ARRET

N°

S.A.R.L. [Adresse 9]

Société CAISSE REGIONALE DE CREDIT AGRICOLE MUTUEL BRIE PI CARDIE

C/

S.A.S. FREE MOBILE

Société CAISSE REGIONALE DE CREDIT AGRICOLE MUTUEL BRIE PI CARDIE

copie exécutoire

le 09 octobre 2025

à

M^e Derbise

M^e Hupin

M^e Coursin

OG

COUR D’APPEL D’AMIENS

CHAMBRE ÉCONOMIQUE

ARRET DU 23 OCTOBRE 2025

N° RG 23/05055 – N° Portalis DBV4-V-B7H-I6E3

JUGEMENT DU TRIBUNAL DE COMMERCE D’AMIENS DU 09 NOVEMBRE 2023 (référence dossier N° RG 2022J00036)

PARTIES EN CAUSE :

APPELANTES

S.A.R.L. [Adresse 9] agissant poursuites et diligences de son représentant légal domicilié en cette qualité audit siège :

[Adresse 11]

[Localité 5]

Représentée par M^e Virginie CANU-RENAHY de la SELAS CANU-RENAHY ET ASSOCIES, avocat au barreau d’AMIENS

Ayant pour avocat plaidant M^e Maude HUPIN, avocat au barreau de PARIS

CAISSE REGIONALE DE CREDIT AGRICOLE MUTUEL BRIE PICARDIE agissant poursuites et diligences de son représentant légal domicilié en cette qualité audit siège :

[Adresse 3]

[Localité 6]

représentée par M^e Franck DERBISE de la SCP LEBEGUE DERBISE, avocat au barreau D’AMIENS, substitué par M^e Charlotte CHOCHOY, avocat au barreau d’AMIENS

ET :

INTIMEES

S.A.S. FREE MOBILE agissant poursuites et diligences de son représentant légal domicilié en cette qualité audit siège :

[Adresse 2]

[Localité 4]

représentée par M^e Céline ANDRE de la SELARL ANGLE D’AVOCAT, avocat au barreau d’AMIENS

Ayant pour avocat plaidant M^e Yves COURSIN de l’AARPI COURSIN CHARLIER AVOCATS, avocat au barreau de PARIS

CAISSE REGIONALE DE CREDIT AGRICOLE MUTUEL BRIE PICARDIE agissant poursuites et diligences de son représentant légal domicilié en cette qualité audit siège :

[Adresse 3]

[Localité 6]

représentée par M^e Franck DERBISE de la SCP LEBEGUE DERBISE, avocat au barreau d’AMIENS,substitué par M^e Charlotte CHOCHOY, avocat au barreau d’AMIENS

***

DEBATS :

A l’audience publique du 12 Juin 2025 devant :

Mme Odile GREVIN, présidente de chambre,

M^me Florence MATHIEU, présidente de chambre,

et M^me Valérie DUBAELE, conseillère,

qui en ont délibéré conformément à la loi, la présidente a avisé les parties à l’issue des débats que l’arrêt sera prononcé par sa mise à disposition au greffe le 09 Octobre 2025.

Un rapport a été présenté à l’audience dans les conditions de l’article 804 du code de procédure civile.

GREFFIERE LORS DES DEBATS : Madame Elise DHEILLY

Le 09 octobre 2025, les conseils des parties ont été avisés par la voie électronique du prorogé du délibéré au 23 octobre 2025.

PRONONCE :

Le 23 Octobre 2025 par mise à disposition de l’arrêt au greffe de la cour, les parties en ayant été préalablement avisées dans les conditions prévues au 2ème alinéa de l’article 450 du code de procédure civile ; M^me Odile GREVIN, présidente de chambre a signé la minute avec Madame Elise DHEILLY, greffière.

*

* *

DECISION

La société [Adresse 10] a ouvert un compte à la Caisse régionale de Crédit agricole Mutuel Brie Picardie.

À la suite de la découverte de 4 virements effectués le 25 octobre 2021 au profit d’un sieur [B] pour la somme totale de 29.865 euros qu’elle considérait comme frauduleux, la société [Adresse 10] a contesté les opérations auprès de sa banque et a déposé plainte.

La banque a sollicité le retour des fonds et a pu récupérer une somme de 7.400 euros mais la Caisse régionale de Crédit agricole mutuel Brie Picardie a refusé de rembourser la somme de 22465 euros restant au motif que les opérations n’ont été rendues possibles que parce que le client a fourni ses informations personnelles et confidentielles à la suite de courriels douteux dans la mesure où les virements n’auraient pu être effectués si l’ajout de l’IBAN n’avait été rendu possible après une double authentification, la connexion au site 'Ma Banque’ supposant la saisie de l’identifiant et du code de déverrouillage et la saisie du code confidentiel reçu par SMS sur le téléphone portable n° [XXXXXXXX01].

