XXX

Au nom du Peuple Français

COUR D’APPEL DE DOUAI

CHAMBRE 2 SECTION 2

ARRÊT DU 09/06/2016

***

N° de MINUTE : 16/

N° RG : 15/00111

Jugement (N° 14/351)

rendu le 19 Décembre 2014

par le Tribunal de Grande Instance de BOULOGNE SUR MER

REF : PF/KH

APPELANTES

LA CAISSE FEDERALE DE CREDIT MUTUEL NORD EUROPE

ayant son siège XXX

XXX

Représentée par M^e Caroline FOLLET, membre de l’association de BERNY-FOLLET et HERBAUT, avocat au barreau de LILLE

LA CAISSE DE CREDIT MUTUEL DE DESVRES

ayant son siège XXX

XXX

Représentée par M^e Caroline FOLLET, membre de l’association de BERNY-FOLLET et HERBAUT, avocat au barreau de LILLE

L’ASSOCIATION FEDERALE DES CAISSES DE CREDIT MUTUEL NORD EUROPE

ayant son siège XXX

XXX

Représentée par M^e Caroline FOLLET, membre de l’association de BERNY-FOLLET et HERBAUT, avocat au barreau de LILLE

LA CAISSE DE CREDIT MUTUEL DE SAMER

ayant son siège XXX

XXX

Représentée par M^e Caroline FOLLET, membre de l’association de BERNY-FOLLET et HERBAUT, avocat au barreau de LILLE

INTIMÉS

M. G H X

XXX

XXX

Représenté par M^e Emmanuelle DEHEE, avocat au barreau de BOULOGNE-SUR-MER

M^me E Z épouse X

XXX

XXX

Représentée par M^e Emmanuelle DEHEE, avocat au barreau de BOULOGNE-SUR-MER

COMPOSITION DE LA COUR LORS DES DÉBATS ET DU DÉLIBÉRÉ

C D, Président de chambre

Stéphanie ANDRE, Conseiller

Nadia CORDIER, Conseiller

GREFFIER LORS DES DÉBATS : A B

DÉBATS à l’audience publique du 24 Mars 2016 après rapport oral de l’affaire par C D

Les parties ont été avisées à l’issue des débats que l’arrêt serait prononcé par sa mise à disposition au greffe.

ARRÊT CONTRADICTOIRE prononcé publiquement par mise à disposition au greffe le 09 Juin 2016 (date indiquée à l’issue des débats) et signé par C D, Président, et A B, Greffier, auquel la minute de la décision a été remise par le magistrat signataire.

ORDONNANCE DE CLÔTURE DU : 24 février 2016

***

FAITS ET PROCEDURE

M. X et M^me Z, son épouse (les époux X), disposent d’un compte ouvert auprès de la Caisse de crédit mutuel de Desvres (la Caisse de Desvres), société coopérative de crédit à capital variable et à responsabilité statutairement limitée, inscrite au RCS de Boulogne-sur-Mer, sous le numéro 320 329 063, et ayant établissement à Samer, XXX.

M^me X disposait du service de banque à distance du Crédit Mutuel, permettant l’accès du service de banque en ligne, avec :

— Gestion du compte ouvert auprès du Crédit Mutuel ,

— Impression de RIB ,

— Consultation des comptes,

— Commande de chéquiers,

— Utilisation d’opérations cartes payweb et e-retrait,

— Virements internes entre les comptes et virements externes,

certaines opérations, dites sensibles (virement externe, création de carte payweb ou de e-retrait), nécessitant la mise en place d’un système de sécurité accru.

À la suite de la souscription de l’extension du contrat de banque à distance au profit de M. X, le 14 mars 2012, la banque a envoyé à ses clients une nouvelle carte de clefs personnelles, qu’ils ont reçue le 21 mars 2012.

Le 28 juin 2012, ils ont contesté l’authenticité d’opérations réalisées sur le site de banque en ligne, les 26, 27 et 28 juin 2012, pour un montant total de 12 085, 52 euros.

Dans un courrier ultérieur du 13 novembre 2012, ils exposeront s’être connectés fin avril sur le site officiel du Crédit mutuel, pour l’activation de la carte de clefs personnelles reçue un mois auparavant, et avoir été orientés vers un site pirate, sur lequel ils auraient été amenés à renseigner leur identifiant, leur mot de passe d’accès au site et l’intégralité des données de leur carte de clés.

Ayant vainement sollicité de la banque le remboursement des sommes prélevées, ils ont assigné la Caisse de crédit mutuel Nord Europe et la Caisse de Desvres devant le tribunal de grande instance de Boulogne-sur-Mer.

L’association Fédération des caisses de crédit mutuel Nord Europe et la Caisse de crédit mutuel de Samer sont intervenues volontairement à l’instance.

