MR/SL

COUR D’APPEL de CHAMBÉRY

Chambre civile – Première section

Arrêt du Mardi 10 Décembre 2024

N° RG 22/00525 – N° Portalis DBVY-V-B7G-G6L6

Décision attaquée : Jugement du TJ hors JAF, JEX, JLD, J. EXPRO, JCP d’ALBERTVILLE en date du 03 Mars 2022

Appelante

S.A. BNP PARIBAS, dont le siège social est situé [Adresse 1]

Représentée par la SCP PEREZ ET CHAT, avocats postulants au barreau de CHAMBERY

Représentée par PARTNERSHIPS BRYAN CAVE LEIGHTON PAISNER (France) LLP, avocats plaidants au barreau de PARIS

Intimé

M. [N] [R]

né le [Date naissance 2] 1967 à [Localité 6], demeurant [Adresse 3]

Représenté par la SELARL JURISOPHIA SAVOIE, avocats au barreau de CHAMBERY

— =-=-=-=-=-=-=-=-

Date de l’ordonnance de clôture : 27 Mai 2024

Date des plaidoiries tenues en audience publique : 17 septembre 2024

Date de mise à disposition : 10 décembre 2024

— =-=-=-=-=-=-=-=-

Composition de la cour :

— M^me Hélène PIRAT, Présidente,

— M^me Myriam REAIDY, Conseillère,

— M. Guillaume SAUVAGE, Conseiller,

avec l’assistance lors des débats de M^me Sylvie LAVAL, Greffier,

— =-=-=-=-=-=-=-=-

Faits et procédure

M. [N] [R] est titulaire d’un compte courant ouvert dans les livres de la société BNP Paribas exploitant sous l’enseigne Hello Bank.

Par courrier du 14 novembre 2019 M. [R] a vainement contesté auprès de sa banque le virement frauduleux réalisé le même jour pour un montant de 6 000 euros.

Par acte d’huissier du 24 juin 2021, M. [R] a assigné la société BNP Paribas devant le juge des contentieux de la protection du tribunal judiciaire d’Albertville notamment aux fins de la condamner à lui payer la somme de 6 000 euros.

Par jugement du 3 mars 2022, le tribunal judiciaire d’Albertville, avec le bénéfice de l’exécution provisoire, a :

— Constaté que la société BNP Paribas a commis une faute contractuelle en autorisant le virement du 14 novembre 2019 ;

— Condamné la société BNP Paribas à payer à M. [R] :

— la somme de 6 000 euros de dommages et intérêts contractuels ;

— la somme de 67,50 euros à titre de dommages et intérêts pour résistance abusive ;

— Débouté M. [R] de sa demande au titre du préjudice moral ;

— Condamné la société BNP Paribas à payer à M. [R] la somme de 1 200 euros en application de l’article 700 du code de procédure civile ;

— Condamné la société BNP Paribas aux entiers dépens.

Au visa principalement des motifs suivants :

L’établissement bancaire qui a une obligation en tant que professionnel d’informer ses clients des risques de ces pratiques d’hameçonnage par usurpation de l’identité de la banque, ne justifie pas avoir informé son client de ces risques spécifiques ;

La validation par clé ne permet pas sans un examen et une analyse minutieuse de comprendre que la validation de l’ajout d’un bénéficiaire vaut l’autorisation de transférer la somme de 6 000 euros ;

La banque ne justifie pas que lors de ces opérations de virement, il ait été avant la validation de l’opération, mentionné à une seule reprise qu’une somme de 6 000 euros devait être virée, qu’il n’est pas évident pour un néophyte de comprendre que l’enregistrement des coordonnées bancaires d’un bénéficiaire puisse entraîner le virement d’une somme d’argent tant ces deux opérations paraissent à priori d’une nature différente ;

La mention d’une somme et surtout du montant de 6 000 euros aurait alerté le client sur la nature de l’opération qu’il s’apprêtait à valider.

Par déclaration au greffe du 28 mars 2022, la société BNP Paribas a interjeté appel de la décision en toutes ses dispositions hormis en ce qu’elle a débouté M. [R] de sa demande au titre du préjudice moral.