Par un acte extrajudiciaire en date du 21 février 2022, la société [Adresse 10] a assigné la banque afin de la voir condamner au remboursement des opérations frauduleuses, et à réparer le préjudice moral et financier lié à la privation des sommes.

Par un acte extrajudiciaire du 5 septembre 2022, la caisse régionale de Crédit agricole mutuel Brie Picardie a assigné la société Free afin de voir dire qu’elle a commis une faute à l’origine des préjudices revendiqués et de la condamner à garantir la banque de toutes condamnations qui pourraient être prononcées à son encontre.

Par un acte extrajudiciaire du 23 décembre 2022, la caisse régionale de Crédit agricole mutuel Brie Picardie a assigné la SAS Free Mobile afin de voir dire qu’elle a commis une faute à l’origine des préjudices revendiqués par la société [Adresse 10] et de la condamner à garantir la banque de toutes condamnations qui pourraient être prononcées à son encontre au bénéfice de la société Domaine des Tiranages.

Le tribunal de commerce d’Amiens, par jugement en date du 9 novembre 2023, a ordonné la jonction des trois instances et pris acte de ce que la caisse régionale de Crédit agricole mutuel Brie Picardie ne formule plus aucune demande à l’encontre de la société Free et a condamné la caisse régionale de Crédit agricole mutuel Brie Picardie à payer à la société Free la somme de 1.000 euros au titre des dispositions de l’article 700 du code de procédure civile.

Il a dit la caisse régionale de Crédit agricole mutuel Brie Picardie irrecevable en ses demandes à l’encontre de la société Free Mobile et l’en a déboutée la condamnant à payer à la société Free Mobile la somme de 1.000 euros au titre des dispositions de l’article 700 du code de procédure civile.

Il a débouté la société SARL [Adresse 9] de l’intégralité de ses demandes au titre du remboursement de la somme de 22.465 euros et à titre de dommages et intérêts pour la somme de 2.800 euros, l’a condamnée à payer à la caisse régionale de Crédit agricole mutuel Brie Picardie la somme de 800 euros au titre des dispositions de l’article 700 du code de procédure civile et au paiement des entiers dépens.

Par déclaration en date du 13 décembre 2023, la SARL [Adresse 9] a interjeté appel du jugement du tribunal de commerce d’Amiens en date du 9 novembre 2023.

Dans son unique jeu de conclusions en date du 13 février 2024, la SARL Domaine des Tinarages demande à la cour de la déclarer bien fondée en son appel, ses demandes, fins et conclusions, d’infirmer le jugement rendu par le tribunal de commerce d’Amiens en toutes ses dispositions et statuant à nouveau de débouter la Caisse régionale de Crédit agricole Mutuel Brie Picardie de l’ensemble de ses demandes, fins et prétentions, de la condamner à lui payer la somme de 22.465 euros en remboursement des opérations frauduleuses, outre les intérêts au taux légal majoré à compter de la contestation, d’ordonner la capitalisation des intérêts, et de la condamner à lui payer la somme de 2.800 euros au titre du préjudice moral et financier lié à la privation des sommes, et à la résistance abusive de la banque ainsi qu’une somme de 5.000 euros au titre de l’article 700 du code de procédure civile, et au paiement des entiers dépens

Dans son troisième jeu de conclusions en date du 3 octobre 2024, la caisse régionale de Crédit agricole mutuel Brie Picardie demande à la cour de confirmer le jugement du tribunal de commerce d’Amiens en ce qu’il a débouté la société [Adresse 9] de l’intégralité de ses demandes formulées à son encontre et l’a condamnée à lui verser la somme de 800 euros au titre des dispositions de l’article 700 du code de procédure civile, d’infirmer le jugement du tribunal de commerce d’Amiens en date du 9 novembre 2023 en ce qu’il a retenu l’irrecevabilité de ses demandes à l’encontre de la société Free Mobile l’en a déboutée et l’a condamnée à payer à la société Free Mobile la somme de 1.000 euros au titre des dispositions de l’article 700 du code de procédure civile.

Elle demande que la société Free Mobile soit déboutée de l’intégralité de ses demandes, condamnée à la garantir de toutes condamnations qui pourraient être prononcées à son encontre au bénéfice de la société [Adresse 9] et de la condamner à lui payer la somme de 2.000 euros au titre de l’article 700 du code de procédure civile, en cause d’appel et au paiement des entiers dépens.

