Cour d'appel de Metz, 6e chambre, 7 juillet 2022, n° 21/01492

RÉPUBLIQUE FRANÇAISE

AU NOM DU PEUPLE FRANÇAIS

N° RG 21/01492 – N° Portalis DBVS-V-B7F-FQTF

Minute n° 22/00126

S.A. BNP PARIBAS

C/

S.A.R.L. ERRES ASSISTANCE

Jugement Au fond, origine TJ hors JAF, JEX, JLD, J. EXPRO, JCP de THIONVILLE, décision attaquée en date du 08 Juin 2021, enregistrée sous le n° 20/00152

COUR D’APPEL DE METZ

CHAMBRE COMMERCIALE

ARRÊT DU 07 JUILLET 2022

APPELANTE :

S.A. BNP PARIBAS

[Adresse 1]

[Localité 3]

Représentée par M^e Déborah BEMER, avocat au barreau de METZ

INTIMÉE :

S.A.R.L. ERRES ASSISTANCE représentée par son représentant légal

[Adresse 4]

[Localité 2]

Représentée par M^e Yves ROULLEAUX, avocat au barreau de METZ

DATE DES DÉBATS : A l’audience publique du 17 Février 2022 tenue par M^me Claire Dussaud, Magistrat rapporteur, qui a entendu les plaidoiries, les avocats ne s’y étant pas opposés et en a rendu compte à la cour dans son délibéré, pour l’arrêt être rendu le 07 Juillet 2022.

GREFFIER PRÉSENT AUX DÉBATS : M^me Jocelyne WILD

COMPOSITION DE LA COUR LORS DU DÉLIBÉRÉ :

PRÉSIDENT : M^me FLORES, Présidente de Chambre

ASSESSEURS : M^me DEVIGNOT,Conseillère

M^me DUSSAUD, Conseillère

ARRÊT : Contradictoire

Rendu publiquement par mise à disposition de l’arrêt au greffe de la cour, les parties en ayant été préalablement avisées dans les conditions prévues au deuxième alinéa de l’article 450 du code de procédure civile ;

Signé par M^me FLORES, Présidente de Chambre et par M^me Jocelyne WILD, Greffier à laquelle la minute de la décision a été remise par le magistrat signataire.

EXPOSE DU LITIGE

La SARL Erres Assistance est titulaire d’un compte ouvert dans les livres de la SA BNP Paribas.

Le 31 octobre 2019 la SA BNP Paribas a avisé la SARL Erres Assistance que la somme de 6000 euros avait été débitée de son compte bancaire par virement. La SARL Erres Assistance s’est déclarée victime d’une fraude sur internet à la suite de la réception par son gérant, M. [F], de courriels qui provenaient en apparence de la SA BNP Paribas, l’invitant notamment à confirmer son numéro de mobile dans le but de mettre à jour ses coordonnées téléphoniques.

La SARL Erres Assistance a déposé plainte le 04 novembre 2019 au commissariat de police de [Localité 7].

Par lettre du 08 novembre 2019 la SARL Erres Assistance a demandé à la SA BNP Paribas le remboursement de la somme litigieuse de 6000 euros prélevée frauduleusement sur son compte.

La banque a refusé tout remboursement, par lettre du 15 novembre 2019.

Par lettre recommandée du 28 novembre 2019 la SARL Erres Assistance a mis en demeure la SA BNP Paribas de procéder au remboursement de la somme litigieuse.

La SARL Erres Assistance a assigné devant la chambre commerciale du tribunal judiciaire de Thionville la SA BNP Paribas par exploit d’huissier délivré le 07 juillet 2020 aux fins de :

— dire et juger que la SA BNP Paribas a manqué à son obligation de vigilance et de mise en garde à son égard,

— condamner la SA BNP Paribas à lui verser la somme de 6000 euros à titre de dommages et intérêts en réparation du préjudice financier subi,

— condamner la SA BNP Paribas à lui verser la somme de 10 000 euros au titre des dispositions de l’article 700 du code de procédure civile,

— condamner la SA BNP Paribas aux dépens

En réplique la SA BNP Paribas a demandé aux premiers juges de :

