RÉPUBLIQUE FRAN’AISE

AU NOM DU PEUPLE FRAN’AIS

COUR D’APPEL DE PARIS

Pôle 5 – Chambre 6

ARRÊT DU 19 FEVRIER 2025

(n° , 10 pages)

Numéro d’inscription au répertoire général : N° RG 23/00433 – N° Portalis 35L7-V-B7H-CG4JC

Décision déférée à la Cour : Jugement du 15 Novembre 2022 – tribunal judiciaire de Melun chambre 1 cabinet 1 – RG n° 21/01891

APPELANT

Monsieur [D] [Y]

né le [Date naissance 2] 1992 à [Localité 6]

[Adresse 3]

[Localité 5]

Représenté par M^e Brice AYALA de la SCP BOUAZIZ – SERRA – AYALA – BONLIEU – LE MEN – HAYOUN, avocat au barreau de Melun

INTIMÉE

S.A. BNP PARIBAS

[Adresse 1]

[Localité 4]

N°SIREN : 662 042 449

agissant poursuites et diligences de ses représentants légaux domiciliés en cette qualité audit siège

Représentée par M^e Dominique PENIN du LLP MORGAN LEWIS & BOCKIUS UK LLP, avocat au barreau de Paris, toque : J011

Ayant pour avocat plaidant M^e Pierre NICOLET du LLP MORGAN LEWIS & BOCKIUS UK LLP, avocat au barreau de Paris, toque : J011

COMPOSITION DE LA COUR :

L’affaire a été débattue le 17 Décembre 2024, en audience publique, devant la Cour composée de :

M. Marc BAILLY, président de chambre

M. Vincent BRAUD, président de chambre

M^me Pascale SAPPEY-GUESDON, Conseillère

qui en ont délibéré, un rapport a été présenté à l’audience par M^me Pascale SAPPEY-GUESDON dans les conditions prévues par l’article 804 du code de procédure civile.

Greffier, lors des débats : M^me Mélanie THOMAS

ARRÊT :

— contradictoire

— par mise à disposition de l’arrêt au greffe de la Cour, les parties en ayant été préalablement avisées dans les conditions prévues au deuxième alinéa de l’article 450 du code de procédure civile.

— signé par Marc BAILLY, président de chambre et par Mélanie THOMAS, greffier, présent lors de la mise à disposition.

* * * * *

PROCEDURE ET PRETENTIONS DES PARTIES

Par déclaration reçue au greffe de la cour le 19 décembre 2022, M. [D] [Y] a interjeté appel du jugement en date du 15 novembre 2022 par lequel le tribunal judiciaire de Melun, saisi par voie d’assignation en date du 8 avril 2021 délivrée à sa requête à la société BNP Paribas, a statué ainsi :

'Déboute Monsieur [Y] de l’intégralité de ses demandes ;

Condamne Monsieur [Y] à payer à la société BNP PARIBAS la somme de 1 500 euros au titre des frais irrépétibles ;

Rappelle que le présent jugement est revêtu de l’exécution provisoire de droit ;

Condamne Monsieur [Y] aux entiers dépens.'

***

À l’issue de la procédure d’appel clôturée le 29 octobre 2024 les prétentions des parties s’exposent de la manière suivante.

Au dispositif de ses conclusions communiquées par voie électronique le 16 mars 2023 qui constituent ses uniques écritures, l’appelant

présente, en ces termes, ses demandes à la cour :

'Vu l’article 1231-1 du code civil ;

Vu les articles L. 133-18 et suivants du Code monétaire et financier ;

Il est demandé à la cour :

DÉCLARER Monsieur [D] [Y] recevable et bien fondé en ses demandes,

Et, y faisant droit,

INFIRMER le jugement du Tribunal Judiciaire de MELUN du 15 novembre 2022 en ce qu’il :

— déboute Monsieur [Y] de l’intégralité de ses demandes ;

— condamne Monsieur [Y] à payer à la société BNP PARIBAS la somme de 1 500 euros au titre des frais irrépétibles ;

— condamne Monsieur [Y] aux entiers dépens.

