Copies exécutoires REPUBLIQUE FRANCAISE

délivrées aux parties le : AU NOM DU PEUPLE FRANCAIS

COUR D’APPEL DE PARIS

Pôle 5 – Chambre 6

ARRET DU 21 MAI 2025

(n° , 7 pages)

Numéro d’inscription au répertoire général : N° RG 24/02294 – N° Portalis 35L7-V-B7I-CI3BU

Décision déférée à la Cour : Jugement du 29 Novembre 2023 – tribunal judiciaire de Paris 9ème chambre 1ère section – RG n° 22/07761

APPELANTE

Madame [N] [Y]

née le [Date naissance 1] 1999 à [Localité 4]

[Adresse 2]

[Localité 4]

Représentée par M^e Anca LUCACIU, avocat au barreau de Paris, toque : C0552, avocat plaidant

(bénéficie d’une aide juridictionnelle totale numéro 2023/511596 du 18/12/2023 accordée par le bureau d’aide juridictionnelle de Paris)

INTIMÉE

S.A. CAISSE D’EPARGNE

[Adresse 3]

[Localité 4]

N°SIREN : 382 900 942

agissant poursuites et diligences de ses représentants légaux domiciliés en cette qualité audit siège

Représentée par M^e Stéphane FERTIER de la SELARL JRF & TEYTAUD SALEH, avocat au barreau de Paris, toque : L0075

Ayant pour avocat plaidant M^e Claire BOUSCATEL de l’ASSOCIATION BIARD BOUSCATEL, avocat au barreau de Paris, toque : R146

COMPOSITION DE LA COUR :

En application des dispositions des articles 805 et 907 du code de procédure civile, l’affaire a été débattue le 20 Mars 2025, en audience publique, les avocats ne s’y étant pas opposés, devant Madame Laurence CHAINTRON, conseillère, entendue en son rapport.

Ce magistrat a rendu compte des plaidoiries dans le délibéré de la Cour, composée de :

M. Marc BAILLY, président de chambre

M^me Pascale SAPPEY-GUESDON, conseillère

M^me Laurence CHAINTRON, conseillère

Greffier, lors des débats : M^me Mélanie THOMAS

ARRET :

— contradictoire

— par mise à disposition de l’arrêt au greffe de la Cour, les parties en ayant été préalablement avisées dans les conditions prévues au deuxième alinéa de l’article 450 du code de procédure civile.

— signé par Marc BAILLY, président de chambre et par Mélanie THOMAS, greffier, présent lors de la mise à disposition.

* * * * *

FAITS, PROCÉDURE ET PRÉTENTIONS DES PARTIES

Mme [N] [Y] est titulaire d’un compte ouvert dans les livres de la Caisse d’Epargne Ile-de-France.

Le 20 juin 2020, quatre virements ont été émis depuis le compte de Mme [Y] vers l’étranger pour un montant total de 12 150 euros.

Le 23 juin 2020, Mme [Y] a déposé plainte pour escroquerie au commissariat de police du [Localité 4].

Par courrier du 24 juin 2020, Mme [Y] a mis en demeure la banque de lui restituer les fonds, ce que celle-ci a refusé.

Par exploit d’huissier en date du 24 juin 2022, Mme [Y] a fait assigner en indemnisation la société anonyme BPCE devant le tribunal judiciaire de Paris.

Par jugement contradictoire rendu le 29 novembre 2023, le tribunal judiciaire de Paris a :

— reçu l’intervention volontaire de la société Caisse d’Epargne Ile-de-France ;

— mis hors de cause la société anonyme BPCE ;

— rejeté l’ensemble des demandes de Mme [N] [Y] ;

— condamné Mme [N] [Y] aux dépens qui seront recouvrés comme en matière d’aide juridictionnelle ;

— condamné Mme [N] [Y] à payer à la Caisse d’Epargne Ile-de-France la somme de 2 000 euros au titre des dispositions de l’article 700 du code de procédure civile ;

— rappelé que l’exécution provisoire de la décision est de droit.