— débouter la SARL Erres Assistance de ses demandes

— condamner la SARL Erres Assistance au paiement de la somme de 3000 euros au titre des dispositions de l’article 700 du code de procédure civile

— condamner la SARL Erres Assistance aux dépens

Par jugement rendu le 08 juin 2021 la chambre commerciale du tribunal judiciaire de Thionville a :

— condamné la SA BNP Paribas à payer à la SARL Erres Assistance la somme de 6 000 euros ;

— condamné la SA BNP Paribas à payer à la SARL Erres Assistance la somme de 1500 euros sur le fondement des dispositions de l’article 700 du code de procédure civile ;

— condamné la SA BNP Paribas aux dépens ;

— rappelé que la présente décision est exécutoire.

Pour se déterminer ainsi la chambre commerciale du tribunal judiciaire de Thionville, qui s’est fondée sur les dispositions des articles L. 133-16 et suivants du code monétaire et financier, a retenu qu’il appartient à l’établissement bancaire, en application de l’article L. 133-23 du code monétaire et financier, de rapporter la preuve de l’authentification de l’opération contestée et qu’un courrier rédigé par elle-même n’est pas une preuve suffisante.

La SA BNP Paribas a relevé appel de ce jugement par déclaration enregistrée le 15 juin 2021 au greffe de la cour d’appel de Metz. L’appel est limité aux chefs du jugement expressément critiqués et tend à l’infirmation du jugement de première instance en ce qu’il a :

— condamné la SA BNP Paribas à payer à la SARL Erres Assistance la somme de 6 000 euros ;

— condamné la SA BNP Paribas à payer à la SARL Erres Assistance la somme de 1 500 euros sur le fondement des dispositions de l’article 700 du code de procédure civile;

— condamné la SA BNP Paribas aux dépens ;

— rappelé que la présente décision est exécutoire.

Par conclusions déposées le 26 juillet 2021, la SA BNP Paribas demande à la cour de :

— déclarer la SA BNP Paribas recevable et bien fondée en son appel.

— infirmer en toutes ses dispositions le jugement rendu le 8 juin 2021 par le Tribunal judiciaire deThionville.

Et statuant ci nouveau :

— débouter la SARL Erres Assistance de l’intégralité de ses demandes a toutes fins qu’elles comportent.

— condamner la SARL Erres Assistance à rembourser la SA BNP Paribas les sommes payées au titre de l’exécution provisoire.

— la condamner à verser ci BNP Paribas la somme de 2 000 euros au titre de l’article 700 du Code de procédure civile.

— la condamner aux entiers dépens de première instance et d’appel.

La SA BNP Paribas se prévaut des articles L 133-16, L. 133-19 et L 133-23 du code monétaire et financier, et invoque la négligence de la SARL Erres Assistance, pour avoir répondu à un mél lui demandant de communiquer son numéro de téléphone, alors qu’il comportait des inexactitudes apparentes de contrefaçon, et pour avoir communiqué au fraudeur ses identifiant et code secret qu’il était seul à connaître. Elle observe qu’il incombe à tout utilisateur d’un instrument de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées. A défaut d’avoir respecté cette obligation de sécurité, la SA Banque BNP Paribas considère que la SARL Erres Assistance a utilisé le moyen de paiement avec une négligence grave et qu’elle doit supporter les pertes occasionnées par les opérations de paiement non autorisées. La SA Banque BNP Paribas souligne que la SARL Erres Assistance aurait dû avoir conscience de la fraude peu important qu’elle soit ou non avisée du risque d’hameçonnage. En outre la SA BNP Paribas indique que la preuve de l’authentification de l’opération est rapportée par le système de sécurité renforcé, 3D secure, proposé et mis en 'uvre sur le téléphone mobile du gérant de la SARL Erres Assistance. La SA BNP Paribas soutient n’avoir commis aucune faute. Elle soutient que la SARL Erres Assistance était seule à pouvoir valider l’introduction d’un nouveau bénéficiaire ou d’un changement de RIB en raison du dispositif de sécurité mis en place, en composant un code à usage unique reçu sur son téléphone portable. De plus la banque rappelle n’avoir aucune obligation de procéder à un suivi particulier des comptes de ses clients et être au contraire tenue de s’abstenir de toute immixtion dans la gestion des affaires de ses clients.