Par un jugement rendu le 19 décembre 2014, le tribunal a :

— rejeté le moyen tiré de l’irrecevabilité des demandes formées contre la Caisse fédérale du crédit mutuel Nord Europe ;

— condamné la Caisse de crédit mutuel de Desvres à payer à M. X et M^me Z, son épouse, la somme de 12 085, 52 euros 'en remboursement des paiements non autorisés',

— condamné la Caisse de crédit mutuel de Desvres à payer à M. X et M^me Z, son épouse, la somme de 1 000 euros à titre de dommages et intérêts pour résistance abusive,

— condamné la Caisse de crédit mutuel de Desvres à payer à M. X et M^me Z, son épouse, la somme de 2 000 euros en application de l’article 700 du code de procédure civile,

— débouté la Caisse de crédit mutuel de Desvres, la Caisse fédérale du crédit mutuel Nord Europe et l’association Fédération des caisses de crédit mutuel Nord Europe de leurs demandes au titre de l’article 700 du code de procédure civile.

La Caisse de crédit mutuel de Desvres, la Caisse fédérale du crédit mutuel Nord Europe, l’association Fédération des caisses de crédit mutuel Nord Europe, mais aussi la Caisse de crédit mutuel de Samer, ont interjeté appel le 7 janvier 2015.

MOYENS ET PRETENTIONS DES PARTIES

La Caisse de crédit mutuel de Desvres (la caisse de Desvres), la Caisse fédérale du crédit mutuel Nord Europe (la Caisse Nord Europe), l’association Fédération des

caisses de crédit mutuel Nord Europe (la Fédération), mais aussi la Caisse de crédit mutuel de Samer (la caisse de Samer), (les appelantes), par des conclusions récapitulatives signifiées par voie électronique le 23 février 2016, demandent à la cour de :

— Infirmer le jugement rendu par le tribunal de grande instance de Boulogne-sur-Mer,

— Constater que ce litige concerne uniquement la Caisse de Desvres, et mettre hors de cause les autres appelantes,

— Constater que les diligences de la banque ont permis de récupérer l’un des virements à hauteur de 792 euros,

— Constater que la Caisse de Desvres démontre que les opérations contestées n’ont été affectées d’aucune défaillance et qu’elles ont été dûment authentifiées.

— Constater que les consorts X ne démontrent nullement le prétendu piratage du site du Crédit Mutuel, que cette allégation n’est pas sérieuse.

— Constater en conséquence que les consorts X – Z ne s’expliquent pas sur les circonstances réelles dans lesquelles les données liées à leur instrument de paiement ont pu être détournées.

En conséquence,

— Débouter M. et M^me X – Z de leur demande d’indemnisation,

— Les condamner à payer à la Caisse de Desvres la somme de 1 500 euros au titre de l’article 700 du code de procédure civile outre les entiers frais et dépens de l’instance.

Elles indiquent au préalable, sur l’irrecevabilité des demandes présentées à l’encontre de la Caisse Nord Europe et de la Fédération, que les époux X sont sociétaires de la caisse de Desvres ; que la Caisse Nord Europe a pour mission de représenter collectivement les caisses locales pour faire valoir et défendre leurs intérêts communs ; que la Fédération a pour objet social, notamment, une représentation commune et le contrôle des caisses adhérentes ; qu’aucune des deux n’a vocation à prendre en charge les litiges individuels susceptibles d’opposer une caisse à l’un de ses sociétaires.

Elles font ensuite valoir que l’exposé des faits présenté par les époux X est tronqué et n’est pas crédible, lorsqu’ils prétendent que 'fin avril 2012 le site officiel aurait été piraté', car, sinon, tous les sociétaires qui se sont connectés ce jour-là auraient eux aussi été orientés vers le site pirate ; que l’adresse de connexion au site de banque en ligne (www.creditmutuel.fr), est commune à toutes les caisses existantes, quelle que soit la fédération dont elle dépend ; qu’au 31 décembre 2013, le Crédit mutuel comptait 1 382 caisses pour 6,8 millions de clients ; qu’à supposer-même que 1% se soit connecté en même temps que les époux X, cela ferait 68 000 clients qui auraient vu leurs données personnelles et confidentielles alors détournées ; que la presse s’en serait nécessairement fait l’écho ; qu’en outre ces pirates auraient été particulièrement patients, en attendant plus de deux mois avant d’utiliser les informations ainsi recueillies, au risque de voir certains comptes clôturés ou des codes modifiés ; qu’en outre, lorsque des opérations spécifiques sont réalisées, tels que les virements externes, le serveur sollicite uniquement l’un des 64 codes et pas la carte complète ; que, surtout, le dernier code de confirmation à 6 chiffes permettant de valider l’opération est adressé via un mode de communication personnel du client (adresse mail ou téléphone portable) ; qu’étant

soumis au contrôle des autorités prudentielles (Bâle, I, II et III), le Crédit mutuel n’aurait pu occulter la survenance d’un événement tel que celui allégué – qui aurait nécessairement affecté d’autres clients se connectant en même temps au site -, l’aurait immédiatement déclaré auxdites autorités et indemnisé les clients victimes.