Dans son deuxième jeu de conclusions en date du 20 septembre 2024, la société Free Mobile demande à la cour de confirmer le jugement rendu le 9 novembre 2023 par le tribunal de commerce d’Amiens en ce qu’il a déclaré irrecevable l’appel en garantie de la caisse régionale de Crédit agricole mutuel Brie Picardie à son encontre, a rejeté ses demandes et l’a condamnée à lui payer la somme de 1.000 euros sur le fondement de l’article 700 du code de procédure civile et les dépens.

A titre subsidiaire elle sollicite qu’il soit jugé que la caisse régionale de Crédit agricole mutuel Brie Picardie doit assumer seule les éventuelles défaillances de son système de sécurité bancaire et fautes de ses clients, et que ses demandes à son encontre soient rejetées.

A titre plus subsidiaire elle demande qu’il soit jugé qu’aucune faute n’est démontrée à son encontre et que soient rejetées toutes demandes à son encontre.

En tout état de cause, elle demande à la cour de condamner la caisse régionale de Crédit agricole mutuel Brie Picardie à lui payer la somme supplémentaire de 3.000 euros sur le fondement de l’article 700 du code de procédure civile et tous les dépens.

La clôture a été fixée par ordonnance au 5 juin 2025.

MOTIFS DE LA DECISION

La société [Adresse 9] soutient qu’elle a été victime d’opérations frauduleuses consistant en quatre virements pour la somme totale de 29865 euros effectués le 25 octobre 2021 au profit de M. [B], opérations auxquelles elle n’a aucunement consenti, et qu’elle a immédiatement contestées auprès de la banque qui a été en mesure de récupérer la somme de 7400 euros.

Rappelant les règles du code monétaire et financier elle fait valoir en particulier qu’il appartient au prestataire de service de paiement de rapporter la preuve que soit l’opération a été autorisée soit que l’utilisateur a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant et relatives à la préservation de la sécurité de ses dispositifs de sécurité personnalisés et sur l’alerte à donner au prestataire.

Elle soutient que la preuve d’une négligence grave ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui y sont liées ont été utilisées.

Elle fait valoir qu’en l’espèce la banque ne rapporte aucunement cette preuve.

Elle considère que la banque sait parfaitement qu’elle n’est pas à l’origine des opérations contestées raison pour laquelle elle a ainsi appelé en intervention forcée l’opérateur téléphonique.

Elle soutient en conséquence que s’agissant d’opérations frauduleuses non autorisées dont la banque a été immédiatement avertie, celle-ci est tenue de les rembourser d’autant qu’il lui appartient de s’assurer que les dispositifs de sécurité personnalisés ne sont pas accessibles aux tiers.

Par ailleurs elle soutient que la responsabilité du payeur n’est pas engagée si l’opération de paiement non autorisée a été effectuée en détournant à son insu l’instrument de paiement ou les données qui lui sont liées et ne supporte aucune conséquence financière si le prestataire de services de paiement ne fournit pas de moyens appropriés permettant l’information aux fins de blocage de l’instrument de paiement et si l’opération de paiement non autorisée a été effectuée sans que le prestataire de service de paiement n’exige une authentification forte du payeur.

Elle soutient que la banque qui a dû supporter les conséquences d’une fraude peut se retourner contre un tiers comme une société de téléphonie mobile sans que cette mise en cause puisse incomber à la victime de la fraude.

Elle considère que les premiers juges ont considéré à tort qu’être victime de Sim Swapping serait une négligence grave, alors que cela démontre le mode opératoire suivi et le fait qu’elle n’est pas à l’origine des opérations qu’elle n’a pas validées comme elle n’a pas davantage ajouté de bénéficiaires, la validation des opérations ayant été effectuée par un tiers. Elle ajoute qu’au contraire la banque a eu nécessairement connaissance d’une nouvelle carte Sim qui aurait dû l’alerter. Elle ajoute que le fait d’être destinataire d’un courriel frauduleux comme elle l’indique dans sa plainte n’est pas une négligence grave

Elle maintient avoir elle-même réagi dès sa connaissance de la fraude bancaire dès lors qu’elle a déposé plainte dès le 26 octobre 2021et que si la banque invoque une absence de réaction aux courriels reçus elle ne les produit pas et qu’en toute hypothèse il ne peut lui être reproché de ne pas lire un mail dans la minute, elle conteste au demeurant avoir reçu des mails de la banque l’informant des opérations dès lors qu’ils ont dû être envoyés sur l’autre carte Sim.

