Cour d'appel de Douai, Troisieme chambre, 9 juillet 2020, n° 18/00764

Autour de la décision
- Arguments
  Nouveau
- Doctrine IA
- Commentaires
  0

Texte intégral
- COUR D'APPEL DE DOUAI
- Parties
- Composition de la Cour
- Faits
- Motifs de la décision
- Sur l'administration de la preuve
- Sur la demande en remboursement de M. X
- Sur la réalité du détournement des moyens de paiement de M. X
- Sur le phishing allégué par la Caisse
- Sur la demande en cause d'appel de M. X au titre de la résistance abusive
- Sur les dépens et les frais non répétibles
- Dispositif

Décisions similaires
- Citées dans les mêmes commentaires
- Citant les mêmes articles de loi
- De référence sur les mêmes thèmes
- Sur les mêmes thèmes

TI Lille 15 décembre 2017

CA Douai
Confirmation 9 juillet 2020

Arguments

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Signaler une erreur.

Accepté
Obligation de remboursement en cas d'opérations non autorisées
La cour a jugé que les opérations litigieuses avaient été effectuées à l'insu de Monsieur X, et que la Caisse n'avait pas prouvé que ce dernier avait manqué à ses obligations de sécurité.
Rejeté
Caractère dolosif de la résistance de la Caisse
La cour a estimé que la Caisse n'avait pas agi de manière dolosive et que son interprétation du droit n'était pas constitutive d'une faute.

Résumé par Doctrine IA

La Caisse de Crédit Mutuel de Wattignies a fait appel d'un jugement du tribunal d'instance de Lille qui l'a condamnée à rembourser M. X pour des opérations frauduleuses sur son compte. La Caisse soutient que M. X a été négligent en étant victime de phishing, ce qui devrait l'exclure de toute indemnisation. La cour d'appel de Douai a confirmé le jugement de première instance, rejetant l'argument de la Caisse. La cour a jugé que la Caisse n'a pas prouvé que M. X avait agi avec négligence grave ou intention frauduleuse. La cour a également rejeté la demande de M. X pour des dommages-intérêts pour résistance abusive. La Caisse est condamnée aux dépens d'appel et à payer 2 000 euros à M. X pour les frais irrépétibles d'appel.

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Commentaire • 0

Augmentez la visibilité de votre blog juridique : vos commentaires d’arrêts peuvent très simplement apparaitre sur toutes les décisions concernées.

Sur la décision

Référence :	CA Douai, troisieme ch., 9 juil. 2020, n° 18/00764
Juridiction :	Cour d'appel de Douai
Numéro(s) :	18/00764
Décision précédente :	Tribunal d'instance de Lille, 15 décembre 2017, N° 15-2264
Dispositif :	Confirme la décision déférée dans toutes ses dispositions, à l'égard de toutes les parties au recours

Sur les parties

Président :	Hélène CHATEAU, président
Avocat(s) :	Caroline FOLLETLudovic DENYS
Parties :	Caisse CAISSE DE CREDIT MUTUEL DE WATTIGNIES

Texte intégral

République Française

Au nom du Peuple Français

COUR D’APPEL DE DOUAI

TROISIEME CHAMBRE

ARRÊT DU 09/07/2020

****

N° de MINUTE : 20/281

N° RG 18/00764 – N° Portalis DBVT-V-B7C-RK2W

Jugement (N° 15-2264) rendu le 15 décembre 2017 par le tribunal d’instance de Lille

APPELANTE

Caisse de Crédit Mutuel de Wattignies prise en la personne de ses représentants légaux

[…]

Représentée par M^e Caroline Follet, avocate au barreau de Lille

INTIMÉ

Monsieur A B X

né le […] à Hazebrouck

de nationalité française

[…]

Représenté par M^e Z Y, avocat au barreau de Lille

DÉPÔT DE DOSSIERS du 13 mai 2020

L’affaire a été retenue sans audience en application de l’article 8 de l’ordonnance 2020-304 du 25 mars 2020, en raison de l’état d’urgence sanitaire, en l’absence d’opposition des parties suite à l’avis de recours à la procédure de dépôt de dossier adressé le 16 avril 2020 et mise en délibéré au 09 Juillet 2020.

