N° RG 24/01476 – N° Portalis DBVM-V-B7I-MGZ2

C4

Minute :

Copie exécutoire

délivrée le :

la SELARL CABINET JP

la SELARL FAYOL AVOCATS

AU NOM DU PEUPLE FRANÇAIS

COUR D’APPEL DE GRENOBLE

CHAMBRE COMMERCIALE

ARRÊT DU JEUDI 15 MAI 2025

Appel d’une décision (N° RG 23/00425)

rendue par le TJ hors JAF, JEX, JLD, J. EXPRO, JCP de [Localité 8]

en date du 12 mars 2024

suivant déclaration d’appel du 11 avril 2024

APPELANTE :

Mme [B] [C]

née le [Date naissance 1] 1979 à [Localité 7]

de nationalité Française

[Adresse 2]

[Localité 4]

représentée par M^e Jean POLLARD de la SELARL CABINET JP, avocat au barreau de VALENCE

INTIMÉE :

CAISSE DE CREDIT MUTUEL [Localité 6] DROME DES COLLINES immatriculée sous le numéro 305 524 373 du registre du commerce et des sociétés de ROMANS, agissant poursuite et diligences de ses réprésentants légaux domiciliés audit siège,

[Adresse 5]

[Localité 3]

représentée par M^e Elodie BORONAD de la SELARL FAYOL AVOCATS, avocat au barreau de VALENCE

COMPOSITION DE LA COUR :

LORS DU DÉLIBÉRÉ :

M^me Marie-Pierre FIGUET, Présidente de Chambre,

M. Lionel BRUNO, Conseiller,

M^me Raphaële FAIVRE, Conseillère,

DÉBATS :

A l’audience publique du 21 Février 2025, M. BRUNO, Conseiller, qui a fait rapport assisté de Alice RICHET, Greffier, a entendu les avocats en leurs conclusions, les parties ne s’y étant pas opposées conformément aux dispositions des articles 805 et 907 du Code de Procédure Civile. Il en a été rendu compte à la Cour dans son délibéré et l’arrêt a été rendu ce jour.

Faits et procédure :

1. [B] [C] est titulaire, notamment, de deux comptes ouverts auprès du Crédit Mutuel, sur lesquels des opérations litigieuses ont été effectuées :

— un compte personnel n° 20122201, sur lequel a été effectué un paiement en carte bleu le 21 décembre 2020 pour un montant de 959 euros,

— un compte professionnel n° 20015101, sur lequel ont été effectués des virements pour un montant total de 12.000 euros au pro’t de Paypal Europe et 800 euros sans indication de destinataire.

2. Le 14 décembre 2020, [B] [C] a déposé plainte pour escroquerie.

3. Par courrier du 30 décembre 2020, [B] [C] a sollicité du Crédit Mutuel la mise en 'uvre de l’assurance suite au piratage dont elle a été victime, ce à quoi la banque a répondu négativement en raison des négligences graves commises par la cliente dans la conservation de ses données personnelles en les ayant communiquées à une personne malveillante qui l’a contactée, mais aussi en validant l’authentification nécessaire à l’enrôlement d’un nouveau téléphone portable et d’un nouveau béné’ciaire.

4. Par courrier du 16 mai 2022, le conseil de Mme [C] a saisi le médiateur du Crédit Mutuel.

5. Par acte de commissaire de justice du 13 décembre 2022, Mme [C] a assigné la banque Crédit Mutuel [Localité 6] a’n de solliciter du tribunal judiciaire de Valence, sous le béné’ce de l’exécution provisoire, et au visa des articles L 133-17, L 133-19 et L 133-20 du code monétaire et financier':

— le paiement de 13.759 euros correspondant au montant des opérations frauduleuses,

— de la somme de 3.000 euros à titre de dommages et intérêts.