Prétentions et moyens des parties

Par dernières écritures du 19 décembre 2022, régulièrement notifiées par voie de communication électronique, la société BNP Paribas sollicite l’infirmation des chefs critiqués de la décision et demande à la cour de :

Statuant à nouveau,

— Débouter M. [R] de l’intégralité de ses demandes, fins et prétentions ;

— Dire et juger que M. [R] a commis une négligence grave au sens de l’article L. 133- 19 IV du code monétaire et financier ;

— Condamner M. [R] à verser à la société BNP Paribas la somme de 2 500 euros au titre de l’article 700 du Code de procédure civile ainsi qu’aux entiers dépens ;

— Dire et juger qu’il n’y a pas lieu à exécution provisoire.

Au visa principalement des motifs suivants :

L’opération litigieuse a été dûment authentifiée par l’usage des moyens de sécurisation dont le client a la garde et elle a parfaitement respecté ses obligations en matière de sécurisation des opérations en ligne ;

M. [R] disposait donc de la faculté immédiate de mettre à néant la capacité du fraudeur d’émettre le virement opéré ;

M. [R] a fait preuve de plusieurs négligences graves ayant permis la réalisation de la fraude dont il a été victime.

Par dernières écritures du 23 septembre 2022, régulièrement notifiées par voie de communication électronique, M. [R] demande à la cour de :

— Juger recevable mais mal fondé l’appel interjeté par la société BNP Paribas contre le jugement prononcé par le tribunal judiciaire d’Albertville en date du 3 mars 2022 ;

— Confirmer le jugement entrepris en toutes ses dispositions hormis en ce qu’il l’a débouté de sa demande au titre du préjudice moral ;

L’infirmant pour le surplus,

— Condamner la société BNP Paribas à lui payer la somme de 1 500 euros en réparation du préjudice causé par la résistance abusive de la Banque, et la somme de 1 500 euros en réparation de son préjudice moral

— Condamner la société BNP Paribas à lui payer la somme supplémentaire de 3 000 euros en application des dispositions de l’article 700 du code de procédure civile, ainsi qu’aux entiers dépens distraits au profit de la société Max Joly & Associés, avocats.

Au visa principalement des motifs suivants :

Il n’a jamais été invité à valider l’ajout d’un bénéficiaire, la sollicitation étant limitée à son numéro de téléphone ;

La fraude dont il a été victime procède exclusivement des multiples défaillances du système d’authentification forte, et ces circonstances constituent autant de fautes imputables à la société BNP Paribas dont la responsabilité sera confirmée ;

La société BNP Paribas n’apporte pas la preuve d’une négligence grave de sa part et procède exclusivement par voie d’affirmations péremptoire ;

L’opération a été mise en place frauduleusement et de façon automatique sans la moindre intervention ou négligence de sa part ;

Aucun indice, aucune sérieuse anomalie, ni dans la forme, ni dans le contenu, ne venaient éveiller un quelconque doute quant à la provenance frauduleuse du courriel.

Pour un plus ample exposé des faits, de la procédure et des prétentions des parties, la cour se réfère à leurs conclusions visées par le greffe et développées lors de l’audience ainsi qu’à la décision entreprise.

Une ordonnance en date du 27 mai 2024 a clôturé l’instruction de la procédure. L’affaire a été plaidée à l’audience du 17 septembre 2024.

MOTIFS ET DECISION

Aux termes des articles L133-16 et L133-17 du code monétaire et financier, il appartient à l’utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité des dispositifs de sécurité personnalisés et d’informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l’instrument de paiement ou des données qui lui sont liées.

C’est cependant à ce prestataire qu’il appartient, en application des dispositions des articles L133-10 IV et L133-23 du même code de rapporter la preuve que l’utilisateur qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence grave, à ses obligations (Com. 18 janvier 2017, pourvoi n°15-18.102, n°15-18.224, n°15-26.056, n°15-22.783, n°15-18.466).

Il est admis que cette preuve ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés.

En cas d’utilisation d’un dispositif de sécurité personnalisé, il appartient également au prestataire de prouver que l’opération a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre.