COMPOSITION DE LA COUR LORS DU DÉLIBÉRÉ

Hélène Château, première présidente de chambre

Sara Lamotte, conseillère

Claire Bertin, conseillère

ARRÊT CONTRADICTOIRE prononcé par sa mise à disposition au greffe le 09 Juillet 2020, les parties en ayant été préalablement avisées par l’avis qui leur a été adressé le 12 mai 2020 , signé par Hélène Château, Présidente et par Harmony Poyteau greffiere à laquelle la minute de la décision a été remise par la magistrate signataire.

ORDONNANCE DE CLÔTURE DU : 17 décembre 2019

****

EXPOSE DU LITIGE

M. A-B X est titulaire compte bancaire n° 00019537240 ouvert dans les livres de la Caisse de Crédit mutuel de Wattignies (ci-après la Caisse), sur lequel des opérations frauduleuses ont été effectuées le 27 avril 2014 à partir de ses cartes bancaires Mastercard et Gold n° 5132 7202 0167 2733 et n° 5132 27300 0433 3458.

M. X a demandé le remboursement des sommes frauduleusement prélevées, ce à quoi la Caisse s’est opposée.

Suivant acte du 9 juillet 2015, M. X a fait assigner la Caisse devant le tribunal d’instance de Lille pour obtenir le remboursement des sommes frauduleusement débitées de son compte bancaire.

Selon jugement du 15 décembre 2017, le tribunal d’instance de Lille a :

' condamné la Caisse à payer à M. X la somme de 6 742,82 euros avec intérêts au taux légal à compter du 9 juillet 2015 ;

' rejeté toutes les autres demandes ;

' condamné la Caisse aux dépens et payer la somme de 1 000 euros en application des dispositions de l’article 700 du code de procédure civile.

Par déclaration en date du 5 février 2018, la Caisse a, dans des conditions de forme et de délai qui ne sont pas critiquées, relevé appel de ce jugement en ce qu’il l’a condamnée à payer à M. X la somme de 6 742,82 euros avec intérêts au taux légal à compter du 9 juillet 2015, aux dépens et payer la somme de 1 000 euros en application des dispositions de l’article 700 du code de procédure civile.

Selon ordonnance du 14 février 2019, le magistrat de la mise en état de la cour d’appel a dit n’y avoir lieu à renvoi préjudiciel à la Cour de justice de l’Union européenne et a condamné la Caisse à payer à M. X la somme de 1 000 euros sur le fondement de l’article 700 du code de procédure civile, outre aux dépens de l’incident qui seront recouvrés par Maître Z Y conformément à l’article 699 du code de procédure civile.

Dans ses dernières conclusions notifiées le 25 avril 2018, la Caisse demande à la cour de réformer le jugement dont appel, et statuant à nouveau de :

à titre principal,

' constater que M. X reconnaît avoir été victime d’un phishing ;

' dire que cette reconnaissance vaut aveu judiciaire ;

' dire que la négligence grave est caractérisée au sens de l’article L. 133-19, IV du code monétaire et financier ;

à titre subsidiaire et si la cour de ne retenait pas l’existence d’un phishing,

' constater que l’article 59.2 de la directive du 13 novembre 2007 crée une présomption de paiement autorisé par l’utilisateur, dès lors que l’opération de paiement a été dûment authentifiée, comptabilisée et enregistrée sans défaillance technique ;

' constater que M. X n’apporte aucun élément permettant de savoir comment ces paiements auraient pu être autorisés par un tiers, à son insu et par suite du détournement de son instrument de paiement, et donc de combattre cette présomption ;

en tout état de cause,

' débouter M. X de l’ensemble de ses demandes ;

' le condamner à lui payer la somme de 2 000 euros au titre de l’article 700 du code de procédure civile, outre aux entiers dépens.

A l’appui de ses prétentions, la Caisse indique qu’elle apporte la preuve de l’existence d’un phishing. Elle explique que les paiements contestés par M. X ont été réalisés au moyen d’une carte payweb, dont les modalités de création sont particulièrement sécurisées et nécessitent que soient renseignées les données strictement personnelles dont le client est gardien, de sorte que c’est un instrument de paiement doté d’un dispositif de sécurité personnalisé et d’identification renforcée qui a été utilisé et que les dispositions des articles L. 133-19 et L. 133-16 du code monétaire et financier ont vocation à s’appliquer. Elle souligne qu’en l’espèce, la personne, qui a créé les cartes payweb, disposait de l’identifiant de M. X, de son mot de passe, de ses codes de la carte de clés personnelles, du code de confirmation à 6 chiffres adressés par serveur vocal interactif sur le téléphone fixe du sociétaire, et que le porteur de la carte bancaire ne peut prétendre à une indemnisation qu’à deux conditions cumulatives : l’existence d’un détournement de l’instrument de paiement ou des données qui lui sont liées et une absence de négligence grave ou d’intention frauduleuse de sa part. Or, elle soutient que M. X a reconnu à plusieurs reprises qu’il avait été victime d’un phishing, notamment par l’intermédiaire de son assureur protection juridique ou de son avocat, ce qui constitue, pour elle, une négligence grave. Elle ajoute que ce n’est qu’après son assignation que M. X a soutenu de mauvaise foi qu’il n’avait pas été victime d’un phishing. Elle en conclut que cette reconnaissance vaut aveu judiciaire et qu’en s’abstenant de verser le mail frauduleux, M. X adment non seulement qu’il a été victime d’un phishing, mais aussi que sa négligence grave est caractérisée.