Elles soutiennent que, si les époux X ont été orientés vers un fichier ou une page web falsifiée, c’est certainement davantage en cliquant sur un lien contenu dans un mail frauduleux, dit 'phishing', et aucunement en entrant dans leur ordinateur l’adresse sécurisée du crédit Mutuel (rappelée ci-dessus).

Après avoir rappelé le processus de création des virements externes, en général et en l’espèce pour les cinq opérations litigieuses, les dispositions légales applicables (article L. 133-19 du code monétaire et financier), les principes applicables (l’instrument de paiement ou les données qui lui sont liées devant avoir été détournés à l’insu du payeur

et celui-ci ne devant avoir commis aucune négligence grave, pour que sa responsabilité ne soit pas engagée), elles exposent que les époux X reconnaissent avoir communiqué certaines données mais n’expliquent pas comment les fraudeurs auraient également pu avoir accès à l’adresse de messagerie de M. X et à son mot de passe ; que le Crédit mutuel a rempli toutes ses obligations légales ; qu’il démontre, par le rapport établi par le service fraudes et affaires spéciales, que les opérations litigieuses

ont dûment été authentifiées ; que ce sont les époux X qui ont manqué à leurs obligations contractuelles, alors que les articles 1, 3 et 4 des conditions générales rappellent les précautions à prendre.

En réponse aux arguments des intimés, elles ajoutent que seul le virement de 792 euros a pu être récupéré et re-crédité le 24 juillet 2014 ; que, s’agissant de paiements sécurisés, la banque ne peut imposer aux destinataires de procéder au remboursement ; que l’envoi de la carte de clefs personnelle par lettre simple ne peut leur être reproché, puisque les époux X reconnaissent l’avoir reçue ; qu’ils ne versent pas le contrat d’assurance 'Assur carte’ dont ils prétendent bénéficier.

Les intimés, par leurs conclusions signifiées par voie électronique le 29 avril 2015, demandent à la cour de :

' déclarer certes recevable mais mal fondé l’appel diligenté par les Caisses du Crédit mutuel,

' Sur l’incident, débouter la Caisse fédérale Crédit mutuel Nord Europe et l’Association Fédérale des caisses de Crédit mutuel Nord Europe de leur exception de procédure, et de leurs plus amples demandes et Confirmer le jugement rendu sur ce point par le tribunal de grande instance de Boulogne-sur-Mer le 19 décembre 2014.

Sur le fond, sur le visa des dispositions des articles L133-16, L133-17 et L133-19 et suivants du Code monétaire et financier, de l’article 1147 du code civil,

' Confirmer le jugement rendu par le Tribunal de Grande Instance de Boulogne-sur-Mer le 19 décembre 2014, sauf à voir majorer le montant des dommages et intérêts alloués par le Tribunal au regard de la résistance abusive du Crédit mutuel et à déduire des sommes dues au titre du principal la somme de 792 euros.

' Dire et juger que 'le Crédit Mutuel, SAS Crédit Fédéral de Crédit Mutuel Nord Europe et la Caisse de Crédit Mutuel de Desvres’ a failli à ses obligations contractuelles de conseil et de vigilance,

' Dire et juger qu’aucun manquement grave ne peut être imputé aux époux X.

En conséquence :

— condamner le Crédit Mutuel, la SAS Crédit Fédéral de Crédit Mutuel Nord Europe et la Caisse de Crédit Mutuel de Desvres, pris en ses représentants légaux, à payer à M. et M^me X une somme de 12085,52 – 792 = 11 293, 52 euros au titre des sommes indûment prélevées sur leur compte bancaire et à rétablir leurs comptes bancaires dans l’état ou ils se seraient trouvés si les opérations de paiement non autorisées n’avaient pas eu lieu.

— condamner le Crédit Mutuel, la SAS Crédit Fédéral de Crédit Mutuel Nord Europe et la Caisse de Crédit Mutuel de Desvres, pris en ses représentants légaux à payer à M. et M^me X à une somme de 3000 euros de dommages et intérêts pour résistance abusive.

— condamner le Crédit Mutuel, la SAS Crédit Fédéral de Crédit Mutuel Nord Europe et la Caisse de Crédit Mutuel de Desvres, pris en ses représentants légaux à payer à M et M^me X une somme de 2500 euros sur le fondement de l’article 700 du Code de procédure civile, ainsi qu’aux entiers frais et dépens de la présente procédure, dont distraction pour ces derniers au profit de M^e Emmanuelle Dehée, avocat aux offres de droit.