Par conclusions déposées le 26 octobre 2021 la SARL Erres Assistance demande à la cour de :

— rejeter l’appel de la SA BNP Paribas et le dire mal fondé.

— confirmer le jugement entrepris en toutes ses dispositions.

— en conséquence, débouter la SA BNP Paribas de sa demande en restitution des sommes versées en vertu de l’exécution provisoire.

— condamner la SA BNP Paribas à verser à la SARL Erres Assistance la somme de 3 000 euros au titre des dispositions de l’article 700 du Code de Procédure Civile, ainsi qu’aux entiers frais et dépens.

La SARL Erres Assistance invoque le manquement de la SA BNP Paribas à son obligation de vigilance et de mise en garde. L’intimée indique que la banque n’a pas procédé aux vérifications minimales et suffisantes et n’a pas d’avantage alerté son client suite à l’ajout d’un bénéficiaire qui était pourtant déjà associé au compte depuis le mois de décembre 2018. La SARL Erres Assistance fait valoir que le montant inhabituel du virement de 6 000 euros aurait dû alerter la SA BNP Paribas au regard de la pratique habituelle de la SARL Erres Assistance.

La SARL Erres Assistance soutient par ailleurs que la banque ne procède que par voie d’allégations en évoquant une procédure d’authentification par la saisie d’un code à usage unique reçu par SMS et ayant permis le virement contesté. Elle soutient que cette procédure n’avait pas encore été mise en place à l’époque. Elle fait valoir que les pièces adverses (capture d’écran de l’interface de connexion, pièce 11, guide d’utilisation de l’ajout d’un bénéficiaire de virement, pièce 12, courriel du 30 octobre 2019, pièce n° 6), ne constituent pas des preuves suffisantes dans la mesure où elles ont été rédigées par la banque elle-même. La SARL Erres Assistance soutient que ne peut être constitutif d’une négligence grave que le fait pour un client normalement attentif de n’avoir pas perçu les indices propres à faire douter de la provenance des messages reçus. Elle considère que le logo de la banque était parfaitement imité, de même que la signature en fin de courriel, que M. [F], gérant de la société, n’avait aucune raison de se méfier, qu’il avait 63 ans et ignorait tout du hameçonnage ou phishing. L’intimée indique enfin que la banque n’apporte pas la preuve de ce qu’une négligence fautive aurait été commise par la société.

L’ordonnance de clôture est intervenue le 03 février 2022.

MOTIFS DE LA DECISION

Vu les dernières conclusions enregistrées au greffe le 26 juillet 2021 pour la SA BNP Paribas, le 26 octobre 2021 pour la SARL Erres Assistance et auxquelles la cour se réfère expressément pour un plus ample exposé de leurs prétentions et moyens ;

Vu l’ordonnance de clôture en date du 03 février 2022 ;

Sur l’application des articles L. 133-1 et suivants du code monétaire et financier au litige:

Conformément à l’article 12 du code de procédure civile, le juge tranche le litige conformément aux règles de droit qui lui sont applicables.

En première instance la SARL Erres Assistance s’était prévalue des articles 1103 et 1231-1 du code civil, ainsi que des dispositions L. 133-16, L. 133-17, L. 133-19 et L 133-23 du code monétaire et financier.

Dans ses conclusions devant la cour d’appel la SARL Erres Assistance ne fonde ses demandes que sur un manquement au devoir de vigilance et de mise en garde du banquier.

En revanche la SA BNP Paribas se prévaut expressément devant la cour des articles L. 133-16, L. 133-19 IV et L. 133-23 du code monétaire et financier, qui sont dans le débat.

L’article L. 133-1 du code monétaire et financier, qui s’insère dans un chapitre III intitulé « les règles applicables aux autres instruments de paiement et à l’accès aux comptes » et comprenant les articles L. 133-1 à L. 133-45 dudit code, détermine le champ d’application du chapitre III en précisant :

« I. ' Dans les conditions prévues aux II à IV les dispositions du présent chapitre s’appliquent aux services de paiement fournis par les prestataires de services de paiement mentionnés au livre V dans le cadre des activités définies au II de l’article L. 314-1. ».

