AFFAIRE :N° RG 23/02705

ARRÊT N°

NLG

ORIGINE : DECISION en date du 06 Novembre 2023 du TJ de Cherbourg

RG n° 23/00177

COUR D’APPEL DE CAEN

DEUXIEME CHAMBRE CIVILE ET COMMERCIALE

ARRÊT DU 02 MAI 2025

APPELANTE :

S.A. CAISSE D’EPARGNE ET DE PREVOYANCE NORMANDIE

N° SIRET : 383 353 413

[Adresse 2]

[Localité 6]

prise en la personne de son représentant légal

Représentée par M^e Thomas DOLLON, avocat au barreau de CHERBOURG,

Assistée de M^e Julien MARTINET, substitué par M^e Guillaume LE GALL, avocats au barreau de PARIS

INTIME :

Monsieur [X] [D] [L] [O]

né le [Date naissance 3] 1955 à [Localité 7] ( BURKINA FASO)

[Adresse 5]

[Adresse 5]

[Localité 4]

Représenté et assisté par M^e Solveig GROULT, avocat au barreau de CHERBOURG

COMPOSITION DE LA COUR LORS DES DÉBATS ET DU DÉLIBÉRÉ :

Madame EMILY, Président de Chambre,

M^me COURTADE, Conseillère,

M. GOUARIN, Conseiller,

DÉBATS : A l’audience publique du 27 février 2025

GREFFIER : M^me LE GALL, greffier

ARRET prononcé publiquement le 02 mai 2025 à 14h00 par mise à disposition de l’arrêt au greffe de la cour, les parties en ayant été préalablement avisées dans les conditions prévues au deuxième alinéa de l’article 450 du code de procédure civile et signé par Madame EMILY, président, et M^me LE GALL, greffier

FAITS, PROCEDURE ET PRETENTIONS

M. [X] [O] est titulaire avec son épouse d’un compte n°[XXXXXXXXXX01], de deux livrets A et de divers comptes titres ouverts dans les livres de la Caisse d’épargne et de prévoyance de Normandie (la banque).

Il bénéficie des services de banque à distance Direct Ecureuil auquel est lié le numéro de téléphone du client et dont l’accès suppose la saisie d’un identifiant, d’un mot de passe ainsi que d’un code d’authentification.

Le service Direct Ecureuil comporte la possibilité d’accéder à un dispositif d’authentification forte dénommé Secur’Pass.

Le 28 juin 2021 à 1h06, M. [O], qui n’avait pas activé le dispositif Secur’Pass, a reçu un courriel depuis l’adresse renommée Caisse Epargne [Courriel 9]> avec pour objet 'Contact : vérification de votre numéro de mobile’ lui demandant de confirmer son numéro de téléphone lié à son compte en suivant les instructions à travers le lien https://mabanque.caisse-epargne.fr/mobile/.

Les 1er et 2 juillet 2021, deux nouveaux comptes bénéficiaires ont été ajoutés et des virements ont été effectués via le dispositif de paiement sécurisé Secur’Pass depuis le livret A vers le compte de dépôt puis depuis ce compte au profit de ces nouveaux bénéficiaires pour un montant total de 13.499 euros.

Le 2 juillet 2021, M. [O] a signalé à la banque ces ajouts et virements et a déposé plainte pour escroquerie.

Des demandes de retour de fonds adressées par la banque ont permis la restitution d’une somme globale de 1.978,04 euros.

Le 5 août 2022, M. [O] a mis en demeure la banque de lui rembourser la somme de 11.520,96 euros.

Cette mise en demeure et la saisine du médiateur de la fédération bancaire française étant demeurées infructueuses, M. [O] a, le 23 février 2023, assigné la banque devant le tribunal judiciaire de Cherbourg-en-Cotentin aux fins, notamment, de voir condamner celle-ci au paiement de la somme de 11.520,96 euros avec intérêts au taux légal à compter du 1er juillet 2021.

Par jugement du 6 novembre 2023, le tribunal judiciaire de Cherbourg-en-Cotentin a :

— condamné la banque à verser à M. [O] la somme de 11.520,96 euros avec intérêts au taux légal à compter de sa décision,

— condamné la banque aux dépens,

— condamné la banque à verser à M. [O] la somme de 1.500 euros à titre d’indemnité de procédure,

— débouté la banque de sa demande au titre de ses frais irrépétibles,

— débouté les parties du surplus de leurs demandes.

