MINUTE N° 24/305

Copie exécutoire à :

— M^e Dominique BERGMANN

— M^e Céline RICHARD

Le

Le greffier

REPUBLIQUE FRANCAISE

AU NOM DU PEUPLE FRANCAIS

COUR D’APPEL DE COLMAR

TROISIEME CHAMBRE CIVILE – SECTION A

ARRET DU 10 Juin 2024

Numéro d’inscription au répertoire général : 3 A N° RG 23/02588 – N° Portalis DBVW-V-B7H-IDO3

Décision déférée à la cour : jugement rendu le 15 juin 2023 par le tribunal judiciaire de Strasbourg

APPELANTS :

Monsieur [N] [L]

[Adresse 2]

[Localité 3]

Représenté par M^e Dominique serge BERGMANN, avocat au barreau de COLMAR

Madame [M] [T] épouse [L]

[Adresse 2]

[Localité 3]

Représentée par M^e Dominique serge BERGMANN, avocat au barreau de COLMAR

INTIMÉE :

S.A. BNP PARIBAS, prise en la personne de son représentant légal

[Adresse 1]

[Localité 4]

Représentée par M^e Céline RICHARD, avocat au barreau de COLMAR

COMPOSITION DE LA COUR :

L’affaire a été débattue le 25 mars 2024, en audience publique, devant la cour composée de :

M^me FABREGUETTES, présidente de chambre

M^me DESHAYES, conseillère

M. LAETHIER, vice-président placé

qui en ont délibéré.

Greffier lors des débats : M. BIERMANN

ARRET :

— contradictoire

— prononcé publiquement par mise à disposition de l’arrêt au greffe de la cour, les parties en ayant été préalablement avisées dans les conditions prévues au deuxième alinéa de l’article 450 du code de procédure civile.

— signé par M^me Isabelle FABREGUETTES, présidente et M. Jérôme BIERMANN, greffier, auquel la minute de la décision a été remise par le magistrat signataire.

*****

FAITS CONSTANTS ET PROCEDURE

Monsieur [N] [L] et Madame [M] [T] épouse [L] sont titulaires d’un compte commun de dépôt ouvert auprès de la Sa Bnp Paribas.

Le 2 novembre 2021, Monsieur [N] [L] a reçu, sur son portable, des appels d’un individu se présentant comme membre de la cellule anti-fraude des cartes bancaires de la société Bnp Paribas sollicitant diverses vérifications d’informations et démarches de sa part.

Il s’est avéré que trois virements ont alors été opérés depuis son compte pour un peu plus de 40 000 euros, outre un achat à hauteur de 600 euros.

Monsieur [N] [L] a déposé plainte contre X le 3 novembre 2021 et a contesté auprès de sa banque les opérations réalisées.

Le 25 novembre 2021, le compte de Monsieur [N] [L] a été recrédité d’une somme de 35 000 euros.

Les 11 et 27 décembre 2021, Monsieur [N] [L] a mis la Bnp Paribas en demeure de lui rembourser les sommes de 5.278,50 euros et 600 euros, correspondant au dernier virement opéré le 2 novembre 2021 à 20h43 au profit d’un dénommé « Mister » resté non remboursé et à un achat réalisé par carte bancaire.

Par exploit délivré le 6 avril 2022, Monsieur [N] [L] et Madame [M] [T] épouse [L] ont fait assigner la Sa Bnp Paribas aux 'ns de la voir condamner à leur verser les sommes de 5.278,50 euros et 450 euros avec intérêt légal à compter du 11 décembre 2021, 1.500 euros à titre de dommages et intérêts et 1.500 euros à titre d’indemnité de procédure, en sus des dépens.

Les époux [L] ont fondé leur demande sur le préjudice résultant des opérations frauduleuses effectuées le 2 novembre 2021 par des escrocs ayant eu accès à leur profil sur l’application de la banque, par suite des défaillances de cette dernière, et sur l’obligation de la banque de procéder à leur remboursement sur le fondement de l’article L133-18 du code monétaire et financier, subsidiairement sur son manquement à son devoir de vigilance prévu à l’article L 561-6 du même code.