Statuant à nouveau,

— JUGER que la BNP PARIBAS ne rapporte pas la preuve d’une négligence grave de Monsieur [Y] reposant sur le fondement de l’article L. 133-19 IV du Code monétaire et financier ;

— JUGER que la BNP PARIBAS a manqué à son obligation de vigilance en ne vérifiant pas l’authenticité des virements frauduleux réalisés entre le 15 et le 17 avril 2019, pour un montant total de 16 000 euros, sur les comptes bancaires de Monsieur [D] [Y] ;

— JUGER que la responsabilité contractuelle de la BNP PARIBAS est engagée de plein droit en tant que dépositaire de fonds ;

En conséquence,

— CONDAMNER la BNP PARIBAS à rembourser la somme de 16 000 euros à Monsieur [D] [Y], correspondant au montant total des virements frauduleux débités sur ses comptes bancaires entre le 15 et le 17 avril 2019 ;

— CONDAMNER la BNP PARIBAS à payer la somme de 2 000 euros au titre du préjudice moral subi par Monsieur [D] [Y] ;

— CONDAMNER la BNP PARIBAS à payer la somme de 3 000 euros au titre de l’article 700 du Code de procédure civile en cause d’appel ;

— CONDAMNER la BNP PARIBAS aux entiers dépens, dont distraction au bénéfice de Maître Brice AYALA sur le fondement des dispositions de l’article 699 du Code de procédure civile ;

— ORDONNER l’exécution provisoire.'

Au dispositif de ses conclusions communiquées par voie électronique le 9 juin 2023 qui constituent ses uniques écritures, l’intimé

présente, en ces termes, ses demandes à la cour :

'CONFIRMER en toutes ses dispositions le jugement du 15 novembre 2022 rendu par le Tribunal judiciaire de Melun ;

CONDAMNER Monsieur [Y] à verser à la société BNP Paribas la somme de 3 000 euros au titre de l’article 700 du code de procédure civile ainsi qu’aux entiers dépens de l’appel.'

Par application des dispositions de l’article 455 du code de procédure civile, il est renvoyé, pour un plus ample exposé des prétentions et moyens des parties, à leurs conclusions précitées.

MOTIFS DE LA DECISION

M. [D] [Y] expose avoir reçu sur son téléphone, le 15 avril 2019, émanant de sa banque la société BNP Paribas, une notification par laquelle il lui était demandé de confirmer ou rejeter l’ajout d’un bénéficiaire de virement, en l’espèce sa mère, Mme [M] [Y], alors en voyage en Inde. Pensant que celle-ci pouvait avoir besoin d’argent, M. [Y] a donc validé ladite opération d’ajout de bénéficiaire. Puis les 15, 16, et 17 avril 2019, des virements ont été effectués depuis divers comptes dont il est titulaire dans les livres de la BNP Paribas (LDDS et Livret A) pour abonder son compte de dépôt, à partir duquel ont été effectués trois virements pour un montant total de 16 000 euros au profit de : 'Mme [F] [R] [S]'.

M. [Y] a déposé plainte le 26 avril 2019 pour escroquerie. Celle-ci a été classée sans suite, à défaut d’identification de l’auteur.

La banque lui ayant refusé le remboursement du montant des virements contestés, par acte de commissaire de justice en date du 8 avril 2021 M. [Y] a fait assigner la société BNP Paribas devant le tribunal judiciaire de Melun sur le fondement des articles L. 133-18 et suivants du code monétaire et financier, et 1231-1 du code civil, en vue d’obtenir le remboursement des sommes détournées.

°°°°°

Les moyens des parties à hauteur d’appel s’établissent comme suit.