L’article L. 133-3 du code monétaire et financier définit une opération de paiement comme « une action consistant à verser, transférer ou retirer des fonds, indépendamment de toute obligation sous-jacente entre le payeur et le bénéficiaire, initiée par le payeur, ou pour son compte, ou par le bénéficiaire. »

L’article L. 133-4 du code monétaire et financier précise que  :

— les données de sécurité personnalisées s’entendent des données personnalisées fournies à un utilisateur de services de paiement par le prestataire de services de paiement à des fins d’authentification »,

— un instrument de paiement s’entend, alternativement ou cumulativement, de tout dispositif personnalisé et de l’ensemble de procédures convenu entre l’utilisateur de services de paiement et le prestataire de services de paiement et utilisé pour donner un ordre de paiement.

Enfin l’article L. 133-19 du code monétaire et financier instaure un régime de responsabilité en cas d’opération non autorisée signalée par l’utilisateur, dans le cas particulier des instruments de paiement dotés de données de sécurité personnalisés.

Il résulte de l’article L. 133-1 du code monétaire et financier, et des autres articles précités, que les dispositions du régime de responsabilité prévues à l’article L. 133-19 du code monétaire et financier sont applicables en cas d’opération de paiement non autorisée consécutive au vol ou détournement de l’instrument de paiement doté de données de sécurité personnalisées.

En l’espèce il est indiqué dans la plainte déposée le 04 novembre 2019 par M. [I] [F], gérant de la SARL Erres Assistance, et dans sa lettre du 8 novembre 2019, qu’il a répondu à un mail lui demandant une mise à jour de son numéro de téléphone mobile, puis qu’il a communiqué l’identifiant et le code d’accès secret qu’il utilise pour accéder à ses comptes professionnel et privé, et qu’il a également reçu un SMS contenant le code secret à usage unique 1445, « comme pour un achat par internet ».

Il ressort de ces indications que l’instrument de paiement par virement associé au compte de la SARL Erres Assistance ouvert auprès de la SA BNP Paribas était à l’époque, fin octobre 2019, doté de données de sécurité personnalisées, à savoir un identifiant et un code d’accès secret permettant un accès aux comptes et aux opérations sur les comptes, ainsi que la validation d’une opération spécifique par l’utilisation d’un code à usage unique reçu par SMS sur le téléphone portable de M. [F].

Dès lors les dispositions des articles L. 133-1 et suivants du code monétaire et financier, et en particulier de l’article L. 133-19, sont applicables au litige, à l’exclusion de la responsabilité contractuelle de droit commun.

Sur la demande en remboursement du virement de 6 000,00 euros :

Conformément à l’article L. 133-19 du code monétaire et financier :

« I. ' En cas d’opération de paiement non autorisée consécutive à la perte ou au vol de l’instrument de paiement, le payeur supporte, avant l’information prévue à l’article L. 133-17, les pertes liées à l’utilisation de cet instrument, dans la limite d’un plafond de 50 €.

Toutefois, la responsabilité du payeur n’est pas engagée en cas :

' d’opération de paiement non autorisée effectuée sans utilisation des données de sécurité personnalisées ;

' de perte ou de vol d’un instrument de paiement ne pouvant être détecté par le payeur avant le paiement ;

' de perte due à des actes ou à une carence d’un salarié, d’un agent ou d’une succursale d’un prestataire de services de paiement ou d’une entité vers laquelle ses activités ont été externalisées.

II. ' La responsabilité du payeur n’est pas engagée si l’opération de paiement non autorisée a été effectuée en détournant, à l’insu du payeur, l’instrument de paiement ou les données qui lui sont liées.

Elle n’est pas engagée non plus en cas de contrefaçon de l’instrument de paiement si, au moment de l’opération de paiement non autorisée, le payeur était en possession de son instrument.

III. ' Sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si le prestataire de services de paiement ne fournit pas de moyens appropriés permettant l’information aux fins de blocage de l’instrument de paiement prévue à l’article L. 133-17.

IV. ' Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17.

V. ' Sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si l’opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement du payeur n’exige une authentification forte du payeur prévue à l’article L. 133-44.

