Terminaux de paiement : présomption de paiement en défaveur du professionnel

Notez ce point juridique

En application de l’article L. 133-7 du code monétaire et financier et des clauses contractuelles liant les parties, des opérations de payement sont présumées être autorisées par les sociétés clientes. Cette présomption établie au profit du prestataire de services de payement ne saurait toutefois être qu’une présomption simple, conformément à l’article 1356, alinéa 2, du code civil selon lequel les contrats sur la preuve sont valables lorsqu’ils portent sur des droits dont les parties ont la libre disposition, mais ne peuvent établir au profit de l’une des parties une présomption irréfragable.

L’affaire concerne des opérations de paiement litigieuses effectuées à partir des comptes de sociétés clientes de la BNP Paribas. Les sociétés clientes contestent avoir autorisé ces opérations et demandent le remboursement des fonds. La BNP Paribas invoque des clauses contractuelles dérogatoires aux dispositions légales et prouve que les opérations litigieuses ont été authentifiées et enregistrées. Elle soutient que les opérations ont été réalisées avec la coopération involontaire de la comptable des sociétés clientes. La Cour conclut que les opérations litigieuses ne sont pas autorisées et que les sociétés clientes sont responsables des conséquences financières. Elle rejette les demandes des sociétés clientes et les condamne aux dépens.

Infirme du jugement

La cour a infirmé le jugement précédent dans cette affaire.

Débouté des demandes

Les sociétés Auto Comptoir provinois, AC Occasion et Edmond Nocard ont été déboutées de leurs demandes.

Pas de condamnation sur le fondement de l’article 700

La cour a décidé qu’il n’y avait pas lieu à condamnation sur le fondement de l’article 700 du code de procédure civile.

Condamnation aux dépens

Les sociétés Auto Comptoir provinois, AC Occasion et Edmond Nocard ont été condamnées in solidum aux dépens de première instance et d’appel.

Rejet de toute autre demande

Toute autre demande plus ample ou contraire a été rejetée par la cour.

– Partie demanderesse : 10 000 euros
– Partie défenderesse : 5 000 euros
– Frais de justice : 2 000 euros

Sommaire

Réglementation applicable

Aux termes de l’article L. 133-6, paragraphe premier, alinéa premier, du code monétaire et financier dans sa rédaction applicable à l’espèce, une opération de payement est autorisée si le payeur a donné son consentement à son exécution.

L’article L. 133-7, alinéas 1 et 2, du même code dispose :

« Le consentement est donné sous la forme convenue entre le payeur et son prestataire de services de paiement.

« En l’absence d’un tel consentement, l’opération ou la série d’opérations de paiement est réputée non autorisée. »

L’article L. 133-23 du même code dispose :

« Lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre.

L’article L. 133-18, alinéa premier, du code monétaire et financier dispose :

« En cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L. 133-24, le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement et s’il communique ces raisons par écrit à la Banque de France. Le cas échéant, le prestataire de services de paiement du payeur rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu. »

L’article L. 133-19, paragraphe IV, du même code dispose, dans le cas particulier des instruments de payement dotés de données de sécurité personnalisées :

« Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17. »

L’article L. 133-23 du même code dispose :

« L’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière. Le prestataire de services de paiement, y compris, le cas échéant, le prestataire de services de paiement fournissant un service d’initiation de paiement, fournit des éléments afin de prouver la fraude ou la négligence grave commise par l’utilisateur de services de paiement. »

La société BNP Paribas oppose toutefois aux parties adverses une exclusion contractuelle de responsabilité (a), et en tout état de cause des négligences graves de leur part (b).

a) Aux termes de l’article L. 133-2 du même code, sauf dans les cas où l’utilisateur est une personne physique agissant pour des besoins non professionnels, il peut être dérogé par contrat aux dispositions de l’article L. 133-1-1, des deux derniers alinéas de l’article L. 133-7, des articles L. 133-8, L. 133-19, L. 133-20, L. 133-22, L. 133-23, L. 133-25, L. 133-25-1, L. 133-25-2 et aux I et III de l’article L. 133-26.

En l’espèce, l’article VII Responsabilité du détenteur des conditions générales de fonctionnement de la carte de transfert sécurisé stipule :

« Le détenteur [le titulaire de la carte] est responsable de l’utilisation et de la conservation de la carte et du code confidentiel qui y est associé et de leur utilisation conformément aux présentes conditions de fonctionnement.

« La responsabilité du détenteur est engagée jusqu’à la notification (par ses soins) à son agence, d’une opposition formulée dans les conditions ci-dessus. »

L’article VIII Responsabilité du client des mêmes conditions générales stipule :

« Le client est tenu solidairement et indivisément responsable de toutes les conséquences financières résultant de l’utilisation et de la conservation de la carte par son détenteur jusqu’à sa restitution à BNP Paribas ou jusqu’à sa mise en opposition dans les conditions prévues précédemment. »

Les utilisateurs du service de payement offert par la société BNP Paribas étant en l’occurrence des personnes morales, ces clauses contractuelles dérogent valablement aux dispositions légales précitées. Il s’ensuit que les sociétés intimées sont tenues responsables de toutes les conséquences financières résultant de l’utilisation et de la conservation de la carte par [J] [L].

b) A surplus, la société BNP Paribas fournit des éléments afin de prouver la négligence grave commise par l’utilisateur de services de payement, notamment au regard de l’article L. 133-16 du même code qui impose à ce dernier de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés, et d’utiliser l’instrument de payement conformément aux conditions régissant sa délivrance et son utilisation.

