N° RG 24/02381 – N° Portalis DBVM-V-B7I-MJYY

C4

Minute :

Copie exécutoire

délivrée le :

M^e Marine FARDEAU

M^e Ingrid ALAMPI

AU NOM DU PEUPLE FRANÇAIS

COUR D’APPEL DE GRENOBLE

CHAMBRE COMMERCIALE

ARRÊT DU JEUDI 26 FEVRIER 2026

Appel d’une décision (N° RG 2023J20)

rendue par le Tribunal de Commerce de VIENNE

en date du 13 juin 2024

suivant déclaration d’appel du 24 juin 2024

APPELANTE :

S.A.S. R.G.E 38 au capital social de 21.000,00 euros, immatriculée au R.C.S. de Vienne sous le numéro 519 705 644, prise en la personne de son représentant légal domicilié en cette qualité audit siège

[Adresse 1]

[Localité 1]

représentée par M^e Marine FARDEAU, avocat au barreau de GRENOBLE, postulant et plaidant par M^e LEBRUN, avocat au barreau de LYON,

INTIMÉE :

S.A. SOCIETE GENERALE au capital de 1.000.395.971,25 €, immatriculée au RCS de PARIS sous le n°552 120 222, prise en la personne de sa Direction Commerciale Régionale de [G], représentée par son Directeur domicilié audit siège,

[Adresse 2]

[Localité 2]

représentée par M^e Ingrid ALAMPI, avocat au barreau de GRENOBLE, postulant et par M^e Dominique FONTANA, avocat au barreau de PARIS,

COMPOSITION DE LA COUR :

LORS DU DÉLIBÉRÉ :

M^me Marie-Pierre FIGUET, Présidente de Chambre,

M. Lionel BRUNO, Conseiller,

M^me Céline PAYEN, Conseillère,

DÉBATS :

A l’audience publique du 19 décembre 2025, M. BRUNO, Conseiller, qui a fait rapport assisté de Alice RICHET, Greffière, a entendu les avocats en leurs conclusions et M^e LEBRUN en sa plaidoirie, les parties ne s’y étant pas opposées conformément aux dispositions des articles 805 et 907 du Code de Procédure Civile. Il en a été rendu compte à la Cour dans son délibéré et l’arrêt a été rendu ce jour.

Faits et procédure:

1. La société RGE 38 est titulaire d’un compte courant au sein de la Société Générale.

2. M.[G], président de la société RGE 38, a été victime au Maroc du vol de son téléphone sur lequel était installée l’application bancaire de la Société Générale avec l’accès au compte professionnels de la société RGE 38. Suite à ce vol, M. [G] a effectué une déclaration auprès du fabriquant de son téléphone afin qu’il soit bloqué.

3. Au cours de la nuit du 30 au 31 mai 2022, 12 virements frauduleux ont été effectués, débitant un total de 12.375 euros du compte professionnel de la société RGE 38.

4. M. [G] a déposé une plainte le 31 mai 2022 à la gendarmerie départementale de [Localité 3].

5. Le même jour, la société RGE 38 a rempli un formulaire de contestation afin de contester les virements frauduleux.

6. Le 24 juin 2022, la Société Générale a autorisé un nouveau virement de 3.000 euros, qui pourtant avait été bloqué précédemment par la banque. Le montant du préjudice s’est élevé alors à 15.375 euros.

7. La société RGE 38 a, le 24 juin 2022, adressé à la Société Générale une demande afin de réclamer le remboursement de ce préjudice. Par courrier du 5 juillet 2022, la banque a refusé de rembourser le montant des virements, estimant que la société RGE 38 a été responsable d’une négligence grave.

8. La société RGE 38 a alors saisi le médiateur désigné par la Société Générale afin de régler le litige, mais, par courrier du 24 novembre 2022, la banque a confirmé son refus définitif concernant le remboursement des virements frauduleux.

9. Par exploit signifié le 17 janvier 2023, la société R.G.E 38 a ainsi assigné la Société Générale devant le tribunal de commerce de Vienne afin d’obtenir notamment le paiement de 15.375 euros.