VI. ' Lorsque le bénéficiaire ou son prestataire de services de paiement n’accepte pas une authentification forte du payeur prévue à l’article L. 133-44, il rembourse le préjudice financier causé au prestataire de services de paiement du payeur. »

Selon l’article L. 133-23 du code monétaire et financier :

« Lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre.

L’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière. Le prestataire de services de paiement, y compris, le cas échéant, le prestataire de services de paiement fournissant un service d’initiation de paiement, fournit des éléments afin de prouver la fraude ou la négligence grave commise par l’utilisateur de services de paiement. »

Il résulte des articles L. 133-19, IV, et L. 133-23 du code monétaire et financier, que s’il entend faire supporter à l’utilisateur d’un instrument de paiement doté d’un dispositif de sécurité personnalisé les pertes occasionnées par une opération de paiement non autorisée rendue possible par un manquement de cet utilisateur, intentionnel ou par négligence grave, aux obligations mentionnées aux articles L. 133-16 et L. 133-17 de ce code, le prestataire de services de paiement doit aussi prouver que l’opération en cause a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre.

La charge de la preuve repose sur le prestataire de services de paiement, qui doit établir :

— qu’il a authentifié l’opération, l’a dûment enregistrée, et qu’elle n’a pas été affectée par une déficience technique ou autre,

— que l’utilisateur de service de paiement a commis un manquement intentionnel ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17 de ce code, et cette preuve ne peut pas se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés.

— s’agissant de l’authentification de l’opération  :

Il est rappelé que selon l’article L. 133-4 du code monétaire et financier, les données de sécurité personnalisées s’entendent des données personnalisées fournies à un utilisateur de services de paiement par le prestataire de services de paiement à des fins d’authentification .

L’article L. 133-4 du code monétaire et financier définit l’authentification comme une procédure permettant au prestataire de services de paiement de vérifier l’identité d’un utilisateur de services de paiement ou la validité de l’utilisation d’un instrument de paiement spécifique, y compris l’utilisation des données de sécurité personnalisées de l’utilisateur.

En l’espèce il ressort de la plainte déposée le 4 novembre 2019 par M. [I] [F], gérant de la SARL Erres Assistance, que le compte bancaire de celle-ci n’a pu être débité de 6 000 euros que parce que M. [F] a communiqué son numéro de téléphone mobile au fraudeur, ainsi que son numéro de compte, son identifiant, et son code d’accès secret, en lui permettant ainsi d’accéder aux opérations sur le comptes professionnel de la SARL Erres Assistance. Dans sa lettre du 8 novembre 2019 M. [F] a également indiqué qu’après avoir renseigné son identifiant et son code secret auprès du fraudeur, s’en est suivi un envoi de SMS avec indication d’un code secret à usage unique, le code n° 1445. M. [F] a ensuite été avisé par mail du 30.10.2019 à 10h57 que la bénéficiaire Mme [S] [F] avait été ajoutée le même jour à 10h26, et que son RIB se terminait par 13 787, le fraudeur ayant ainsi modifié l’IBAN du compte concerné (pièce 13 de la banque). La SA BNP Paribas a en outre précisé dans une lettre du 15 novembre 2019 que le virement de 6 000 euros du 31 octobre 2019 avait été validé par un code SMS le 30 octobre 2019 à 10h29. Cette affirmation de la SA BNP Paribas n’a pas été contestée à l’époque par M. [F].

Par ailleurs si M. [F] conteste dans ses conclusions avoir reçu un SMS de validation à usage unique, sa lettre du 8 novembre 2019 indique au contraire qu’il en a reçu au moins un, le code 1445.

Enfin il ressort du dépôt de plainte et de la lettre du 8 novembre 2019 de M. [F] que celui-ci a été averti le 31 octobre 2019 vers midi par M. [G], conseiller de la SA BNP Paribas, du virement de 6 000 euros au débit de son compte, M. [G] souhaitant vérifier s’il était à l’origine de cette opération.