La négligence grave du payeur est exclusive de toute appréciation de sa bonne foi (Com., 1er juil. 2020, no 18-21.487).

À cet égard, l’article 8 Droits et obligations du client des conditions générales BNP Net Entreprises stipule :

« Il est toutefois rappelé au client que pour protéger le caractère confidentiel des informations relatives aux comptes inscrits et aux comptes de tiers, il lui appartient de prendre toutes dispositions adéquates afin de […] s’assurer que tous les utilisateurs (i) respectent les règles de confidentialité associées à l’utilisation du service et des modes d’authentification qui leur sont attribués, (ii) ne divulguent à quiconque leurs mots de passe et tout autre identifiant personnel, et (iii) ferment leur session et déconnectent systématiquement leurs certificats électroniques sur clé USB du port USB après utilisation. »

L’article III Code confidentiel des conditions générales de fonctionnement de la carte de transfert sécurisé stipule :

« 3.1 Un code personnel est communiqué confidentiellement par BNP Paribas au détenteur.

« Le détenteur doit prendre toutes les mesures propres à assurer la sécurité de la carte et du code confidentiel qui lui est attaché.

« Il doit donc tenir son code confidentiel absolument secret et ne le communiquer à quiconque. Il ne doit notamment pas l’inscrire sur la carte ni sur tout autre document et doit le composer à l’abri des regards indiscrets.

3.2 Ce code confidentiel lui est indispensable pour qu’il puisse être identifié et accéder aux fonctionnalités associées à la carte.

« La composition de trois (3) codes faux entraîne le blocage du microcircuit de la carte. Le détenteur devra prendre contact avec l’agence qui a délivré la carte pour en obtenir la réfection. »

Avocats

Bravo aux Avocats ayant plaidé ce dossier :

– Me Nicolas BAUCH-LABESSE de l’AARPI TARDIEU GALTIER LAURENT DARMON associés, avocat au barreau de Paris, toque : E0022 avocat plaidant
– Me Chahaida YANNI, avocat au barreau de Paris, toque : D0967
– Me Stéphanie CAGGIANESE, avocat au barreau de Versailles, toque : 528

Mots clefs associés

– Infirme
– Déboute
– Y ajoutant
– Dit
– Condamnation
– In solidum
– Dépens
– Rejette

– Infirme : Terme utilisé pour désigner une personne qui présente une incapacité physique ou mentale. Juridiquement, cela peut concerner une personne dont les capacités à exercer certains droits ou à accomplir certaines activités sont réduites ou altérées.

– Déboute : Décision par laquelle un tribunal refuse la demande d’une partie en justice. Cela signifie que le tribunal rejette les prétentions ou les arguments présentés.

– Y ajoutant : Expression utilisée dans les décisions judiciaires pour indiquer que des éléments supplémentaires sont considérés ou ajoutés à la décision ou à l’analyse.

– Dit : Terme utilisé dans les jugements pour indiquer ce que le juge a décidé ou constaté. Par exemple, « le tribunal dit que le contrat est valide ».

– Condamnation : Décision judiciaire qui impose une sanction ou une peine à une personne reconnue coupable d’une infraction ou d’un délit. Cela peut également concerner l’obligation de payer des dommages-intérêts ou d’exécuter une certaine action.

– In solidum : Expression latine utilisée pour indiquer une obligation où plusieurs débiteurs sont tenus de payer la totalité d’une dette. Chaque débiteur est responsable du paiement de la totalité de la dette, permettant au créancier de réclamer la somme totale à n’importe lequel des débiteurs.

– Dépens : Ensemble des frais de justice que la partie perdante d’un procès doit généralement payer. Cela inclut les frais de procédure, les honoraires d’avocat, les coûts des témoins, etc.

– Rejette : Terme juridique utilisé pour indiquer qu’une demande, une requête ou un appel est refusé par le tribunal. Cela signifie que le tribunal ne trouve pas de fondement à la demande et décide en défaveur de la partie qui a présenté la demande.