A titre subsidiaire, si la cour retenait que la preuve du phishing n’était pas rapportée, elle expose que les dispositions du code monétaire et financier applicables, à savoir les articles L. 133-16, L. 133-17, L. 133-19 et L. 133-23, sont issues de la transposition des articles 56, 59 et 61 de la directive 2007/64/CE du 13 novembre 2007. Dans ce cadre, elle rappelle que le degré de sécurisation du moyen de paiement mis à disposition du sociétaire doit être pris en compte, conformément au considérant 33 de la directive qui impose de tenir compte de toutes les circonstances. Elle soutient que le raisonnement du premier juge la prive du droit à un procès équitable et créé une différence de traitement entre les consommateurs, d’autant qu’elle ne dispose d’aucun pouvoir d’investigation ou de moyen de preuve pour établir la réalité du phishing. Elle fait ensuite valoir que la jurisprudence nationale est en contradiction avec les objectifs de la directive du 13 novembre 2007 puisque l’article 59.2 de celle-ci, qu’il faut mettre en perspective avec la rédaction du considérant 33, a créé une présomption d’autorisation de paiement au profit du prestataire de service de paiement. Elle estime donc que le juge national doit prendre en considération la nature de l’instrument de paiement et le degré de sécurisation de celui-ci, le profil de l’utilisateur et les circonstances du détournement et que

la directive n’exclut pas que dans certaines situations, l’utilisation de l’instrument de paiement puisse suffire à établir la négligence grave du payeur. Elle soutient qu’en tout état de cause, cette disposition créé une présomption d’autorisation du paiement et que le considérant 33 de la directive partage la charge de la preuve entre la banque et l’utilisateur du moyen de paiement. Elle avance enfin que la directive prime le droit national, de sorte que le juge doit appliquer les dispositions résultant de la directive du 13 novembre 2007 en faisant abstraction de la jurisprudence nationale.

Dans ses dernières conclusions notifiées le 5 juillet 2018, M. X demande à la cour de confirmer le jugement dont appel, et y ajoutant de condamner la Caisse à lui payer la somme de 5 000 euros à titre de dommages et intérêts pour résistance abusive, et de la condamner aux dépens, dont distraction au profit de l’avocat constitué, outre à lui payer la somme de 2 000 euros sur le fondement de l’article 700 du code de procédure civile.

A l’appui de ses prétentions, M. X expose pour l’essentiel que :

' l’article L. 113-18 du code monétaire et financier prévoit qu’en cas d’opérations de paiement non autorisées, signalées par l’utilisateur dans le délai légal, la banque doit immédiatement le rembourser ;

' il n’a commis aucune faute et aucune négligence grave susceptible de le priver de son droit à indemnisation, étant observé par lui que la Caisse est dans l’impossibilité d’apporter la preuve de sa prétendue négligence grave et fautive et qu’il doit donc être reconnu de bonne foi ;

' la Caisse a reconnu le caractère frauduleux des opérations effectuées sur son compte puisqu’elle en a bloqué l’accès, sans toutefois le prévenir, ce qui constitue une faute de sa part ;

' deux jours avant le piratage de ses comptes, il a été demandé, par la messagerie interne du site internet, à son conseiller de modifier ses données personnelles, à savoir son numéro de téléphone portable ; or, il n’est pas à l’origine de cette demande et le numéro de téléphone renseigné en ligne n’est pas le sien ;

' si la banque n’a pas procédé au changement de numéro de téléphone en ligne, elle aurait dû toutefois l’avertir qu’une telle demande avait eu lieu, notamment au vu du message envoyé qui comportait de nombreuses fautes d’orthographe et d’erreurs de syntaxe ;

' la banque a donc manqué à son obligation de vigilance et de surveillance.