Il résulte de l’ensemble de ces éléments sérieux et concordants que les opérations frauduleuses de modification du numéro de compte IBAN d’un bénéficiaire, au nom de Mme [K] [F], et de virement de 6 000 euros au profit du compte concerné ainsi modifié, ont été réalisées grâce à l’utilisation par le fraudeur de l’identifiant et du code d’accès aux comptes de M. [F] et grâce à l’envoi sur le mobile de celui-ci d’un code de validation à usage unique qu’il a utilisé.

Il ressort en conséquence de tout ce qui précède que l’opération de virement de 6000 euros au débit du compte de la SARL Erres Assistance a été authentifiée par la SA BNP Paribas grâce aux identifiants et code secret de M. [F] ainsi qu’au code à usage unique envoyé par SMS, et qu’elle a été dûment enregistrée et comptabilisée par la banque, et n’a pas été affectée par une déficience technique ou autre.

— s’agissant de la négligence grave de l’utilisateur de service de paiement :

Selon l’article L 133-16 du code monétaire et financier, dès qu’il reçoit un instrument de paiement, l’utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées. Il utilise l’instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation qui doivent être objectives, non discriminatoires et proportionnées.

Selon l’article L. 133-4 du code monétaire et financier, les données de sécurité personnalisées s’entendent des données personnalisées fournies à un utilisateur de services de paiement par le prestataire de services de paiement à des fins d’authentification .

Manque à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés l’utilisateur d’un service de paiement qui communique les données personnelles de ce dispositif de sécurité en réponse à un courriel qui contient des indices permettant à un utilisateur normalement attentif de douter de sa provenance, peu important qu’il soit, ou non, avisé des risques d’hameçonnage.

En l’espèce M. [F] a répondu à un courriel du 30 octobre 2019 à 8h06, l’invitant à valider son numéro de mobile, alors que ce mél comportait plusieurs anomalies apparentes qui auraient dû attirer son attention et le rendre méfiant :

— l’adresse mél d’envoi ne faisait pas mention du nom exact de la banque, mais du nom de « B. Paribas service client », et il s’agissait d’une adresse mél inhabituelle pour la banque et suspecte  : « [Courriel 5] » (cf pièce 6 de la SA BNP Paribas),

— et ce alors que le mél effectivement envoyé par la SA BNP Paribas le même jour, 30 octobre à 10h57, avisant M. [F] de l’ajout de Mme [K] [F] comme bénéficiaire avec un nouveau RIB associé, comportait quant à lui dans l’adresse mél d’envoi l’indication du nom exact de la banque : « BNP Paribas », et une adresse mél logique pour cette banque : « [Courriel 6] » (pièce 13 de la SA BNP Paribas),

— en outre le corps du mél du 30 octobre 2019 à 8h06 invitant M. [F] à valider son numéro de téléphone mobile comportait une invitation à un vernissage, sans aucun rapport avec la demande faite en objet de valider le numéro de mobile, rendant ce courriel manifestement suspect et frauduleux.

Ainsi, recevant ce courriel étrange émanant d’un expéditeur suspect, M. [F] aurait dû se méfier et ne pas donner suite à l’invitation à valider son numéro de mobile, et au besoin contacter personnellement sa banque.

La réponse à ce mail suspect constitue une première négligence grave.

En outre M. [F], gérant de la SARL Erres Assistance, a par la suite communiqué son identifiant et son code secret permettant l’accès au compte bancaire sur internet et aux opérations sur celui-ci et a utilisé des codes à usage unique pour valider des opérations qu’il n’avait pas lui-même initiées, ainsi qu’il ressort de sa plainte, de sa lettre du 8 novembre 2019, et de la réponse de la banque du 15 novembre 2019 déjà évoqués plus haut, ce qui constitue également une négligence grave, étant souligné que le courriel suspect du 30 octobre 2019 à 8h06 aurait dû le convaincre de se méfier et de s’abstenir de transmettre et utiliser ces données de sécurité personnalisées.

Enfin il est observé que le 30 octobre 2019 à 10h57 M. [I] [F] a reçu un mail de la SA BNP Paribas lui indiquant :

« Le bénéficiaire [F] [K] a été ajouté le 30/10/19 à 10:26:41.

Le RIB associé est **** **** **** **** **** 13 787.