Par déclaration du 23 janvier 2024, Mme [Y] a relevé appel de ce jugement.

Par conclusions notifiées par voie électronique le 11 avril 2024, Mme [Y] demande, au visa des articles L. 561-6, L. 133-23, L. 133-18, L. 133-19 et L. 133-24 du code monétaire et financier, à la cour de :

— infirmer le jugement rendu par le tribunal judiciaire de Paris le 29 novembre 2023 et jugeant à nouveau,

— recevoir ses demandes et les dires bien fondées ;

— constater le manquement de vigilance de la Caisse d’Epargne Ile-de-France ;

— condamner la Caisse d’Epargne Ile-de-France à lui verser la somme de 12 150 euros afin de la dédommager du piratage dont elle a été victime et, donc, du défaut de sécurité des données bancaires des clients de ladite banque ;

— condamner la Caisse d’Epargne Ile-de-France, au visa de l’article L. 133-18 du code monétaire et financier, au paiement des intérêts au taux légal majoré de quinze points sur les sommes dues, à compter de l’assignation délivrée le 24 juin 2022 ;

— condamner la Caisse d’Epargne Ile-de-France à lui verser la somme de 5 000 euros au titre de la réparation de son préjudice pour résistance abusive ;

— condamner la Caisse d’Epargne Ile-de-France à lui verser la somme de 3 000 euros au titre de l’article 700 du code de procédure civile.

Par conclusions notifiées par voie électronique le 8 juillet 2024, la Caisse d’Epargne demande, au visa des articles L. 133-6, L. 133-16, L. 133-17, L. 133-23 et L. 561-6 du code monétaire et financier, à la cour de :

— confirmer le jugement dont appel en toutes ses dispositions,

— débouter ainsi Mme [Y] de l’intégralité des demandes, fins et prétentions formulées à son encontre,

— condamner Mme [Y] à lui payer la somme de 3 000 euros au titre de l’article 700 du code de procédure civile ainsi qu’aux entiers dépens.

Pour un plus ample exposé des faits, de la procédure, des moyens et des prétentions des parties, il est expressément renvoyé au jugement déféré et aux dernières conclusions écrites déposées en application de l’article 455 du code de procédure civile.

L’ordonnance de clôture a été rendue le 11 février 2025 et l’audience fixée au 20 mars 2025.

MOTIFS

Sur la responsabilité de la banque

Mme [Y] soutient que :

— elle a été contactée par une personne dénommée Mme [H] qui souhaitait acquérir des écouteurs qu’elle avait mis en vente sur le site du Bon Coin ; celle-ci lui a demandé d’ouvrir un compte Payal, ce qu’elle a fait ; puis elle a été victime d’un escroc se faisant passer pour Paypal,

— l’escroc lui a demandé les éléments suivants : sa carte d’identité, un justificatif de domicile, un justificatif d’envoi du colis, un RIB, mais ne lui a pas demandé les mots de passe de son compte bancaire,

— même si le fraudeur connaissait son numéro de téléphone, sans une faille du système bancaire, il ne pouvait pas recevoir un code spécifique sur un autre numéro de téléphone,

— la banque ne démontre pas qu’elle aurait communiqué ses codes d’accès et que l’opération n’a pas été affectée par une déficience technique,

— elle rapporte la preuve de ne pas avoir consenti au virement puisqu’elle a contacté sa banque immédiatement dès que les virements frauduleux ont été visibles sur son compte en ligne,

— elle n’a commis aucune négligence ou fraude.

La Caisse d’Epargne soutient que Mme [Y] a donné son consentement aux opérations litigieuses et a fait preuve de négligence grave.