10. Par jugement du 13 juin 2024, le tribunal de commerce de Vienne a:

— déclaré la société RGE 38 mal fondée en ses demandes,

— débouté la société RGE 38 de l’ensemble de ses demandes,

— condamné la société RGE 38 à payer à la Société Générale la somme de 3.000 euros en application de l’article 700 du code de procédure civile,

— condamné la société RGE 38 aux dépens prévus à l’article 695 du code de procédure civile et les a liquidés conformément à l’article 701 du code de procédure civile.

11. La société RGE 38 a interjeté appel de cette décision le 24 juin 2024 en toutes ses dispositions reprises dans sa déclaration d’appel.

12. L’instruction de cette procédure a été clôturée le 27 novembre 2025.

Prétentions et moyens de la société RGE 38:

13. Selon ses conclusions remises par voie électronique le 24 mars 2025, elle demande à la cour, au visa des articles L. 133-16, L. 133-17, L. 133-18 et suivants, L. 133-23 et L. 133-24 du code monétaire et financier:

— de la déclarer recevable et bien fondée en son appel;

— par conséquent, d’infirmer ce jugement en ce qu’il l’a déclarée mal fondée en ses demandes, l’a déboutée de l’ensemble de ses demandes, l’a condamnée à payer à la Société Générale la somme de 3.000 euros en application de l’article 700 du code de procédure civile, l’a condamnée aux dépens prévus à l’article 695 du code de procédure civile et les a liquidés conformément à l’article 701 du code de procédure civile;

— statuant à nouveau, à titre principal, de constater le non-respect par la société Société Générale de son obligation de rembourser les sommes résultant d’opérations non autorisées par sa cliente, la société R.G.E 38;

— de condamner en conséquence la Société Générale à rembourser lesdites sommes à la concluante, soit un total de 12.384,60 euros;

— en tout état de cause, de débouter la Société Générale de l’ensemble des demandes, moyens et prétentions qu’elle serait amenée à faire valoir;

— de condamner la Société Générale à payer à la concluante la somme de 3.000 euros au titre de l’article 700 du code de procédure civile;

— de condamner la Société Générale aux entiers dépens.

14. L’appelante expose:

15. ' que selon l’article L133-18 du code monétaire et financier, en cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L133-24, le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement et s’il communique ces raisons par écrit à la Banque de France'; que le cas échéant, le prestataire de services de paiement du payeur rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu'; qu’il résulte de l’article L133-24 que l’utilisateur de services de paiement signale, sans tarder, à son prestataire de services de paiement une opération de paiement non autorisée ou mal exécutée et au plus tard dans les treize mois suivant la date de débit sous peine de forclusion à moins que le prestataire de services de paiement ne lui ait pas fourni ou n’ait pas mis à sa disposition les informations relatives à cette opération de paiement conformément au chapitre IV du titre 1er du livre III de ce code';

16. ' que l’article L133-19 ajoute que la responsabilité du payeur n’est pas engagée si l’opération de paiement non autorisée a été effectuée en détournant, à l’insu du payeur, l’instrument de paiement ou les données qui lui sont liées, alors que l’article L133-23 prévoit que lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre';

17. ' que les articles L133-16 et L133-17 précisent que dès qu’il reçoit un instrument de paiement, l’utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées et utilise l’instrument de paiement conformément aux conditions régissant sa délivrance, alors que lorsqu’il a connaissance de la perte, du vol, du détournement ou de toute utilisation non autorisée de son instrument de paiement ou des données qui lui sont liées, l’utilisateur de services de paiement en informe sans tarder, aux fins de blocage de l’instrument, son prestataire ou l’entité désignée par celui-ci';

18. – 'qu’il résulte de l’article L133-19 V que sauf agissement frauduleux de sa part,le payeur ne supporte aucune conséquence financière si l’opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement du payeur n’exige une authentification forte du payeur prévue à l’article L133-44';

19. – que la banque ne rapporte pas la preuve que la concluante ait commis une faute ou une négligence grave, ni qu’une authentification forte ait été exigée pour les virements, et que les opérations n’ont pas été affectées par une déficience technique ou autre';

20. ' que le tribunal a dénaturé les faits pour débouter la concluante de ses demandes, puisque':

— M.[G] a été victime du vol du téléphone à [Localité 4] le 30 mai 2022 à 8h30 GMT, et a activé le mode perdu de son téléphone à 9h20 GMT, ce qui a désactivé l’application Apple Pay';