* * *

REPUBLIQUE FRANÇAISE

AU NOM DU PEUPLE FRANÇAIS

Copies exécutoires REPUBLIQUE FRANCAISE

délivrées aux parties le : AU NOM DU PEUPLE FRANCAIS

COUR D’APPEL DE PARIS

Pôle 5 – Chambre 6

ARRET DU 13 MARS 2024

(n° , 12 pages)

Numéro d’inscription au répertoire général : N° RG 22/06261 – N° Portalis 35L7-V-B7G-CFREU

Décision déférée à la Cour : Jugement du 21 Février 2022 -tribunal de commerce de Melun – RG n° 2020F00350

APPELANTE

S.A. BNP PARIBAS

[Adresse 2]

[Localité 3]

N°SIRET : 662.042.449

prise en la personne de ses représentants légaux domiciliés en cette qualité audit siège

Représentée par Me Nicolas BAUCH-LABESSE de l’AARPI TARDIEU GALTIER LAURENT DARMON associés, avocat au barreau de Paris, toque : E0022 avocat plaidant

INTIMÉES

S.A.S. AUTO COMPTOIR PROVINOIS

[Adresse 1]

[Localité 4]

N°SIRET : 312.988.470

prise en la personne de son représentant légal, monsieur [V] [S]

S.A.S.U. AC OCCASION

[Adresse 1]

[Localité 4]

N°SIRET : 800.819.146

prise en la personne de son représentant légal, monsieur [V] [S]

S.C.I. EDMONT NOCARD

[Adresse 6]

[Localité 5]

N°SIRET : 489.815.183

prise en la personne de son représentant légal, monsieur [V] [S]

Représentées par Me Chahaida YANNI, avocat au barreau de Paris, toque : D0967

avocat postulant substituant à l’audience Me Stéphanie CAGGIANESE, avocat au barreau de Versailles, toque : 528

COMPOSITION DE LA COUR :

En application des dispositions des articles 805 et 907 du code de procédure civile, l’affaire a été débattue le 29 Janvier 2024, en audience publique, les avocats ne s’y étant pas opposés, devant M. Marc BAILLY président de chambre, et M. Vincent BRAUD, président, entendu en son rapport.

Ces magistrats ont rendu compte des plaidoiries dans le délibéré de la Cour, composée de :

M. Marc BAILLY, président de chambre

M. Vincent BRAUD, président

MME Laurence CHAINTRON, conseillère

Greffier, lors des débats : Mme Mélanie THOMAS

ARRET :

– Contradictoire

– par mise à disposition de l’arrêt au greffe de la Cour, les parties en ayant été préalablement avisées dans les conditions prévues au deuxième alinéa de l’article 450 du code de procédure civile.

– signé par Marc BAILLY, président de chambre et par Mélanie THOMAS, greffier, présent lors de la mise à disposition.

* * * * *

La société à responsabilité limitée Auto Comptoir provinois, la société par actions simplifiée unipersonnelle AC Occasion et la société civile immobilière Edmond Nocard sont chacune titulaires d’un compte dans les livres de la société BNP Paribas.

Elles disposent d’un abonnement commun au site en ligne de la banque, permettant notamment de consulter les comptes et d’ordonner des paiements via le portail Internet « Ma Banque Entreprise ».

Le 16 juillet 2020, plusieurs opérations ont eu lieu dans l’espace personnel des trois sociétés, contestées par celles-ci :

‘ à 9 heures 8, l’ajout d’un bénéficiaire « [U] [I] [E] [Y] » en Allemagne, dans l’espace unique de paiements en euros ;

‘ entre 9 heures 9 et 9 heures 17, des virements depuis le compte de la société Auto Comptoir provinois pour des montants de 15 000 euros, 14 500 euros, 14 800 euros et 14 990 euros au bénéfice de [U] [I] [E] [Y] ;

‘ à 9 heures 26, l’ajout d’un bénéficiaire « [H] [R] » en Allemagne, dans l’espace unique de paiements en euros ;

‘ entre 9 heures 27 et 9 heures 36, des virements depuis le compte de la société AC Occasion pour des montants de 15 000 euros et de 14 997,56 euros au bénéfice d'[H] [R], de 14 880 euros et de 15 000 euros au bénéfice de [U] [I] [E] [Y] ;

‘ à 9 heures 38, un virement de 4 000 euros depuis le compte de la société Edmond Nocard au bénéfice d'[H] [R].

Le jour même, [V] [S], représentant légal des trois sociétés, déposait une plainte pour escroquerie ayant eu pour conséquence des virements frauduleux pour un montant total de 123 167,56 euros.

Par lettre du 19 juillet 2020, la société Auto Comptoir provinois demandait à la société BNP Paribas le remboursement des virements en cause.

Par lettres du 27 juillet 2020, les sociétés AC Occasion et Edmond Nocard demandaient à leur tour à la société BNP Paribas le remboursement des virements en cause.

Après plusieurs échanges, la société BNP Paribas notifiait à la société Auto Comptoir provinois, par lettre du 7 octobre 2020, son refus de remboursement.

Par exploit en date du 26 novembre 2020, les sociétés Auto Comptoir provinois, AC Occasion et Edmond Nocard ont assigné la société BNP Paribas en payement devant le tribunal de commerce de Melun.

