des contrats, du régime général et de la preuve des obligations, fixée au 1er octobre 2016, les dispositions antérieures trouvent ici application.

Aux termes de l’article 1134 ancien du code civil :

« Les conventions légalement formées tiennent lieu de loi à ceux qui les ont faites. Elles ne peuvent être révoquées que de leur consentement mutuel, ou pour les causes que la loi autorise. Elles doivent être exécutées de bonne foi. »

En vertu de l’article 1147 du même code :

« Le débiteur est condamné, s’il y a lieu, au paiement de dommages et intérêts, soit à raison de l’inexécution de l’obligation, soit à raison du retard dans l’exécution, toutes les fois qu’il ne justifie pas que l’inexécution provient d’une cause étrangère qui ne peut lui être imputée, encore qu’il n’y ait aucune mauvaise foi de sa part. »

Le bon de commande émis par Payplug et signé par Wedoogift le 5 mars 2016 comprend la fourniture de la solution Payplug Premium, « régie par les conditions générales tripartites entre le Client, Lemon Way et PayPlug SAS, accessibles sur http:/www.payplug.com/cgu ».

L’objet du contrat est ainsi décrit au sein de l’article 2 des conditions générales de vente Payplug :

« 2.1 Présentation de la Solution

PayPlug fournit un service permettant à un Client d’accepter des paiements. PayPlug fournit en particulier une interface de programmation permettant au Client d’intégrer un système de paiement par Carte sur son propre site internet. En se connectant à son Compte PayPlug, le Client peut :

gérer son historique, demander des Remboursements ou des Virements ;

créer un lien vers une page de paiement sécurisée, qu’il peut intégrer à son propre site internet ou partager sous forme d’URL ;

gérer les informations de son Compte PayPlug et toute action qui pourrait être proposée par PayPlug sur le Compte PayPlug du Client.

2.2 ‘ Présentation des services de paiement proposés par PayPlug

PayPlug, établissement de paiement offre au Client les services de paiement suivants :

acquisition des ordres de paiement lui permettant :

* d’encaisser, via la Solution, les montants correspondant aux Transactions réalisées par les Acheteurs en contrepartie des Produits proposés par le Client ; et

* de procéder à des Remboursements, via la Solution ;

Virement de fonds associés au Compte Client permettant au Client d’ordonner le transfert de tout ou partie de son Solde vers son Compte Bancaire. »

La tarification est ainsi prévue : le service assuré par la société payplug est rémunéré par un pourcentage proportionnel aux frais de transaction allant de 0,8 % pour les achats effectués par des acheteurs disposant d’une carte française, de 1,05 % pour les achats effectués par des acheteurs disposant d’une carte de la zone euro, et de 2,5 % pour les achats effectués par des acheteurs disposant d’une carte extérieure à la zone euro, et par une commission fixe de 0,15 euro par transaction réussie.

L’article 9.1 « Transaction » précise que :

« PayPlug permet au Client d’encaisser des Transactions via des liens de paiement dynamiques qu’il peut intégrer à son site ou générer à la volée.

PayPlug peut être amené à proposer au Client la possibilité d’enregistrer une Carte pour réaliser des Transactions ultérieurement. (…)

Une authentification de l’Acheteur selon les modalités dites de « 3D Secure » peut être déclenchée à l’initiative de PayPlug si le montant, les conditions de la Transaction ou les informations disponibles le justifient. PayPlug peut, pour chaque Transaction, décider d’utiliser ou non une authentification. Le Client ne peut en aucun cas contester ou exiger un changement des règles d’authentification appliquées par PayPlug. Toutefois, si le Client le souhaite et si PayPlug n’y voit pas d’objection, il pourra être conjointement décidé d’appliquer systématiquement des règles d’authentification pour toutes les Transactions reçues par le Client. (…) ».

Le site internet de PayPlug fournit des informations sur le fonctionnement des services de paiement offerts par ce prestataire.

Ainsi, sur le Smart 3D-Secure, un score de risque est calculé par PayPlug et « Si vous activez l’option Smart 3D-Secure depuis l’onglet Paramètres de votre portail PayPlug, seuls les paiements les plus risqués feront l’objet d’un 3D-Secure. De cette façon, vous limitez le risque de fraude, tout en évitant les étapes inutiles pour les paiements à faible risque. Vous conjuguez maîtrise des risques et optimisation de la conversion ! ».