La banque s’est opposée aux demandes adverses et en a sollicité le débouté, outre la condamnation des demandeurs à lui payer la somme de 1.500 euros au titre de l’article 700 du code de procédure civile, en sus des dépens, aux motifs essentiellement que Monsieur [N] [L] avait contribué à son préjudice en acceptant d’utiliser un mot de passe communiqué par téléphone et en tardant à informer sa banque. Elle se prévalait notamment des termes de l’article L 133-16 du code monétaire et financier imposant à l’utilisateur d’un instrument de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses données, faute de quoi il est considéré comme ayant agi par négligence grave et doit supporter les pertes occasionnées.

Par jugement contradictoire rendu le 15 juin 2023, le tribunal judiciaire de Strasbourg a débouté les époux [L] en toutes leurs demandes, dit n’y avoir lieu à application des dispositions de l’article 700 du code de procédure civile et condamné ces derniers aux dépens.

Pour se déterminer ainsi, le premier juge a rappelé qu’il appartient au prestataire de rapporter la preuve que l’utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence grave aux obligations définies aux articles L133-6 et L133-7 du code monétaire et financier et a retenu, en substance, que si Monsieur [N] [L] ne pouvait se voir raisonnablement reprocher de ne pas avoir immédiatement douté de l’identité de son interlocuteur, le fait que, alors qu’il se présente comme client de la même agence depuis 40 ans, il n’ait pas cherché à obtenir plus d’informations sur la liste des opérations frauduleuses en ne téléphonant pas à son agence entre environ 15h30, fin de l’appel frauduleux, et 20h19, un jour ouvrable, interrogeait ; que la version de l’intéressé quant à l’absence de contact avec l’escroc entre ces horaires était contredite par les connexions établies par le traçage informatique à 15h32, 15h42 et 15h45 ; que le virement litigieux de 5.278,50 euros effectué au profit d’un bénéficiaire dénommé Mister n’avait pu être réalisé qu’après utilisation de la clé digitale de Monsieur [N] [L] et validation par ce dernier de l’ajout d’un bénéficiaire ; qu’il était ainsi démontré une négligence grave et réitérée de Monsieur [N] [L] alors que la banque avait elle-même réagi avec célérité dès le signalement des faits et avait ainsi permis la restitution d’une partie des sommes détournées.

Par déclaration enregistrée le 3 juillet 2023, les époux [L] ont formé appel sur l’ensemble des chefs du jugement.

Par conclusions notifiées le 11 décembre 2023, Monsieur [N] [L] et Madame [M] [T] épouse [L] demandent à la cour de déclarer leur appel recevable et bien fondé et d’infirmer le jugement en ce qu’il les a déboutés et condamnés aux dépens et, statuant à nouveau, sur le fondement des articles L133-16 et suivants du code monétaire et financier et la loi du 20 juin 2018 (2018 – 493) et le règlement du 24 mai 2016 (UE 2016/679), condamner la société BNP Paribas à leur payer les sommes de :

—  5.278 euros, augmentée des intérêts au taux légal majoré à compter du 11 décembre 2021, date de la mise en demeure en recommandé avec avis de réception,

—  450 euros avec intérêts légaux majorés à compter du 11 décembre 2021, date de la mise en demeure en recommandé avec accusé de réception,

—  1.500 euros acquis de dommages-intérêts pour le préjudice moral subi avec intérêts légaux à dater de l’arrêt à intervenir,

—  1.500 euros au titre de l’article 700 du code de procédure civile,

outre tous les frais et dépens de la procédure.

