RÉPUBLIQUE FRAN’AISE

AU NOM DU PEUPLE FRAN’AIS

COUR D’APPEL DE PARIS

Pôle 5 – Chambre 6

ARRÊT DU 29 OCTOBRE 2025

(n° , 12 pages)

Numéro d’inscription au répertoire général : N° RG 23/14654 – N° Portalis 35L7-V-B7H-CIF4I

Décision déférée à la Cour : Jugement du 06 Juillet 2023 – tribunal de commerce de Paris 3ème chambre – RG n° 2022036526

APPELANTE

S.A. CREDIT INDUSTRIEL ET COMMERCIAL

[Adresse 5]

[Localité 7]

N°SIREN : 542 016 381

agissant poursuites et diligences de ses représentants légaux domiciliés en cette qualité audit siège

Représentée par M^e Julien MARTINET de SWIFT LITIGATION, avocat au barreau de Paris, toque : D1329, avocat plaidant

INTIMÉE

S.A.S. INTERPRESTIGE

[Adresse 1]

[Localité 6]

N° SIREN : 387 635 790

agissant poursuites et diligences de ses représentants légaux domiciliés en cette qualité audit siège

Représentée par M^e Sébastien GOGUEL-NYEGAARD, avocat au barreau de Paris, toque : B0504, avocat plaidant

COMPOSITION DE LA COUR :

L’affaire a été débattue le 09 Septembre 2025, en audience publique, devant la Cour composée de :

M. Vincent BRAUD, président de chambre

M^me Pascale SAPPEY-GUESDON, conseillère

M^me Anne BAMBERGER, conseillère

qui en ont délibéré, un rapport a été présenté à l’audience par M^me Pascale SAPPEY-GUESDON dans les conditions prévues par l’article 804 du code de procédure civile.

Greffier, lors des débats : M^me Mélanie THOMAS

ARRÊT :

— contradictoire

— par mise à disposition de l’arrêt au greffe de la Cour, les parties en ayant été préalablement avisées dans les conditions prévues au deuxième alinéa de l’article 450 du code de procédure civile.

— signé par Vincent BRAUD, président de chambre et par Mélanie THOMAS, greffier, présent lors de la mise à disposition.

* * * * *

PROCEDURE ET PRETENTIONS DES PARTIES

Par déclaration reçue au greffe de la cour le 24 août 2023, la société Crédit industriel et commercial a interjeté appel d’un jugement rendu le 6 juillet 2023 en ce que le tribunal de commerce de Paris saisi par voie d’assignation en date du 18 juillet 2022 délivrée à la requête de la société Interprestige, a condamné la banque à payer à cette dernière la somme de 22 787,44 euros, et l’a condamnée aux dépens ainsi qu’au paiement de la somme de 2 000 euros en application des dispositions de l’article 700 du code de procédure civile.

***

À l’issue de la procédure d’appel clôturée le 2 septembre 2025 les prétentions des parties s’exposent de la manière suivante.

Au dispositif de ses dernières conclusions, communiquées par voie électronique le 6 juin 2025, l’appelant

présente, en ces termes, ses demandes à la cour :

'Infirmer le jugement entrepris en ce qu’il a condamné SA CREDIT INDUSTRIEL ET COMMERCIAL à payer à la société INTERPRESTIGE les sommes de 22.787,44 € en réparation du préjudice subi par ce dernier et de 2.000 € au titre de l’article 700 du CPC outre les dépens,

et, statuant à nouveau :

Débouter la société INTERPRESTIGE de ses demandes à toutes fins qu’elles comportent.

La condamner à payer à SA CREDIT INDUSTRIEL ET COMMERCIAL une indemnité de 6.000 € par application de l’article 700 du Code de procédure civile ainsi qu’aux entiers dépens.'

Au dispositif de ses dernières conclusions, communiquées par voie électronique le 2 juin 2025, l’intimé

présente, en ces termes, ses demandes à la cour :

'Vu les articles L. 133-22 et L. 133-23 du code monétaire et financier,

Il est demandé à la Cour de :

Confirmer le jugement entrepris en ce qu’il est entré en voie de condamnation à l’encontre

du Crédit Industriel et Commercial en tant que responsable de la mauvaise exécution du

virement de 28.604 USD effectué le 20 avril 2022 ;

L’infirmer en revanche en ce qu’il a condamné le Crédit Industriel et Commercial à ne

verser à la Société Interprestige qu’une somme de 22.787,84 euros correspondant à une

restitution seulement partielle des sommes ayant fait l’objet dudit virement ;

Et, entrant en voie de réformation,

Condamner le Crédit Industriel et Commercial à verser à la société Interprestige la somme

de 28.484,30 euros à titre de restitution du virement de 28.604 USD mal exécuté le 20 avril 2022 ;

Confirmer le jugement entrepris en ses autres dispositions ;

Débouter le Crédit Industriel et Commercial de l’intégralité de ses demandes ;

Condamner le Crédit Industriel et Commercial à verser à la société Interprestige une somme 5.000 euros en application des dispositions de l’article 700 du code de procédure civile en cause d’appel ;

Condamner le Crédit Industriel et Commercial aux entiers dépens de l’appel, dont distraction au profit de Maître Sébastien Goguel-Nyegaard, avocat à la Cour de Paris par

application des dispositions de l’article 699 du code de procédure civile.'