— M.[G] a pris un avion pour rentrer en France à 11h45 GMT', avec une escale à [Localité 5]';

— son avion a quitté [Localité 5] à 14h25 GMT';

— son téléphone a été localisé par Apple au Maroc le 30 mai à 17h, heure de [Localité 6]';

— l’avion a atterri à [Localité 7] à 17h55';

— les 12 virements frauduleux ont été réalisés le 31 mai 2022 entre 00h10 et 04h18';

— le 31 mai au matin, la concluante a signalé les opérations non autorisées au guichet de la banque à [Localité 8] et a rempli le formulaire de contestation';

— M.[G] a déposé plainte auprès de la gendarmerie de [Localité 3] à 16h20';

21. ' que la concluante n’a pas communiqué ses identifiants et ses codes, alors que c’est au prestataire de services de paiements de rapporter la preuve de la négligence de l’utilisateur, d’autant que M.[G] a demandé rapidement le blocage du téléphone'; que sur les quatre applications installées sur ce téléphone, seule celle de la Société Générale a été piratée, ce qui indique un défaut de sécurisation de son application qui permet le pré-enregistrement de l’identifiant du compte bancaire, alors que le code à 6 chiffres utilisé pour valider une opération est le même code que le mot de passe permettant d’accéder à l’application de banque en ligne'; qu’il n’appartient pas à la concluante d’expliquer comment un tiers a pu accéder à son espace en ligne sans qu’elle lui ait communiqué ses données bancaires sécurisées, puisque qu’il s’agit d’une inversion de la charge de la preuve et de la preuve d’un fait négatif';

22. ' que si l’intimée reproche l’absence de plainte auprès des autorités marocaines, le vol a cependant eu lieu à 8h30 à [Localité 4] alors que M.[O] devait prendre l’avion de retour à 11h45, et être présent à l’embarquement à 11h15, de sorte qu’il ne disposait pas du temps nécessaire pour se présenter aux autorités locales';

23. ' qu’il ne peut être reproché à la concluante de ne pas avoir signalé à l’intimée le vol du téléphone, l’article L133-17 du code monétaire et financier n’obligeant l’utilisateur du service de paiement qu’à signaler la perte de l’instrument de paiement ou des données qui lui sont liées, alors qu’un téléphone portable ne constitue pas instrument de paiement, même si une application bancaire est installée';

24. ' que les opérations frauduleuses ont été réalisées sans qu’une authentification forte soit exigée, de sorte que peu importe que la concluante ait commis ou non une négligence grave'; qu’il n’est pas prouvé par l’intimée que le service Pass Sécurité Pro respectait l’exigence d’une authentification forte, ni qu’elle ait été utilisée pour permettre les virements'; que la copie d’écran produite par l’intimée concernant les appareils enregistrés indique que le téléphone Iphone 12 ne figure pas dans les appareils dotés de ce service d’authentification';

25. ' que si l’intimée indique qu’à défaut du dispositif Pass Sécurité Pro, elle propose à ses clients une authentification par l’envoi d’un code unique par SMS, ce dispositif ne constitue pas une authentification forte selon l’Autorité bancaire européenne, l’Autorité de contrôle prudentiel et la Banque de France, faute d’un deuxième facteur d’authentification';

26. ' que l’intimée ne prouve pas que les opérations ont été authentifiées, dûment enregistrées et comptabilisées et qu’elles n’ont pas été affectées par une déficience technique ou autre.

Prétentions et moyens de la Société Générale:

27. Selon ses conclusions remises par voie électronique le 10 juin 2025, elle demande à la cour, au visa des articles L.133-16, L.133-17 et L.133-19 IV du code monétaire et financier:

— de déclarer la société RGE 38 mal fondée en son appel,

— de débouter la société RGE 38 de ses demandes,

— de confirmer le jugement déféré en ce qu’il a débouté la société RGE 38 de ses demandes, et l’a condamnée à payer à la concluante la somme de 3.000 euros sur le fondement de l’article 700 du code de procédure civile, outre les dépens;

— y ajoutant, de condamner la société RGE 38 à payer à la concluante la somme de 3.000 euros sur le fondement de l’article 700 du code de procédure civile,

— de condamner la société RGE38 aux entiers dépens en application de l’article 699 du code de procédure civile.