Au soutien de leur appel, Monsieur [N] [L] et Madame [M] [T] épouse [L] reprochent au premier juge de n’avoir pas condamné la banque à leur rembourser le troisième virement de 5.278 euros en faisant essentiellement valoir que :

— la banque, informée de l’opération frauduleuse moins de 12 heures après celle-ci, était tenue de procéder au remboursement de la somme de 5.278 euros sur le fondement des articles L133-18 et L133-24 du code monétaire et financier et de la somme de 600 euros, sous réserve d’une franchise de 150 euros, sur la base des articles L133-18, L133-19 et L133-20 dudit code, s’agissant d’opérations de paiement non autorisées ;

— il appartient à la banque qui s’y oppose de démontrer l’existence d’une fraude de l’utilisateur de service ou d’un manquement intentionnel ou d’une négligence grave ;

— les époux ont été victimes d’une escroquerie, d’ailleurs pénalement poursuivie, caractérisée par des man’uvres destinées à les tromper (usage du numéro de téléphone portable de Monsieur [N] [L], connaissance du

type de carte bancaire et des dernières opérations réalisées, accès à son application à son insu), qui ont été déterminantes de la conviction pour ce dernier d’échanger avec un personnel de la banque et qui démontrent l’existence d’une défaillance du système informatique de la banque sur laquelle celle-ci ne s’explique pas ;

— Monsieur [N] [L] n’a fourni aucun élément confidentiel sur son compte bancaire ou sa carte bancaire et la banque ne prouve pas qu’il ait fait usage à un moment quelconque de son propre code confidentiel ;

— Il conteste avoir été l’auteur des opérations effectuées à 15h32, 15h36, 15h43 et 15h45 comme retenu à tort par le premier juge mais aussi être à l’origine du changement de code secret réalisé à 15h43 et de la création de nouveaux bénéficiaires et soutient que les procédures afférentes n’ont pas été suivies, aucune demande de validation sur ces opérations ne lui ayant été envoyée, faute de quoi Monsieur [N] [L] n’y aurait pas donné suite, surtout s’agissant de la création de trois bénéficiaires qu’il ne connaît pas, dont un dénommé « Mister » ;

— il indique avoir seulement fait usage du faux code procuré par l’escroc, présenté par ce dernier comme permettant de neutraliser des opérations frauduleuses ;

— les époux [L] ne peuvent se voir reprocher de ne pas avoir été informés de l’existence de ce type de fraude alors que la Bnp Paribas n’a jamais alerté ses clients sur ce point avant les faits et que ce n’est qu’après cette date que les médias et banques ont communiqué sur ce phénomène qui s’était accru.

Les appelants reprochent également au premier juge de n’avoir pas retenu la faute commise par la banque engageant sa responsabilité contractuelle alors que :

— celle-ci a l’obligation de mettre à disposition de ses clients un moyen de paiement qui ne présente aucune défaillance technique, par le biais d’une application sécurisée,

— plusieurs anomalies de fonctionnement ont concouru à l’escroquerie qu’ils ont subie puisque leurs données personnelles ont pu être récupérées et ce en violation de la loi du 20 juillet 2018 et du règlement du 24 mai 2016 sur la protection des données personnelles et que l’escroc a pu modifier leur code secret et créer des nouveaux bénéficiaires sans suivre les procédures dédiées,

— il y a eu violation des articles L133-17 et suivants du code monétaire et financier et plus largement du devoir général de vigilance de la banque s’agissant d’opérations

inhabituelles sur un compte ou de l’absence de faculté du service anti-fraude de la banque de bloquer l’accès à leurs comptes avant l’ouverture de leur agence le lendemain matin à 8h, ce qui aurait pourtant permis de neutraliser les virements en cours,

— la Bnp Paribas a tardé à leur indiquer le nom de la banque ayant perçu le virement de 5.278,50 euros litigieux et les motifs que cette dernière, identifiée désormais comme la Deutsche Bank, a opposé à la restitution des fonds dans le cadre de la procédure de rappel dite « recall ».

Ils se prévalent enfin du préjudice moral résultant du positionnement de la banque à leur égard, alors qu’ils sont clients depuis plus de 40 ans, n’ont jamais eu de défaillances et ont été victimes d’une fraude généralisée, psychologiquement traumatisante.