Il est précisé en encadré : « Pour sécuriser les paiements les plus importants, même si vous activez le Smart 3D-Secure, tous vos paiements resteront systématiquement soumis au 3D-Secure au-delà d’un certain montant. Ce plafond de montant est indiqué dans l’option 3D-Secure de l’onglet Paramètres de votre portail PayPlug. Si vous souhaitez demander à ce qu’il soit révisé, vous pouvez nous contacter. ».

Il indique également qu’il existe cinq niveaux du Smart 3D-Secure, avec la mention suivante :

« En-dessous de votre plafond de montant, vos paiements seront dirigés ou non vers le 3D-Secure en fonction de leur score de risque calculé par PayPlug. Si le score de risque est élevé, le 3D-Secure sera activé, et si le score de risque est faible, le 3D-Secure sera désactivé.

Le score de risque calculé par notre algorithme est un pourcentage : à 100% l’algorithme est pratiquement certain que le paiement est réalisé par un fraudeur, et à 0% l’algorithme est pratiquement certain que le paiement est réalisé par un acheteur honnête.

C’est à vous de déterminer le score de risque au-dessus duquel vous souhaitez que vos paiements fassent l’objet d’un 3D-Secure. »

Il est également répondu aux interrogations éventuelles du client, à savoir :

– « Comment bien choisir mon niveau Smart 3D-Secure »

« Placez le curseur au niveau qui vous paraît correspondre le mieux à votre profil. Si vous souhaitez maximiser vos ventes, placez le curseur au niveau 5 pour limiter autant que possible l’utilisation du 3D-Secure. Si vous voulez avant tout éviter les impayés, alors adoptez un profil plus conservateur en choisissant un niveau plus bas. »

Il est précisé en encadré : « Si vous voulez vraiment limiter au maximum le risque d’impayé, il vous reste toujours l’option d’activer le 3D-Secure de manière systématique dans l’onglet Paramètres de votre portail PayPlug. »

– « J’ai eu un impayé sur un paiement pour lequel le Smart 3D-Secure n’a pas déclenché un 3D-Secure »

« Le calcul de score de risque réalisé par PayPlug est précis, mais il n’est pas infaillible ! C’est la loi des probabilités. Il est possible qu’un paiement soit scoré à faible risque de fraude, mais qu’il s’agisse du mauvais numéro : un fraudeur particulièrement habile qui a réussi à déjouer nos algorithmes et se faire passer pour un acheteur honnête. »

L’article 19 des conditions générales de vente intitulé « Relations avec les tiers « précise que « Le Client confirme et accepte que PayPlug n’est que le fournisseur de la solution de paiement et est donc tiers extérieur à la relation commerciale existant entre le Client et son Acheteur (…) ».

Aux termes de l’article 24.1 « Responsabilité de PayPlug » des conditions générales de vente :

« Chaque Client déclare être informé des contraintes et des limites des réseaux Internet et ne pourra en aucun cas rechercher la responsabilité de PayPlug au titre de dysfonctionnements dans l’accès à leurs services, à la Solution, à l’Application et/ou au Site, des vitesses d’ouverture et de consultation des pages des services, de l’inaccessibilité temporaire des services, de l’utilisation frauduleuse par des Clients ou des tiers des services, dans le cas où des liens hypertextes présents sur le Site ou l’Application renvoient sur d’autres sites internet dont le contenu contrevient aux législations en vigueur ou dont la visite par un Client ou un tiers lui causerait un quelconque préjudice.

Il est de la responsabilité de chaque Client de protéger son matériel informatique, son site internet ou autre matériel notamment contre toute forme d’intrusion et/ou de contamination par des virus, la responsabilité de PayPlug en pouvant être recherchée en cas de dysfonctionnement ou de détérioration du matériel ou du site internet d’un Client. (‘).

La responsabilité de PayPlug ne saurait davantage être engagée :

-(…)

– dans le cas d’un phishing (génération de eCarte Bancaire via un vol de code d’accès à un compte bancaire en ligne, avec ou sans utilisation de faux documents) ou d’une opération de Carding (vol de carte bancaire, usurpation de codes 3D Secure) résultant d’une escroquerie en bande organisée ».