Par application des dispositions de l’article 455 du code de procédure civile, il est renvoyé, pour un plus ample exposé des prétentions et moyens des parties, à leurs conclusions précitées.

MOTIFS DE LA DECISION

Étant en relation d’affaires suivie avec une société chinoise dénommée Dongguan Yanyin Packaging Technology, la société Interprestige, qui exerce une activité de commerce en gros dans le domaine de la parfumerie et des produits de beauté vendus sous la marque '[W] [Z]', du nom de son directeur général, a réglé à ce fournisseur, par virement bancaire, via le dispositif 'Filbank Entreprise', les deux premières échéances d’une facture à régler en trois fois, opération réalisée par M. [W] [Z]. Le troisième virement, effectué quelques jours plus tard, dans les mêmes conditions, le 20 avril 2022, d’un montant de 28 604 dollars US, n’est jamais parvenu à son destinataire, lequel a contacté la société Interprestige pour signaler qu’il n’avait pas reçu de paiement. Les vérifications effectuées ont permis de constater que ce virement du 20 avril 2022 a été exécuté au crédit d’un nouveau bénéficiaire, dont les coordonnées et l’IBAN ont été substitués à ceux du bénéficiaire initial, selon la banque depuis l’ordinateur dont l’adresse IP correspond à celle de la société Interprestige et par le moyen du téléphone portable de M. [Z].

Le premier juge, pour condamner la banque au remboursement de la somme dissipée, a relevé que le changement de bénéficiaire apparent sur le troisième ordre de virement aurait dû éveiller l’attention du Crédit industriel et commercial, que le téléphone portable et la clé de validation qui ont servi à la réalisation de l’opération litigieuse sont bien ceux de M. [Z] mais qu’il ne ressort pas des Logs produits par le Crédit industriel et commercial une traçabilité parfaite, que l’opération que conteste la société Interprestige a été effectuée en quelques secondes, ce qui ne manque pas d’interroger, que le Crédit industriel et commercial informé de la fraude a 'écrasé’ le nouveau bénéficiaire et partant les éléments d’historique de sorte qu’il est maintenant impossible de savoir si le champ bénéficiaire a été modifié ou créé, de connaître la date et l’heure de réalisation, quel appareil a été utilisé, et si c’est le téléphone de M. [Z] ou le site de la banque, qui a été 'piraté'. Le tribunal en a conclu qu’aucune des parties ne rapporte la preuve qui lui incombe, à savoir en ce qui concerne la société Interprestige, celle de 'la défaillance de la

banque’ et la banque, celles de ce que l’opération a été dûment identifiée, de ce que le dispositif Filbanque Entreprise n’a pas été piraté, et d’une négligence grave de la société Interprestige.

***

L’article L. 133-19 IV du code monétaire et financier dispose que le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17 du même code.

— L’article L. 133-16 du code monétaire et financier dispose : 'Dès qu’il reçoit un moyen de paiement, l’utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées. Il utilise l’instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation qui doivent être objectives, non discriminatoires et proportionnées'.

— L’article L. 133-17 du même code prévoit que : 'Lorsqu’il a connaissance de la perte, du vol, du détournement ou de toute utilisation non autorisée de son instrument de paiement ou des données qui lui sont liées, l’utilisateur de services de paiement en informe sans tarder, aux fins de blocage de l’instrument, son prestataire ou l’entité désignée par celui-ci'.

Aussi, en cas d’opération de paiement non autorisée, réalisée au moyen d’un instrument de paiement doté de données de sécurité personnalisées, et signalée par l’utilisateur dans les conditions prévues à l’article L. 133-24 du code monétaire et financier, le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée, sauf si la responsabilité du payeur est engagée en application de l’article L. 133-19 du même code.

En l’espèce, il résulte des explications des parties, concordantes sur ce point, qu’a bien été utilisé un tel dispositif, pour la réalisation de l’opération à distance que la société Interprestige entend contester dans la mesure où elle n’y a pas consenti.

Sur le caractère autorisé de l’opération de payement

1) Le CIC précise que depuis 2021, avec l’introduction de l’authentification forte, le client doit, outre la communication d’une des clés de sa carte papier personnelle existant en un exemplaire unique contenant une série de soixante clés de validation que seul M. [Z] détient, chacune étant choisie au moment de l’opération selon une combinaison abscisse /ordonnée, valider l’opération depuis son appareil de confiance préalablement enregistré auprès de la banque à savoir en l’espèce un mobile Galaxy S21 5G, enregistré le 18 décembre 2021. Le tiers qui souhaiterait réaliser un virement externe depuis le compte de la société Interprestige en direction d’un nouveau bénéficiaire, devrait ainsi dans un premier temps, se connecter à l’espace en ligne de la cliente à l’aide de ses identifiant et mot de passe confidentiels, renseigner les coordonnées bancaires du nouveau bénéficiaire, puis saisir l’une des clés de la carte papier unique entre les mains de la société cliente et obtenir de cette dernière qu’elle valide l’ajout sur son appareil de confiance ; puis dans un second temps, opérer le paiement proprement dit qui nécessite la même authentification forte (sauf la saisine du code de la carte de clés personnelle, uniquement nécessaire lors de l’ajout du bénéficiaire). Un mail récapitulatif dont l’objet est 'avis d’ordre de virement externe’ est alors envoyé au client. La société Crédit industriel et commercial poursuit en écrivant : le 20 avril 2022, à 17h26 minutes et 44 secondes, la société Interprestige a effectué, au profit d’un compte n°[XXXXXXXXXX03] ouvert en Chine au nom de 'Zhouelin’ le virement litigieux d’un montant de 28 604 USD, qui a été authentifié avec sa carte de clés personnelle (personalkeycard) et son appareil de confiance (un mobile Galaxy S21 5G) – sur lequel le nom du bénéficiaire et le numéro de compte se sont affichés – ainsi que cela ressort du journal des logs et du relevé d’opérations – pièces 19 et 17. Il ressort du journal des logs que la connexion a été établie en HTTPS c’est-à-dire de manière sécurisée, ce qui empêche l’interception des données par un tiers sur le web. Le champ 'c protocol’ indique le protocole utilisé et sa version à savoir 'HTTP/1.1' et celui 'c sslver'