Elle conteste donc toute négligence grave exposant n’avoir pas validé les opérations et n’avoir transmis aucune information confidentielle. Elle indique que l’ajout des bénéficiaires s’est fait sans son accord compte tenu de la défaillance du système de la banque.

Elle fait observer que la banque ne démontre rien quant aux conditions et à l’utilisation du service d’authentification et n’établit pas comme cela lui incombe que l’opération a été authentifiée dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre.

Elle soutient que l’authentification forte à laquelle doit recourir le prestataire de services de paiement n’a pas été appliquée par la banque. Elle rappelle à ce titre que le Sim swapping est une escroquerie bien connue par échange de carte Sim et une fraude par prise de contrôle de compte qui cible généralement une faiblesse de l’authentification à deux facteurs et de la vérification en deux étapes.

Elle affirme que la fraude ne provient pas de la communication de codes d’authentification mais du Sim swapping.

Elle reproche également à la banque d’avoir manqué à son obligation de vigilance compte tenu des anomalies apparentes cumulées dont le nombre d’opérations en quelques heures , son montant et son

incidence sur l’encours du compte bancaire.

La caisse régionale de Crédit agricole mutuel Brie Picardie souligne en premier lieu que le fait d’avoir sollicité le retour des fonds est sans incidence dès lors qu’il s’agit d’une obligation légale pour la banque de s’efforcer de récupérer les fonds après contestation du client.

Elle rappelle également que seul le régime de la réglementation relative aux services de paiement est applicable en cas d’opérations non autorisées pour lesquelles le payeur n’a pas donné son autorisation.

Elle fait valoir qu’en l’espèce les opérations de virement ont été effectuées via le système Crédit agricole en ligne et n’ont été possibles qu’après communication de ses codes par la société dont le représentant a d’ailleurs reconnu dans son dépôt de plainte avoir reçu un phishing sur sa boîte mail et avoir été victime d’un Sim swapping. Elle en déduit que lors du phishing le dirigeant de la société a communiqué ses identifiant et code personnel ce qui a permis au fraudeur d’accéder au site.

Elle considère que si la société [Adresse 9] peut ne pas avoir reçu les SMS de la banque elle ne pouvait ignorer les mails adressés pour la confirmation des nouveaux IBAN et qu’elle était donc en mesure d’être alertée sur une éventuelle fraude mais n’a réagi qu’une fois les opérations finalisées.

Elle indique pour sa part ne pas avoir pu connaître le changement de carte Sim.

Elle soutient que le phishing étant reconnu , il n’y a eu aucun dysfonctionnement dans la sécurisation de l’espace client et que les codes d’authentification ayant été communiqués il s’agit bien d’opérations autorisées et les dispositions de l’article L 113-18 du code monétaire et financier n’ont pas à s’appliquer.

Sur l’absence d’authentification forte elle fait valoir que la société n’avait pas souscrit au service Securipass et que l’enregistrement des IBAN a bien bénéficié de l’authentification forte par identification du client sur son espace sécurisé par la saisie de son identifiant et de son code personnel et par validation par l’envoi d’un code unique par SMS. Elle indique cependant qu’à la date des virements contestés il n’était pas mis en place d’authentification forte pour les virements seul l’enregistrement des IBAN en bénéficiant.

A titre subsidiaire, elle soutient que les circonstances de l’espèce caractérisent une négligence grave de la société [Adresse 9] car ayant reçu des courriels de confirmation de création de nouveaux bénéficiaires elle n’a pas été alertée sur une possible utilisation de ses identifications internet et parce qu’elle a répondu de manière imprudente à un phishing. Elle en déduit que la société doit supporter toutes les pertes occasionnées.

S’agissant de son manquement prétendu à l’obligation de vigilance, elle rappelle que la responsabilité de droit commun ne peut s’appliquer, le régime de responsabilité défini aux articles L 133-18 à L 133-24 du code monétaire et financier étant exclusivement applicable. A titre subsidiaire elle fait valoir que le principe de non-immixtion ne cède face au devoir de vigilance que lorsqu’il est démontré au préalable qu’une opération litigieuse est entachée d’une anomalie apparente de nature matérielle ou intellectuelle qui révèle un risque d’illicéité, et qu’en l’espèce les montants des virements initiés par le client n’étaient pas suffisants pour caractériser une anomalie apparente ni la destination des fonds vers une zone euro ou internationale mais que les anomalies purement intellectuelles ne peuvent engager la responsabilité de la banque soumise à un devoir de non-immixtion.