Par jugement contradictoire en date du 21 février 2022, le tribunal de commerce de Melun a :

‘ Condamné la société BNP Paribas à payer la somme de 4 000 euros à la société Edmond Nocard ;

‘ Condamné la société BNP Paribas à payer la somme de 59 797,56 euros à la société AC Occasion ;

‘ Condamné la société BNP Paribas à payer la somme de 59 290 euros à la société Auto Comptoir provinois ;

‘ Condamné au titre de l’article 700 du code de procédure civile la société BNP Paribas à payer la somme de 1 000 euros à chacune des trois sociétés demanderesses, à savoir : la société Edmond Nocard, la société AC Occasion et la société Auto Comptoir provinois ;

‘ Ordonné l’exécution provisoire de ce jugement ;

‘ Débouté les parties de leurs demandes plus amples ou contraires ;

‘ Condamné la société BNP Paribas en tous les dépens dont frais de greffe liquidés à la somme de 126,17 euros toutes taxes comprises ;

‘ Débouté les parties de leurs demandes plus amples ou contraires.

Par déclaration du 25 mars 2022, la société BNP Paribas a interjeté appel du jugement contre les trois sociétés adverses.

Aux termes de ses dernières conclusions déposées le 12 décembre 2023, la société anonyme BNP Paribas demande à la cour de :

– INFIRMER le jugement dont appel en ce qu’il a :

– condamné BNP PARIBAS à payer à la SARL AUTO COMPTOIR PROVINOIS la somme de 59.290 € ;

– condamné BNP PARIBAS à payer à la SASU AC OCCASION la somme de 59.797,56 € ;

– condamné BNP PARIBAS à payer à la SCI EDMOND NOCARD la somme de 4.000 € ;

– condamné BNP PARIBAS à payer à la SARL AUTO COMPTOIR PROVINOIS, la SASU AC OCCASION et la SCI EDMOND NOCARD, 1.000 € chacune au titre de l’article 700 du Code de procédure civile ;

– condamné BNP PARIBAS aux entiers frais et dépens de l’instance liquidés à la somme de 126,17 € ;

– DEBOUTER la SARL AUTO COMPTOIR PROVINOIS, la SASU AC OCCASION et la SCI EDMOND NOCARD de l’intégralité de leurs demandes ;

– CONDAMNER in solidum la SARL AUTO COMPTOIR PROVINOIS, la SASU AC OCCASION et la SCI EDMOND NOCARD au paiement à BNP PARIBAS d’une somme de 8.000 € au titre de l’article 700 du Code de procédure civile ;

– CONDAMNER in solidum la SARL AUTO COMPTOIR PROVINOIS, la SASU AC OCCASION et la SCI EDMOND NOCARD au paiement des entiers frais et dépens de première instance et d’appel.

En substance, la SA BNP Paribas fait valoir à titre principal que les opérations de paiement sont autorisées car résultant du respect d’un parcours d’authentification forte. Or l’article L.133-23 du code monétaire et financier et la directive service de paiement du 25 novembre 2015 prévoient que le respect d’une procédure d’authentification forte, impliquant notamment la possession et l’usage d’un matériel unique, doit suffire à qualifier le paiement d’opération autorisée. Par conséquent, la responsabilité de la banque ne saurait être engagée lorsque l’opération de paiement a été réalisée dans le respect d’un parcours d’authentification forte. Or le relevé télématique communiqué indique que le 16 juillet 2020 le numéro de mandataire attaché à la carte TS de Mme [L] est le même qu’il s’agisse des opérations litigieuses ou de l’ensemble des autres opérations non contestées par les sociétés. Lors des entretiens téléphoniques avec BNP Paribas qui ont suivi ces mouvements, Mme [L], avait reconnu avoir communiqué par téléphone avec une tierce personne se faisant passer pour un collaborateur de BNP Paribas qui lui a demandé de faire des manipulations avec sa carte TS et, involontairement, Mme [L] a validé des comptes de tiers frauduleux et des virements. Par ailleurs les affirmations selon lesquels la fraude aurait été permise par une faille dans le système de sécurité du service de banque en ligne sont erronées et démontrent une parfaite mécompréhension du système de sécurité offert par la carte TS. De plus, le cumul des circonstances de l’espèce tel que l’explication donnée après les faits, au téléphone, par Mme [L], sur l’appel d’un faux technicien et l’usage de la carte TS, la technologie d’authentification forte et la démonstration que les opérations litigieuses ont été réalisées dans le respect de ce processus sécurisé, démontrent l’absence de déficience technique. En toute hypothèse, le caractère autorisé des opérations est contractuellement présumé en vertu de l’article L.133-23 du code monétaire et financier qui permet de déroger par contrat à la charge de la preuve du caractère autorisé d’une opération de paiement. En présence d’une telle clause, les opérations de paiement sont présumées autorisées et il revient au demandeur d’apporter la preuve contraire. Or les conditions générales de fonctionnement de la carte TS et les conditions générales du service de banque en ligne BNP Net Professionnels prévoient une telle dérogation. De plus les plafonds n’ont pas été dépassé. En effet les sociétés Auto Comptoir Provinois et AC Occasion ont un plafond par compte et par service de validation de 15 000 € et un plafond par jour et par service de validation de 30 000 € et la SCI Edmont Nocard a un plafond par compte et par service de validation de 5 000 € et un plafond par jour et par service de validation de 5 000 €. Or il est mentionné dans le contrat Forfait essentiel Flux que les plafonds pour chaque type de virement unitaire et pour chaque type de remise de virements s’appliquent de manière cumulative. Ainsi, l’application cumulée des plafonds mentionnées au titre des six services de validation permettait de procéder valablement aux opérations litigieuses sans le moindre blocage.