Les articles L133-4 et L133-44-I du code précité définissent pour le premier, 'l’authentification forte du client’ comme celle reposant sur l’utilisation de deux éléments, ou plus, appartenant aux catégories connaissance (information détenue par le client), possession (quelque chose en possession du client), et inhérence (quelque chose que l’utilisateur est), et indépendants, laquelle doit obligatoirement être utilisée, selon le second texte, pour l’accès du payeur à son compte de paiement en ligne, pour une opération de paiement électronique, et pour une opération par le biais d’un moyen de communication à distance.

En application de l’article 13 de la directive 2015/2366 révisée du 25 novembre 2015, dite DSP2, transposée par ordonnance n°2017-1252 du 9 août 2017 et applicable depuis le 14 septembre 2019, la banque n’a pas l’obligation d’exiger l’authentification forte pour les paiements réalisés au profit d’un tiers de confiance préalablement enregistré auprès d’elle. En revanche, l’enregistrement du bénéficiaire se fait par authentification forte.

En l’espèce, il est établi qu’un virement de 6 000 euros a été débité du compte bancaire Hello Bank de M. [R] le 14 novembre 2019 avec les mentions suivantes sur le relevé de compte 'virement sepa émis/motif épargne/ben validation de votre numéro de téléphone mobile/ref do/ref ben'.

Cette opération relevait de la procédure dite d’authentification forte, de sorte que l’établissement bancaire qui doit justifier que le processus ayant conduit au virement bancaire litigieux a bien respecté les critères de sécurité, et ne peut s’exonérer de son obligation de rembourser et de remettre en état le compte de son client qu’en démontrant la négligence grave de l’utilisateur qui n’a pas satisfait à son obligation contractuelle de préservation de la sécurité de ses dispositifs de sécurité personnalisés.

M. [R] a relaté, lors de la plainte déposée le 14 novembre 2019 à 15h10 à la gendarmerie de [Localité 6] 'aujourd’hui, j’ai consulté ce mail, sur ce mail, il y avait les logos de la BNP Paribas, il me demandait de valider mon numéro de téléphone, pour cela, je devais cliquer sur un lien. (..) J’ai composé mon numéro d’identifiant et mon code secret, cela m’a réouvert une autre page me redemandant mon code secret. Après avoir composé mon code secret, j’ai reçu un message de ma banque me confirmant que j’avais ajouté un nouveau bénéficiaire sur mes virements. J’ai tout fermé, je suis allé sur mon application de ma banque, sur les bénéficiaires, j’ai constaté l’ajout d’un numéro de compte, je l’ai effacé immédiatement.'

L’examen du courriel reçu le 12 novembre 2019 au nom de la société BNP Paribas auquel M. [R] a répondu, démontre que celui-ci comportait, malgré son apparente régularité formelle, des indices permettant à un utilisateur normalement attentif de se douter de sa provenance frauduleuse. Outre l’adresse électronique de l’expéditeur ([Courriel 4]) qui n’avait rien à voir avec l’adresse de messagerie électronique d’un serveur bancaire ou d’un employé d’un établissement bancaire, les phrases présentaient des redondances et une progression logique décousue. En outre, de façon encore plus frappante, la dernière phrase était affectée de petites fautes d’orthographes, mais surtout d’une syntaxe incorrecte : 'nous vous prions de bien vouloir confirmer votre attention dans un délais de 48H, tous les détails demandés afin d’évitez tout disfonctionnement lié à votre compte.'. La fin du courriel finissait par la répétition d’une formule de politesse 'nous vous remercions de votre confiance, merci de votre confiance'.

Par la suite, un courriel au nom de la 'hello team’ (et non au nom de la BNP Paribas, ce qui pouvait constituer un autre indice sur la provenance du courriel), annonçant l’ajout d’un bénéficiaire 'validation de votre numéro mobile’ a été reçu le 14 novembre 2019 à 13h18. M. [R] a supprimé le compte bénéficiaire [XXXXXXXXXX05] 'validation de votre numéro mobile’ le même jour à 13h23, sachant que le virement litigieux a été effectué à 13h21, entre 13h18 et 13h23.