6. Par jugement du 12 mars 2024, le tribunal judiciaire de Valence a :

— débouté [B] [C] de l’intégralité de ses demandes en l’absence de manquement de la banque Crédit Mutuel [Localité 6] Nord et en raison de ses propres négligences graves ;

— rejeté les demandes des parties au titre de l’article 700 du code de procédure civile ;

— débouté les parties de leurs prétentions plus amples ou contraires ;

— condamné [B] [C] aux entiers dépens de l’instance ;

— rejeté la demande de Me [F] fondée sur les dispositions de l’article 699 du code de procédure civile ;

— rappelé que la décision est de droit exécutoire, à titre provisoire, en application de l’article 514 du code de procédure civile dans sa rédaction applicable au 1er janvier 2020.

7. Mme [C] a interjeté appel de cette décision le 11 avril 2024, en ce qu’elle a':

— débouté [B] [C] de l’intégralité de ses demandes en l’absence de manquement de la banque Crédit Mutuel [Localité 6] Nord et en raison de ses propres négligences graves ;

— rejeté les demandes des parties au titre de l’article 700 du code de procédure civile ;

— débouté les parties de leurs prétentions plus amples ou contraires.

8. L’instruction de cette procédure a été clôturée le 6 février 2025.

Prétentions et moyens de [B] [C]':

9. Selon ses conclusions n°2 remises par voie électronique le 5 décembre 2024, elle demande à la cour, au visa des articles L.133-17, L.133-19 et L.133-20 du code monétaire et financier':

— de déclarer son appel recevable et bien fondée ;

— en conséquence, d’infirmer le jugement déféré en ce qu’il a débouté la concluante de l’intégralité de ses demandes en l’absence de manquement de la banque Crédit Mutuel [Localité 6] Nord et en raison de ses propres négligences graves ; a rejeté les demandes des parties au titre de l’article 700 du code de procédure civile ; a débouté les parties de leurs prétentions plus amples ou contraires ;

— statuant à nouveau, de condamner le Crédit Mutuel à rembourser la somme de 13.759 euros à la requérante correspondant au montant total des opérations frauduleuses ;

— de condamner le Crédit Mutuel à verser la somme de 3.000 euros à titre de dommages et intérêts à la requérante ;

— de condamner le Crédit Mutuel à payer la somme de 5.000 euros en application de l’article 700 du code de procédure civile ;

— de condamner le Crédit Mutuel aux entiers dépens.

10. Elle expose':

11. – que le 7 décembre 2020, la concluante a été contactée par une personne se présentant comme étant intéressée par l’achat de chaussures mises en vente sur le site Marketplace ; qu’il a été convenu que le paiement se ferait par un compte Paypal ; que suspectant ensuite une tentative d’escroquerie en raison d’une demande de validation d’un virement de 2.000 euros, la concluante a contacté l’intimée afin de l’informer de la situation, de bloquer ses comptes, et de faire jouer l’assurance en cas d’opérations frauduleuses;

12. – que les jours suivants, la concluante a constaté des mouvements anormaux entre son compte sur livret Orange et son compte courant, avec la référence «'B@D'» ; que des anomalies ont également été constatées sur le compte bancaire de sa fille ; qu’une plainte a ainsi été déposée le 14 décembre 2020 ;

13. – qu’entre le 18 et le 24 décembre 2020, divers virements ont été opérés entre ses comptes épargnes et son compte courant, sa carte bancaire, avec des débits au profit d’un compte Paypal Europe, avec pour référence «'B@D'», pour près de 10.000 euros, ce dont elle a avisé la banque le 24 décembre 2020, en lui demandant de bloquer tous les virements ; que le total des opérations frauduleuses s’est ainsi élevé à 13.759 euros ;