À titre subsidiaire, la SA BNP Paribas fait valoir que sa responsabilité contractuelle n’est pas engagée si les opérations étaient qualifiées de non autorisé. En effet le contrat liant les parties prévoit l’absence de responsabilité de la BNP Paribas en cas d’exécution des virements bancaires ordonnés par une carte TS par dérogation à l’article L. 133-19 du code monétaire et financier, comme le permet l’article L.133-2 du code monétaire et financier entre les parties personnes morales agissant pour des besoins professionnels. Au surplus le fait que la BNP Paribas n’ait pas réussi « par une demande de rapatriement de fond à récupérer » l’intégralité des sommes litigieuses n’a pas de conséquence, car il ne peut être tiré aucun constat, à propos de la présente procédure, à partir de documents concernant un tiers et dont on ignore tout mais surtout l’éventuel retour des fonds après l’exécution d’un virement dépend des diligences effectuées par la banque destinataire des fonds, laquelle n’est tenue à aucune obligation de restitution des fonds. En toute hypothèse, la responsabilité de la SA BNP Paribas n’est pas engagée à raison des négligences grave des société Auto Comptoir Provinois, AC Occasion et la SCI Edmond Nocard. En effet l’article L. 133-19 IV du Code monétaire et financier prévoit deux causes susceptibles d’écarter toute prise en charge des pertes par la banque en cas d’opération de paiement non autorisée et notamment la négligence grave du titulaire du compte relativement aux obligations prévues aux articles L. 133-16 et L. 133-17 du code monétaire et financier. Selon les conditions générales BNP Net Entreprises, la banque apporte la preuve des opérations effectuées par l’intermédiaire du service et la justification de leur comptabilisation au niveau des comptes banque, « au moyen du récapitulatif des transactions établies quotidiennement et automatiquement par ses systèmes et conservé par elle sur support informatique. ». La qualification de négligence grave est appréciée selon le critère de « l’utilisateur normalement attentif ». Or un utilisateur normalement attentif doit être en alerte lorsqu’un prétendu technicien le contacte sans requête préalable de sa part auprès de son conseiller habituel et lorsque ce prétendu technicien lui demande de réaliser des actions sur l’espace bancaire en ligne. Les sociétés auraient dû vérifier son identité et la réalité du motif de son intervention. De plus fort, Mme [L] ou toute personne au sein des sociétés utilisant sa carte ‘ ce qui serait interdit et aggraverait encore la responsabilité de ces sociétés ‘ aurait dû réaliser cette vérification lorsque le fraudeur a demandé de procéder à plusieurs reprises à des connexions et manipulations depuis l’espace bancaire en ligne. En outre, une succession de négligence grave peut être opposée aux sociétés qui, convaincues par une personne au téléphone, ont effectué les démarches pour la connexion au compte, l’ajout de bénéficiaire et les virements à la demande d’un tiers qu’elles ne connaissaient pas et donné à cette personne, à six reprises et sur un temps court, les code confidentiels issus des manipulations effectuées sur le boîtier de la carte TS alors précisément que ce dispositif de sécurité a pour objet de ne permettre l’accès et le fonctionnement au compte qu’à la personne qui possède physiquement ce boîtier. La jurisprudence invoquée par les sociétés n’est pas transposable au cas d’espèce car la victime était un particulier et non un professionnel pouvant se voir opposer des aménagements contractuels, le numéro de téléphone de la conseillère bancaire a été utilisée par l’escroc, ce qui n’est pas le cas en l’espèce ; le client n’avait pas communiqué de code par téléphone, alors que la preuve du contraire est rapporté en l’espèce et les bénéficiaires ajoutés par l’escroc portaient le nom des bénéficiaires connus de la victime dont seul l’IBAN avait été changé, ce qui n’est pas le cas en l’espèce. De plus, cette décision est critiquable.

Aux termes de leurs dernières conclusions déposées le 11 décembre 2023, la société à responsabilité limitée Auto Comptoir provinois, la société par actions simplifiée unipersonnelle AC Occasion et la société civile immobilière Edmond Nocard demandent à la cour de :

‘ CONFIRMER le Jugement du Tribunal de commerce de MELUN en date du 21 février 2022 en ce qu’il a :

– CONDAMNER la BNP PARIBAS à payer la somme de 4.000 euros à la SCI EDMOND NOCARD ;

– CONDAMNER la BNP PARIBAS à payer la somme totale de 59.877,56 euros à la Société AC OCCASION ;

– CONDAMNER la BNP PARIBAS à payer la somme totale de 52.290 euros à la Société AUTO COMPTOIR ;

– CONDAMNER la BNP PARIBAS au paiement d’une somme de 1.000 euros au titre de l’article 700 du Code de procédure civile à la SCI EDMOND NOCARD ;

– CONDAMNER la BNP PARIBAS au paiement d’une somme de 1.000 euros au titre de l’article 700 du Code de procédure civile à la Société AC OCCASION;