Ils exposent que le directeur de l’agence de Samer leur a conseillé l’acquisition d’une carte de clés personnelles CyberMut, leur affirmant que l’utilisation de cette carte permettait notamment de gérer leurs comptes sur internet en toute tranquillité et sans le moindre risque ; qu’aux termes du courrier du 21 mars 2012 leur adressant la carte de clés personnelles, ils étaient invités à activer leur carte en se connectant à leurs comptes, sur le site du Crédit mutuel, en se rendant sur l’icône « votre contrat »/ « Identification renforcée » ; que M. X, internaute non averti, s’est rendu sur ce site officiel, a inséré son code d’identification et son code secret à 4 chiffres puis a suivi la procédure ainsi indiquée ;

Sur 'l’incident’ soulevé par la Caisse Nord Europe et de la Fédération, ils font valoir que la Caisse Nord Europe a pris en charge l’examen et la gestion de leur dossier ; que c’est elle qui s’est prononcée pour le refus de prise en charge et non la Caisse de Desvres, dont elle semblait avoir reçu mandat pour agir en ses lieu et place ; qu’ils ont toujours eu le sentiment d’être clients de la Caisse Nord Europe, puisque l’ensemble des opérations réalisées pour la gestion de leurs comptes bancaires sur internet le sont sur le site de celle-ci ; qu’ils sont bien-fondés à invoquer la théorie de l’apparence ; que les quatre caisses ont constitué le même conseil ; que la caisse de Samer est un établissement rattaché à la Caisse de Desvres.

Ils précisent que, pour garantir leurs droits, une assignation a été délivrée à la Caisse de Desvres, le 14 mars 2014.

Sur le respect de leurs obligations contractuelles, ils expliquent qu’ils ne sont pas les seuls à avoir été victimes du 'phishing’ ayant eu lieu sur le site de la banque ; que la presse s’est fait l’écho de plusieurs cas similaires (pièces 22 et 24) ; que lorsqu’il a communiqué l’ensemble des données de la carte personnelle, il n’a fait que suivre les consignes du courrier du 21 mars 2012 et qu’il ne pouvait pas savoir qu’il ne devait pas enregistrer tous les codes en une seule fois ; qu’ils sont régulièrement destinataires de mails frauduleux mais n’y répondent jamais, et que ce fut encore le cas le 16 mai 2044 ; qu’ils n’ont nullement répondu à un message de phishing ;qu’à aucun moment le courrier du 21 mars 2012 n’attirait leur attention sur les risques de piratage.

Ils font valoir que la Caisse de Crédit mutuel fait uniquement mention de la carte de clés personnelles transmise par courrier du 28 juin 2012, alors même qu’ils ne l’ont jamais activée, parce qu’ils avaient déjà eu connaissance des détournements opérés sur leur compte à partir de la première carte transmise le 21 mars 2012 ; que les détournements ont été effectués avant la réception de ce courrier du 28 juin ; que les informations dont la banque se prévaut et qui étaient mentionnées sur la lettre du 28 juin ne l’étaient pas sur celle du 21 mars ; que le doute résultant de l’attente de deux mois des pirates pour faire usage des données est hypothétique ; qu’ils ont aussi été victimes de retraits frauduleux à partir de leur carte Gold, que la banque leur a remboursés.

Ils soutiennent que le comportement de M. X, ayant consisté seulement à activer la carte, conformément aux prescriptions du courrier du 21 mars, ne saurait constituer une négligence grave le privant de tout recours contre sa banque ; que la pièce adverse n°21 ne doit pas être prise en compte car la banque ne saurait se constituer de preuve à elle-même ; qu’il est impossible pour le Crédit mutuel de prouver que l’opération bancaire n’a pas été exécutée correctement (article L. 133-23 du code monétaire et financier).

Sur le manquement par la banque à ses obligations contractuelles, ils affirment qu’ils n’ont jamais communiqué à quiconque les codes confidentiels ; qu’ils se sont simplement connectés sur le site internet du Crédit mutuel ; que les sommes détournées l’ont été à leur insu ; que la responsabilité de l’établissement bancaire peut être engagée sur le fondement de l’article L. 133-19 du code monétaire et financier.

Ils considèrent que l’envoi de la carte de clés personnelles par lettre simple est un manquement à l’obligation de prudence, puisque cela ne peut garantir qu’aucun tiers

n’ait pu accéder à leurs codes lors de l’expédition de ce courrier ; que le constat d’huissier du 10 février 2015 a été établi presque trois ans après les faits et que la page web ainsi constatée n correspond pas à celle qui existait lors de la connexion de M. X sur le site, à la réception de la lettre du 21 mars 2012 ; qu’il e ressort qu’aucune information sur le phishing n’existait sur le site internet de la banque avant décembre 2014 ; que le prélèvement indu, opéré postérieurement à partir de leur carte Gold, sans dépossession de celle-ci, prouve que le système bancaire du Crédit mutuel n’est pas infaillible.