la sécurisation du protocole via TLS, étant précisé que la combinaison de ces deux champs montre que la connexion était établie en HTTPS. Le Crédit industriel et commercial a exécuté cet ordre réputé émaner de son auteur en apparence normal. Il s’agit d’une opération dûment autorisée puisque l’ordre a a été transmis avec authentification forte telle que définie à l’article L. 133-4 du code monétaire et financier présumant le consentement au sens des article L. 133-6 et L. 133-7 du code monétaire et financier. L’appelant défend que lorsque la banque a mis à disposition de son client un dispositif d’authentification forte pour effectuer ses paiements, et que ce dernier passe par ce biais pour ordonner des opérations, le banquier doit les exécuter strictement et avec diligence, ainsi que le précise l’article L. 133-13 du code monétaire et financier. Lorsque l’opération de paiement est autorisée, il résulte de l’article L. 133-21 du code monétaire et financier que la banque n’a aucune possibilité de bloquer ou de suspendre de sa propre initiative un paiement qu’un client lui demande d’exécuter dès lors qu’elle n’a pas de doute sur son identité.

En droit, en vertu de l’article L. 133-23 du code monétaire et financier, lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe à son prestataire de service de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée, et qu’elle n’a pas été affectée par une déficience technique ou autre.

C’est d’ailleurs ce qu’écrit la société Crédit industriel et commercial citant les termes ce cet article, en soutenant toutefois qu’il résulte de son second alinéa que la seule utilisation des identifiants du client peut suffire à décharger la banque de toute responsabilité, comme l’ont souvent jugé les tribunaux. La société Crédit industriel et commercial ajoute que le contrat prévoit que l’usage du dispositif suffit à prouver le caractère autorisé dans la mesure où l’article L. 133-2 du code monétaire et financier autorise les parties, notamment en présence d’une personne morale, à aménager la preuve du consentement du payeur par dérogation à l’article L. 133-23 du code monétaire et financier et donc au fait que 'L’utilisation de l’instrument de paiement ['] ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur'. Autrement dit, en présence d’un client professionnel, les parties peuvent prévoir qu’au contraire l’utilisation du dispositif de paiement suffit en tant que telle à prouver que l’opération est autorisée et par conséquent à empêcher l’administration de la preuve contraire. C’est justement le cas en l’espèce, les Conditions générales dont la société Interprestige a reconnu avoir pris connaissance et accepter les termes lors de l’adhésion au dispositif Filbanque Entreprise prévoyant que l’usage du dispositif de sécurité vaut preuve du consentement du titulaire du compte (articles 5.1 à 5.3). Ces stipulations dont il résulte que l’usage du dispositif de paiement suffit à identifier son auteur sont valables conformément aux dispositions de l’article L. 133-2 du code monétaire qui permet de déroger aux règles de preuves prévues à l’article L. 133-23 du même code en présence de clients personnes morales. L’opération en litige ayant été opérée en ligne via le dispositif sécurisé Filbanque Entreprise impliquant le recours à des données sécurisées personnelles de la cliente, le Crédit industriel et commercial devra par conséquent être regardé comme rapportant la preuve que cette opération émane de la société Interprestige.

Selon la société Crédit industriel et commercial l’opération en cause devra donc être regardée comme étant autorisée.

a) Elle développe qu’en l’espèce, le dispositif d’authentification forte auquel elle recourt avec double identification (via l’utilisation d’une des soixante quatre clés figurant sur la carte personnelle papier unique remise au client et la validation de l’opération depuis son appareil de confiance) permet d’établir avec suffisamment de certitude que le client est à l’origine de l’opération.