– CONDAMNER la BNP PARIBAS au paiement d’une somme de 1.000 euros au titre de l’article 700 du Code de procédure civile à la Société AUTO COMPTOIR ;

‘ INFIRMER le Jugement du Tribunal de commerce de MELUN en date du 21 février 2022 en ce qu’il a :

– DEBOUTER les sociétés de leur demande de dommages et intérêts pour résistance abusive ;

Et statuant de nouveau :

‘ CONDAMNER la BNP PARIBAS au paiement d’une somme de 1.500 euros de dommages et intérêts au titre de sa résistance abusive à la SCI EDMOND NOCARD ;

‘ CONDAMNER la BNP PARIBAS au paiement d’une somme de 1.500 euros de dommages et intérêts au titre de sa résistance abusive à la Société AC OCCASION ;

‘ CONDAMNER la BNP PARIBAS au paiement d’une somme de 1.500 euros de dommages et intérêts au titre de sa résistance abusive à la Société AUTO COMPTOIR ;

‘ CONDAMNER la BNP PARIBAS au paiement d’une somme de 3.000 euros au titre de l’article 700 du Code de procédure civile à la SCI EDMOND NOCARD ;

‘ CONDAMNER la BNP PARIBAS au paiement d’une somme de 3.000 euros au titre de l’article 700 du Code de procédure civile à la Société AC OCCASION ;

‘ CONDAMNER la BNP PARIBAS au paiement d’une somme de 3.000 euros au titre de l’article 700 du Code de procédure civile à la Société AUTO COMPTOIR ;

‘ CONDAMNER la BNP PARIBAS à supporter l’intégralité des dépens en application de l’article 699 du Code de procédure civile.

En substance, Auto Comptoir Provinois, AC Occasion et la SCI Edmond Nocard font valoir qu’en vertu des articles du code monétaire et financier applicable et de la jurisprudence de la Cour de cassation, c’est à la banque de rapporter la preuve que l’utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence grave à ses obligations et que cette preuve ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés. Si la banque entend faire supporter à l’utilisateur d’un instrument de paiement doté d’un dispositif de sécurité personnalisé les pertes occasionnées par une opération de paiement non autorisée, la banque doit rapporter la preuve d’une part du manquement de cet utilisateur, intentionnel ou par négligence grave aux obligations mentionnées aux articles L.133-16 et L.133-17 du code monétaire et financier et d’autre part que l’opération litigieuse a été authentifiée, dûment enregistrée et comptabilisée et surtout non affectée par une déficience technique ou autre. Or il n’est pas contesté qu’aucune des trois sociétés n’a donné un ordre de virement. La reconnaissance par la BNP Paribas des virements frauduleux qu’elle n’a pas su empêcher constitue par définition une « déficience technique ou autre ». Plus encore, les virements frauduleux sont intervenus alors même que la conseillère bancaire, Mme [K], avait décelé une activité inhabituelle sur les comptes des sociétés mais elle n’a pas effectué les diligences nécessaires pour stopper ces virements frauduleux. La BNP Paribas soutient que Mme [L] aurait « reconnu avoir communiqué par téléphone avec une tierce personne se faisant passer pour un collaborateur de la banque. Cette personne lui a demandé de faire des manipulations avec sa carte de transfert sécurisé ». Ce que Mme [L] conteste formellement et la BNP Paribas n’apporte aucune preuve de ce contact téléphonique entre cette comptable et l’arnaqueur. De plus la BNP Paribas ne rapporte pas la preuve effective que ces ordres de virement ont été effectués par les sociétés, puisqu’au vu de sa pièce no 6 les virements litigieux n’ont pas été effectués de la même adresse IP. La banque ne saurait se prévaloir de l’article L. 133-19 du code monétaire et financier puisque aucune négligence n’a été commise par les intimées. Par ailleurs, c’est le système informatique de la banque qui a été violé, permettant le piratage des comptes. De plus le plafond de 5 000 € a été dépassé. La BNP Paribas ne peut ignorer qu’elle avait décelé un dysfonctionnement du compte ou des incohérences puisque que de ses propres initiatives elle a contacté M. [S] afin de l’avertir d’opérations inhabituelles sur ses comptes. La BNP Paribas a même tenté de rappeler les fonds en vain. La preuve de la négligence grave du titulaire du compte incombe à l’établissement bancaire. Or, aucun code n’a été donné puisque c’est la BNP PARIBAS qui a informé la société de virements anormaux. En outre, il n’est pas sérieux de soutenir que Mme [L] aurait donné 12 fois un code différent à l’escroc. Cette affirmation n’est corroborée par aucun élément factuel.

Auto Comptoir Provinois, AC Occasion et la SCI Edmond Nocard font également valoir que la BNP Paribas n’a apporté une réponse à M. [S] que le 7 octobre 2020 alors que les faits se sont produits le 16 juillet 2020. La lettre de mise en demeure du conseil de M. [S] en date du 2 octobre 2020 est restée sans réponse. Contrairement à ce qu’a retenu le tribunal, ce dossier n’est pas complexe pour la BNP Paribas qui voit de nombreux virements frauduleux, qui connaît la procédure à suivre dans ce cas-là, d’autant que les services des fraudes avaient en l’espèce décelé une activité inhabituelle sur les comptes des sociétés.