Ils expliquent qu’ils sont donc bien fondés à engager la responsabilité contractuelle de la banque, sur le fondement de l’article 1147 du code civil et au bénéfice des dispositions de l’article L. 133-18 du code monétaire et financier ; qu’il est étonnant que la banque ait remboursé une des cinq sommes litigieuses et conteste devoir régler les quatre autres ; que leur restent dus 1 293, 52 euros (12 085, 52 euros – 792 euros ).

La cour renvoie, pour un plus ample exposé des faits et prétentions des parties, à la décision déférée et aux écritures susvisées, par application des dispositions de l’article 455 du code de procédure civile.

MOTIFS DE LA DECISION

Il n’y a pas lieu de reprendre ni d’écarter dans le dispositif du présent arrêt les demandes tendant à 'constater que…' ou 'dire que …', telles que figurant dans le dispositif des conclusions des parties, lorsqu’elles portent sur des moyens ou éléments de fait relevant des motifs et non des chefs de décision devant figurer dans la partie exécutoire de l’arrêt.

Sur la fin de non-recevoir

La cour retient que les appelantes ne soulèvent aucune fin de non-recevoir au sens notamment de l’article 122 du code de procédure civile ou de l’article 31 de ce code, et que l’argumentation exposée, afférente à la détermination du cocontractant des époux X susceptible d’être déclaré responsable et tenu à paiement, relève du fond.

Les demandes sont donc recevables à l’égard des quatre appelantes – étant observé d’ailleurs que la Fédération et la Caisse de Samer sont elles-même intervenues volontairement devant le premier juge.

Sur la responsabilité contractuelle

¤ L’article 1147 du code civil dispose que le débiteur est condamné, s’il y a lieu, au payement de dommages et intérêts, soit à raison de l’inexécution de l’obligation, soit à raison du retard dans l’exécution, toutes les fois qu’il ne justifie pas que l’inexécution provient d’une cause étrangère qui ne peut lui être imputée, encore qu’il n’y ait aucune mauvaise foi de sa part.

¤ Il convient de rappeler qu’en application de l’article L. 133-4, c, du code monétaire et financier, 'un instrument de paiement s’entend, alternativement ou cumulativement, de tout dispositif personnalisé et de l’ensemble de procédures convenu entre l’utilisateur de services de paiement et le prestataire de services de paiement et auquel l’utilisateur de services de paiement a recours pour donner un ordre de paiement'.

¤ Les textes du code monétaire et financier utiles pour le présent litige sont les suivants :

L’article L. 133-16 :

Dès qu’il reçoit un instrument de paiement, l’utilisateur de services de paiement prend

toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés.

Il utilise l’instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation.

L’ article L. 133-17 :

I.' Lorsqu’il a connaissance de la perte, du vol, du détournement ou de toute utilisation non autorisée de son instrument de paiement ou des données qui lui sont liées, l’utilisateur de services de paiement en informe sans tarder, aux fins de blocage de l’instrument, son prestataire ou l’entité désignée par celui-ci.

II. ' Lorsque le paiement est effectué par une carte de paiement émise par un établissement de crédit, une institution ou un service mentionné à l’article L. 518-1 et permettant à son titulaire de retirer ou de transférer des fonds, il peut être fait opposition au paiement en cas de procédure de redressement ou de liquidation judiciaires du bénéficiaire.

L’article L. 133- 18 :

En cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L. 133-24, le prestataire de services de paiement du payeur

rembourse immédiatement au payeur le montant de l’opération non autorisée et, le cas

échéant, rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu.

Le payeur et son prestataire de services de paiement peuvent décider contractuellement d’une indemnité complémentaire.

L. 133-19 :

I. ' En cas d’opération de paiement non autorisée consécutive à la perte ou au vol de l’instrument de paiement, le payeur supporte, avant l’information prévue à l’article L. 133-17, les pertes liées à l’utilisation de cet instrument, dans la limite d’un plafond de 150 euros.

Toutefois, la responsabilité du payeur n’est pas engagée en cas d’opération de paiement non autorisée effectuée sans utilisation du dispositif de sécurité personnalisé.

II. ' La responsabilité du payeur n’est pas engagée si l’opération de paiement non autorisée a été effectuée en détournant, à l’insu du payeur, l’instrument de paiement ou les données qui lui sont liées.

Elle n’est pas engagée non plus en cas de contrefaçon de l’instrument de paiement si, au moment de l’opération de paiement non autorisée, le payeur était en possession de son instrument.

III. ' Sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si le prestataire de services de paiement ne fournit pas de moyens appropriés permettant l’information aux fins de blocage de l’instrument de paiement prévue à l’article L. 133-17.

IV. ' Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17.

L’article L. 133-20 :

Après avoir informé son prestataire ou l’entité désignée par celui-ci, conformément à l’article L. 133-17 aux fins de blocage de l’instrument de paiement, le payeur ne supporte aucune conséquence financière résultant de l’utilisation de cet instrument de paiement ou de l’utilisation détournée des données qui lui sont liées, sauf agissement frauduleux de sa part.

L’article L. 133-21 :

Un ordre de paiement exécuté conformément à l’identifiant unique fourni par l’utilisateur du service de paiement est réputé dûment exécuté pour ce qui concerne le bénéficiaire désigné par l’identifiant unique.

Si l’identifiant unique fourni par l’utilisateur du service de paiement est inexact, le prestataire de services de paiement n’est pas responsable de la mauvaise exécution de l’opération de paiement.

Toutefois, le prestataire de services de paiement du payeur s’efforce de récupérer les fonds engagés dans l’opération de paiement.

Si la convention de compte de dépôt ou le contrat-cadre de services de paiement le prévoit, le prestataire de services de paiement peut imputer des frais de recouvrement à l’utilisateur de services de paiement.

Si l’utilisateur de services de paiement fournit des informations en sus de l’identifiant unique ou des informations définies dans la convention de compte de dépôt ou dans le contrat-cadre de services de paiement comme nécessaires aux fins de l’exécution correcte de l’ordre de paiement, le prestataire de services de paiement n’est responsable que de l’exécution de l’opération de paiement conformément à l’identifiant unique fourni par l’utilisateur de services de paiement.

L’article L. 133-23 :

Lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre.

L’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière.

L’article L. 133-24 :

L’utilisateur de services de paiement signale, sans tarder, à son prestataire de services de paiement une opération de paiement non autorisée ou mal exécutée et au plus tard dans les treize mois suivant la date de débit sous peine de forclusion à moins que le prestataire de services de paiement ne lui ait pas fourni ou n’ait pas mis à sa disposition les informations relatives à cette opération de paiement conformément au chapitre IV du titre 1^er du livre III.

Sauf dans les cas où l’utilisateur est une personne physique agissant pour des besoins non professionnels, les parties peuvent convenir d’un délai distinct de celui prévu au présent article.

* * *

Il résulte donc de ces dispositions du code monétaire et financier que :

— en cas d’opération de paiement non autorisée signalée par l’utilisateur, une obligation de remboursement immédiat au 'payeur’ est imposée à la charge du prestataire de services de paiement ;

— si l’établissement bancaire refuse de procéder à ce remboursement, il lui incombe alors de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre ;

— toutefois, l’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ;

— cela signifie donc que la seule preuve de l’utilisation des identifiants du client et l’absence de déficience technique ou autre, notamment par le biais de la production d’un relevé de ses connexions, ne saurait suffire pour que le professionnel soit déchargé de toute responsabilité;

— par ailleurs, la responsabilité du payeur n’est pas engagée si l’opération de paiement non autorisée a été effectuée en détournant, à son insu, l’instrument de paiement ou les données qui lui sont liées ;

— cependant, il supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’agissements frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et 17 ;

— il en résulte que, pour échapper au remboursement du virement litigieux, le prestataire de services de paiement doit démontrer, soit que l’ordre émanait bel et bien du client dûment authentifié dans son espace personnel, soit que le vol des identifiants de connexion (ou d’autres données) n’est que la conséquence d’une faute grave de sa part

(consistant à ne pas avoir satisfait intentionnellement aux obligations lui incombant en

la matière ou à les avoir gravement négligées).

* * * * *

¤ En l’espèce, pour les cinq opérations litigieuses, il ne s’agit pas de l’utilisation frauduleuse d’une carte de paiement et de ses données, mais de virements externes réalisés par la connexion au site internet de la banque.

Les époux X ayant contesté les avoir autorisés et invoquant un détournement, à leur insu, des données liées à l’instrument de paiement, il incombe au prestataire du service de paiement de prouver, soit qu’ils ont bien été les auteurs de ces ordres de paiement, soit que ces virements litigieux n’ont pu être effectués qu’en raison d’une faute grave de leur part, au sens de l’article L. 133-23 ci-dessus.

¤ Les intimés contestent la valeur probante de la pièce n°21 des appelantes, à savoir le document émanant du service 'fraudes et affaires spéciales’ du Crédit mutuel.

Toutefois, il apparaît difficile d’exclure des débats une telle pièce, s’agissant, d’une part, de l’explication du dispositif sécurisé mis en place, d’autre part, de la description technique des opérations litigieuses, sauf à rendre impossible la preuve dont la charge pèse sur l’établissement prestataire du service de paiements (telle que rappelée précédemment).