Si M. [R] conteste avoir validé l’ajout d’un bénéficiaire via la clé digitale installée préalablement sur son téléphone portable et qui constitue l’authentification forte requise par l’article L133-4 du code monétaire financier, il admet dans ses conclusions, 'qu’en l’absence de toute indication spécifique, il a légitimement pensé mettre à jour son numéro de téléphone'. Il soutient avoir reçu 'un simple 'sms', dont il ne fournit pas la copie, alors que la société BNP Paribas produit un exemple de la notification reçue par le titulaire d’un compte bancaire aux fins d’ajouter un bénéficiaire qui mentionne en en-tête 'validation par clé digitale', puis 'opération: ajout de bénéficiaire, nom de bénéficiaire : XXX, compte associé : XXX, date de l’opération', et invitant en bas de page à annuler ou valider.

Or, l’escroc a opportunément intitulé son compte 'validation de votre numéro mobile', de sorte qu’il résulte de la combinaison des données issues du serveur informatique de la banque et de la déclaration de M. [R] comme quoi il a 'mis à jour son numéro de téléphone', que la clé digitale a bien été validée par ses soins. En effet, cet élément est confirmé par la capture d’écran des serveurs informatiques de la banque, figurant dans les écritures de la BNP Paribas, et qui mentionne à 13h18 'canalrib'' l’ajout d’un IBAN dénommé 'validation de votre numéro de mobile’ et à 13h19 'canalvalid', IBAN : clé digitale.

Il est certain que le virement de 6 000 euros lui-même n’a pas été validé par M. [R], toutefois, l’ajout d’un bénéficiaire, devenu tiers de confiance préalablement enregistré auprès du prestataire de services de paiement, a bien été validé par authentification forte quelques minutes avant le virement litigieux, et le surplus de l’opération de transfert des fonds a été validée par l’intermédiaire des identifiants et du code secret que l’intimé a reconnu avoir communiqué à deux reprises via le lien cliquable intégré dans le mail reçu le 12 novembre 2014 auquel il a imprudemment répondu le 14 novembre 2019. Ainsi qu’il a été rappelé ci-dessus, la directive DSP2 n’impose pas à l’établissement bancaire d’appliquer la procédure d’authentification forte dès lors qu’un virement a lieu au profit d’un bénéficiaire préalablement agréé via une précédente authentification forte.

Dans ces conditions, il y a lieu d’infirmer le jugement entrepris, la société BNP Paribas démontrant avoir respecté les procédures de sécurité requises et avoir sollicité de son client l’authentification forte avant ajout d’un bénéficiaire. Le virement frauduleux a été rendu possible en raison du manquement de M. [R] à son obligation contractuelle de préserver la confidentialité de ses données de sécurité personnalisées, alors qu’il a communiqué ses identifiants et son code secret permettant d’accéder à son espace bancaire virtuel, constituant à l’évidence une négligence grave.

Succombant au fond, M. [R] supportera les dépens de première instance et d’appel. Il ne paraît enfin pas inéquitable de rejeter la demande de la société BNP Paribas sur le fondement de l’article 700 du code de procédure civile. La demande d’exécution provisoire est sans objet s’agissant d’un arrêt.

PAR CES MOTIFS

La cour, statuant publiquement, par décision contradictoire et après en avoir délibéré conformément à la loi,

Infirme le jugement entrepris en toutes ses dispositions, sauf en ce qu’il a débouté M. [N] [R] de sa demande au titre du préjudice moral,

Statuant à nouveau,

Déboute M. [N] [R] de condamnation de la société BNP Paribas à rembourser la somme de 6 000 euros, ainsi que des dommages-intérêts pour résistance abusive,

Condamne M. [N] [R] aux dépens de première instance et d’appel,

Déboute la société BNP Paribas de sa demande au titre de l’article 700 du code de procédure civile,

Dit n’y avoir lieu à statuer sur la demande d’arrêt de l’exécution provisoire.

Arrêt Contradictoire rendu publiquement par mise à disposition de l’arrêt au greffe de la Cour, les parties en ayant été préalablement avisées dans les conditions prévues au deuxième alinéa de l’article 450 du code de procédure civile,

et signé par Hélène PIRAT, Présidente et Sylvie LAVAL, Greffier.

Le Greffier, La Présidente,

Copie délivrée le 10 décembre 2024

à

la SCP PEREZ ET CHAT

la SELARL JURISOPHIA SAVOIE

Copie exécutoire délivrée le 10 décembre 2024

à

la SCP PEREZ ET CHAT