Selon déclaration du 25 novembre 2023, la banque a relevé appel de cette décision.

Par dernières conclusions du 4 juillet 2024, l’appelante demande à la cour d’infirmer le jugement attaqué en ce qu’il l’a condamnée à verser à M. [O] la somme de 11.520,96 euros avec intérêts au taux légal à compter de sa décision, l’a condamnée aux dépens et à verser à M. [O] la somme de 1.500 euros à titre d’indemnité de procédure, statuant à nouveau de ces chefs, de débouter l’intimé de toutes ses demandes et de condamner ce dernier à lui verser la somme de 3.000 euros à titre d’indemnité de procédure ainsi qu’aux entiers dépens.

Par dernières conclusions du 16 mai 2024, M. [O] demande à la cour de confirmer le jugement attaqué, de débouter la banque de toutes ses demandes et de condamner celle-ci au paiement de la somme de 2.500 euros à titre d’indemnité de procédure ainsi qu’aux entiers dépens qui comprendront le coût du recouvrement forcé éventuel.

La mise en état a été clôturée le 22 janvier 2025.

Pour plus ample exposé des prétentions et moyens, il est référé aux dernières écritures des parties.

MOTIFS

1. Sur les demandes principales

Il résulte des articles L. 133-19 IV et L. 133-23 alinéa 1er du code monétaire et financier que s’il entend faire supporter à l’utilisateur d’un instrument de paiement doté d’un dispositif de sécurité personnalisé les pertes occasionnées par une opération de paiement non autorisée rendue possible par un manquement de cet utilisateur, intentionnel ou par négligence grave, aux obligations mentionnées aux articles L. 133-16 et L. 133-17 de ce code, le prestataire de services de paiement doit au préalable prouver que l’opération en cause a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre (Com., 20 novembre 2024, n°23-15.099 ; Com., 30 avril 2025, n°24-10149).

Si, aux termes des articles L. 133-16 et L. 133-17 du code monétaire et financier, il appartient à tout utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d’informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l’instrument de paiement ou des données qui lui sont liées, c’est à ce prestataire qu’il incombe, par application des articles L. 133-19 et L. 133-23 du même code, de rapporter la preuve que l’utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence grave à ses obligations, cette preuve ne pouvant se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisées (Com., 28 mars 2018, n°16-20.018).

Manque, par sa négligence grave, à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés l’utilisateur d’un service de paiement qui communique les données personnelles de ce dispositif de sécurité en réponse à un courriel qui contient des indices permettant à un utilisateur normalement attentif de douter de sa provenance, peu important qu’il soit ou non avisé des risques de hameçonnage (Com., 28 mars 2018, n°16-20.018) ou qu’il soit ou non de bonne foi (Com., 1er juillet 2020, n°18-21.487).

Pour statuer comme il l’a fait, le tribunal, dont l’intimé s’approprie les motifs, a retenu que la banque ne prouvait pas le mode opératoire d’installation du dispositif Secur’Pass, que la nature des informations réellement communiquées par le titulaire du compte était douteuse, que celui-ci n’avait pas validé les opérations litigieuses, qu’il lui était impossible de joindre la banque entre le moment où ces opérations ont été réalisées et immédiatement constatées et l’ouverture de la banque, que M. [O] avait immédiatement fait opposition sur sa carte bancaire, que compte tenu de la réception le même jour d’un courriel de sa banque concernant le déploiement du dispositif Secur’Pass, de la mention du nom de la banque comme émetteur du courriel litigieux, du dispositif Secur’Pass et de la présence du logo de la banque sur le courriel litigieux un usager normalement attentif n’aurait pu déceler que l’adresse d’envoi de ce courriel n’était pas celle de la banque, qu’il manquait un 'l’ au mot 'ailleurs’ et que la négligence commise par M. [O] ne revêtait pas le caractère de gravité permettant d’exclure la responsabilité du payeur.