En effet, pour réaliser une opération à destination d’un nouveau bénéficiaire ou en cas de changement d’IBAN d’un bénéficiaire déjà enregistré, le client doit se connecter avec son smartphone à son espace en ligne sécurisé Filbanque Entreprise et indiquer son identifiant et mot de passe confidentiel ou utiliser son empreinte digitale ou la reconnaissance faciale, selon le cas, cliquer sur l’onglet 'Ajouter un bénéficiaire à la liste de Comptabilité’ ou 'Modifier'. Un des codes de sa carte de clés personnelle papier unique lui est alors demandé, il doit ensuite renseigner les nom et coordonnées bancaires du bénéficiaire qu’il souhaite ajouter. Un message s’affiche alors sur l’espace en ligne précisant : 'Votre opération nécessite une sécurisation. Une demande de Confirmation a été transmise à votre appareil S21 De [W] de Interprestige. Démarrez votre application mobile pour vérifier et confirmer cette opération'. Le client doit alors de nouveau se connecter, via l’application CIC installée sur son smartphone, à son compte bancaire et entrer son code confidentiel pour pouvoir confirmer l’ajout du bénéficiaire. Une fois ce protocole respecté et chaque phase validée, il peut saisir un ordre de virement en direction de ce nouveau bénéficiaire désormais enregistré. Il précise le montant et la date d’exécution et éventuellement le motif puis appuie sur la touche 'Valider'. S’affiche alors le même message que précédemment précisant qu’une confirmation est requise depuis l’appareil de confiance.

Au cas présent, il résulte des relevés informatiques que l’ordre litigieux du 20 avril 2022 a nécessité une double authentification à 17h22 par le biais du recours à l’une des clés de validation de la carte personnelle papier unique détenue par l’intimée [Pièce 19 : journal des Logs, pièce 18 : mail du service informatique, explication du journal des Logs] et à la validation de l’ordre via l’appareil de confiance de la société Interprestige. Le message de validation reçu sur ledit téléphone comporte le 'Nom du bénéficiaire du virement Zhouelin’ ainsi que le numéro de compte 'Compte du bénéficiaire [XXXXXXXXXX04]' [Pièce 17 : relevés informatiques des opérations du 20 avril 2022]. Le jugement attaqué constate que 'Sur le fichier trace et le document 'confirmation mobile’ remis par CIC, apparaissent les coordonnées du téléphone portable et l’utilisation de la carte personnelle de clés de validation de M. [Z]'. S’agissant de l’ajout du bénéficiaire, selon le processus technique rappelé plus haut, il a nécessité une authentification forte impliquant l’intervention du titulaire du compte pour valider doublement l’opération avec l’une des clés de sa carte papier unique et son appareil de confiance.

Contrairement à ce qu’a jugé le tribunal, il est indifférent que la banque n’ait pas conservé les justificatifs de cet ajout dès lors que le processus technique de paiement au profit du compte ouvert au nom Zhouelin n’aurait pas pu se poursuivre sans une double authentification préalable à l’ajout de ce nouveau bénéficiaire. En outre, le 20 avril 2022 à 17h22 mn et 16 secondes, soit plus de quatre minutes avant la validation de l’opération, la société Interprestige a authentifié avec son appareil de confiance une 'opération à confirmer'. Cette authentification forte sur le site renvoie à l’ajout d’un bénéficiaire ou à la modification d’un bénéficiaire déjà listé, ainsi que cela ressort du relevé informatique que la banque verse au débat au stade de l’appel (pièce 17).

Cet élément contredit la thèse selon laquelle les opérations d’ajout du bénéficiaire et de paiement se seraient déroulées quasi simultanément, comme l’a jugé le tribunal : 'La chronologie des opérations très serrée, celles-ci se déroulant dans un intervalle de quelques secondes, interroge sur les hypothèses relatives au champ bénéficiaire Zhouelin : présence dans la liste enregistrée par M. [Z], création au moment du virement ou modification du bénéficiaire Dongsuan Yuanyin'. Ainsi, la société Interprestige dénature les pièces du dossier lorsqu’elle affirme que l’ensemble des étapes a été réalisé en une seconde. Les événements se sont en réalité déroulés comme suit :

— à 17 heures 22 minutes et 16 secondes, la société Interprestige a effectué une opération nécessitant une authentification forte. L’application lui demande alors de confirmer l’opération. Il s’agit de l’ajout du bénéficiaire de virement Zhouelin, qui ne peut plus apparaître désormais car la société Interprestige l’a ultérieurement supprimé de sa liste de bénéficiaires.

— plus de quatre minutes après cette opération par authentification forte, un virement a été effectué, encore par authentification forte, via le Galaxy S21 5G de la société Interprestige, à destination de ce nouveau bénéficiaire, Zhouelin. Ainsi, à 17 heures 26 minutes et 44 secondes, la société Interprestige a entré le code demandé, issu de sa carte personnelle de clefs, et validé le virement.

— une seconde plus tard, à 17 heures 26 minutes et 45 secondes, elle a reçu la notification du Crédit industriel et commercial lui demandant de s’authentifier pour confirmer l’opération. Cette rapidité n’a rien d’étonnant puisqu’il s’agit d’un processus automatisé et immédiat. Lorsque la société Interprestige a reçu cette demande d’authentification, elle avait accès aux informations relatives au montant et au destinataire

du virement. Si elle considère ne pas avoir ajouté Zhouelin à ses bénéficiaires de virement, il est totalement incongru qu’elle ait validé un virement vers lui. La société Interprestige ne pouvait pas ignorer l’identité du bénéficiaire du virement qui était mentionnée et avait nécessairement été ajoutée préalablement à l’opération ' Pièce 17.