En vertu de l’article 24.2 « Limitation de responsabilité de PayPlug » :

« En tant que prestataire de services de paiement, PayPlug est responsable à l’égard de l’Acheteur et/ou du Client, selon les cas, en cas d’opération de paiement non autorisée ou d’opération de paiement mal exécutée dans les conditions prévues aux articles L. 133-18 et suivants du Code monétaire et financier. Toutefois, par dérogation aux dispositions de l’article L. 133-24 du Code monétaire et financier, toute opération de paiement non autorisée ou mal exécutée devra être signalée à PayPlug dans un délai de trente (30) jours à compter du jour où le Client en a eu connaissance ou est présumé en avoir eu connaissance, sous peine de forclusion de son action.

Dans tous les autres cas, la responsabilité de PayPlug au titre des présentes ne pourra excéder à l’égard du Client, un montant égal aux frais de toute nature perçus par PayPlug auprès de ce Client au titre des présentes au cours des six (6) mois précédant la date de réalisation du fait dommageable, dans la limite d’un plafond global de huit mille (8.000) Euros et ne peut être engagée qu’au titre d’un préjudice direct, personne et certain. (…) »

L’article 25 « Obligations de PayPlug » prévoit à titre liminaire :

« Conformément à l’article L. 133-22 du code monétaire et financier, PayPlug est responsable, sous réserve des articles L. 133-5 et L. 133-21 du code monétaire et financier, de la bonne exécution de l’opération de paiement à l’égard de l’Acheteur jusqu’à réception des fonds par le Client, bénéficiaire du paiement. Lorsque PayPlug est responsable d’une opération de paiement mal exécutée, PayPlug restitue sans tarder son montant à l’Acheteur et rétablit le compte débité dans la situation qui aurait prévalu si l’opération de paiement mal exécutée n’avait pas eu lieu. »

Après la signature du bon de commande du 5 mars 2016, les parties restent en contact permanent en cours d’exécution du contrat, la société Payplug dispensant des conseils sur l’utilisation de son interface et surtout le niveau de sécurisation souhaité par son client.

Ainsi, le 23 janvier 2017, les parties échangent par courriel sur le système de détection de la fraude en ces termes :

Wedoogift : « On aimerait si c’est possible avoir plus de détail sur votre système de détection de fraude et éventuellement l’implémenter, à qui devrions-nous demander vu que cette partie n’est pas documentée dans la version en ligne ‘ »

PayPlug donne les deux liens sur le Smart 3D Secure et précise « Si vous souhaitez le tester, il suffit juste de l’activer dans le portail dans la partie Configuration. Si tu souhaites plus d’informations, je peux demander à une personne de notre équipe de vous appeler pour vous donner plus de précisions. »

Wedoogift : « Je ne savais pas qu’il s’agissait du Smart 3DS et vu qu’on préfère plutôt activer le 3 DS pour tous nos paiements, ça n’a pas vraiment de sens de l’implémenter. Par contre je trouve bizarre qu’un même utilisateur puisse tester autant de cartes qu’il souhaite. Il me semble qu’actuellement il n’y a rien qui ne l’empêche non ‘ »

PayPlug : « Il peut certes tester plusieurs cartes mais par contre il aura du 3D-Secure systématique si vous utilisez le smart 3D-Secure et ce quelque soit le montant. En effet le système va recouper certaines informations et du coup lui appliquer un 3D-Secure systématique. Sur les cartes françaises ça reste une excellente protection. »

La société Payplug explique que quatre types de paiement étaient possibles : le paiement classique, le paiement 3D Secure, le Smart 3D Secure et le paiement en one click. Dans ce dernier cas, un premier paiement en mode 3D Secure doit être exécuté.

Le 27 août 2018, Wedoogift sollicite PayPlug en ces termes :

« Actuellement nous forçons le 3DS pour tous nos paiements via l’API (‘). Nous souhaitons activer le 3DS smart et on aimerait savoir ce qui va se passer dans ce cas ‘ Est-ce que tous les paiements continueront à être en 3DS ou c’est la configuration 3DS smart qui prendra le dessus ‘ »

La société PayPlug répond :

« Pour que le Smart prenne le dessus, vous devez le paramétrer dans votre portail PayPlug puis passer le * force-3ds * à FALSE ou bien supprimer la ligne carrément. Pour plus d’informations sur le Smart 3DS : http:// (…) »

Les échanges de courriels entre Glady et Payplug entre octobre et décembre 2018 permettent d’établir la chronologie suivante, dans les choix opérés par Glady :

– mars 2016 à décembre 2016 : paiement classique

– janvier 2017 à août 2018 : activation de l’option 3D Secure

– septembre 2018 : activation de l’option Smart 3D Secure en remplacement de l’option 3D Secure et activation de l’option one click.