La cour entend rappeler en premier lieu que dès lors que la responsabilité d’un prestataire de services de paiement est recherchée en raison d’une opération de paiement non autorisée ou mal exécutée seul est applicable le régime de responsabilité défini aux articles L 113-18 à L 113-24 du code monétaire et financier.

Aux termes de l’article L 133-18 du code monétaire et financier, en cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L. 133-24, le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, sauf s’il a de bonnes raisons de

soupçonner une fraude de l’utilisateur du service de paiement et s’il communique ces raisons par écrit à la Banque de France. Le cas échéant, le prestataire de services de paiement du payeur rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu.

Lorsque l’opération de paiement non autorisée est initiée par l’intermédiaire d’un prestataire de services de paiement fournissant un service d’initiation de paiement, le prestataire de services de paiement gestionnaire du compte rembourse immédiatement, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, au payeur le montant de l’opération non autorisée et, le cas échéant, rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu. La date de valeur à laquelle le compte de paiement du payeur est crédité n’est pas postérieure à la date à laquelle il avait été débité.

Si le prestataire de services de paiement qui a fourni le service d’initiation de paiement est responsable de l’opération de paiement non autorisée, il indemnise immédiatement le prestataire de services de paiement gestionnaire du compte, à sa demande, pour les pertes subies ou les sommes payées en raison du remboursement du payeur, y compris le montant de l’opération de paiement non autorisée.

Le payeur et son prestataire de services de paiement peuvent décider contractuellement d’une indemnité complémentaire.

L’article L 133-16 énonce que dès qu’il reçoit un instrument de paiement, l’utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses données de sécurité

personnalisées. Il utilise l’instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation qui doivent être objectives, non discriminatoires et proportionnées.

Si en application des articles L 133-16 et L 133-17, il appartient à l’utilisateur des services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ces dispositifs de sécurité

personnalisés et d’informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l’instrument de paiement ou des données qui lui sont liées, c’est à ce prestataire qu’il incombe de rapporter la preuve que l’utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence grave à ses obligations.

Or, cette preuve ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisées.

L’utilisation sans défaillance technique ou piratage des services de paiement en cause ne permet pas de présumer la négligence grave de l’utilisateur et ceci sans considération du niveau de sécurité offert par ces services de paiement.

Il résulte des articles L 133-9 IV et L 133-23 que s’il entend faire supporter à utilisateur d’un instrument de paiement doté d’un dispositif de sécurité personnalisé, les pertes occasionnées par une opération de paiement non autorisée rendue possible par un manquement de cet utilisateur, intentionnel par négligence grave, aux obligations mentionnées aux articles L 133-16 et L 133-17, le prestataire de services de paiement doit aussi prouver que l’opération en cause a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre.

En application des dispositions de l’article L 133-44 du code monétaire et financier, le prestataire de services de paiement applique l’authentification forte du client définie au f de l’article L. 133-4 lorsque le payeur :

1° Accède à son compte de paiement en ligne ;

2° Initie une opération de paiement électronique ;

3° Exécute une opération par le biais d’un moyen de communication à distance, susceptible de comporter un risque de fraude en matière de paiement ou de toute autre utilisation frauduleuse.

Aux termes de l’article L133-4 f du même code, une authentification forte du client s’entend d’une authentification reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories « connaissance » (quelque chose que seul l’utilisateur connaît), « possession » (quelque chose que seul l’utilisateur possède) et « inhérence » (quelque chose que l’utilisateur est) et indépendants en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d’authentification. (…)

Selon l’article L 133-19 II du code monétaire et financier la responsabilité du payeur n’est pas engagée si l’opération de paiement non autorisée a été effectuée en détournant, à l’insu du payeur, l’instrument de paiement ou les données qui lui sont liées et selon l’article L 133-19 V sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si l’opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement du payeur n’exige une authentification forte du payeur prévue à l’article L. 133-44.

Il résulte de l’article 34, VIII, 3°, de l’ordonnance n° 2017-1252 du 9 août 2017, que l’article L 133-44 de ce code, auquel renvoie l’article L 133-19 V est entré en vigueur le 14 septembre 2019, dix-huit mois après l’entrée en vigueur du règlement délégué (UE) 2018/389 de la Commission du 27 novembre 2017 complétant la directive (UE) 2015/2366 par des normes techniques de réglementation relatives à l’ authentification forte du client et à des normes ouvertes communes et

sécurisées de communication.