Il ajoute que la Caisse ne verse au débat aucun justificatif permettant de démontrer de quelle manière les opérations frauduleuses ont été validées. Il fait ensuite valoir que c’est à la banque de rapporter la preuve de sa négligence grave ou de son action frauduleuse, ce que la Caisse ne fait pas en l’espèce. Il souligne encore que la page d’information sur la fraude bancaire a été mise en place sur le site internet en décembre 2014, soit après les faits dont il a été victime. Il fait enfin valoir que la Caisse a multiplié les recours depuis avril 2014, date des opérations frauduleuses, ce qui constitue une résistance abusive et justifie que lui soit allouée la somme de 5 000 euros.

L’ordonnance de clôture a été rendue le 17 décembre 2019.

L’affaire qui devait être plaidée le 9 janvier 2020 a été renvoyée à la demande des avocats, en raison du mouvement de grève.

Compte tenu de la crise sanitaire et en application de l’article 8 de l’ordonnance n° 2020-304 du 25 mars 2020, la première présidente de chambre, présidente de la 3^e civile de la cour d’appel, a, par message du 16 avril 2020, proposé que ce dossier soit retenu sans plaidoirie.

Le conseil de M. X a donné son accord par message RPVA du 20 avril 2020.

Le conseil de la Caisse ne s’est pas opposé à la procédure sans audience dans le délai de quinze jours prévu par l’article 8 de l’ordonnance n° 2020-304.

MOTIFS DE LA DECISION

Sur l’administration de la preuve,

La Caisse argue de ce que la cour doit statuer sur les termes du présent litige en faisant application des dispositions de la directive 2007/64/CE du Parlement européen et du conseil du 13 novembre 2007 concernant les services de paiement dans le marché intérieur et en écartant toute jurisprudence nationale contraire ; elle demande à la cour de constater que 'l’article 59.2 de cette directive consacre une présomption de paiement autorisé par l’utilisateur, dès lors que l’opération de paiement a été dûment authentifiée, comptabilisée et enregistrée sans défaillance technique'.

Selon la jurisprudence de la Cour de justice de l’Union européenne, même une disposition claire, précise et inconditionnelle d’une directive visant à conférer des droits ou à imposer des obligations aux particuliers ne saurait trouver application en tant que telle dans le cadre d’un litige qui oppose exclusivement des particuliers ; toutefois, une juridiction nationale, saisie d’un litige opposant exclusivement des particuliers, est tenue, lorsqu’elle applique les dispositions du droit interne adoptées aux fins de transposer les obligations prévues par une directive, de prendre en considération l’ensemble des règles du droit national et de les interpréter, dans toute la mesure du possible, à la lumière du texte ainsi que de la finalité de cette directive pour aboutir à une solution conforme à l’objectif poursuivi par celle-ci.

Selon ses considérants 4 et 5, la directive 2007/64/CE tend à établir un cadre juridique garantissant des conditions de concurrence équitables pour tous les systèmes de paiement afin de maintenir le choix offert au consommateur, ce qui devrait représenter un progrès sensible en termes de coûts pour le consommateur, de sûreté et d’efficacité par rapport aux systèmes existant au niveau national.

Elle tend notamment à définir, dans ce cadre, les droits et obligations des utilisateurs et des prestataires de services de paiement.

L’article 59 de cette directive énonce, à ce titre, que lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, l’utilisation d’un instrument de paiement, telle qu’enregistrée par le prestataire de services de paiement, ne suffit pas nécessairement en tant que telle à prouver que l’opération de paiement a été autorisée par le payeur ou que celui-ci a agi frauduleusement ou n’a pas satisfait, intentionnellement ou à la suite d’une négligence grave, à une ou plusieurs des obligations qui lui incombent en vertu de l’article 56, lequel prévoit que l’utilisateur de services de paiement habilité à utiliser un instrument de paiement prend toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et informe sans tarder son prestataire de services de paiement de la perte, du vol, du détournement ou de toute utilisation de son instrument de paiement lorsqu’il en a connaissance.

Il résulte enfin des considérants 33 et 34 de la directive, qui concernent la portée de cet article 59, d’abord, que s’il convient de tenir compte de toutes les circonstances pour évaluer l’éventualité d’une négligence de la part de l’utilisateur de services de paiement, les preuves et le degré de négligence devraient être évalués conformément au droit national et, ensuite, qu’afin de favoriser la confiance en la sûreté de l’utilisation des instruments de paiement électronique, les Etats membres devraient être autorisés à réduire la responsabilité du payeur ou à l’en exonérer complètement, sauf agissement frauduleux de sa part.