¤ Il résulte des pièces et explications fournies par les parties que :

' le 21 mars 2012, par une lettre simple, le 'Crédit mutuel’ a envoyé à M. X sa carte de clés personnelles CyberMUT (composée de 8 colonnes et 8 lignes, dont les cases contiennent toutes un nombre de quatre chiffres),

' il lui était précisé que 'cette procédure d’identification renforcée prévient des nouveaux risques de piratage sur internet et permet de gérer les comptes en toute tranquillité ; en complément de l’identifiant et du mot de passe habituels, la carte de clés est nécessaire pour effectuer les opérations nécessitant une sécurité renforcée’ ;

— un encadré au bas du feuillet indiquait qu’il était important de, dès à présent, activer la carte en se connectant au compte : menu 'votre contrat/identification renforcée’ ;

— pour effectuer un virement, le sociétaire doit respecter le 'process’ suivant :

— se connecter au site de banque à distance du Crédit mutuel, s’identifier par son identifiant et son mot de passe personnel,

— sélectionner un compte à débiter,

— entrer les coordonnées du compte à créditer,

— s’il s’agit d’un bénéficiaire non encore enregistré, l’utilisateur doit renseigner un des 64 codes figurant sur la carte de clés,

— le 'système de sécurité’ envoie alors un dernier code, spécifique à l’opération – par sms prioritairement ou par mail – ,

— le code, de 6 chiffres, est à usage unique et valide 15 minutes ;

' le dispositif de sécurité personnalisé en cause est donc constitué par :

— l’identifiant personnel remis au sociétaire et le mot de passe choisi par ce dernier,

— l’un des 64 codes sollicité au hasard dans la carte de clefs personnelle,

— le code complémentaire spécifique à l’opération adressé (en l’espèce) par e-mail ;

' lors de son dépôt de plainte, le 6 juillet 2012 (pièce n°8 du dossier des appelantes), M^me X a expliqué, en substance, que, 'lorsqu’ils avaient activé la carte de clés personnelles qui permet d’effectuer des achats, le site qui ressemblait à celui du Crédit

mutuel leur avait demandé tous les codes de la carte afin de la valider', 'alors qu’en fait le site de la banque ne demande qu’un seul code'.

¤ Du document établi par le service 'fraudes et affaires spéciales’ de la banque, la cour retient que :

' l’auteur des virements s’est identifié sur le site en communiquant l’identifiant et le mot de passe des époux X, puis a communiqué une des cases de la carte de clés personnelles (la n°B8 pour les virements de 2 602 euros et de 792 euros, la n° A6 pour le virement de 3 217, 82 euros, la n°G3 pour celui de 1903, 70 euros et la n°B4 pour celui de 3 570 euros),

' un numéro de confirmation (différent pour chaque opération) a été expédié au client, à l’adresse mail personnelle de M. X,

' copie de ces mails est reproduite dans ce rapport,

' les deux premiers virements ont été faits au profit du compte BNP Paribas de la SAS Redcoon France, le 3^e pour le compte détenu au Crédit agricole par 'LDLC', les 4^e et 5^e sur le compte Société générale de la 'SA. Grosbill',

' l’ordinateur à partir duquel ont été effectués ces virements a été détecté sous l’adresse I.P 91. 234. 106. 65, ayant comme localisation Paris (75 009).

Les appelantes établissent ainsi que toutes les données, tous les codes nécessaires étaient en possession de l’auteur de ces virements, y compris le mot de passe d’accès au site personnel sécurisé et le mot de passe de l’adresse mail de M. X -puisque c’est à cette adresse qu’ont été envoyés les codes confidentiels à usage unique qui ont été utilisés pour chacune des opérations litigieuses.

Et, nonobstant les doutes émis par lui, les captures d’écran figurant sur le document susvisé suffisent pour attester de l’envoi de ces mails.

Il en résulte la preuve que, nécessairement, soit c’est lui-même qui a effectué les virements litigieux, soit c’est un tiers qui aurait été en possession de tous ces renseignements confidentiels, auquel il les aurait confiés, soit sciemment soit involontairement.

Dans le premier cas (virements faits personnellement), il va de soi que les époux X ne sauraient obtenir remboursement des sommes ainsi payées.

Dans le deuxième cas (virements effectués par une personne à laquelle ils auraient volontairement délivré les données afférentes à l’instrument de paiement), leur comportement serait alors considéré comme relevant de l’article L. 133-19, IV, du code monétaire et financier, pour ne pas avoir satisfait intentionnellement aux mesures de précaution définies à l’article L. 133-16 de ce code.

Mais M. X réfute les deux hypothèses et se prévaut de la troisième situation, en expliquant qu’il a été victime d’une fraude en se connectant sur une page 'pirate’ du site de la banque et que c’est en toute confiance et de bonne foi qu’il a alors livré tous les codes de la carte – en une seule fois -.