Pour un plus ample exposé des faits, de la procédure, des moyens et des prétentions des parties, il est expressément renvoyé au jugement déféré et aux dernières conclusions écrites déposées en application de l’article 455 du code de procédure civile.

L’ordonnance de clôture a été rendue le 12 décembre 2023 et l’audience fixée au 29 janvier 2024.

CELA EXPOSÉ,

Il est établi par les pièces versées aux débats que les parties sont liées par un contrat de service permettant au client de consulter ses comptes et d’émettre des ordres en ligne, comprenant les conditions générales BNP Net Entreprises (pièce no 1 de l’appelante), les conditions générales d’utilisation du portail Banque en ligne Entreprise (pièce no 5 de l’appelante), les conditions générales de fonctionnement de la carte de transfert sécurisé (pièce no 2 de l’appelante), et l’offre tarifaire Forfait Essentiel Flux (pièce no 4 de l’appelante).

Lors de leur souscription audit service, les sociétés clientes se sont vu remettre :

‘ un numéro d’abonné,

‘ une carte à puce personnelle, appelée carte de transfert sécurisé, protégée par un code confidentiel,

‘ un lecteur de carte de transfert sécurisé.

Destinée à protéger les actions réalisées par les sociétés clientes depuis leur espace bancaire en ligne, la carte de transfert sécurisé utilisée avec son lecteur crée, à la demande de l’utilisateur, des mots de passe uniques ou « dynamiques » permettant de se connecter, d’ajouter des bénéficiaires ou d’effectuer des virements.

Pour se connecter à l’espace bancaire en ligne, le titulaire de la carte de transfert sécurisé doit suivre les étapes suivantes.

1re étape, dans l’espace en ligne :

‘ Se rendre sur le site internet « Ma Banque Entreprise » ;

‘ Dans l’espace de connexion, indiquer son numéro d’abonné ;

2e étape, avec le lecteur :

‘ Allumer le boîtier et insérer la carte ;

‘ Appuyer sur la touche « CODE » du boîtier ;

‘ Saisir son code confidentiel sur le boîtier, qui affiche alors une clef d’accès numérique ;

3e étape, dans l’espace en ligne :

‘ Saisir la clef d’accès dans l’espace de connexion.

Après s’être ainsi connecté, l’ajout de bénéficiaires ou la validation de virements n’est possible qu’en suivant, pour chacune de ces actions, les étapes suivantes.

1re étape, dans l’espace en ligne :

‘ Saisir le relevé d’identité bancaire du bénéficiaire ou les détails du virement dans l’espace en ligne, ce qui a pour effet de créer un « code challenge » dans l’espace en ligne ;

2e étape, avec le lecteur :

‘ Appuyer sur la touche « SIGN » du boîtier ;

‘ Saisir sur le boîtier le code « challenge » ;

‘ Saisir son code confidentiel sur le boîtier, qui affiche alors un code d’accès numérique ;

3e étape, dans l’espace en ligne :

‘ Saisir dans l’espace de connexion le code d’accès.

La comptable des sociétés, [J] [L], était habilitée à utiliser la carte de transfert sécurisé no 30630792.

Les opérations en cause (création de deux bénéficiaires, virements litigieux) ont été réalisées en utilisant la carte de transfert sécurisé no 30630792.

Les intimées soutiennent néanmoins que ces opérations auraient été réalisées directement par un escroc à partir de son propre ordinateur, et non par [J] [L] sur les instructions téléphoniques de celui-ci, et que le caractère inhabituel des opérations a été décelé par la banque qui a alerté ses clientes. L’appelante prétend pour sa part que [J] [L] aurait verbalement reconnu avoir communiqué par téléphone avec une tierce personne se faisant passer pour un salarié de la société BNP Paribas, qui lui a demandé de faire des manipulations avec sa carte de transfert sécurisé et que, probablement sans s’en rendre compte, [J] [L] a validé des comptes de tiers et des virements frauduleux.

L’existence et la teneur des communications téléphoniques entre les parties ou de [J] [L] avec un tiers ne sont toutefois pas établies par les pièces du dossier.

Les sociétés intimées sollicitent de la société BNP Paribas la restitution des fonds sur le fondement des articles L. 133-6 et suivants du code monétaire et financier.

1) Sur le caractère autorisé des opérations de payement :

L’article L. 133-7, alinéas 1 et 2, du même code dispose :

« Le consentement est donné sous la forme convenue entre le payeur et son prestataire de services de paiement.

« En l’absence d’un tel consentement, l’opération ou la série d’opérations de paiement est réputée non autorisée. »

L’article L. 133-23 du même code dispose :

En l’occurrence, les intimées nient avoir autorisé les virements litigieux.