Il en résulte que l’article L133-44 cité ci-dessus est applicable à l’espèce.

En l’espèce il est établi que la ligne téléphonique de M. [T] représentant de la société [Adresse 9] et utilisée pour l’ouverture du compte bancaire de la société a fait l’objet d’un Sim swapping, des fraudeurs se faisant passer pour le titulaire de la ligne téléphonique s’étant fait délivrer par l’opérateur téléphonique une nouvelle carte Sim afin de pouvoir utiliser le site en ligne de la banque de la société.

Les circonstances de l’obtention de la carte Sim auprès d’une borne interactive et de l’obtention des identifiant et code du service de banque en ligne ne sont pas connues , le représentant de la société ayant simplement indiqué dans son dépôt de plainte avoir eu sur la boîte mail un phishing et reçu de nombreux mails mais aucun mails appels ou messages frauduleux et ne reconnaissant aucunement avoir cliqué sur un lien frauduleux ou transmis ses données personnelles.

La banque conteste en premier lieu le caractère non autorisé des opérations au seul motif qu’elles n’ont été possibles que par la communication et l’utilisation des données personnelles.

Or l’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur et l’utilisation des identifiants ( code , mot de passe reçu par sms …) n’est pas suffisante pour établir le consentement de l’utilisateur.

En l’espèce l’existence du Sim swapping et le fait que l’ensemble des comptes personnels et professionnels de M. [T] dirigeant de plusieurs sociétés et notamment de la société Domaine des Tinarages aient été touchés par des virements frauduleux permettent de retenir l’existence d’opérations non autorisées.

Il ressort des articles L133-44 et L 133-19 du code monétaire et financier qu’il incombe en premier lieu au juge de rechercher si l’opération de paiement litigieuse a été exécutée par le biais d’une authentification forte du payeur.

Si la banque établit qu’elle a procédé à l’ajout de nouveaux bénéficiaires le 21 octobre 2021 par le biais d’un code de sécurité adressé par SMS qui ne seront pas reçus par le titulaire de la ligne mais par les fraudeurs en raison du Sim swapping, elle reconnaît ne pas avoir utilisé de système d’authentification forte pour les virements effectués en faveur de ces bénéficiaires.

Lorsque le prestataire de services de paiement choisit de prendre le risque de ne pas recourir à une authentification forte, il doit en assumer le risque sans pouvoir invoquer, la négligence grave de son client.

Au demeurant il sera rappelé qu’en cas d’utilisation d’un système d’authentification forte il appartient à l’établissement bancaire pour voir écarter sa responsabilité de prouver la fraude ou la négligence grave de l’utilisateur des services de paiement et de prouver l’infaillibilité de son système.

Ainsi la négligence grave doit être la cause principale et prépondérante de l’opération litigieuse.

En l’espèce hormis le Sim swapping, les circonstances de l’action des fraudeurs restent inconnues et la banque ne démontre aucune négligence grave de son client.

En effet si elle invoque le fait que les SMS non parvenus à la société ont été doublés de mails adressés également à la société elle n’en justifie pas, les deux mails en date du 21 octobre 2021 ayant pour objet 'demande d’ajout d’un nouveau compte bénéficiaire’ produits figurant dans les messages supprimés et n’étant pas horodatés alors même que les sms ont été adressés en fin de journée à compter de 16h16 et jusque 22h33.

En tout état de cause l’absence de consultation et de réaction à ces deux mails ne pouvait seule constituer une telle négligence grave.

La responsabilité de la banque est ainsi engagée et elle doit être condamnée au paiement de la somme de 22465 euros avec intérêts au taux légal à compter du 10 novembre 2021 date de la mise en demeure dès lors que la banque avait l’obligation de lui rembourser les sommes frauduleusement détournées.

La capitalisation des intérêts sera ordonnée.

Le jugement entrepris sera infirmé sur ce chef.

Sur l’appel en garantie à l’encontre de la société Free mobile

La caisse régionale de Crédit agricole mutuel Brie Picardie indique qu’elle a remédié au défaut d’appel en la cause de la société de téléphonie mobile par la société [Adresse 9] dont le dirigeant a prétendu avoir été victime d’un Sim swapping, son opérateur téléphonique ayant accepté de créer une nouvelle carte Sim au profit d’un tiers sans vérifier qu’il s’agissait du représentant de la société Domaine des Tinarages et qu’elle avait intérêt à attraire en la cause la société Free mobile.