Si vous n’êtes pas à l’origine de cette opération, veuillez vous connecter à votre compte et supprimer ce bénéficiaire de votre liste, puis vérifier vos dernières opérations.

En cas de doute veuillez contacter rapidement votre conseiller ».

M. [I] [F] indique dans sa plainte, dans sa lette du 8 novembre 2019, et dans ses conclusions devant la cour, avoir été surpris par ce courriel parce que le compte de sa fille [K] avait déjà été rajouté dans la liste des bénéficiaires depuis le 03 décembre 2018. Ainsi M. [F] n’était pas à l’origine de l’ajout de ce bénéficiaire en date du 30 octobre 2019, et aurait dû dès lors, comme le mail précité de la SA BNP Paribas le lui indiquait, se connecter à son compte et supprimer ce bénéficiaire de sa liste. Il est à noter que dans sa lettre du 15 novembre 2019 la SA BNP Paribas souligne que le fraudeur a modifié les coordonnées IBAN du compte du bénéficiaire, ce que M. [F] pouvait également vérifier le 30 octobre 2019 en comparant les coordonnées IBAN du compte ajouté avec celle de l’authentique compte de sa fille.

Ainsi que la SA BNP Paribas le soutient, il ressort de ce qui précède que M. [I] [F], gérant de la SARL Erres Assistance, n’a pas satisfait aux obligations mentionnées à l’article L. 133-16, par négligence grave. Enfin il importe peu que M. [F] n’ait pas été avisé des risques de hameçonnage à l’époque, et ait été âgé de 63 ans.

La SA BNP Paribas est ainsi fondée à se prévaloir de l’article L. 133-19 partie IV du code monétaire et financier, et à soutenir que la SARL Erres Assistance représentée par son gérant M. [F], payeur, supporte toutes les pertes occasionnées par l’opération de paiement litigieuse non autorisée, dès lors qu’elle n’a pas satisfait par négligence grave aux obligations mentionnées à l’article L. 133-16 du code monétaire et financier.

La demande en remboursement de la somme de 6 000 euros doit être rejetée, et le jugement est infirmé.

Sur la demande de restitution des sommes versées en raison de l’exécution du jugement :

La SA BNP Paribas demande la condamnation de la SARL Erres Assistance à lui rembourser les sommes payées au titre de l’exécution provisoire.

Cependant que le présent arrêt, infirmatif sur ce point, constitue le titre ouvrant droit à la restitution des sommes versées en exécution du jugement.

Il s’ensuit qu’il n’y a pas lieu d’ordonner le remboursement des sommes versées en exécution du jugement, un tel remboursement relevant de l’exécution de la présente décision.

Sur les dépens et l’indemnité prévue par l’article 700 du code de procédure civile :

Les dispositions du jugement statuant sur les dépens et indemnité sur le fondement de l’article 700 du code de procédure civile pour la procédure de première instance sont infirmées.

Succombant en ses prétentions, la SARL Erres Assistance est condamnée aux dépens de première instance et d’appel et à payer à la SA BNP Paribas la somme de 2 000,00 euros au titre de l’article 700 du code de procédure civile.

Les demandes de la SARL Erres Assistance au titre des dépens et indemnités prévues par l’article 700 du code de procédure civile sont rejetées.

PAR CES MOTIFS

La Cour,

INFIRME le jugement en toutes ses dispositions ;

Statuant à nouveau sur les dispositions infirmées :

REJETTE la demande de la SARL Erres Assistance tendant à la condamnation de la SA BNP Paribas à lui payer la somme de 6 000,00 euros ;

CONDAMNE la SARL Erres Assistance aux dépens de première instance ;

REJETTE les demandes formées sur le fondement de l’article 700 du Code de Procédure civile pour la procédure de première instance ;

Y ajoutant,

DIT que la restitution des sommes payées par la SA BNP Paribas en exécution du jugement de première instance relève de l’exécution du présent arrêt infirmatif ;

CONDAMNE la SARL Erres Assistance aux dépens de la procédure d’appel ;

CONDAMNE la SARL Erres Assistance à payer à la SA BNP Paribas la somme de 2 000 euros au titre de l’article 700 du code de procédure civile.

Le GreffierLa Présidente de Chambre