28. L’intimée soutient:

29. ' que le service Jazz Pro incluant le service Progeliance Net souscrit par l’appelante lui permet d’accéder à des services à distance, et que son accès suppose':

— l’enregistrement auprès de la concluante du numéro de téléphone de l’utilisateur,

— une authentification forte par l’utilisation d’un code de sécurité, adressé par SMS sur le numéro de téléphone mobile préalablement enregistré';

30. ' que les virements contestés par l’appelante n’ont été possibles que parce qu’elle n’a pas préservé ses données de sécurité personnalisées, ce qui constitue une négligence grave, puisqu’il résulte des articles L133-16 et L133-17 du code monétaire et financier que lorsque l’utilisateur d’un service de paiement reçoit un instrument de paiement, il doit prendre toutes mesures raisonnables afin de préserver la sécurité de ses données de paiement personnalisées, et doit, dès qu’il a connaissance de la perte ou du vol de son instrument de paiement, en informer sans tarder le fournisseur de service de paiement afin de bloquer l’instrument de paiement';

31. ' qu’en l’espèce, l’appelante a activé le service Pass Sécurité en décembre 2020 et a enregistré l’appareil détenu par son gérant';

32. ' que l’article 3.2 du contrat d’abonnement Progeliance Net prévoit que la saisie successive de l’identifiant et du code secret, ainsi que l’utilisation du code sécurité et du Pass Sécurité Pro, lorsque cette utilisation est requise, valent signature électronique du souscripteur, permettant son identification et prouvant son consentement aux opérations effectuées';

33. ' que les virements litigieux ont été validés par authentification forte après avoir été initiés depuis l’espace en ligne Progeliance Net, permettant l’ajout de bénéficiaires dans la nuit du 30 au 31 mai 2022';

34. ' que ces virements ont été authentifiés, dûment enregistrés et comptabilisés, sans être affectés par une déficience technique ou autre, ainsi qu’il résulte des logs qui retracent l’historique des connexions et des événements, validés par l’application d’authentification forte Pass Sécurité Pro';

35. – que ce système nécessitait de se rendre sur l’espace en ligne de l’appelante, de sorte qu’elle est mal fondée à soutenir que seule l’application de la concluante a été piratée sur son téléphone portable, puisque l’accès au site en ligne suppose l’utilisation de codes de connexion connus du seul utilisateur du compte, puisque l’accès à son espace personnel supposait la composition d’un code secret à six chiffres, de sorte que l’appelante a commis une négligence, puisque le seul vol de son téléphone ne pouvait permettre une connexion sur son espace personnel';'

36. ' que si l’appelante discute la valeur probante des éléments techniques produits par la concluante, les documents informatiques produits par une banque sont recevables pour justifier l’authentification forte et l’absence de défaillance technique';

37. ' que les ordres de virement ayant été ainsi donnés irrévocablement, la concluante devait les exécuter au plus tard le premier jour ouvrable suivant leur réception, conformément aux articles L133-6 et suivants du code monétaire et financier, la concluante ne disposant d’aucune information lui permettant de suspecter une fraude en l’absence d’anomalie apparente';

38. ' que si l’appelante indique que le code de connexion à son espace personnel et le code associé au Pass Sécurité sont les mêmes, il lui appartenait de les modifier à sa convenance, alors que les conditions générales du contrat Progeliance Net indiquent que par mesure de sécurité, le code secret doit être changé par l’utilisateur dès la première connexion au service;

39. ' que l’appelante ne justifie pas avoir demandé au fabriquant du téléphone de le bloquer, la déclaration de perte n’ayant pour effet que de bloquer les applications de paiement notamment propres à cette marque, alors que le vol n’a été déclaré que postérieurement à la réalisation des virements';

40. ' qu’elle ne justifie pas plus de démarches réalisées auprès des autorités marocaines, ni avoir effectué des démarches pour bloquer le service d’accès de banque à distance en contractant le service dédié de la concluante, ou s’être connectée sur son espace personnel afin de modifier son code d’accès ou de bloquer elle-même l’application en composant trois fois un code erroné';

41. ' que le vol du téléphone étant intervenu le lundi 30 mai 2022 à 08h30, plus de 18 heures se sont écoulées avant les virements frauduleux réalisés le 31 mai à partir de 01h20; que la déclaration du vol a été tardive, alors que l’appelante disposait du temps nécessaire à cette fin, notamment après de la police de l’aéroport';

42. ' que le fraudeur ayant pu utiliser le téléphone, il en résulte que l’appelante n’avait pas protégé cet appareil par un code d’utilisation, ce qui constitue également une négligence';

43. ' qu’un téléphone portable constitue nécessairement un instrument de paiement, étant un élément de l’authentification forte.'