14. – concernant l’obligation de rembourser les sommes ainsi débitées, qu’il résulte des articles L.133-17 I et L.133-19 du code monétaire et financier que lorsqu’il a connaissance de la perte, du vol, du détournement ou de toute utilisation non autorisée de son instrument de paiement ou des données qui lui sont liées, l’utilisateur de services de paiement en informe sans tarder, aux fins de blocage de l’instrument, son prestataire ou l’entité désignée par celui-ci'; qu’en cas d’opération de paiement non autorisée consécutive à la perte ou au vol de l’instrument de paiement, le payeur supporte, avant l’information prévue à l’article L. 133-17, les pertes liées à l’utilisation de cet instrument, dans la limite d’un plafond de 50 euros ; que la responsabilité du payeur n’est pas engagée si l’opération de paiement non autorisée a été effectuée en détournant, à l’insu du payeur, l’instrument de paiement ou les données qui lui sont liées; que sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si le prestataire de

services de paiement ne fournit pas de moyens appropriés permettant l’information aux fins de blocage de l’instrument de paiement prévue à l’article L. 133-17 ;

15. – qu’en l’espèce, la concluante a informé la banque d’une tentative d’escroquerie, avant même le débit de ses comptes, et s’était renseignée sur la possibilité de bloquer ses comptes, ce qui n’a pas été pris au sérieux par l’intimée et a abouti aux virements frauduleux ;

16. – que c’est au prestataire de services de paiement qu’il incombe de prouver que l’utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence grave à ses obligations'; que la preuve de la négligence ne peut se déduire du seul fait que des données personnelles liées à l’instrument de paiement ont été utilisées (Com 18 janvier 2017) ;

17. – que la concluante n’a communiqué aucune information personnelle lorsque les opérations ont été réalisées';

18. – que la banque a commis une faute en ne proposant pas un blocage des comptes ou l’annulation de la carte bancaire de la concluante, et l’a rassurée en lui indiquant qu’en toute hypothèse, elle était assurée, alors que selon l’article L.133-20 du code monétaire et financier, après avoir informé son prestataire ou l’entité désignée par celui-ci, conformément à l’article L. 133-17 aux fins de blocage de l’instrument de paiement, le payeur ne supporte aucune conséquence financière résultant de l’utilisation de cet instrument de paiement ou de l’utilisation détournée des données qui lui sont liées, sauf agissement frauduleux de sa part ;

19. – en outre, que l’intimée a manqué à son devoir général de vigilance, puisque le plafond fixé pour les dépenses était de 3.000 euros, et n’a pas été respecté puisqu’en quelques jours, des sommes très supérieures ont été virées, dont près de 7.000 euros le 21 décembre 2020, 6.000 euros le 22 puis le 23 décembre et 3.000 euros le 24 décembre; que ces opérations étaient ainsi manifestement anormales en raison de leur répétition, ce qui devait alerter la banque ; que celle-ci a d’ailleurs rejeté les paiements par carte bancaire car dépassant le plafond conventionnel, mais pas les virements bancaires, bien qu’ils aient atteint le double du plafond deux jours de suite; que la banque doit également demander la confirmation de l’ordre de virement lorsque celui-ci, d’un montant exceptionnel, entraîne un découvert important non sollicité (Com. 27 février 1996 n°94-15.176) ; qu’en raison de l’alerte donnée par la concluante au début du mois de décembre, la banque devait mettre en place une surveillance de son compte ;

20. – que la concluante a subi un préjudice moral résultant de l’angoisse d’avoir perdu toutes ses économies.

Prétentions et moyens de la Caisse de Crédit Mutuel de [Localité 6] Drome des Colines':

21. Selon ses conclusions n°2 remises par voie électronique le 28 janvier 2025, elle demande à la cour, au visa articles 133-17, 133-19, 133-20 et 133-23 du code monétaire et financier':

— à titre principal, de confirmer en toutes ses dispositions le jugement déféré';

— à titre subsidiaire en cas d’infirmation, de limiter à un maximum de 15% la responsabilité de la banque au titre du préjudice matériel subi par Mme [C], soit la somme 1.944 euros ;

— en tout état de cause, de débouter Mme [C] de sa demande de préjudice moral ;

— de condamner Mme [C] au paiement d’une somme de 2.500 euros sur le fondement de l’article 700 du code de procédure civile ainsi qu’aux entiers dépens.