Par conclusions du 9 février 2024 notifiées le 12 février 2024, la Bnp Paribas demande à voir rejeter l’appel et confirmer l’entier jugement, avec condamnation des appelants aux dépens et à lui verser une indemnité de procédure de 3.000 euros en application de l’article 700 du code de procédure civile.

La banque fait essentiellement valoir que :

— Monsieur [N] [L] a eu un rôle actif dans le déroulement de la fraude puisqu’il a validé des opérations avec le code communiqué par son interlocuteur sans à aucun moment prendre attache avec son agence et sans s’interroger sur le fait qu’un code lui a été transmis alors qu’aucune banque ne connaît le mot de passe de ses clients ;

— l’escroc a nécessairement eu connaissance des identifiants et mots de passe de l’espace personnel des époux [L] sans lesquels aucune connexion n’est possible, plusieurs juridictions ayant déjà retenu la négligence fautive de clients pour de tels faits ;

— les époux [L] ne peuvent prétendre à l’application de l’obligation de vigilance édictée par les articles L561-1 et suivants du code monétaire et financier qui visent la lutte contre le blanchiment des capitaux et le financement du terrorisme et sont inapplicables dans une action de droit commun ;

— l’article L133-16 du code monétaire et financier impose à l’utilisateur d’un service de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses données personnalisées, la vigilance étant régulièrement rappelée par les médias ou les banques au vu de l’ampleur croissante de ce phénomène ;

— la banque ne peut lutter contre les pratiques de « spoofing », permettant de faire passer une communication provenant d’une source inconnue en communication provenant d’une source connue, laquelle relève de la responsabilité des opérateurs téléphoniques ;

— la banque a satisfait à ses obligations légales de mettre à disposition de ses clients un dispositif d’authentification forte par le biais de la clé digitale qui implique l’usage d’un code secret connu du seul client, qui l’a personnalisé à sa première connexion ; par ce système, le client ne reçoit pas de SMS mais une notification détaillée de l’opération à valider sur son téléphone pour la rendre effective, ce qu’il fait sur son espace client figurant dans l’application de son téléphone portable en composant son code secret ;

— Monsieur [N] [L] a fait usage de sa clé digitale pour valider les opérations concernées dont il a reçu notification, au lieu de choisir de les annuler ;

— la jurisprudence sanctionne les utilisateurs de services de paiement gravement négligents et la banque a pour sa part été réactive pour mettre en 'uvre la procédure de « recall » dans le cadre de laquelle elle n’est toutefois pas tenue d’une obligation de résultat ;

— s’agissant d’un manquement à son devoir de vigilance, le banquier n’a aucune obligation de procéder à un suivi particulier en profondeur des comptes de ses clients et ne peut s’immiscer dans des opérations financières ou commerciales à l’origine des mouvements dont il assure l’exécution ;

— les appelants ne justifient pas du préjudice moral allégué.

L’ordonnance de clôture a été prononcée le 19 mars 2024.

MOTIFS

Vu les dernières écritures des parties ci-dessus spécifiées auxquelles il est expressément référé pour plus ample exposé de leurs prétentions et moyens en application de l’article 455 du code de procédure civile ;

Sur la demande en remboursement

Aux termes des articles L133-6 et L133-7 du code monétaire et financier, une opération de paiement est autorisée si le payeur a donné son consentement à son exécution, lequel consentement est

donné sous la forme convenue entre le payeur et son prestataire de services de paiement. En l’absence d’un tel consentement, l’opération ou la série d’opérations de paiement est réputée non autorisée.

L’article L133-16 dudit code dispose que, dès qu’il reçoit un instrument de paiement, l’utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées.

Conformément aux dispositions de l’article L133-23 du code monétaire et financier, lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre. L’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière.