M. [Y] souligne que le nom du bénéficiaire '[M] [Y]' a été modifié en '[F] [R] [S]' sans attirer l’attention de la BNP Paribas. Le 15 avril 2019, un virement d’un montant de 11 000 euros a été effectué du livret A de M. [Y] vers son compte-chèques ; le même jour, un virement SEPA de 6 000 euros a été émis de son compte-chèques au bénéfice d’une dénommée 'Madame [F] [R] [S]'. Puis le 16 avril 2019, un nouveau virement SEPA d’un montant de 6 000 euros a été émis de son compte-chèques, toujours au bénéfice de 'Madame [F] [R] [S]'. Enfin, le 17 avril 2019 un virement de 3 120 euros a été effectué du Livret de développement durable et solidaire vers le compte-chèques, et le même jour, un nouveau virement SEPA d’un montant de 4 000 euros a été émis de son compte-chèques au bénéfice de 'Madame [F] [R] [S]'. C’est donc un montant total de 16 000 euros qui a été débité en l’espace de trois jours depuis le compte-chèques de M. [Y]. La banque n’a pourtant à aucun moment été interpellée par ces opérations inhabituelles qui ne résultent pas de la volonté de son client.

Pourtant, le manquement de la banque à son obligation de vigilance est manifeste, et à l’inverse aucune négligence grave n’est susceptible d’être caractérisée à l’encontre de son client.

Lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre (article L. 133-23 du code monétaire et financier). À défaut, il doit procéder au remboursement de l’opération de paiement ou des opérations de paiement non autorisées par l’utilisateur (article L. 133-18 du code monétaire et financier). En effet, le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17 (article L. 133-19 IV du code monétaire et financier).

S’agissant de l’obligation de vigilance de la banque, en vertu de l’article 1231-1 du code civil, dans sa relation avec son client le banquier est tenu à deux obligations principales susceptibles d’engager sa responsabilité : une obligation de vigilance et une obligation de mise en garde. La banque manque à son devoir de vigilance et surveillance en exécutant un ordre de virement frauduleux, alors même que son obligation lui impose de déceler les opérations présentant une anomalie apparente. Le banquier est tenu à une obligation de vigilance au regard des irrégularités formelles ou matérielles qu’il peut constater. Il doit s’assurer que des dépenses litigieuses ne présentent pas un caractère anormal ou inhabituel.

L’authentification forte par clé digitale ne se substitue pas au devoir de vigilance de la banque qui se doit de vérifier les opérations inhabituelles sur les comptes bancaires de ses clients, en sorte qu’en l’espèce la BNP Paribas aurait dû pratiquer un examen attentif des opérations effectuées entre le 15 et le 17 avril 2019 sur les comptes bancaires de M. [Y] et interroger son client sur les motifs justifiant les importants virements bancaires successifs entre ses comptes et au bénéfice d’un tiers, pour un montant total de 16 000 euros.

Or, la banque ne s’explique pas sur l’origine de la demande intervenue sur la clé digitale, au nom de '[M] [Y]' ni sur l’accès frauduleux à l’espace personnel sécurisé de M. [Y] ayant permis d’effectuer deux virements internes ainsi que trois virements au bénéfice d’un tiers d’un montant total de 16 000 euros en l’espace de trois jours. Elle n’explique pas non plus pourquoi elle n’a pas pris contact avec son client alors que ses comptes livret A et livret développement durable et solidaire ont été quasi-intégralement vidés entre le 15 et le 17 avril 2019. Le concluant n’a jamais communiqué à quiconque ses numéros de comptes bancaires. Pire encore, la banque n’a pas interrogé son client suite à la modification du nom '[M] [Y]' en '[F] [R] [S]' et en l’absence de consentement ou de validation des opérations frauduleuses effectuées entre le 15 et le 17 avril 2019.

Il s’en déduit que ces anomalies apparentes, caractérisant le manquement à l’obligation de vigilance de la BNP Paribas, sont caractérisées et, a contrario, aucune négligence grave n’est susceptible d’être démontrée à l’encontre de M. [Y].

La responsabilité contractuelle de la banque est donc engagée, et ce d’autant qu’elle ne rapporte pas la preuve que les opérations en question ont été authentifiées, dûment enregistrées et comptabilisées et qu’elles n’ont pas été affectées par une déficience technique ou un autre dysfonctionnement. La banque devra donc être condamnée à rembourser le montant total des virements frauduleux effectués depuis le compte-chèques de M. [Y], soit la somme de 16 000 euros.