Si la Caisse soutient que l’article 59.2 de la directive 2007/64/CE crée nécessairement une

présomption d’autorisation du paiement, cet article 59.2 de la directive, dont la portée est explicitée par les considérants 33 et 34 de ladite directive, s’il ne l’exclut pas, n’impose pas de présumer, du seul fait qu’une opération de paiement a été dûment authentifiée et en considération du niveau de sécurité offert par le service de paiement en cause, que l’utilisateur de ce service a nécessairement autorisé le paiement litigieux.

En droit interne, l’article 1315, devenu 1353, du code civil, dispose que celui qui réclame l’exécution d’une obligation doit la prouver et que, réciproquement, celui qui se prétend libéré doit justifier le paiement ou le fait qui a produit l’extinction de son obligation.

L’article 1353 du même code, dans sa rédaction antérieure à celle issue de l’ordonnance n° 2016-131 du 10 février 2016, dispose que les présomptions qui ne sont point établies par la loi sont abandonnées aux lumières et à la prudence du magistrat, qui ne doit admettre que des présomptions graves, précises et concordantes.

L’article 9 du code de procédure civile dispose qu’il incombe à chaque partie de prouver conformément à la loi les faits nécessaires au succès de sa prétention.

L’article L. 133-19, IV, du code monétaire et financier, dans sa rédaction issue de l’ordonnance n° 2009-866 du 15 juillet 2009 transposant la directive 2007/64/CE, dispose que le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17.

En application de l’article L. 133-23 du code monétaire et financier, dans ses dispositions applicables au litige':

— lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre,

— l’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière.

Il s’ensuit que la seule démonstration par le prestataire de services de paiement qu’un tel service, doté d’un dispositif de sécurité, a été utilisé, par l’emploi d’un identifiant internet, d’un mot de passe de connexion, ainsi que des clefs personnelles permettant à l’utilisateur de services de paiement de venir authentifier le paiement au moyen d’une donnée confidentielle ne se trouvant pas sur la carte réelle de paiement, soit le code de confirmation à six chiffres, ne permet pas de présumer que l’utilisateur du service de paiement a donné son autorisation à l’opération de paiement litigieuse.

Cette seule démonstration ne permet pas non plus, en soi et en l’absence d’autres éléments fournis par le prestataire de services de paiement, de rapporter la preuve de la fraude, du manquement intentionnel ou par négligence grave de l’utilisateur de services de paiement à ses obligations légales, prévues aux articles L. 133-16 et L. 133-17 du code monétaire et financier, dans leur rédaction applicable au litige, ou contractuelles, de nature à empêcher le remboursement demandé, et ne saurait suffire à le décharger de toute responsabilité.

Il en résulte, au regard des dispositions précitées de droit interne relatives à la charge et aux modalités de la preuve, que la preuve que l’utilisateur d’un service de paiement, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n’a pas satisfait, intentionnellement ou par

négligence grave, aux obligations légales, qui lui incombent en application des articles L. 133-16 et L. 133-17 du même code, dans leur rédaction applicable au litige, ou contractuelles, ne peut se déduire du seul fait que l’instrument de paiement ou que les données personnelles qui lui sont liées ont été effectivement utilisées, c’est-à-dire que l’opération de paiement a été dûment authentifiée, comptabilisée et enregistrée sans défaillance technique, ce qui exclut ainsi, outre de mettre à la charge de cet utilisateur, en considération du niveau de sécurité offert par le service de paiement en cause, la preuve d’une absence de fraude, d’un manquement intentionnel ou d’une négligence grave de sa part dans la préservation de la sécurité des dispositifs de sécurité personnalisés attachés à son instrument de paiement, de présumer qu’il a autorisé l’opération de paiement litigieuse.

En conséquence et sans que soient méconnues les exigences du droit à un procès équitable et des principes de loyauté dans l’administration de la preuve et d’égalité des armes, il appartient à la Caisse de fournir des éléments afin de prouver que M. X a manqué intentionnellement ou par négligence grave à ses obligations légales, mentionnées aux articles L. 133-16 et L. 133-17 du code précité, dans leur rédaction issue de l’ordonnance n° 2009-866 du 15 juillet 2009 transposant la directive 2007/64/CE, ou contractuelles, voire même son action frauduleuse, ce dont il résulte que la cour, qui ne fait qu’appliquer les règles de droit commun relatives à la charge et aux modalités de la preuve, ne place pas la Caisse dans une situation de net désavantage dans la présentation de sa cause par rapport à M. X.