22. L’intimée oppose':

23. – que le 7 décembre 2020, la fille de Mme [B] [C] a mis en vente sur un site une paire de chaussures, et a été contactée par une personne qui s’est présentée comme un acheteur potentiel et lui a suggéré un paiement via Paypal ; que pour permettre la création dudit compte, Mme [C] a communiqué son numéro de téléphone ainsi que ses codes d’authentification bancaires, déclarant dans sa plainte que cette personne lui a demandé de faire plusieurs opérations en lui communiquant par téléphone les codes, à savoir une authentification web requise avec le code 949320, une inscription au service confirmation mobile sur l’application mobile « crédit mutuel » avec le code 524934, une création du bénéficiaire avec le code 365017, puis le virement d’un euro pour la création de son compte Paypal ; qu’elle a confirmé dans son courrier du 30 décembre 2020 avoir communiqué presque tous les codes qu’elle avait reçus sauf le dernier car sur le message il y avait inscrit la somme de 2.000 euros ;

24. – que ce n’est que le 24 décembre 2020 que Mme [C] s’est présentée au guichet de sa banque pour faire état de mouvements frauduleux sur ses comptes consistant en une quinzaine d’opérations de virements et un débit de sa carte bancaire de 959 euros, et qu’elle a transmis une copie de sa plainte;

25. – que le préjudice invoqué ne peut comprendre le remboursement du virement de 800 euros du 18 décembre 2020, puisqu’il concerne un virement entre le compte personnel et le compte professionnel de l’appelante, comme retenu par le tribunal ;

26. – que concernant le solde du préjudice invoqué, pour 12.959 euros, l’article L.133-17 du code monétaire et financier prévoit l’obligation pour l’utilisateur d’un instrument de paiement détourné d’en informer son prestataire afin d’en permettre le blocage, ce qui n’a été réalisé que le 24 décembre 2020, de sorte que la concluante n’a commis aucun manquement ;

27. – que l’article L133-20 met à la charge de la banque une obligation de blocage lorsqu’elle est informée de l’existence d’une opération non autorisée; qu’il appartient à l’appelante de rapporter la preuve d’avoir informée la concluante ; que si elle indique avoir adressé cette information le 14 décembre à sa conseillère, et produit une attestation de Mme [L], une salariée de l’appelante, ce fait est impossible puisque les agences de la concluante sont fermées le lundi; que l’appelante se contredit en indiquant avoir informée sa conseillère le 8 décembre ; que si Mme [L] indique que cet échange a porté sur la carte bancaire de la fille de la concluante qui en avait besoin pour des vacances au Portugal, l’entretien ayant donné lieu à l’ouverture du compte et à la commande de cette carte a eu lieu quatre jours avant le dépôt de la plainte ; que ce n’est ainsi que le 24 décembre que Mme [C] a informé la concluante de l’existence de fraudes sur ses comptes ;

28. – que l’appelante ne peut rechercher la responsabilité de la concluante sur un autre terrain que celui prévu par le code monétaire et financier, selon deux arrêts de la Cour de cassation du 15 janvier 2025 (n°23-15.437 et 23-13.579); qu’elle ne peut ainsi invoquer un manquement à une obligation de vigilance;

29. – en tout état de cause, que le jour même de la création du compte Paypal, et de la communication de ses codes d’authentification, l’appelante a pris conscience de la fraude dont elle a été victime, alors qu’elle a attendu le

14 décembre 2020 pour déposer plainte; qu’elle a ainsi divulgué quatre codes de confirmation au fraudeur, qui lui ont permis de s’authentifier de manière sécurisée sur l’accès banque à distance, d’inscrire son propre téléphone mobile sur le service de confirmation mobile, de créer un bénéficiaire de virement, puis de confirmer un premier virement ; que l’appelante a été consciente de cette fraude, puisqu’elle a refusé une opération portant sur 2.000 euros, puis a déposé plainte le 14 décembre 2020 ; qu’aucune opération n’a eu lieu à cette date, puisque toutes les opérations litigieuses ont été passées entre le 18 et le 24 décembre ;

30. – que si l’appelante s’étonne que seuls les paiements par carte bancaire aient été rejetés, et non les virements, cela résulte d’une différence des plafonds concernant ces modes de paiement ;

31. – subsidiairement, que si la responsabilité de la concluante est retenue, elle ne peut l’être qu’à hauteur de 15'% du préjudice subi par l’appelante, alors que les demandes pour préjudice moral et frais irrépétibles doivent être rejetées.