C’est donc à tort que le tribunal judiciaire de Melun, en page 5 de son jugement, retient une négligence grave de M. [Y], au motif pris que, 'd’une façon ou d’une autre’ celui-ci aurait 'transmis ses identifiants et mot de passe pour l’accès à son espace personnel à une personne qui a ensuite pu s’introduire sur cet espace et générer un nom de bénéficiaire de virement, ce qui constitue de sa part une première faute. Cette faute aurait pu ne pas avoir de conséquence si elle n’avait pas engendré une seconde faute de M. [Y] qui a validé la demande d’ajout de bénéficiaire sans s’interroger sur l’opportunité de cette demande alors qu’il n’en était pas à l’origine (…). Il résulte de ce qui précède que c’est bien cette validation et partant la négligence grave qui est à l’origine des virements frauduleux, puisque sans cette validation, ces virements n’auraient pas eu lieu. Par ailleurs, l’adresse IP de l’ordinateur de M. [Y] permet de constater qu’il s’est connecté à son compte dès le 18 avril 2019, l’adresse IP du tiers auteur des virements étant différente de la sienne. Il n’a cependant informé la banque de ses doutes sur les virements que le 25 avril, ce qui ne permettait plus à la banque de récupérer les fonds'.

En effet, cette motivation est fortement critiquable dans la mesure où la société BNP Paribas ne rapporte en aucun cas la preuve de la transmission des identifiants et mot de passe de M. [Y] à un tiers, de nature à permettre l’accès à son espace personnel sécurisé. M. [Y] n’a jamais communiqué à quiconque ses numéros de comptes bancaires ni son mot de passe de connexion à son espace client. Or, il appartient à la banque de démontrer que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre (article L. 133-23 du code monétaire et financier) ou la négligence grave de M. [Y]. Depuis le début de cette affaire la banque n’apporte aucune réponse à la principale question que se pose M. [Y] : comment l’auteur des opérations frauduleuses a-t-il pu se procurer son identifiant et son mot de passe ' Mais encore : comment l’auteur des opérations frauduleuses a-t-il pu envoyer une demande de nouveau bénéficiaire sur la clé digitale de M. [Y] ' Pourquoi la banque n’a t’elle pas contacté son client, dont les comptes sont généralement bien approvisionnés, alors que ses comptes Livret A et Livret Développement Durable et Solidaire ont été quasi-intégralement vidés entre le 15 et le 17 avril 2019 '

Il ne suffit pas que l’utilisateur ait validé l’identité d’un nouveau bénéficiaire, présentant initialement le nom de sa mère, pour caractériser un manquement suffisamment grave de sa part. M. [Y] conteste également avoir ajouté le bénéficiaire à 12h41 et est certain d’avoir accepté le bénéficiaire au nom de sa mère vers 23 heures. Il nie fermement par ailleurs s’être connecté à son espace le 18 avril et le 22 avril 2019, auquel cas il aurait bien évidemment pris immédiatement contact avec sa banque.

Les relevés 'télématiques’ n’expliquent pas l’origine de ces man’uvres frauduleuses. La BNP Paribas n’indique pas si elle a procédé à des recherches concernant ces adresses, afin de retrouver l’auteur de ces man’uvres frauduleuses et ce d’autant qu’elle évoque une 'adresse IP habituelle’ de M. [Y]. Le manquement à son obligation de vigilance n’est que de plus fort démontré et la négligence grave de M. [Y] n’est pas caractérisée.

La société BNP Paribas expose en réponse, que pour se conformer aux exigences de l’article L. 133-23 du code monétaire et financier dans sa version en vigueur au 15 avril 2019, la banque doit être en mesure d’authentifier les opérations réalisées par ses clients. Pour satisfaire les exigences de l’article précité, les banques ont recours à des systèmes d’authentification, assurant des niveaux de sécurité plus ou moins élevés. Il existe pour ce faire plusieurs méthodes d’authentification qui varient selon les banques et les modes de paiements : l’envoi d’un code à usage unique par SMS sur le téléphone portable du client ; la mise à disposition de 'clés personnelles’ permettant d’utiliser, pour chaque opération, une combinaison différente de codes à partir d’une grille chiffrée ; la mise à disposition d’un boîtier électronique fourni au titulaire de carte.