Elle fait valoir qu’il importe peu que la ligne de téléphone ait été enregistrée sous le nom d’une autre société ou sous le nom de son représentant légal et non au nom de la société [Adresse 9] dès lors que l’ouverture du compte en ligne de celle-ci comprend ce numéro de téléphone qui est celui de son représentant , le représentant de plusieurs sociétés pouvant n’avoir qu’une seule ligne dont la charge est comptabilisée dans une seule société.

Elle indique également que ce numéro de téléphone est celui qui a fait l’objet du Sim swapping.

Elle fait valoir que la création d’une nouvelle carte Sim sans vérification de l’identité de l’interlocuteur est fautive et engage la responsabilité délictuelle de la société Free mobile dès lors que c’est par l’utilisation frauduleuse de la ligne téléphonique que les opérations litigieuses ont pu être réalisées.

Elle fait observer que la société Free mobile n’explique pas comment le fraudeur a pu avoir connaissance du numéro d’abonné et du code secret du représentant de la société pour se faire délivrer une carte Sim à une borne interactive.

La société Free mobile fait observer en premier lieu que les suites de la plainte du représentant de la société [Adresse 9] ne sont pas connues et que la caisse régionale de Crédit agricole n’a pas agi auprès de la banque Boursorama détenant les comptes bancaires sur lesquels les virements ont été faits .

Elle soutient que le fondement délictuel de l’action de la banque est juridiquement conditionné à l’existence d’une faute contractuelle commise par l’opérateur de télécommunication à l’égard de son abonné alors qu’en l’espèce la société [Adresse 9] n’est pas l’abonnée de Free mobile et qu’il ne peut y avoir en conséquence aucune inexécution contractuelle.

Elle fait valoir que la facture téléphonique produite à l’appui de la plainte est au nom de M. [T] et de l’Earl Bellevue et qu’un constat confirme que la société [Adresse 9] ne figure aucunement dans sa base clients.

A titre subsidiaire elle fait valoir qu’elle n’est pas responsable des modalités ou des processus de sécurisation mis en place par les banques pour les opérations à distance de leurs clients et considère que les faits révèlent de graves négligences à répétition et un laisser-aller incontestable dans la sécurisation des opérations bancaires. Elle souligne que les juridictions sanctionnent tant la divulgation des codes secrets et identifiants que l’absence de réaction face aux alertes de la banque.

A titre plus subsidiaire elle soutient qu’aucune faute n’est démontrée à son encontre au regard des sécurités qu’elle met en place lors de l’abonnement et lors de la commande d’une carte Sim qui nécessitent la connaissance du numéro personnel d’abonné et du code personnel secret.

Elle fait valoir qu’en l’espèce les fraudeurs ont obtenu une carte Sim en utilisant une borne interactive en se faisant passer pour l’abonné de Free mobile au moyen de son numéro d’abonné et du code secret qu’ils avaient détournés.

Elle considère qu’elle n’avait aucune raison de douter de la sincérité de la démarche et ce d’autant qu’elle n’a reçu aucune alerte de son abonné et que si elle a pu être trompée elle n’a commis aucune faute.

La société Free mobile ne peut contester avoir attribué la ligne téléphonique n°[XXXXXXXX01] à l’un de ses abonnés M. [T] dirigeant de plusieurs sociétés dont l’EARL Bellevue et la société [Adresse 9] et que cette même ligne téléphonique a été victime d’un Sim swapping ayant permis aux fraudeurs dès lors qu’elle figurait dans les coordonnées de la société Domaine des Tinarages, d’effectuer des opérations sur son compte bancaire.

L’action en responsabilité délictuelle de la caisse régionale de Crédit agricole mutuel Brie Picardie fondée sur la faute contractuelle de la société Free mobile à l’égard de son abonné est donc recevable.

Elle suppose néanmoins que la banque qui entend voir engager la responsabilité de la société de téléphonie apporte la preuve que celle-ci a commis une faute contractuelle ayant un lien de causalité avec le dommage.

Or en l’espèce la caisse régionale de Crédit agricole mutuel Brie Picardie indique que la faute consiste à avoir délivré une nouvelle carte Sim sans vérification de l’identité de l’interlocuteur et sans l’autorisation du titulaire de la ligne téléphonique ayant permis les opérations litigieuses.

Toutefois elle n’établit pas les circonstances de la délivrance de cette nouvelle carte et ne justifie pas de la faute commise dans la délivrance de la nouvelle carte Sim alors que la société Free mobile soutient qu’elle met en place des dispositifs de sécurité lors de la souscription de l’abonnement avec l’attribution d’un identifiant personnel à 8 chiffres et un code secret afin d’accéder à l’espace abonné en ligne, l’attention de l’abonné étant attirée sur le caractère personnel et confidentiel de ces données mais également lors de la commande d’une nouvelle carte Sim pour laquelle sont utilisées les mêmes sécurités.