Elle expose, notamment, au visa des dispositions de l’article L. 133-23 du code monétaire et financier, que les virements contestés, doivent être supportés par Mme [Y], dès lors que :

— les opérations litigieuses ont été authentifiées, dûment enregistrées et comptabilisées et qu’elles n’ont pas été affectées par une déficience technique ou autre,

— il ressort des articles 5.2, 5.6 et 6.1 des conditions générales d’utilisation du service de Banque à Distance que pour accéder en ligne à ses comptes, le client doit être en possession d’un numéro identifiant et d’un code confidentiel qui ne sont connus que de lui, pour les virements et les opérations sensibles, comme l’ajout d’un compte bénéficiaire,

— ces opérations ont été rendues possibles uniquement du fait de la négligence grave de Mme [Y] qui a communiqué des données personnelles à une personne se faisant passer pour le service Paypal, alors que la lecture des mails reçus de l’escroc présumé aurait dû l’alerter sur le caractère frauduleux de la man’uvre,

— elle a reconnu dans sa plainte du 23 juin 2020 et dans son courrier du 24 juin 2020, avoir personnellement répondu à des mails provenant soi-disant du site Paypal, cliqué sur des liens présents dans les mails, transmis de nombreuses informations personnelles et confidentielles par sms, mail et téléphone (nom, prénom, adresse, numéro de téléphone, adresse email, copie de sa carte d’identité recto verso, justificatif de domicile, RIB, identifiant confidentiel de compte),

— l’appelante a été victime d’un hameçonnage et d’une fraude de la part d’un tiers, à qui elle a permis de s’introduire sur son compte en ligne en lui divulguant l’intégralité de ses informations personnelles et confidentielles, qui ont ensuite permis à ce dernier d’usurper son identité,

— Mme [Y] ne prouve pas avoir contacté ou engagé une action civile à l’encontre des bénéficiaires des virements contestés,

— enfin, elle ne démontre pas l’existence du préjudice allégué.

Mme [Y] recherche la responsabilité de la banque en raison d’une opération non autorisée sur le fondement, notamment, des articles L. 133-23, L. 133-18, L. 133-19 et L. 133-24 du code monétaire et financier.

L’article L. 133-23 du code monétaire et financier dispose que :

'Lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre.

L’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière.

Le prestataire de services de paiement, y compris, le cas échéant, le prestataire de services de paiement fournissant un service d’initiation de paiement, fournit des éléments afin de prouver la fraude ou la négligence grave commise par l’utilisateur de services de paiement.'

L’article L. 133-24 de ce code prévoit que :

'L’utilisateur de services de paiement signale, sans tarder, à son prestataire de services de paiement une opération de paiement non autorisée ou mal exécutée et au plus tard dans les treize mois suivant la date de débit sous peine de forclusion à moins que le prestataire de services de paiement ne lui ait pas fourni ou n’ait pas mis à sa disposition les informations relatives à cette opération de paiement conformément au chapitre IV du titre 1er du livre III.'.

En l’espèce, si la Caisse d’Epargne soutient que les opérations litigieuses ont été effectuées via son service sécurisé de Banque à Distance Direct Ecureuil, il n’en ressort pas pour autant que l’utilisation de l’instrument de paiement telle qu’enregistrée par elle suffit à prouver que les opérations ont été autorisées, encore moins qu’elles résultent d’une négligence grave de Mme [Y].

Au contraire, il est constant que Mme [Y] a immédiatement contacté sa banque pour faire opposition aux opérations litigieuses.

Le contenu de la plainte déposée le 23 juin 2020 entre les mains du commissariat de police du [Localité 4], les échanges de courriers entre les parties et les échanges de courriels entre Mme [Y] et son prétendu acquéreur, Mme [H], puis avec le prétendu service Paypal démontrent l’existence d’une escroquerie dont Mme [Y] a été victime.

Il s’en induit que les quatre opérations de virements effectués par Mme [Y] le 20 juin 2020 n’étaient pas autorisées au sens des dispositions légales précitées.