La société Payplug dénie tout manquement de sa part en considérant que le choix entre les paiements en one click ou avec saisie du numéro de carte c’est-à-dire qui permet d’activer l’authentification 3D Secure relève de la seule décision du client, Glady.

Par ailleurs, les échanges de courriels entre PayPlug et Wedoogift entre septembre et décembre 2018 montrent que PayPlug donnait des statistiques sur le taux d’échec des paiements selon le niveau choisi. Il en ressort manifestement que PayPlug conseillait de baisser le niveau de sécurité afin de réduire le taux d’échec. En effet le 9 octobre 2018, PayPlug faisait le constat suivant :

« vous êtes toujours sur le niveau 2 de notre algorithme 3D Secure. Je pensais que vous vouliez passer niveau 3 . Cela pourrait réduire le taux d’échecs liés au 3D Secure, qui est de 4.52% en septembre, et 5.35% en octobre. »

Le 31 octobre 2018 Wedoogift écrit :

« Merci pour les stats fournies la dernière fois. Nous avons bien passé le niveau du 3DS Smart à 3. Serait-il possible d’avoir les mêmes indicateurs encore cette fois ‘ »

PayPlug répond le même jour :

« J’avais effectivement remarqué que vous étiez passé sur le niveau 3 le 10 octobre.

(‘)

333 clients ont enregistré leur CB sur wedoogift.

Malheureusement, le taux d’échec n’a pas baissé malgré le passage sur le niveau 3. (‘)

On pourrait presque tenter de passer Niveau 4. Environ 50 à 60% de transactions passeront sans 3D Secure contre 23% en octobre.

Je vous propose de refaire un bilan d’ici 1 mois voire après Noël ‘ »

Le 4 décembre 2018, PayPlug écrit « l’utilisation du 3D Secure : vous avez 5.25% d’échecs liés au 3D Secure. On pourrait tenter le niveau 4 à partir de janvier pour faire un A/B testing ». Wedoogift répond « Nous passerons en level 4 début Janvier comme prévu du coup. »

Le 1er mars 2019, PayPlug note que 2083 clients ont enregistré leur carte bancaire .

Le 2 avril 2019 PayPlug écrit « On voit en tout cas que le one clic est énormément utilisé par les clients de wedoogift (1175 transactions pour un total de plus de 127K). »

A la suite du comportement suspect d’un acheteur ayant réalisé une série de transactions validées la nuit précédente, la société PayPlug écrit le 12 juin 2019 « La recommandation de notre Head of Risk est de ne rien faire pour le moment. Il y a très peu de risque pour que vous perdiez de l’argent sur des transactions passées avec 3D Secure sur cartes françaises qui sont bien enrôlées 3D Secure. De plus, notre acquéreur bancaire a l’habitude de contester des oppositions sur ce type d’opération avec 3DS et de les remporter. »

Or le 22 juillet 2019, PayPlug identifie pourtant un certain nombre de « cardeurs » pour le mois de juillet et conclut « Le 3DSecure sera imposé sur tous les paiements en one clic. »

Les échanges se poursuivent en août 2019 sur des comportements suspects.

Le 17 octobre 2019 PayPlug écrit encore : « Il s’agit bien du transfert de la responsabilité vers les banques émettrices de cartes.

Si les transactions ont déclenché un 3DS réussi et que la commande est déjà partie (ce qui est évidemment votre cas étant donné que tout est dématérialisé et qu’il n’y a aucun moyen d’annuler la commande), nous ne conseillons pas de procéder au remboursement car le transfert de responsabilité s’applique et l’opposition incombe donc aux banques émettrices.

En revanche, en 1-clic, le transfert de responsabilité ne s’applique pas car il ne peut pas y avoir de 3DS sur ces paiements, et ce même si le porteur a réussi son authentification 3DS sur la première échéance. Il est donc possible de recevoir des impayés et ceux-ci incombent au marchand. Le délai de traitement des impayés par les banques émettrices varie de 15 jours à 395 jours. La réception d’un impayé entraîne un débit automatique du montant de l’impayé. »

Il en résulte que malgré l’analyse rassurante de la société PayPlug sur la responsabilité des banques et l’activation du 3D Secure, les fraudes se sont poursuivies et l’utilisation inadéquate de son interface n’a pas permis d’enrayer ce phénomène de sorte que la société Wedoogift a été contrainte de rembourser une partie du montant issu de la fraude aux utilisateurs.