*****

32. Il convient en application de l’article 455 du code de procédure civile de se référer aux conclusions susvisées pour plus ample exposé des prétentions et moyens des parties.

MOTIFS DE LA DECISION :

33. Selon le tribunal, il ressort des pièces produites que le virement de 800 euros effectué le 18 décembre 2020, concerne non pas un virement vers le compte Paypal, mais un virement effectué du compte professionnel au compte personnel de Mme [B] [C] de telle sorte qu’il convient de l’exclure des opérations litigieuses.

34. La cour note à ce titre que les relevés bancaires produits par l’intimée justifient que la somme de 800 euros a été effectivement virée le 18 décembre 2020 depuis le compte professionnel de l’appelante vers son compte personnel. Si l’auteur de ce virement est identifié comme étant «B@D», il ne s’est agi que d’un virement de compte à compte au nom de l’appelante, qui n’a ainsi subi aucun préjudice. Il en résulte que le tribunal a exactement exclu cette opération.

35. Concernant les autres opérations, il résulte des deux arrêts de la Cour de cassation cités par l’intimée que lorsque que la responsabilité d’un prestataire de services de paiement est recherchée en raison d’une opération non autorisée ou mal exécutée, seul est applicable le régime de responsabilité défini aux articles L. 133-18 à L. 133-24 du code monétaire et financier, qui transposent les articles 58, 59 et 60, paragraphe 1, de la directive 2007/64/CE, à l’exclusion de tout régime alternatif de responsabilité résultant du droit national. L’article L. 133-21 de ce code disposant qu’un ordre de paiement exécuté conformément à l’identifiant unique fourni par l’utilisateur du service de paiement est réputé dûment exécuté pour ce qui concerne le bénéficiaire désigné par l’identifiant unique, est en conséquence exclusif de toute application des règles de droit commun. Doit être cassé l’arrêt qui retient que cet article ne dispense pas le banquier de son obligation de vigilance en vertu de laquelle il lui appartient de contrôler l’absence d’anomalie apparente affectant l’ordre de paiement.

36. En l’espèce, il résulte de l’article L133-15 du code monétaire et financier que le prestataire de services de paiement qui délivre un instrument de paiement doit s’assurer que les données de sécurité personnalisées ne sont pas accessibles à d’autres personnes que l’utilisateur autorisé à utiliser cet

instrument. Le prestataire de services de paiement empêche toute utilisation de l’instrument de paiement après avoir été informé, conformément aux dispositions de l’article L. 133-17, de sa perte, de son vol, de son détournement ou de toute utilisation non autorisée de l’instrument de paiement ou des données qui lui sont liées.

37. En conséquence, l’article L133-16 dispose que dès qu’il reçoit un instrument de paiement, l’utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées. Il utilise l’instrument de paiement conformément aux conditions régissant sa délivrance.

38. Selon l’article L133-17, lorsqu’il a connaissance de la perte, du vol, du détournement ou de toute utilisation non autorisée de son instrument de paiement ou des données qui lui sont liées, l’utilisateur de services de paiement en informe sans tarder, aux fins de blocage de l’instrument, son prestataire ou l’entité désignée par celui-ci. Corrélativement, l’article L133-19 prévoit que le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L133-16 et L. 133-17.

39. En la cause, il n’est pas contesté que le Crédit Mutuel a remis à l’appelante les instruments permettant de sécuriser l’accès à ses divers comptes, outre des moyens permettant de sécuriser des opérations de paiement à distance.