L’article L. 133-18, alinéa 1, du code monétaire et financier pose le principe du remboursement par la banque des opérations non autorisées dans les termes suivants :

'En cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L. 133-24, le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement et s’il communique ces raisons par écrit à la Banque de France. Le cas échéant, le prestataire de services de paiement du payeur rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu.'

Par dérogation, l’article L. 133-19 de ce code, paragraphe IV, dispose, dans le cas particulier des instruments de paiement dotés de données de sécurité personnalisées que :

'Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17', lesquels lui font obligation de préserver la sécurité de ses données.

Il ressort de l’article 5.2 des conditions générales d’utilisation du service de Banque à Distance Direct Ecureuil (DE) que pour pouvoir accéder à ses comptes en ligne, le client doit être en possession d’un numéro d’identifiant et d’un code confidentiel qui ne sont connus que de lui.

L’article 5-6 'Sécur’Pass’ dispose que :

'Dans le cadre de son abonnement à DE, le Client a accès à Secur’Pass.

…

Le choix, l’enregistrement, la modification, la réinitialisation et la conservation du code PIN associé à Sécur’Pass sont de la responsabilité du Client. Il lui appartient notamment de veiller à le conserver strictement secret, au même titre que l’ensemble des identifiants/mot de passe liés à son espace personnel de banque à distance ou à ses moyens de paiement. La Banque n’a aucun accès à ce code PIN.'

Il en ressort que le client est seul responsable de la conservation de ses informations confidentielles.

Par ailleurs, l’article 6.1 stipule que :

'La banque ne saurait être tenue pour responsable

…

— En cas de divulgation par le Client du code confidentiel et/ou d’authentification à une tierce personne, y compris à un prestataire de service d’initiation de paiement ou d’information sur les comptes, disposant d’un agrément ou d’un enregistrement prévu par les textes en vigueur.

…'

En l’espèce, il n’est pas démontré que les opérations litigieuses aient été affectées par une déficience technique ou autre.

La Caisse d’Epargne fournit des éléments afin de prouver la négligence grave commise par l’utilisateur de services de paiement, notamment au regard de l’article L. 133-16 du code monétaire et financier qui impose à ce dernier de prendre toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées, et d’utiliser l’instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation.

La négligence grave du payeur est exclusive de toute appréciation de sa bonne foi (Com., 1er juillet 2020, n° 18-21.487).

Comme l’a relevé le tribunal, il ressort de la plainte déposée par Mme [Y] le 23 juin 2020, du courrier envoyé par Mme [Y] à la Caisse d’Epargne Ile-de-France le 24 juin 2020 et des mails reçus et envoyés par l’appelante que :

— Mme [Y] a mis en vente des écouteurs sur le site internet « Le bon coin »,

— une personne disant s’appeler [L] [H] l’a contactée pour acheter ses écouteurs,

— cette personne a souhaité payer exclusivement par Paypal prétendant que ce service travaillait en partenariat avec Chronopost,

— Mme [Y] a créé un compte Paypal,

— elle a ensuite reçu des courriels du prétendu service Paypal lui demandant l’envoi de divers documents afin de percevoir le prix d’achat et de livraison des écouteurs,

— elle a envoyé la copie recto verso de sa carte nationale d’identité, un justificatif de domicile, un RIB et un justificatif d’envoi du colis,

— elle a reçu ensuite un appel téléphonique depuis [Localité 5] en Californie lors duquel son interlocuteur lui a demandé son nom, prénom, adresse mail, adresse, téléphone et l’identifiant de son compte bancaire qu’elle a communiqués.

Mme [Y] se contente d’affirmer qu’elle n’a pas donné son mot de passe. Cependant, elle a communiqué plusieurs informations personnelles accompagnées de documents et a notamment communiqué l’identifiant de son compte donnant accès à son compte bancaire en ligne, ce qui a permis ensuite l’émission des virement contestés.

Les messages envoyés par le service se faisant passer pour Paypal auraient dû appeler l’attention de Mme [Y] en ce que son interlocuteur lui a demandé plusieurs informations et documents personnels qui ne sont pas nécessaires pour la réception d’un paiement.