Elle indique qu’il résulte d’un procès-verbal de constat d’huissier que la carte Sim a été obtenue par les fraudeurs auprès d’une borne interactive et en déduit qu’ils se sont fait passer pour l’abonné en utilisant son identifiant client et son code secret.

Au regard des procédures de sécurité mises en place par la société Free mobile le fait qu’elle ait pu être trompée sur la sincérité de la demande de renouvellement présentée par le détournement des données personnelles de son abonné ne peut constituer une faute.

Aucun élément du dossier ne permet d’établir que le protocole d’identification mis en place par la société Free mobile a été défaillant, aucune carence ou négligence de sa part n’étant mise en évidence.

Il convient en conséquence de débouter la caisse de Crédit régionale de Crédit agricole de son appel en garantie à l’encontre de la société Free mobile.

Sur la demande de dommages et intérêts formée par la société [Adresse 9]

La société Domaine des Tinarages soutient que la situation a entraîné un préjudice moral important et sollicite à ce titre et au titre de la privation des sommes en trésorerie, des dommages et intérêts à hauteur de 2800 euros .

La caisse régionale de Crédit agricole mutuel Brie Picardie soutient que cette demande n’est fondée ni en son principe ni en son montant et fait observer que le préjudice financier est compris dans la demande de restitution des fonds. Elle fait observer que la société [Adresse 9] ne forme aucune demande à l’encontre de son opérateur téléphonique.

Il convient d’observer que la société ne justifie aucunement de son préjudice moral.

S’agissant du préjudice financer lié à la privation des sommes détournées il convient d’observer qu’il sera réparé en partie par l’allocation des intérêts de retard et qu’en outre la société Domaine des Tinarages ne justifie pas avoir subi des difficultés particulières liées à un manque de trésorerie.

Il convient en conséquence de la débouter de sa demande de dommages et intérêts.

Sur les frais irrépétibles et les dépens

Il convient de condamner la caisse régionale de Crédit agricole mutuel Brie Picardie aux entiers dépens de première instance et d’appel.

Il convient de la débouter de ses demandes fondées sur l’article 700 du code de procédure civile tant au titre de la première instance qu’à hauteur d’appel et de confirmer le jugement entrepris en ce qu’il l’a condamnée en première instance à payer aux sociétés Free et Free mobile la somme de 1000 euros chacune sur le fondement de l’article 700 du code de procédure civile.

Il y a lieu de la condamner en revanche à payer à la société [Adresse 8] [Adresse 7] Tinarages la somme de 5000 euros au titre des frais non compris dans les dépens exposés à hauteur de première instance et d’appel et à payer à la société Free mobile la somme de 1500 euros sur le fondement de l’article 700 du code de procédure civile au titre des frais irrépétibles exposés en appel.

PAR CES MOTIFS

La cour statuant publiquement contradictoirement et par mise à disposition de la décision au greffe,

Confirme le jugement entrepris excepté en ce qu’il a débouté la société [Adresse 9] de sa demande en remboursement de la somme de 22465 euros et déclaré irrecevable l’appel en garantie formé par la caisse régionale de Crédit agricole mutuel Brie Picardie à l’encontre de la société Free mobile et condamné la société des Tinarages aux dépens et sur le fondement de l’article 700 du code de procédure civile ;

Statuant à nouveau sur les chefs infirmés ,

Condamne la caisse régionale de Crédit agricole mutuel Brie Picardie à payer à la société [Adresse 9] la somme de 22465 euros avec intérêts au taux légal à compter du 10 novembre 2021 ;

Ordonne la capitalisation des intérêts ;

Déclare recevable l’appel en garantie formée par la caisse régionale de Crédit agricole mutuel Brie Picardie à l’encontre de la société Free mobile

Le dit non fondé et l’en déboute ;

Condamne la caisse régionale de Crédit agricole mutuel Brie Picardie aux entiers dépens de première instance et d’appel ;

Condamne la caisse régionale de Crédit agricole mutuel Brie Picardie à payer à la société [Adresse 9] la somme de 5000 euros au titre des frais non compris dans les dépens exposés à hauteur de première instance et d’appel ;

La condamne à payer à la société Free mobile la somme de 2000 euros sur le fondement de l’article 700 du code de procédure civile au titre des frais irrépétibles exposés en appel.

La Greffière, La Présidente,