*****

44. Il convient en application de l’article 455 du code de procédure civile de se référer aux conclusions susvisées pour plus ample exposé des prétentions et moyens des parties.

Motifs’de la décision :

45. Selon le tribunal de commerce, concernant les mesures de sécurité mises en place par la Société Générale, conformément aux dispositions prévues par la directive DSP2, la banque a mis en place, pour les achats faits à distance et les virements, un moyen d’identification fort respectant la double authentification imposée par ce texte appelé Pass Sécurité. La société RGE 38 a signé le 28 janvier 2010 avec la Société Générale une convention de compte professionnel auquel est rattaché un pack de produits et services dénommé Jazz Pro, et en y adhérant, elle bénéficiait du service de consultation et gestion de comptes par téléphone. Pour valider des opérations sensibles, la société RGE 38 devait s’authentifier en utilisant un processus de sécurité supplémentaire « Pass Sécurité Pro '', lequel a été mis en place en décembre 2020 et est toujours en vigueur à ce jour. Le tribunal en a retiré que la société RGE 38 bénéficiait pour toutes les opérations effectuées en ligne d’une protection forte.

46. Il a observé, concernant la confidentialité des mesures de sécurité mises en place, que préalablement, l’utilisateur de l’application doit avoir déclaré et activé son numéro de téléphone mobile pour effectuer ses opérations et recevoir ses codes secrets, et que d’une manière générale, l’accès aux fonctions d’un téléphone nécessite un premier code secret personnel, puis d’un code pour déverrouiller la carte SIM, ces deux codes étant choisis par l’utilisateur du téléphone et étant connus de lui seul et gardés secrets.

47. Le tribunal a noté, s’agissant du contrat d’abonnement à l’application Progeliance Net, qu’il précise, dans son paragraphe 3.2 – Sécurisation de l’accès aux services, que l’accès à ce service n’est possible qu’au moyen de codes confidentiels: un identifiant et un code secret remis par la Société Générale. L’activation de l’application Pass Sécurité Pro se fait par la saisie d’un code sécurité.

48. Le tribunal a constaté que l’accès à un service sécurisé pour des opérations telles que des virements à distance n’est possible qu’au moyen de l’utilisation d’une succession de codes secrets, et que tous les virements contestés ont été validés par le « client ''.

49. Il a rappelé que l’article L.133-16 du code monétaire et financier dispose que dès qu’il reçoit un instrument de paiement, l’utilisateur de service de paiement prend toute mesure raisonnable pour préserver la sécurité de ses données, et il a constaté que la société RGE 38 a fait preuve d’une négligence grave ayant permis la fraude en n’assurant pas la sécurité de ses moyens de paiement.

50. Le tribunal a également relevé le manque de diligence de la société RGE 38, alors que selon l’article L 133-17 du même code, l’utilisateur de service de paiement doit, lorsqu’il a connaissance de la perte, du vol, du détournement ou de toute utilisation frauduleuse de son instrument de paiement ou des données qui lui sont liées, en informer, sans tarder, aux fins de blocage de l’instrument, son prestataire de service ou l’entité désignée par celui-ci. Il a ajouté l’article L.133-19 IV du code monétaire et financier oblige le payeur à supporter toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L.133- 16 et L 133-17 du code monétaire et financier.

51. Le tribunal a constaté que le dirigeant de la société RGE 38 a été victime au Maroc d’un vol à l’arraché le 30 mai 2022 entre 9h30 et 10h30, que le dirigeant de la société RGE 38 a effectué une déclaration auprès du fabricant de son téléphone en faisant activer le mode perdu à 8.00 PDT soit 17h00, 8 heures environ après le vol; que l’application Apple Pay a été désactivée à 9h20 AM, soit 21h20, et que la société RGE 38 à tarder à déclarer le vol.