D’ailleurs dans le cadre d’une opération similaire, la société Interprestige a procédé exactement de la même manière, en respectant les mêmes délais entre chaque opération. En effet, s’agissant du virement effectué le 9 avril 2022, la société Interprestige s’est authentifiée à 13 heures 59 minutes et 44 secondes afin d’ajouter ou de modifier un bénéficiaire de virement. Elle a finalisé cet ajout à 14 heures 03 minutes et 23 secondes. À 14 heures 04 minutes et 33 secondes, elle a effectué un virement de 8 400 USD à destination de ce nouveau bénéficiaire. Il s’est donc écoulé 4 minutes et 49 secondes pour que la société Interprestige ajoute un bénéficiaire et lui vire une somme d’argent. Nous retrouvons exactement le même délai pour les mêmes étapes dans le cadre du virement litigieux (Pièce 16 : Relevés informatiques des opérations du 9 avril 2022).

b) Subsidiairement la banque appelante soutient qu’à supposer l’opération non autorisée, sa responsabilité n’est pas non plus engagée : en cas d’opérations non autorisées, le code monétaire et financier prévoit que dès lors que ces dernières ne résultent pas d’une défaillance technique de la banque et que l’utilisateur du service de paiement a commis des négligences graves en ne protégeant pas ses données personnelles, la banque n’engage pas sa responsabilité et le payeur supporte toutes les pertes occasionnées.

* S’agissant d’opérations de paiement non-autorisées ou mal exécutées, la Cour de cassation confirme que la preuve de l’absence de déficience technique de la banque peut être rapportée par présomption en retenant que la circonstance que l’utilisateur 'avait validé l’ensemble des opérations ayant permis le virement litigieux’ exclut que 'celui-ci puisse résulter d’une déficience technique', pour affirmer que les opérations ont nécessairement été 'authentifiées, dûment enregistrées et comptabilisées’ – Com. 30 avril 2025, 24-13.663. Au cas présent, le Crédit industriel et commercial verse aux débats le journal des logs ainsi que les relevés informatiques des opérations démontrant chaque étape d’authentification forte ayant permis l’ajout du bénéficiaire Zhouelin, puis l’exécution du virement litigieux, ce qui exclut toute déficience technique de la banque. La société Interprestige affirme ne pas être à l’origine de l’ajout du bénéficiaire Zhouelin et du compte [XXXXXXXXXX04] mais ne produit pas le moindre élément de fait permettant de justifier de la fraude dont elle allègue avoir été victime alors qu’elle est nécessairement intervenue pour valider l’ajout de ce bénéficiaire. Elle se borne à indiquer que le virement bancaire qu’elle avait initialement effectué vers l’un de ses fournisseurs chinois aurait subi un 'détournement’ au profit d’une 'société chinoise inconnue dont le nom apparaît mystérieusement sur l’avis d’opération en qualité de bénéficiaire'. Un nom ne peut néanmoins apparaître 'mystérieusement’ sur la liste des bénéficiaires de l’utilisateur de services de paiement, ce dernier étant le seul en mesure de nommer ses différents bénéficiaires de virement. La société Interprestige le démontre d’ailleurs elle-même en modifiant l’intitulé du bénéficiaire 'Adams and Adams’ en 'Adams and Adams test’ – Pièce 6 et pièce adverse 15 de première instance. En outre, la demanderesse avait de la même manière soutenu avec vigueur qu’un autre virement avait été détourné 'mystérieusement’ à son insu avant de reconnaitre que ce virement résultait d’une erreur affectant l’IBAN transmis par un fournisseur ce qui montre le peu d’attention qu’elle porte aux bénéficiaires de virements ajoutés sur son espace personnel.

* Toute déficience technique est ainsi exclue. Les pertes subies par la demanderesse relèvent donc exclusivement de sa propre négligence. La société Interprestige n’a pas satisfait par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17 du code monétaire et financier c’est-à-dire notamment à prendre toutes les mesures raisonnables permettant de préserver la sécurité des dispositifs de sécurité personnalisés, utiliser l’instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation, une diligence suffisante passant par l’information sans tarder de sa banque, du vol, du détournement ou de toute utilisation non autorisée de son instrument de paiement ou des données qui lui sont liées. Au cas présent, comme l’a constaté le tribunal, la société Interprestige a validé un paiement dont il lui a été expressément indiqué qu’il était opéré en direction du bénéficiaire Zhouelin sur un compte [XXXXXXXXXX04], le message de validation reçu sur son appareil de confiance comportant ces informations : *********** . Le fait pour la société Interprestige d’avoir authentifié un tel virement au profit d’un bénéficiaire qui n’apparaissait pas être le bon constitue une négligence grave et le tribunal n’a pas tiré les conséquences de ses propres constatations en jugeant que le 'CIC ne rapporte pas la preuve que l’opération ['] résulte d’un manquement ou d’une négligence du dirigeant de la société'. Le jugement attaqué ne tient pas non plus compte du fait que la cliente est nécessairement intervenue dans le processus d’ajout du bénéficiaire qui implique la communication d’une des clés de la carte papier dont elle est la seule détentrice ainsi que la validation de l’opération sur son appareil de confiance, à savoir le téléphone mobile de la société Interprestige. La jurisprudence déduit de telles circonstances où un code connu du seul client était indispensable à la réalisation des opérations contestées que celui-ci n’a pas pris les mesures raisonnables pour préserver la sécurité de son dispositif de paiement.

2) La société Interprestige soutient que les éléments produits au débat par la banque appelante mettent en évidence un dysfonctionnement manifeste du dispositif.