La Caisse ne peut donc utilement demander à la cour’de constater l’article 59.2 de cette directive consacre une présomption de paiement autorisé par l’utilisateur, dès lors que l’opération de paiement a été dûment authentifiée, comptabilisée et enregistrée sans défaillance technique', alors qu’elle est tenue, au vu de ce qui vient d’être clairement énoncé, de prouver, sans que soient méconnues les exigences d’un procès équitable et de loyauté dans l’administration de la preuve, l’implication à titre ou à un autre de M. X dans les opérations litigieuses pour caractériser sa négligence grave ou son manquement intentionnel à ses obligations légales ou contractuelles, voire même son action frauduleuse.

Sur la demande en remboursement de M. X,

Au vu des motifs précédemment énoncés, il est établi que si, aux termes des articles L. 133-16 et L. 133-17 du code monétaire et financier, dans leur rédaction issue de l’ordonnance n° 2009-866 du 15 juillet 2009 transposant la directive 2007/64/CE, il appartient à l’utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d’informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l’instrument de paiement ou des données qui lui sont liées, c’est à ce prestataire qu’il incombe, par application des articles L. 133-19, IV, et L. 133-23 du même code, dans leur rédaction alors applicable, de rapporter la preuve que l’utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence grave à ses obligations ; cette preuve ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisé ; il appartient donc au prestataire de service de paiement d’établir par d’autres éléments extrinsèques la preuve d’une négligence grave imputable à l’utilisateur de services de paiement

Sur la réalité du détournement des moyens de paiement de M. X,

En l’espèce, il résulte des pièces produites au débat, notamment le tableau chronologique des opérations contestées et le rapport du service fraudes et affaires spéciales du Crédit mutuel, versés par la Caisse (ses pièces n° 2 et 4), que les opérations suivantes ont été effectuées, le 27 avril 2014, à partir des cartes bancaires Mastercard et Gold n° 5132 7202 0167 2733 et n° 5132 27300 0433 3458 de M. X et le système payweb :

' deux achats de 1 486,58 euros chez le commerçant 'THY – www.thy.com’ à Istanbul à 1h29 et 1h42

;

' deux achats de 1 490,58 euros chez le commerçant 'THY – www.thy.com’ à Istanbul à 1h55 et 2h03 ;

' un achat de 538,60 euros chez le commerçant Travel Gateway à Lille à 2h16 ;

' deux achats de 91 euros et 124,30 euros chez le commerçant SNCF à 'Isles les 250' à 13h39 et 13h55 ;

' un achat de 45,70 euros chez le commerçant Kanada drive à Limoges à 14h53.

Il est ensuite établi que l’accès à distance au compte bancaire de M. X a été bloqué le 29 avril 2014 par la Caisse, que l’intimé a formé opposition à ses cartes bancaires Mastercard et Gold n° 5132 7202 0167 2733 et n° 5132 27300 0433 3458 le 29 avril 2014 à 12h03 et 12h07 pour un vol sans code et qu’il s’est présenté le 2 mai 2014 à la gendarmerie de La Bassée pour déclarer l’utilisation frauduleuse de ses deux cartes de paiement ou des données qui y sont attachées.

Il s’observe au surplus que le 23 avril 2014, un message a été envoyé au conseiller bancaire de M. X, via la messagerie interne du site internet du Crédit mutuel, aux fins de modification du numéro de téléphone renseigné sur l’espace personnel de l’intimé, ce à quoi il a été répondu que ce genre de modification ne s’effectue pas par mail, mais directement en agence.

En l’état de ces éléments, les circonstances entourant la création et l’utilisation des cartes payweb générées à partir des cartes bancaires Mastercard et Gold n° 5132 7202 0167 2733 et n° 5132 27300 0433 3458 démontrent suffisamment que les 8 opérations litigieuses pour un montant total de 6 753,92 euros, réalisées le 29 avril 2014 entre 1h29 et 14h53, ont nécessairement été effectuées à l’insu de M. X par le biais d’un détournement frauduleux par un tiers de ses instruments de paiement ou des données qui y sont attachées, de sorte que ces opérations doivent être regardées comme n’ayant pas été autorisées par le payeur au sens des dispositions de l’article L. 133-18 du code monétaire et financier, dans sa rédaction applicable à l’espèce, sans que les exigences d’un procès équitable et de loyauté dans l’administration de la preuve aient été méconnues.