Or, même profane en matière informatique ou de connexion internet, tout utilisateur faisant preuve d’un minimum de prudence se devait – et ne pouvait que – s’étonner de devoir ainsi livrer la totalité des données confidentielles. Et la lettre du 21 mars 2012 invitant à se connecter sur le site de la banque en vue de valider la carte ne précisait aucunement qu’il fallait procéder ainsi.

Une telle imprudence, voire crédulité, constitue une négligence grave, au sens des articles précités du code monétaire et financier, de nature à exclure le remboursement des sommes payées.

En outre, M. X n’explique pas comment l’auteur de cette fraude aurait pu être aussi en possession de son adresse mail et du code d’accès personnel à cette messagerie, pour y recevoir les codes confidentiels à usage unique pour chaque opération – sauf à envisager qu’à l’occasion de sa connexion au 'site pirate’ il ait aussi divulgué cette donnée, ce qu’il ne précise pas (l’audition par les services de gendarmerie étant sur ce point peu détaillée).

En tout état de cause, à supposer-même que les contestations des intimés quant à la preuve de l’envoi de ces mails, quant à leur réception par leurs soins, quant à la facilité pour des hackers de sites bancaires de pirater aussi une boîte mail, soient opérantes, il n’en demeure pas moins que, de leur aveu-même, ils ont sans se poser aucune question divulgué les 64 codes confidentiels inscrits sur la carte de données personnelles, sans même se demander pour quelle raison ils auraient à les inscrire, tous ensemble.

¤ Les intimés tentent encore de mettre en cause la responabilité et le manquement à l’obligation de prudence de la banque en soulignant que la carte de clés personnelle leur a été envoyée par lettre simple, un tel procédé ne pouvant, selon eux, garantir qu’aucun tiers n’ait pu accéder à ces données confidentielles à l’occasion de l’expédition d’un tel courrier non sécurisé. Cependant, ils ne caractérisent aucunement le lien de causalité qui pourrait exister entre cet éventuel manquement et le préjudice allégué, dès lors qu’il eût fallu alors que la personne susceptible de pouvoir prendre connaissance de cette carte, avant qu’ils ne la réceptionnent, soit aussi en mesure de connaître leur n° d’identifiant, leur mot de passe pour accéder au site, l’adresse mail et le mot de passe pour cette messagerie.

¤ Le manquement à l’obligation de mise en garde, pour avoir omis d’attirer leur attention sur le risque de piratage du site internet de la banque, n’est pas établi, dès lors que le courrier du 21 mars 2012 précisait que 'cette procédure d’identification renforcée prévient des nouveaux risques de piratage sur internet'.

La cour observe, en outre, que les époux X indiquent eux-mêmes avoir su qu’il fallait se méfier des courriels de hameçonnage et qu’ils ne donnent aucun détail sur la présentation de la page d’accueil du site prétendument pirate, ni sur la liste des manoeuvres et des renseignements qui leur étaient demandés.

¤ Le fait que le Crédit mutuel ait réussi à se faire rembourser par l’établissement bancaire destinataire le virement de 792 euros ne signifie pas qu’il ait admis l’existence de la fraude et ne pourrait plus s’opposer aux réclamations de ses clients.

¤ Les références au fait que le Crédit mutuel a consenti à rembourser les sommes détournées, à d’autres occasions, par des retraits ou paiements frauduleux opérés avec les données de leur carte de paiement Gold – sans dépossession de celle-ci – sont sans intérêt pour le présent litige – sauf à observer que cette banque ne refuse pas systématiquement d’indemniser ses clients.

¤ L’allusion à un contrat 'Assur carte', en page 17 des conclusions, qui n’est le soutien d’aucune demande spécifique figurant au dispositif des écritures, ne nécessite pas d’étude ou de réponse particulière.

En conséquence, le jugement sera réformé et les époux X déboutés de leurs demandes.

Sur les demandes accessoires

Succombant en leurs prétentions, M. et M^me X devront payer les dépens et seront déboutés de leur demande fondée sur l’article 700 du code de procédure civile.

Enfin, il est équitable de les condamner à payer à la Caisse de Desvres une somme de 1 500 euros au titre de ses frais irrépétibles.

PAR CES MOTIFS,

REFORME le jugement,

STATUANT à nouveau,

DEBOUTE M. et M^me X de leurs demandes,

CONDAMNE M. et M^me X à payer à la Caisse de Crédit mutuel de Desvres une somme de 1 500 euros en application de l’article 700 du code de procédure civile,

CONDAMNE M. et M^me X aux entiers dépens de première instance et d’appel.

LE GREFFIER LE PRESIDENT

M. B P. D