' Elle souligne avoir pris soin en première instance de décrire les captures d’écran à l’appui des différentes étapes du dispositif Filbanque, que le Crédit industriel et commercial reprend lui-même en pièce n°6 (pièce n°15 : Description des étapes du dispositif sécurisé Filbanque).

' En l’espèce, si les choses s’étaient déroulées normalement, pour aboutir au virement vers la société Zhouelin, l’opération à effectuer aurait consisté soit à ajouter cette société comme nouveau bénéficiaire soit à modifier le bénéficiaire existant Yuaninh (HK) Industrial CO. Limited pour le remplacer par 'Zhouelin’ puis à procéder au virement de la somme de 28.604 USD vers cette société. D’après le dispositif Filbanque, cela aurait donc impliqué que la société Interprestige accomplisse successivement les opérations suivantes :

1. Se connecter sur internet sur le Portail Filbanque, ce qui implique, à titre d’authentification forte, de répondre sur le mobile de confiance du client (qui est en l’espèce le mobile Galaxy S21 de Monsieur [W] [Z]) à une demande de confirmation de son identité (pièce n°15 cf. p.1)

2. Puis, que ce soit pour créer un nouveau bénéficiaire ou pour modifier un bénéficiaire existant :

a. de répondre sur le site à une demande de clé personnelle figurant sur une carte en possession de Monsieur [W] [Z]

b. de remplir les coordonnées IBAN du nouveau bénéficiaire

c. de répondre sur le mobile de confiance du client à une nouvelle demande de confirmation de son identité

3. Et de procéder ensuite au virement vers ce bénéficiaire :

a. en cliquant sur le bénéficiaire dans la liste

b. en remplissant le montant du virement, éventuellement sa référence, puis en validant

c. et, enfin, en répondant sur le mobile de confiance du client à une nouvelle demande de confirmation de son identité (pièce n°15 cf. p.5 et 6).

' Or en l’espèce, il ressort des trois documents fournis par la société Crédit industriel et commercial que :

1. La société Interprestige s’est connectée sur internet sur le Portail Filbanque du CIC et, à titre d’authentification forte, a reçu sur le mobile de confiance une demande de confirmation à 17h22 et 16 s. qu’elle a validée à 17h22 et 37 s. (pièce n°16)

2. Ensuite, d’après le fichier 'log', une prétendue demande d’authentification par carte personnelle – censée être la première étape (a) de la création d’un nouveau bénéficiaire ou d’une modification de bénéficiaire ' est mentionnée à 17h26 et 44 s.

'date calculated : '20/Apr/2022 : 17:26:44 +2:00'

'cs-origin-request« : »POST/personal-key-card/api/vl/users/CIC=[Numéro identifiant 2]/

personal-key-cards/4/validation-requests/ HTTP/1.1' (pièce n°17)

C’est dont à cette heure précise (17h26 et 44 s.) qu’une demande d’ajout ou de changement de bénéficiaire est censée ' selon les documents informatiques fournis par le CIC ' avoir été initiée.

3. Enfin, le Crédit industriel et commercial justifie qu’une demande de confirmation du virement vers « Zouelin » (« Opération à confirmer : Virement international ») a été envoyée sur le mobile Galaxy S21 de Monsieur [W] [Z] à 17h26 et 45 s. et validée à 17h26 et 59 s. (pièce n°18)

' Ainsi, pour que les étapes normales du processus Filbanque précédemment exposées et

récapitulées en pièce n°15 aient été respectées en l’espèce, il aurait fallu qu’entre 17h26 et 44 s. et 17h26 et 45 s. et donc en une seule seconde, la société Interprestige ait :

— rempli les coordonnées IBAN du nouveau bénéficiaire (2b.)

— répondu sur le mobile de confiance du client à une demande de confirmation de son identité liée à la création du bénéficiaire Zhouelin (2c)

— cliqué sur le bénéficiaire dans la liste (3a)

— et rempli le montant du virement, éventuellement sa référence, puis validé (3b)

— avant, enfin, de recevoir la demande de confirmation d’identité sur le mobile.

(pièce n°15, cf p.3 à 9),

ce qui est parfaitement impossible.

' Le Crédit industriel et commercial soutient que la demande de confirmation mobile est intervenue le 20 avril 2022 à 17h22 et 16 s. non pas une seconde mais 4 minutes avant la confirmation du virement, et dès lors serait 'compatible avec l’ajout ou la modification du bénéficiaire'. Or, en réalité l’opération ainsi confirmée sur le mobile de M. [Z] à 17h22 et 16 s. était, comme indiqué en toutes lettres, non pas une confirmation ou un changement de bénéficiaire mais l’authentification forte demandée lors de la connexion à la plateforme Filbanque : 'Opération à confirmer : Authentification forte sur le site’ – pièce 16 ; d’ailleurs, si cette opération avait consisté en l’ajout d’un nouveau bénéficiaire ou en une modification de bénéficiaire, cela aurait été mentionné en toutes lettres sur le justificatif de confirmation mobile, accompagné du nom dudit bénéficiaire. La Cour peut par exemple en avoir une illustration sur la pièce du Crédit industriel et commercial n°36, à savoir le justificatif d’une confirmation mobile relative à une autre opération (pour sa part non litigieuse) qui au titre de l’ajout du bénéficiaire comporte bien les mentions suivantes : 'Opération à confirmer – Création/modification de bénéficiaire – Nom du bénéficiaire MELJUN INTERNATIONAL CO LTD’ – pièce n°20 Interprestige et pièce 36 du Crédit industriel et commercial. En outre, la création d’un nouveau bénéficiaire ou la modification d’un bénéficiaire nécessitant successivement, dans cet ordre : 1. de répondre sur le site à une demande de clé personnelle, 2. de remplir les coordonnées IBAN du nouveau bénéficiaire et 3. De fournir une confirmation sur le mobile de confiance, il est impossible que ladite confirmation soit intervenue sur le mobile, comme le soutient le Crédit industriel et commercial aujourd’hui, 4 minutes avant la demande de clé personnelle mentionnée sur le log à 17h26 et 44 s. : elle ne pouvait être demandée que postérieurement (Pièce n°15 cf. p.3 à 5 et p.7 à 9 et pièce n°17)