En outre, le site internet Paypal appelle l’attention des utilisateurs sur le risque de fraude et les alerte, notamment, sur le fait que l’adresse d’un interlocuteur de Paypal contient nécessairement le nom de domaine paypal.fr. Or, les courriels reçus par Mme [Y] ont été envoyées depuis des adresses avec le nom de domaine « servicepaypalvirement001gmail.com » ou « contact paypal.online ».

Le mail adressé à Mme [Y] le 12 juin 2020 à 11 heures 50 comporte des fautes de syntaxe, mais surtout il y est indiqué que : « Il se peut que l’un de nos conseillers vous contacte depuis notre plateforme du siège social (Californie [Localité 5]) pour la vérification de votre identité au sujet des informations bancaires fournies, merci de bien vouloir prêter attention. »

Or, il est difficilement compréhensible que Mme [Y] reçoive un appel téléphonique de [Localité 5] pour vérifier son identité, alors qu’elle avait déjà transmis sa pièce d’identité, un RIB, et un justificatif de domicile.

Les négligences graves commises par Mme [Y] sont par conséquent caractérisées dès lors qu’elle a transmis son identifiant bancaire au prétendu escroc et n’a pas utilisé le service de paiement mis à sa disposition conformément aux conditions régissant sa délivrance et son utilisation.

Mme [Y] doit en conséquence supporter toutes les pertes occasionnées par les opérations de paiement non autorisées.

Il est par ailleurs de jurisprudence que dès lors que la responsabilité d’un prestataire de service de paiement est recherchée en raison d’une opération de paiement non autorisée ou mal exécutée, seul est applicable le régime de responsabilité défini aux articles L. 133-18 à L. 133-24 du code monétaire et financier, de sorte que l’appelante ne peut se prévaloir d’un manquement au devoir de vigilance de la banque sur ce fondement, étant relevé que de surcroît, compte tenu du devoir de non-immixtion de la banque, ni le montant des virements, ni leur destination, ne constituaient des anomalies de nature à caractériser un manquement de la banque à ses obligations.

Enfin, Mme [Y] vise dans le dispositif de ses écritures l’article L. 561-6 du code monétaire et financier.

Or, les dispositions de cet article sont relatives aux obligations de la banque en matière de lutte contre le blanchiment et le financement du terrorisme et la victime d’agissements frauduleux ne peut se prévaloir de l’inobservation d’obligations résultant de ces textes pour réclamer des dommages-intérêts à l’établissement financier.

En conséquence de ce qui précède, il y a lieu de confirmer le jugement entrepris en ce qu’il a débouté Mme [Y] de toutes ses demandes.

Sur les dépens et les frais irrépétibles

Aux termes de l’article 696, alinéa premier, du code de procédure civile, la partie perdante est condamnée aux dépens, à moins que le juge, par décision motivée, n’en mette la totalité ou une fraction à la charge d’une autre partie. L’appelante sera donc condamnée aux dépens.

En application de l’article 700 du code de procédure civile, le juge condamne la partie tenue aux dépens ou qui perd son procès à payer à l’autre partie la somme qu’il détermine, au titre des frais exposés et non compris dans les dépens. En l’espèce, il n’apparaît pas inéquitable de laisser à la charge de la banque les frais irrépétibles qu’elle a été contrainte d’engager dans la présente instance pour assurer la défense de ses intérêts. Elle sera par conséquent déboutée de sa demande au titre de l’article 700 du code de procédure civile.

LA COUR, PAR CES MOTIFS,

CONFIRME le jugement du tribunal judiciaire de Paris du 29 novembre 2023 ;

Y ajoutant,

DIT n’y avoir lieu à application de l’article 700 du code de procédure civile ;

CONDAMNE Mme [N] [Y] aux entiers dépens d’appel ;

REJETTE toute autre demande.

* * * * *

LE GREFFIER LE PRÉSIDENT