Contrairement à ce que soutient la société PayPlug, sa cliente avait émis le souhait d’un niveau de sécurisation important et ne peut être considérée, alors qu’en tant que prestataire de services elle l’invitait constamment à baisser son niveau de sécurisation afin d’avoir un rendement optimal, comme une professionnelle avertie dûment informée des risques d’un tel choix.

La société PayPlug a ainsi, en cours d’exécution du contrat ‘ et non précontractuellement comme soutenu par la société Wedoogift ‘ prodigué moult conseils à la société Wedoogift, conseils qui se sont révélés inadaptés puisqu’ils n’ont permis ni d’empêcher ni d’enrayer les fraudes survenues.

La responsabilité de la société PayPlug est ici recherchée non en sa qualité de prestataire de services de paiement au sens du code monétaire et financier mais en en tant que fournisseur d’une interface de programmation pour l’utilisation de laquelle elle a continué à donner des conseils à son client en cours d’exécution du contrat.

L’article 24.2 des conditions générales de vente relatif à la limitation de la responsabilité de PayPlug n’est donc pas applicable.

En outre, l’article 24.1 qui traite de la responsabilité de PayPlug, s’il prévoit que « La responsabilité de PayPlug ne saurait davantage être engagée : – dans le cas d’un phishing (génération de eCarte Bancaire via un vol de code d’accès à un compte bancaire en ligne, avec ou sans utilisation de faux documents) ou d’une opération de Carding (vol de carte bancaire, usurpation de codes 3D Secure) résultant d’une escroquerie en bande organisée », il ne concerne pas non plus le présent litige dans la mesure où il n’est pas démontré que les fraudes constatées proviendraient d’une escroquerie en bande organisée.

Enfin l’exonération prévue à l’article 24.1 « au titre de tous dommages ou préjudices indirects ou immatériels (‘) qui pourraient résulter de l’inexécution ou de l’exécution défectueuse des services prévus aux présentes CGV par PayPlug » ne trouve pas davantage à s’appliquer dans la mesure où c’est bien un défaut d’information et de conseil qui est reproché à PayPlug et non une défaillance de son interface.

Le jugement sera par conséquent confirmé en ce qu’il a retenu la responsabilité contractuelle de la société PayPlug vis-à-vis de la société Wedoogift et écarté l’application de l’article 24 des conditions générales de vente.

Sur le montant du préjudice subi par la société Wedoogift, la société Wedoogift sollicite la confirmation du jugement qui lui a accordé le montant des transactions frauduleuses à hauteur de 31.114,90 euros, comprenant la somme de 3.210 euros de frais d’opposition, outre celle de 3.180 euros au titre des factures de PayPlug pour les frais prélevés dans le cadre du remboursement de transactions frauduleuses. L’intimée verse aux débats les pièces justifiant de son préjudice.

La cour relève que la société PayPlug ne discute pas le montant du préjudice tel que revendiqué par Wedoogift et retenu par le tribunal.

Le jugement sera donc confirmé en ce qu’il a condamné la société PayPlug à verser à la société Wedoogift la somme de 37.294,90 euros assortie des intérêts au taux légal à compter du 23 janvier 2020, avec anatocisme.

Sur les dépens et l’article 700 du code de procédure civile

La société PayPlug succombant à l’action, il convient de confirmer le jugement en ce qu’il a statué sur les dépens et les frais irrépétibles et statuant de ces chefs en cause d’appel, elle sera aussi condamnée aux dépens. Il apparaît en outre équitable de la condamner à verser à la société Wedoogift devenue Glady la somme de 5.000 euros sur le fondement de l’article 700 du code de procédure civile.

CONFIRME le jugement en toutes ses dispositions et y ajoutant,

CONDAMNE la société PayPlug aux dépens ;

CONDAMNE la société PayPlug à payer à la société Glady la somme de 5.000 euros sur le fondement de l’article 700 du code de procédure civile.

LE GREFFIER LE PRÉSIDENT