— Enfin, le Crédit industriel et commercial n’en ignore évidemment rien puisqu’en première instance, sous la plume de son avocat – pièce n°19 – il avait indiqué dans un courrier adressé à Mme la Juge chargée d’instruire l’affaire :

'Récapitulatif de l’opération :

17:22:16 : Confirmation mobile de l’authentification forte sur le site (Pièce CIC 5)

17:26:44 : Modification du bénéficiaire par utilisation de la clé personnelle issue de la carte papier (Pièce CIC 4), étant précisé que le bénéficiaire ayant depuis été supprimé le 3 mai 2022, toute autre information a été 'écrasée'

17:26 45 : Confirmation mobile d’un virement à ZHOUELIN compte [XXXXXXXXXX04] (Pièce CIC 1)'

La chronologie et les délais des opérations établis par ses propres documents excluent totalement que la société Interprestige ait modifié elle-même le bénéficiaire. L’irrégularité ayant affecté en l’espèce le fonctionnement du dispositif prétendument sécurisé du Crédit industriel et commercial est avérée.

' Ainsi, et a fortiori, le Crédit industriel et commercial est bien mal venu à tenter de mettre en doute la crédibilité de la société Interprestige en soulignant que dans un premier temps celle-ci l’avait également interrogé sur la validité d’un autre virement (finalement parfaitement normal) intervenu le 9 avril 2022 et en affirmant qu’à cette occasion Interprestige aurait 'respect(é) les mêmes délais entre chaque opération’ que lors du virement litigieux.

' Contrairement à ce qu’affirme le Crédit industriel et commercial, c’est donc de façon logique et justifiée qu’au sujet du virement litigieux le tribunal a souligné dans le jugement entrepris que : ' – La chronologie des opérations très serrée, celles-ci se déroulant dans un intervalle de quelques secondes interroge sur les hypothèses relatives au champ bénéficiaire Zhouelin : présence dans la liste enregistrée par M. [Z], création au moment du virement ou modification du bénéficiaire Dongguan Yuanin ; – Mais après avoir été informé par Interprestige du virement litigieux, CIC ne conteste pas avoir 'écrasé’ le bénéficiaire Zhouelin et par là-même les traces permettant de comprendre les mouvements intervenus sur le champ 'bénéficiaire à créditer’ soit par création, soit par modification, ce qui rend impossible pour le tribunal de savoir quelle opération a été réalisée création ou modification du champ bénéficiaire, à quelles date et heure et quel appareil a été utilisé pour la valider : ordinateur et téléphone de M. [Z] à la suite d’un piratage ou plateforme Filibanque qui aurait également pu être objet d’un piratage'.

Ainsi, au sens des articles L. 133-22 et L. 133-23 du code monétaire et financier, le Crédit industriel et commercial, responsable de l’opération de paiement, s’avère en l’espèce incapable de démontrer que celle-ci n’a été affectée d’aucun dysfonctionnement technique, et en l’occurrence, bien au contraire, les quelques documents qu’il a produit au débat à cet effet démontrent positivement que l’opération s’est déroulée de façon anormale – en particulier en raison d’un déroulement chronologique dans des délais impossibles. Il est donc demandé à la cour de confirmer le jugement en ce qu’il a jugé le Crédit industriel et commercial responsable du virement litigieux et tenu d’une obligation de restitution des sommes versées.

3) Sur ce et comme indiqué supra, en vertu de l’article L. 133-23 du code monétaire et financier, lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe à son prestataire de service de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée, et qu’elle n’a pas été affectée par une déficience technique ou autre.

En l’espèce, l’examen des pièces produites par la banque appelante permet de convaincre que la preuve attendue du prestataire de service de paiement en application des dispositions de ce texte est imparfaite, comme l’a exactement jugé le tribunal.

Il doit être ajouté que contrairement à ce que prétend la banque appelante, sa pièce n°17 ne relate aucunement qu’il y aurait eu de la part de la société Interprestige, en premier lieu, une opération d’ajout de bénéficiaire, ce que la société Interprestige relève d’ailleurs, à juste titre. En effet, il y apparaît seulement la mention suivante :

'Opération à confirmer

Authentification forte sur le site'

mais l’objet de cette opération n’est pas indiqué. Par suite, la société Crédit industriel et commercial n’apporte aucun élément susceptible de contredire utilement ce qu’a retenu le tribunal au sujet des éléments de chronologie du déroulement de l’opération litigieuse.