52. Il a noté que la Société Générale offre à ses clients la possibilité de faire opposition sur leurs cartes bancaires, 24 heures sur 24, 7 jours sur 7, par téléphone ou sur l’application Banque à Distance et le service internet de la banque, alors que la désactivation de l’application Apple Pay n’a d’effet que sur ce moyen de paiement, que cette initiative tardive de la société RGE 38 n’a pas eu d’effet pour un blocage du service Banque à Distance de la Société Générale, que la société RGE 38 n’a pas utilisé le service d’urgence 24/24 de la Société Générale permettant le blocage de son service Banque à Distance, que la société RGE 38 n’a déclaré le vol de son téléphone à la Société Générale que dans la journée du 31 mai 2022 après avoir déposé plainte à la gendarmerie, soit plus de 24 heures après le vol.

53. Il a constaté que tous les virements suspects ont été effectués le 31 mai 2022 entre 01h21 et 04h53, que le dirigeant de la société RGE 38 a été de retour le 30 mai 2022 à 13H35, et que la RGE 38 a bénéficié de tout le temps nécessaire pour activer le blocage du service blocage à distance.

54. Il a conclu que la société RGE 38 a manqué de diligence pour s’opposer à toutes interventions frauduleuses sur ses comptes et l’a ainsi déclarée mal fondée en ses demandes.

55. La cour constate, en premier lieu, qu’il appartient au fournisseur de services de paiement de rapporter la preuve de la mise à disposition de l’utilisation de moyens d’authentification forte, conformément aux articles L133-23 et suivants du code monétaire et financier.

56. En l’espèce, l’intimée justifie que l’appelante a souscrit une convention de compte professionnel, incluant une convention Jazz Pro, regroupant les services bancaires essentiels pour la gestion du compte, dont le service Progeliance Pro permettant une consultation et la gestion du compte via internet. Selon les conditions générales applicables à ce service, son accès n’est possible qu’au moyen de codes d’accès confidentiels, comprenant un identifiant et un code secret. Le numéro de téléphone mobile doit être enregistré et il est spécialement indiqué que par mesure de sécurité, le code secret doit être changé dès la première connexion au service.

57. En outre, l’utilisateur devra s’authentifier en utilisant les processus de sécurité complémentaire (code sécurité ou Pass Sécurité Pro) pour valider des opérations sensibles en ligne, telles que l’ajout d’un compte de bénéficiaire, la confirmation d’un ordre de paiement, l’enregistrement ou la modification d’un virement permanent. Le code sécurité est communiqué lors de la validation d’une opération initiée à partir de services internet, soit par SMS, soit par appel téléphonique, sur le numéro de téléphone mobile communiqué par l’utilisateur et préalablement enregistré en agence. L’émisson d’un virement instantané nécessite l’activation préalable du Pass Sécurité Pro. Une validation de l’opération peut être réalisée par le recours à un élément biométrique propre à l’utilisateur.

58. Ces conditions ajoutent que l’accès à Progeliance Net est bloquée lorsqu’à trois reprise, le code secret saisi est erroné.

59. Il est stipulé que les codes personnels (code secret, code de sécurité) sont strictement confidentiels et qu’il appartient à l’utilisateur de les tenir secrets et de ne les communiquer à quiconque. L’utilisateur est entièrement responsable de la conservation de ces codes. De même, le téléphone mobile est sous la responsabilité exclusive de l’utilisateur, et la banque ne peut être tenue pour responsable en cas de perte, de vol, ou de prêt de cet appareil. Elle ne peut être responsable de la divulgation du code PIN attribué par l’opérateur téléphonique, ou en cas d’interception et décodage des signaux radioélectriques échangés entre l’opérateur et l’utilisateur.

60. Il est enfin indiqué qu’en cas d’oubli, de vol, de perte, de détournement ou de toute utilisation frauduleuses de ses codes d’accès confidentiels, l’utilisateur doit en informer sans tarder son agence afin de bloquer l’accès au service.