40. Ainsi que retenu par le tribunal, il ressort des déclarations faites par Mme [C] dans sa plainte du 14 décembre 2020, dans le contexte d’une vente à distance de chaussures, qu’elle a effectué le 8 décembre 2020 plusieurs opérations à distance à la demande d’une tierce personne pour créer un compte Paypal, en lui communiquant les codes relatifs à une authenti’cation WEB, une inscription au service confirmation mobile sur l’application mobile «Crédit Mutuel'' et la création d’un bénéficiaire [D] [I]. Elle précise qu’elle a ensuite refusé de valider le paiement d’une somme de 2.000 euros, suspectant une fraude, déposant plainte à toutes fins utiles six jours plus tard. Dans le cadre de sa seconde plainte déposée le 4 janvier 2021, Mme [C] a confirmé avoir communiqué les divers codes en sa possession à la personne avec laquelle elle avait été en contact pour la vente de chaussures.

41. Au regard des textes précités, il en résulte que Mme [C] a commis des négligences graves en remettant à un tiers des données strictement confidentielles et en permettant d’inscrire un bénéficiaire, ce qui a permis à un tiers d’accéder à ses comptes directement, de procéder à des virements entre ses comptes professionnel et personnel, pour ensuite opérer des détournements par l’intermédiaire de sa carte bancaire, ainsi qu’à des virements bancaires, à compter du 18 décembre 2020 (1er virement interne de 800 euros, mais sans conséquence), puis entre le 21 et le 24 décembre 2020.

42. Concernant une faute qu’aurait commise l’intimée en ne procédant pas au blocage des comptes et de la carte bancaire de l’appelante, cette dernière ne justifie pas voir prévenu son agence bancaire avant que les opérations litigieuses aient été passées. Si elle indique avoir contacté sa conseillère au début du mois de décembre 2020, elle ne produit que des mails du 8 décembre, mais concernant le compte de sa fille. Elle ne fait pas état d’une tentative d’escroquerie commise la veille, et ne sollicite aucun blocage de ses comptes. Il n’est justifié que d’une lettre du 30 décembre 2020 signalant les problèmes rencontrés. L’attestation produite par l’appelante, émanant de sa

salariée, ne contient pas de faits personnellement constatés concernant une demande faite à la banque de bloquer les comptes, mais relate des faits rapportés par Mme [C], et ne peut ainsi être prise en compte pour constater que cette dernière a dûment informé sa banque et lui a demandé de bloquer ses comptes.

43. En conséquence, le jugement déféré ne peut qu’être confirmé en ses dispositions soumises à la cour, étant rappelé que la responsabilité du prestataire de services de paiement est strictement encadrée par les dispositions du code monétaire et financier, l’intimée n’étant pas ainsi tenue à une obligation de vigilance et de surveillance des comptes de l’appelante, dès lors que les opérations ont été validées conformément à l’identifiant unique fourni par l’utilisateur du service de paiement.

44. Succombant en son appel, Mme [C] sera condamnée à payer au Crédit Mutuel la somme de 2.500 euros par application de l’article 700 du code de procédure civile, outre les dépens d’appel.

PAR CES MOTIFS :

La Cour statuant publiquement, contradictoirement, par mise à disposition de l’arrêt au greffe de la Cour, les parties en ayant été préalablement avisées dans les conditions prévues au deuxième alinéa de l’article 450 du Code de procédure civile, après en avoir délibéré conformément à la loi,

Vu les articles L 133-15 et suivants du code monétaire et financier ;

Confirme le jugement déféré en ses dispositions soumises à la cour ;

y ajoutant,

Condamne [B] [C] à payer à la Caisse de Crédit Mutuel de [Localité 6] Drome des Colines la somme de 2.500 euros par application de l’article 700 du code de procédure civile ;

Condamne [B] [C] aux dépens d’appel ;

Signé par M^me Marie-Pierre FIGUET, Présidente et par M^me Alice RICHET, Greffière à laquelle la minute de la décision a été remise par le magistrat signataire.

La Greffière La Présidente