Ensuite, si, au vu des pièces versées au débat, notamment le rapport du service fraudes et affaires spéciales du Crédit mutuel, versés par la Caisse (sa pièce n° 4), les opérations de paiement contestées ont été authentifiées, dûment enregistrées et comptabilisées, et n’ont pas été affectées par une défaillance technique ou autre, tel un piratage, les utilisations successives des données attachées aux cartes bancaires Mastercard et Gold n° 5132 7202 0167 2733 et n° 5132 27300 0433 3458 de M. X ne suffisent pas nécessairement en tant que telles à prouver que les opérations litigieuses, qui ont été réalisées le 29 avril 2014 entre 1h29 et 14h53, ont été autorisées par celui-ci ou qu’il est à l’origine desdistes opérations litigieuses.

Sur le phishing allégué par la Caisse,

Il s’observe en premier lieu à titre liminaire qu’il n’est pas sérieusement contestable que M. X a réagi rapidement au détournement de ses données personnelles, celui-ci ayant formé opposition à ses cartes bancaires Mastercard et Gold n° 5132 7202 0167 2733 et n° 5132 27300 0433 3458 le 29 avril 2014 pour un vol sans code et en signalant aux militaires de la gendarmerie nationale l’utilisation frauduleuse de ses deux cartes de paiement ou des données qui y sont attachées le 2 mai 2014, étant observé que ce point n’est pas contesté par la Caisse.

La preuve n’est dès lors pas rapportée que l’intimé a manqué intentionnellement ou par négligence grave à ses obligations prévues par l’article L. 133-17 du code monétaire et financier dans sa version applicable en l’espèce

En deuxième lieu, la cour rappelle, au vu des pièces versées au débat, que les opérations de paiement contestées ont été authentifiées, dûment enregistrées et comptabilisées, et qu’elles n’ont pas été affectées par une défaillance technique ou autre, tel un piratage.

Pour autant, les utilisations successives des données attachées aux cartes bancaires de M. X ne suffisent pas nécessairement en tant que telles à prouver qu’il est à l’origine des opérations litigieuses, qui ont été réalisée le 27 avril 2014 entre 1h29 et 14h53, ou qu’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations légales lui incombant en la matière, ainsi qu’à celles contractuellement prévues dans les conditions générales et particulières versées par la Caisse.

En troisième lieu, si la Caisse soutient que M. X a admis, dans un courrier du 16 octobre 2014 de son assureur protection juridique, dans un courrier du 9 juin 2015 de son conseil et de son acte introductif d’instance (sa pièce n° 11), avoir été victime d’un phishing et que cela vaut aveu judiciaire en application de l’article 1356 du code civil, devenu 1383-2 du même code, la cour rappelle que l’aveu judiciaire ne peut résulter que de la reconnaissance d’un fait par une partie en cours d’instance, ce qui suppose que celle-ci ait été introduite.

La cour constate que M. X a écrit dans son assignation qu’il a fait délivrer à la Caisse (pp. 2 et 3) que :

' dans le courant du mois d’avril 2014, il 'a été victime d’une fraude sur son compte bancaire, cette fraude ayant été organisée selon la méthode dit du << phishing >>, technique bien connue du Crédit mutuel qui l’une des cibles principales de cette fraude depuis de nombreux mois’ ;

' 'plus précisément, à l’occasion d’une connexion au site internet du Crédit mutuel, il’ lui 'a été demandé (…) de compléter un fichier présenté comme émanant de sa banque afin de mettre à jour ses identifiants’ ;

' 'ne soupçonnant aucune manoeuvre frauduleuse dès qu’il pensait en toute bonne foi s’est connecté au site internet de sa banque', il 'a complété la fiche de renseignement qui lui était soumise’ ;

' 'il s’est en réalité avéré qu’il s’agissait d’un message émanant d’un pirate informatique qui, par le biais de cette escroquerie, a réussi à se connecter’ à son compte bancaire 'pour effectuer des paiements à partir de son compte'.

Pour autant, si M. X a admis, par ces mentions écrites dans son assignation, qu’il avait été victime d’un phishing, cette reconnaissance en justice sur cette circonstance, quand bien même elle vaut aveu judiciaire, n’est pas suffisante en soi pour démontrer qu’il a manqué intentionnellement ou par négligence grave à ses obligations légales ou contractuelles, ou même sa fraude.