61. Selon l’article L133-4 du code monétaire et financier, une authentification forte du client s’entend d’une authentification reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories « connaissance » (quelque chose que seul l’utilisateur connaît), « possession » (quelque chose que seul l’utilisateur possède) et « inhérence » (quelque chose que l’utilisateur est) et indépendants en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d’authentification. Ainsi, pour valider l’opération et prouver que l’utilisateur en est à l’origine, il doit utiliser au moins 2 des 3 facteurs suivants': un élément de connaissance (que lui seul connaît comme un mot de passe, code secret, question secrète), un élément de possession (que seul l’utilisateur possède comme un téléphone portable, une montre connectée, une clé USB) et un élément d’inhérence de biométrie (reconnaissance faciale, vocale, empreinte digitale). Il s’agit de la mise en 'uvre de la directive sur les services de paiement, dite DSP2.

62. La cour note que les conditions générales Progeliance Net produites par l’intimée, modifiées en février 2022, soit avant la réalisation des virements litigieux, répondent aux exigences définies ci-dessus au titre de l’authentification forte nécessaire afin de valider des opérations de banque à distance.

63. La cour constate que le compte professionnel a été ouvert en 2010 par M.[N], en sa qualité de représentant légal de la société RGE38. Selon le relevé produit par l’intimée, dont rien ne permet de constater qu’il soit erroné, M.[N] a enregistré deux téléphones Apple sur l’application en 2020. Cependant, ce relevé ne permet pas de constater que l’appareil dérobé à M.[G], président de la société RGE 38, a été enregistré sur l’application de la Société Générale, ce relevé ne comportant aucun élément concernant la ligne téléphonique enregistrée ou un numéro de référence propre à cet appareil. La cour note que les deux appareils enregistrés par M.[N] l’ont été sous les mêmes identifiants, avec le même numéro Pass Sécurité Pro, la même référence concernant le type de périphérique et de version de l’application, sans indication d’un numéro de ligne téléphonique ou d’une donnée propre à chacun de ces appareils.

64. Le tableau concernant les virements litigieux ne permet pas plus de constater que le téléphone dérobé a été enregistré dans l’application permettant une authentification forte. Ce liste ne contient aucune référence au téléphone mobile à partir duquel les virements ont été réalisés.

65. La cour ne peut ainsi que constater, comme soutenu par l’appelante, qu’il n’est pas établi par l’intimée, sur laquelle repose la charge de la preuve, que l’appareil dérobé à M.[G] ait été enregistré dans le dispositif destiné à sécuriser les opérations de banque en ligne.

66. Il s’ensuit que le prestataire de services de paiement ne prouve pas que les virements litigieux ont été authentifiés, dûment enregistrés et comptabilisés et qu’ils ne résultent pas d’une déficience technique ou autre. Au regard des articles L133-23 et suivants du code monétaire et financier, il en résulte que la Société Générale ne peut qu’être condamnée à restituer à l’appelante les sommes virées depuis son compte professionnel, sans qu’il y ait lieu de statuer sur une négligence éventuelle de son président, ce moyen étant inopérant.

67. En conséquence, le jugement déféré sera infirmé en toutes ses dispositions. Statuant à nouveau, la cour fera droit à la demande de remboursement de la société RGE 38.

68. Succombant devant cet appel, la Société Générale sera condamnée à payer à l’appelante la somme de 3.000 euros par application de l’article 700 du code de procédure civile, outre les dépens de première instance et d’appel.

PAR CES MOTIFS :

La Cour statuant publiquement, contradictoirement, par mise à disposition de l’arrêt au greffe de la Cour, les parties en ayant été préalablement avisées dans les conditions prévues au deuxième alinéa de l’article 450 du code de procédure civile, après en avoir délibéré conformément à la loi,

Vu les articles L133-18 et suivants, L133-23 et suivants du code monétaire et financier;

Infirme le jugement déféré en toutes ses dispositions;

statuant à nouveau,

Condamne la Société Générale à rembourser à la société RGE38 la somme de 12.384,60 euros;

Condamne la Société Générale à payer à la société RGE38 la somme de 3.000 euros par application de l’article 700 du code de procédure civile';

Condamne la Société Générale aux dépens de première instance et d’appel';'

Signé par Madame FIGUET, Présidente et par Madame BUREL, Greffière, à laquelle la minute de la décision a été remise par le magistrat signataire.

La Greffière La Présidente