Aux termes de l’article L133-19 II et IV, la responsabilité du payeur n’est pas engagée si l’opération de paiement non autorisée a été effectuée en détournant, à l’insu du payeur, l’instrument de paiement ou les données qui lui sont liées. Le payeur supporte par contre toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17 du code civil (portant obligation d’informer son prestataire sans tarder en cas de perte, vol, détournement ou utilisation non autorisée de son instrument de paiement ou des données qui lui sont liées.

En l’espèce, il est constant que la Bnp Paribas a mis en place un dispositif de clé digitale régulièrement utilisée par Monsieur [N] [L], lequel correspond à un dispositif d’authentification forte tel que défini à l’article L133-4 f) du code monétaire et financier et implique l’usage associé d’un code personnel et de l’application installée sur le téléphone de son utilisateur.

Les parties s’opposent sur le fait que Monsieur [N] [L] ait ou non fait usage, à l’occasion des faits litigieux, de cette clé digitale.

Ce dernier reconnaît avoir allumé son application Bnp Paribas, correspondant à son espace personnel, et avoir fait usage à plusieurs reprises d’un code pour « valider » des opérations qu’il

indique être celui que lui aurait communiqué le faux conseiller bancaire.

Or, il résulte des données de traçage informatique produites par la banque que le changement de code n’est intervenu que le 2 novembre 2021 à 15h43 et que les opérations frauduleuses effectuées ont été réalisées à des horaires correspondant à des temps d’échanges entre Monsieur [N] [L] et le numéro téléphonique 01 79 75 37 55 utilisé par l’escroc, à savoir une conversation de 31 minutes à compter de 15h19 (couvrant donc les opérations de connexion, ajout de RIB, validation du nouveau bénéficiaire « [L] » et un virement de 10.000 euros, intervenues entre 15h32 et 15h40, modification du code secret entre 15h42 et 15h45) et une conversation de 15 minutes à compter de 20h37 (couvrant donc les opérations de connexion, ajout de RIB et validation du nouveau bénéficiaire « Mister » à 20h40 et les virements de 5.278,50 euros et 25.000 euros, intervenues entre 20h42 et 20h44).

Le fait que ces opérations aient été enregistrées informatiquement démontre, en tant que de besoin, que le système informatique de la banque n’était pas défaillant et que c’est la connexion initiée par Monsieur [N] [L] qui a permis l’accès par le malfaiteur à ses données personnelles et l’utilisation par l’appelant d’un code, soit personnel dans un premier temps soit celui communiqué par son interlocuteur dans un second temps, qui a permis la validation des opérations litigieuses.

Si comme relevé par le premier juge, Monsieur [N] [L] a initialement pu être mis en confiance par son interlocuteur par les informations évoquées par ce dernier, il paraît peu cohérent et imprudent que, informé à 15h19 de mouvements suspects sur son compte, il ne prenne pas attache avec son conseiller habituel ni ne vérifie ses comptes avant les nouveaux appels intervenus à 20h19 puis 20h37 et qu’il accepte d’entrer un code communiqué téléphoniquement par une tierce personne, sans vérification préalable.

Il n’est d’ailleurs ni démontré ni même allégué que le numéro utilisé pour l’appeler ait correspondu à un numéro réellement utilisé par les services de la Bnp Paribas et qu’il ait été victime d’une technique de « spoofing ». Il est également indifférent que des faits similaires aient été commis à l’encontre d’autres clients bancaires et poursuivis pénalement (étant à cet égard relevé que Monsieur [N] [L] qui ne justifie pas des suites données à sa convocation en audience correctionnelle était victime pour avoir été déterminé à « remettre (ses) coordonnées bancaires ou (') valider des paiements ».)

Il résulte de ces éléments que c’est par une juste appréciation des faits de la cause que le premier juge a retenu l’existence d’une négligence grave et réitérée de Monsieur [N] [L] pour lui refuser le droit à remboursement des sommes sollicitées.

Sur la demande en dommages et intérêts

A hauteur de cour, les appelants n’ont pas repris comme fondement les articles L561-1 et suivants du code monétaire et financier, dont il est opportunément rappelé par la Bnp Paribas, que s’agissant de textes spécifiques à la lutte contre le blanchiment de capitaux et le financement des activités terroristes, ils ne sont pas applicables en l’espèce.