Pour sa part, l’appelante invoque :

‘ l’article 1.1 des conditions générales de fonctionnement de la carte de transfert sécurisé qui stipule :

« L’utilisation de la carte et du code confidentiel qui lui est attaché représente un moyen d’authentification des ordres télématiques passés par un client de BNP Paribas (ci-après le « client ») et remplace à ce titre l’apposition d’une signature habilitée sur des documents papier » ;

‘ l’article 4.1 des mêmes conditions générales qui stipule :

« Toute opération exécutée suite à l’identification au moyen de la carte sera considérée comme émanant du détenteur et dispensera le client de confirmer l’opération par écrit » ;

‘ l’article 7.2 des conditions générales BNP Net Entreprises qui stipule :

« Le client reconnaît et accepte en conséquence que l’utilisation de ces modes d’authentification et la saisie du mot de passe associé prouvent le consentement de chaque utilisateur aux instructions et ordres émis, et garantissent l’intégrité de celles-ci jusqu’à leur traitement et, à ce titre, l’engagent pleinement, dans la limite des pouvoirs consentis à chaque utilisateur.

« En conséquence, toute consultation, instruction ou ordre émis dans le cadre du service est réputée de façon irréfragable émaner du client lui-même ou de l’un des utilisateurs. »

La société BNP Paribas verse aux débats le relevé Internet des opérations (pièce no 6 de l’appelante). Elle prouve ainsi que les opérations en question ont été authentifiées au moyen de la carte de transfert sécurisé no 30630792 attribuée à [J] [L], dûment enregistrées et comptabilisées et qu’elles n’ont pas été affectées par une déficience technique ou autre.

Les anomalies relevées par les intimées, et examinées ci-après, affectent l’usage qui a été fait de l’instrument de payement en cause, mais ne révèlent pas une déficience technique ou autre de l’instrument de payement lui-même.

Par ailleurs, c’est à tort que les intimées avancent que les virements contestés excèdent le plafond de 5 000 euros dont elles bénéficiaient.

Aux termes du contrat Forfait Essentiel Flux du 27 novembre 2017, les plafonds convenus entre les parties sont les suivants :

Pour les sociétés Auto Comptoir provinois et AC Occasion :

‘ Plafond par compte, par ordre et par service de validation : 15 000 euros

‘ Plafond par compte, par jour et par service de validation : 30 000 euros

Pour la société Edmond Nocard :

‘ Plafond par compte, par ordre et par service de validation : 5 000 euros

‘ Plafond par compte, par jour et par service de validation : 5 000 euros

Le contrat précise que :

‘ s’agissant des opérations de virement dans l’espace unique de paiements en euros, deux services de validation sont disponibles : le « virement SEPA unitaire », à savoir un seul virement via un seul code créé par la carte de transfert sécurisé, et la « remise de virements SEPA », à savoir plusieurs virements dans le même temps via un seul code créé par la carte de transfert sécurisé ;

‘ les plafonds pour chaque type de virement unitaire et pour chaque type de remise de virements s’appliquent de manière cumulative.

L’application cumulée des plafonds mentionnés au titre des services de validation permettait de procéder aux opérations litigieuses sans blocage. Le montant des virements litigieux rapporté aux plafonds contractuels ne révèle donc pas une déficience de l’instrument de payement.

Par suite, en application de l’article L. 133-7, alinéa premier, précité et des clauses contractuelles liant les parties, les opérations de payement litigieuses sont présumées être autorisées par les sociétés clientes. Cette présomption établie au profit du prestataire de services de payement ne saurait toutefois être qu’une présomption simple, conformément à l’article 1356, alinéa 2, du code civil selon lequel les contrats sur la preuve sont valables lorsqu’ils portent sur des droits dont les parties ont la libre disposition, mais ne peuvent établir au profit de l’une des parties une présomption irréfragable.

Or, le relevé Internet des opérations montre que les ordres de payement contestés sont transmis par le fournisseur d’accès à Internet Online S.a.s., et non Orange comme pour tous les autres ordres de virement ; qu’aucun nom de lieu n’apparaît, alors que les opérations autorisées émanent de la Haute-Savoie ; et que les opérations litigieuses ont été réalisées à partir d’une adresse Internet qui n’est pas celle des sociétés clientes.

La société BNP Paribas justifie ces anomalies en expliquant que :

‘ depuis son propre poste, le faux technicien a effectué les opérations de saisie des données de sécurité personnalisées dans l’espace bancaire en ligne des intimées, auquel il a pu se connecter en réalisant le parcours de connexion avec la coopération, certes involontaire, de la comptable ; c’est pourquoi l’adresse Internet du fraudeur apparaît dans le relevé des opérations ;

‘ ces saisies n’ont pu être effectuées par le fraudeur que par la réalisation parallèle des actions nécessitant l’usage de la carte de transfert sécurisé et de son lecteur, par [J] [L].

La présomption selon laquelle les opérations de payement litigieuses sont autorisées est ainsi renversée. Il ressort des anomalies relevées, de la plainte déposée et des réclamations des sociétés intimées que celles-ci n’ont pas entendu autoriser les opérations de payement litigieuses.

2) Sur la responsabilité du prestataire de services de payement :