La société Crédit industriel et commercial prestataire de service de paiement ne rapportant ainsi pas la preuve de ce que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée, et qu’elle n’a pas été affectée par une déficience technique ou autre, il en découle également que la banque n’est pas fondée à soutenir qu’elle a correctement exécuté une opération 'autorisée', au sens du code monétaire et financier et des stipulations contractuelles.

Ainsi, pour les motifs exposés par le tribunal, il y a lieu de confirmer le jugement déféré en ce qu’il a condamné la banque à rembourser à la société Interprestige au titre du virement du 20 avril 2022.

***

Sur la négligence grave du payeur

À ce sujet, la société Interprestige demandant le remboursement de la totalité de la somme de 28 484,30 euros (correspondant à la contrevaleur, au jour de l’assignation, de la somme en dollars US disparue du compte de la société) au lieu des 22 787,84 euros qui lui ont été alloués à ce titre par le tribunal limitant ce remboursement à 80 % de son montant au motif que la société Interprestige aurait par négligence été partiellement responsable du virement litigieux dès lors que la confirmation mobile reçue par M. [Z] le 20 avril 2022 à 17h26 et 45s. indiquait le nom de 'Zhouelin’ comme bénéficiaire en lieu et place de 'Yuanin (HK) Industrial co. Limited', et qu’il en allait de même de l’impression du virement, ce qui aurait dû l’alerter en temps utile du caractère anormal dudit virement, fait valoir que l’opération de virement a été affectée d’un dysfonctionnement d’une telle gravité qu’il exonère la société Interprestige de toute responsabilité à défaut de l’avoir repéré. En effet, dans la mesure où M. [Z] a effectué en l’espèce sur la plateforme Filbanque un virement de la somme convenue vers le bénéficiaire 'Yuanin (HK) Industrial co. Limited’ figurant dans sa liste et où il a reçu, selon le mode opératoire habituel, une demande de confirmation mobile dans la foulée, il ne pouvait imaginer qu’une substitution de bénéficiaire ait pu intervenir à son insu sur ce virement, si bien que venant de renseigner le virement en question, rien ne pouvait l’amener à vérifier avec une attention particulière, lors de la confirmation mobile comme après l’impression de l’ordre de virement uniquement destinée à un classement administratif, qu’un autre bénéficiaire ait pu, par une opération mystérieuse, se substituer à celui qu’il avait expressément désigné dans sa liste quelques instants auparavant. La 'négligence’ reprochée en l’espèce à la société Interprestige étant donc, au contraire de celle du Crédit industriel et commercial, totalement excusable en l’espèce, elle ne saurait avoir de conséquences sur l’obligation de restitution de celui-ci.

Sur ce

L’application aux faits de la cause, des dispositions précitées, du code monétaire et financier, empêche de procéder à un partage de responsabilité tel que l’a décidé le premier juge retenant que chacune des parties aurait été 'négligente'.

Le jugement déféré est donc infirmé de ce chef.

Aussi, au vu de ce qui précède, la banque échouant à faire la démonstration dont elle a la charge, de ce que l’opération litigieuse a été 'authentifiée, dûment enregistrée et comptabilisée, et qu’elle n’a pas été affectée par une déficience technique ou autre', et, dès lors, sans qu’il y ait même lieu d’examiner si la banque rapporte comme elle prétend la preuve d’une 'négligence grave’ de la société Interprestige utilisateur du service de paiement, la société Crédit industriel et commercial doit être condamnée à payer à la société Interprestige la totalité de la somme qui a été débitée de son compte, soit en l’espèce la contrevaleur en euros au jour de la présente décision, de la somme de 28 604 dollars US.

°°°°°°

Sur les dépens et les frais irrépétibles

La société Crédit industriel et commercial, qui échoue dans ses demandes, supportera la charge des dépens et ne peut prétendre à aucune somme sur le fondement de l’article 700 du code de procédure civile. En revanche pour des raisons tenant à l’équité il y a lieu de faire droit à la demande de la société Interprestige formulée sur ce même fondement, mais uniquement à hauteur de la somme de 3 000 euros.

PAR CES MOTIFS

La cour, statuant dans les limites de l’appel,

RÉFORME le jugement déféré en ce que le tribunal : 'Condamne SA CREDIT INDUSTRIEL ET COMMERCIAL à payer à SAS INTERPRESTIGE la somme de 22 787,44 euros',

et statuant à nouveau,

CONDAMNE la société Crédit industriel et commercial à payer à la société Interprestige la somme correspondant à la contrevaleur en euros, au jour de la présente décision, de la somme de 28 604 dollars US ;

CONFIRME le jugement déféré en ses autres dispositions ;

Y ajoutant,

CONDAMNE la société Crédit industriel et commercial à payer à la société Interprestige la somme de 3 000 euros en application des dispositions de l’article 700 du code de procédure civile à raison des frais irrépétibles exposés en cause d’appel ;

DÉBOUTE la société Crédit industriel et commercial de sa propre demande formulée sur ce même fondement ;

CONDAMNE la société Crédit industriel et commercial aux entiers dépens d’appel et admet Maître Sébastien Goguel-Nyegaard, avocat constitué, du barreau de Paris, au bénéfice des dispositions de l’article 699 du code de procédure civile.

* * * * *

Le greffier Le président