Il est par contre de principe général que le banquier est tenu à un devoir général de vigilance, ce qui implique qu’il prête attention à certaines opérations réalisées par ses clients qui transitent par leur compte bancaire. Cette obligation ne prend toutefois effet que si l’opération litigieuse recèle une anomalie apparente, matérielle ou intellectuelle et que la vérification à opérer ne paraît pas excessive. La banque doit en effet concilier son devoir de vigilance avec son obligation de non-ingérence dans les affaires de son client, qui implique que, sauf indices évidents de falsification, elle n’a pas à procéder à des investigations sur l’origine et l’importance des fonds versés sur ses comptes ni même à l’interroger sur l’existence de mouvements de grande ampleur.

Les appelants ne produisent aucun élément permettant de considérer les mouvements litigieux comme présentant une anomalie apparente et ce d’autant moins qu’au vu du solde figurant sur les comptes, ces opérations pouvaient être provisionnées.

En outre, la Bnp Paribas a été réactive puisqu’elle a contacté le soir même l’intéressé et l’a alerté sur les faits dont il avait été victime.

Monsieur [N] [L] fait grief au service anti-fraude de la banque de ne pas pouvoir bloquer l’accès à ses comptes et de renvoyer le client vers son agence. Non seulement, il n’en justifie pas mais ce fait est en tout état de cause indifférent alors qu’il a pu enregistrer informatiquement une opposition sur sa carte bancaire le jour même à 22h34 et qu’aucun autre virement ou prélèvement frauduleux n’a eu lieu postérieurement aux faits signalés par la banque.

S’agissant du droit à réparation résultant d’une éventuelle violation du règlement du 24 mai 2016 relatif à la protection des données personnelles, les époux [L] ne démontrent pas que les données personnelles (à savoir nom, numéro de téléphone et quatre derniers numéros de carte bancaire) dont aurait fait mention l’escroc provenaient du site de la banque et non d’un autre site internet d’achat ou d’une facturette bancaire sur lesquels figurent également ce type de données et ne démontrent pas la réalité de l’accès à leur compte préalablement à la connexion intervenue dans le cadre des échanges téléphoniques cités.

Ils n’explicitent pas en quoi l’absence d’information sur l’identité de la banque destinataire du virement litigieux est fautif alors que l’échec de la procédure de « recall » constitue un fait postérieur au virement litigieux et que leur préjudice, qui consisterait en la privation de la faculté d’agir directement contre la banque bénéficiaire ou le ou les titulaires du compte crédité, ne constituerait en tout état de cause qu’une perte de chance.

En l’absence de manquement de la banque à son devoir de vigilance, le jugement déféré sera également confirmé en ce qu’il a rejeté la demande de dommages et intérêts présentée par Monsieur [N] [L].

Sur les frais et dépens

Les époux [L] succombant, leur condamnation aux dépens de première instance sera confirmée.

Ils seront en outre condamnés aux entiers dépens de la procédure d’appel et à verser à la Bnp Paribas une indemnité de procédure de 1.200 euros en application de l’article 700 du code de procédure civile.

Leur demande à ce titre sera par contre rejetée.

PAR CES MOTIFS

LA COUR, statuant publiquement, par arrêt contradictoire,

CONFIRME le jugement rendu le 15 juin 2023 par le tribunal judiciaire de Strasbourg ;

Y ajoutant :

DEBOUTE Monsieur [N] [L] et Madame [M] [T] épouse [L] de leur demande sur le fondement de l’article 700 du code de procédure civile ;

CONDAMNE Monsieur [N] [L] et Madame [M] [T] épouse [L] à verser à la Sa Bnp Paribas une indemnité de 1.200 euros en application de l’article 700 du code de procédure civile ;

CONDAMNE Monsieur [N] [L] et Madame [M] [T] épouse [L] aux dépens de l’instance d’appel.

Le Greffier La Présidente