Dans ce cadre, la Caisse n’apporte au débat aucun élément objectif de nature justifier de la réalité d’une communication intentionnelle ou par négligence grave, voire par fraude, par M. X de ses données personnelles ou confidentielles, c’est-à-dire de son identifiant de connexion sur le site de banque à distance, de son code confidentiel personnel, de ses clés confidentielles ou de ses coordonnées personnelles, à l’occasion du phishing dont il a indiqué avoir été victime dans son acte introductif d’instance.

La Caisse qui se borne à alléguer que M. X a été victime d’un phishing, sans démontrer qu’il aurait dû avoir conscience que le courriel reçu était frauduleux et qu’il s’agissait en réalité d’un hameçonnage, ne fournit donc pas les éléments afin de prouver qu’il a communiqué intentionnellement ou par négligence grave, voire par fraude, ses données personnelles et confidentielles, permettant à un tiers de prendre connaissance du code de la carte payweb, de sorte que la Caisse échoue à rapporter la preuve qu’il a commis un manquement intentionnel ou par négligence grave à ses obligations mentionnées à l’article L.'133-16 du code monétaire et financier,

voire même une action frauduleuse de sa part.

La Caisse ne verse en dernier lieu au débat aucun élément de nature à démontrer que M. X a manqué intentionnellement ou par négligence grave, ou par fraude, à ses obligations contractuelles telles qu’elles ressortent des conditions particulières et générales qu’elle verse au débat.

En l’état de l’ensemble de ces éléments, la Caisse est défaillante dans l’établissement du manquement intentionnel ou de la négligence grave de M. X à son obligation de préserver la sécurité de ses données de sécurité personnalisées, ou encore de son action frauduleuse.

Au vu des pièces produites au débat et ce qui a été précédemment énoncé, le montant des paiements frauduleux s’élève à la somme de 6 753,92 euros.

M. X se bornant à demander la confirmation du jugement querellé qui a condamné la Caisse à lui payer la somme de 6 742,82 euros, il sera fait droit à cette demande.

Le jugement dont appel sera en conséquence confirmé de ce chef.

Sur la demande en cause d’appel de M. X au titre de la résistance abusive,

La résistance d’une des parties ne peut dégénérer en abus, susceptible d’engager sa responsabilité, que lorsqu’elle présente un caractère dolosif ou malveillant.

En l’espèce, la preuve n’est pas rapportée du caractère dolosif ou malveillant du refus de la Caisse de rembourser M. X du montant des sommes prélevées sur son compte par suite des paiements frauduleux.

Au surplus, l’interprétation inexacte qu’un justiciable fait d’une règle de droit n’est pas constitutive en soi d’une faute.

En conséquence, M. X sera débouté de sa demande en cause d’appel de dommages et intérêts au titre de la résistance abusive, étant remarqué qu’il demande la confirmation en toutes ses dispositions du jugement dont appel, de sorte qu’il sera confirmé en ce qu’il a débouté M. X de sa demande de dommages et intérêts pour résistance abusive.

Sur les dépens et les frais non répétibles,

Le sens du présent arrêt commande de confirme le jugement dont appel sur ses dispositions relatives aux dépens et aux frais non répétibles.

Y ajoutant, il convient de condamner la Caisse, qui succombe en son appel, aux dépens de celui-ci, avec faculté de recouvrement direct au profit de Maître Y pour ceux dont il aurait fait l’avance sans en recevoir provision, et à payer à M. X, en considération de l’équité, la somme de 2 000 euros au titre des frais non répétibles d’appel.

PAR CES MOTIFS,

La cour,

CONFIRME en toutes ses dispositions le jugement rendu le 15 décembre 2017 par le tribunal d’instance de Lille,

Y AJOUTANT,

Déboute M. A-B X de sa demande de condamnations de la Caisse de crédit mutuel de Wattignies à lui payer la somme de 5 000 euros à titre de dommages et intérêts pour résistance abusive ;

Déboute les parties de leurs autres demandes ;

Condamne la Caisse de crédit mutuel de Wattignies aux dépens d’appel avec faculté de recouvrement direct au profit de Maître Y pour ceux dont il aurait fait l’avance sans en recevoir provision ;

Condamne la Caisse de crédit mutuel de Wattignies à payer à M. A-B X la somme de 2 000 euros au titre des frais irrépétibles d’appel.

La Greffière La Présidente

[…]