L’appelante fait grief au tribunal d’avoir fait droit à la demande en paiement formée par M. [O], alors, d’une part, qu’elle a respecté ses obligations en ce que l’utilisation du procédé d’authentification forte Secur’Pass mis à la disposition de son client fait présumer le consentement de ce dernier aux opérations litigieuses en l’absence d’anomalie manifeste, que M. [O] a nécessairement communiqué non seulement le numéro de sa carte bancaire mais encore l’identifiant d’accès à son compte en ligne via son espace ainsi que son mot de passe et qu’en vertu des principes de non-ingérence et de non-immixtion elle était tenue d’exécuter les opérations en cause, que le client a été destinataire de courriels dès le 1er juillet 2021 à 20h51 et 20h52 l’informant de l’ajout de nouveaux comptes bénéficiaires sur son espace client et de quatre ordres de virement en cinq minutes pour un montant total de 10.499 euros et qu’il aurait pu accéder dès cet instant sur son espace internet à la fonctionnalité 'Sécurisations des opérations en ligne’ et modifier le numéro de téléphone lié au dispositif Secur’Pass, d’autre part, que M. [O] a commis des négligences graves en cliquant sur un lien en réponse à un courriel contenant des indices permettant à un utilisateur normalement attentif de douter de sa provenance, notamment une adresse ne correspondant pas à celle de sa banque, des erreurs de typographie, des fautes de français et de syntaxe et en s’abstenant d’informer sans tarder la banque de l’utilisation non autorisée de son instrument de paiement ou des données qui lui sont liées.

En l’espèce, il ressort des pièces produites, notamment des conditions générales produites par la banque afin de décrire les modalités du dispositif Secur’Pass et non pour opposer à M. [O] un manquement à ses obligations contractuelles (pièces n°1, 2 appelante), que le service de banque à distance Direct Ecureuil, auquel M. [O] avait accès, comporte la possibilité d’accéder à un dispositif d’authentification forte Secur’Pass nécessitant la saisie d’un code spécifique pour sécuriser des opérations sensibles initiées depuis son espace personnel et pour valider des opérations de paiement tels les virements. L’activation du dispositif Secur’Pass peut être effectuée par le client par la saisie de certains numéros aléatoires de sa carte bancaire, suppose la déclaration d’un téléphone mobile, l’activation à partir de l’espace personnel du client depuis l’application mobile et la saisie par le client d’un code Secur’Pass qu’il a choisi.

Le service Secur’Pass a été souscrit le 28 juin 2021, date de réception du courriel frauduleux, et les opérations de paiement litigieuses ont toutes été effectuées via internet mobile et une authentification par Secur’Pass (pièce n°8 appelante).

Le 1er juillet 2021 à 20 h 51, un nouveau compte bénéficiaire a été créé au nom de M. [G] [V] [P] et entre 20h52 et 21h03 huit virements internes et externes ont été effectués. Le 2 juillet 2021 à 8h33 un nouveau compte bénéficiaire a été créé au nom de M. [Z] et à 8h33 deux virements interne et externe ont été réalisés.

Il résulte de ces constatations que, contrairement à ce que soutient M. [O] qui indique dans sa plainte n’avoir transmis que son numéro de carte bancaire et, dans ses dernières conclusions, 'ne se souvient pas exactement des renseignements qui ont pu lui être demandés', celui-ci a nécessairement communiqué à des tiers son identifiant et son mot de passe d’accès au service bancaire à distance ainsi que son numéro de carte bancaire, indispensables à l’activation du service Secur’Pass par lequel toutes les opérations de virement litigieuses ont été effectuées.

Dès le 1er juillet 2021 à 20h51, la banque a informé M. [O] de l’ajout d’un nouveau compte bénéficiaire, M. [G] [V] [P], invitant M. [O] à prendre contact avec un conseiller dans les meilleurs délais s’il n’avait pas initié cette demande. Le 1er juillet 2021 à 20h52, la banque a informé M. [O] de la réalisation de virements au crédit de ce compte (pièce n°10 appelante).

Au regard de ces éléments, les opérations en cause ont été authentifiées, dûment enregistrées et comptabilisées et n’ont pas été affectées par une déficience technique ou autre, ce qui n’est au demeurant pas discuté par l’intimé.

Cependant, contrairement à ce soutient l’appelante, l’utilisation du dispositif d’authentification forte Secur’Pass ne fait pas présumer l’autorisation des opérations de paiement en cause ou la négligence grave de la part de l’utilisateur (Com., 18 janvier 2017, n°15-18.102, 15-18.224, 15-18.466, 15-26.058 et 15-22.783).

Le 1er juillet 2021 à 20h51, la banque a informé M. [O] de l’ajout d’un nouveau compte bénéficiaire, M. [G] [V] [P], invitant M. [O] à prendre contact avec un conseiller dans les meilleurs délais s’il n’avait pas initié cette demande.

Le 1er juillet 2021 à 20h52, la banque a informé M. [O] de la réalisation de virements au crédit de ce compte (pièce n°10 appelante).

Dès le 2 juillet 2021, M. [O] a informé la banque du caractère frauduleux de ces opérations, ce qui a permis à celle-ci d’effectuer des demandes de restitution en partie fructueuses, et a ainsi rempli son obligation d’informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l’instrument de paiement ou des données qui lui sont liées prévue à l’article L. 133-17 du code monétaire et financier.

À cet égard, est indifférente l’allégation selon laquelle la banque n’offre pas à ses clients la possibilité de signaler ou faire cesser les opérations de paiement frauduleuses y compris en dehors des horaires d’ouverture de ses agences, alors que M. [O] a été informé par sa banque des opérations litigieuses dès le 1er juillet 2021 à 20h50, soit dès l’ajout d’un nouveau compte bénéficiaire depuis son espace personnel, et qu’il a été en mesure d’aviser sa banque dès le lendemain, respectant ainsi ses obligations.

Cependant, M. [O] a communiqué les données personnelles du dispositif de sécurité mis à sa disposition, à savoir son identifiant et son mot de passe d’accès au service bancaire à distance ainsi que son numéro de carte bancaire, en réponse à un courriel qui contenait des indices permettant à un utilisateur normalement attentif de douter de sa provenance et a ainsi manqué, par sa négligence grave, à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés comme exigé par les articles L. 133-16 et L. 133-17 du code monétaire et financier.

En effet, si le courriel reçu le 28 juin 2021 à 1h06 portait le logo de la Caisse d’Epargne, celui-ci était adressé depuis l’adresse renommée 'Caisse Epargne [Courriel 9]>', soit depuis une adresse ne correspondant pas à celles habituellement utilisées par la banque et ne pouvant être confondue avec celles-ci, comportait des anomalies consistant en des fautes d’orthographe ou de typographie, à savoir l’omission d’un 'l’ dans le mot 'ailleurs, d’accent et de majuscule sur le mot 'épargne', ou encore en l’emploi de temps ou de formules impropres telles que 'ce courriel vous a été envoyé', 'nous vous invitons de bien vouloir confirmer', 'à travers le lien', et lui demandait de cliquer sur un lien pour une simple confirmation du numéro de téléphone lié à son compte, information que détenait déjà la banque.

Ces irrégularités ne pouvaient échapper à M. [O] qui, réceptionnant un courriel relevant du hameçonnage et non du 'spoofing', disposait du temps nécessaire pour examiner ce courriel et s’apercevoir des anomalies révélatrices de son origine frauduleuse (Com., 23 octobre 2024, n°23-16.267).

Il s’ensuit que la réception, le même jour à 11h02, d’un courriel ayant pour objet le dispositif Secur’Pass provenant de la banque ne saurait avoir mis en confiance ou fait naître une confusion chez M. [O], d’autant que ce courriel a été reçu postérieurement au courriel litigieux et était envoyé, à la différence du courriel litigieux, depuis l’adresse mail habituelle d’un conseiller de sa banque, '[Courriel 8]'.

Ainsi, le prestataire de services de paiement rapporte la preuve, dont la charge lui incombe, de la négligence grave de l’utilisateur, conformément aux dispositions de l’article L. 133-23 du code monétaire et financier.

Le jugement sera donc infirmé et, étant statué à nouveau, la demande en paiement formée par M. [O] à l’encontre de la banque sera rejetée.

2. Sur les demandes accessoires

Compte tenu de la solution donnée au litige, les dispositions du jugement entrepris relatives aux frais irrépétibles et aux dépens de première instance seront infirmées.

M. [O], qui succombe, sera condamné aux dépens de première instance et d’appel, débouté de sa demande d’indemnité de procédure et condamné à payer à la banque la somme de 3.000 euros sur le fondement de l’article 700 du code de procédure civile.

PAR CES MOTIFS

La cour, statuant publiquement, par arrêt contradictoire mis à disposition au greffe,

Infirme le jugement entrepris ;

Statuant à nouveau et y ajoutant,

Rejette toutes les demandes formées par M. [X] [O] à l’encontre de la Caisse d’épargne et de prévoyance de Normandie ;

Condamne M. [X] [O] aux dépens de première instance et d’appel et à payer à la Caisse d’épargne et de prévoyance de Normandie la somme de 3.000 euros sur le fondement de l’article 700 du code de procédure civile.

LE GREFFIER LE PRÉSIDENT

N. LE GALL F. EMILY