L’article L. 133-16 du code monétaire et financier dans sa version en vigueur au 15 avril 2019 prévoit les obligations qui incombent à l’utilisateur d’un instrument de paiement : 'Dès qu’il reçoit un instrument de paiement, l’utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées. Il utilise l’instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation qui doivent être objectives non discriminatoires et proportionnées'. En outre, le client de la banque doit redoubler d’attention du fait de l’augmentation du nombre de fraudes pour ne pas divulguer à un tiers ses données confidentielles bancaires comme l’a rappelé le tribunal, et la banque comme l’ensemble des médias rappelle régulièrement les consignes de sécurité à respecter.

À défaut de respecter les obligations précitées, l’utilisateur du moyen de paiement est considéré comme ayant agi avec négligence grave et se voit alors contraint de supporter les pertes occasionnées par les opérations de paiement non autorisées, au sens de l’article L. 133-19 IV du code monétaire et financier.

En l’espèce, l’opération contestée par l’appelant réside en trois virements réalisés les 15, 16 et 17 avril 2019, à partir de son espace client en ligne avec son identifiant et mot de passe, par internet, vers un bénéficiaire préalablement ajouté et validé par M. [Y] au moyen de l’authentification forte via l’usage de sa clé digitale.

Lorsqu’un client entend réaliser une opération depuis son espace en ligne BNP Paribas sur son téléphone portable et ainsi mettre en 'uvre le système de clé digitale, le processus de validation d’une opération en ligne fonctionne de la manière suivante : lorsque l’IBAN d’un bénéficiaire de virement est ajouté, cette opération est associée au téléphone portable du client reconnu par le système ; une notification est alors envoyée sur son téléphone portable (préalablement identifié) l’invitant à valider cette demande d’opération, il reçoit alors un détail de l’opération en attente de création de bénéficiaire à valider. Le client doit donc vérifier l’identité du bénéficiaire, l’IBAN – et s’interroger sur sa création : s’il n’est est pas l’auteur et ne l’a pas initié, il ne doit pas la valider et au contraire l’annuler ; s’il est d’accord avec l’opération détaillée présentée, il doit alors cliquer sur 'valider', puis ensuite entrer le code confidentiel de sa clé digitale qu’il a lui-même créé et personnalisé [lors de l’activation de la clé digitale, soit le mot de passe utilisé pour ouvrir l’application 'M^es Comptes'. Il peut également vérifier à tout moment cet ajout de bénéficiaire sur son espace en ligne et en l’occurrence s’assurer de la régularité des opérations de virement que cet ajout supposait engendrer. Une fois ce code confidentiel composé, que le client est seul par définition à connaitre, l’opération initiée est validée. Autrement dit encore, par le système de la clé digitale, le client ne reçoit pas de SMS, mais une notification détaillée de l’opération à valider sur son téléphone : il doit alors s’interroger sur l’opération initiée, valider ou refuser l’opération au moyen de son téléphone portable (associé à son espace client) d’une part, et d’autre part, en composant un code secret qu’il a lui-même créé et qu’il est normalement le seul à connaître et qui est, par définition, unique.

En l’occurrence, ledit code secret était également connu de la mère de M. [Y] puisqu’il ne s’est pas inquiété de la création dudit bénéficiaire : 'Je suis le seul à avoir accès à mes comptes bancaires ainsi que ma mère'. Il déclare d’ailleurs que cette opération ne l’a pas interpellé puisqu’elle était libellée au nom de sa mère, qui était en Inde à ce moment-là. M. [Y] reconnait avoir pris connaissance de l’opération détaillée sur son téléphone, qu’il a acceptée de valider le 15 avril 2019 à 12h44, sans par ailleurs consulter sa mère, ni suivre les opérations sur son espace en ligne que ce 'bénéficiaire’ allait recevoir les 15 avril à 12h50, 16 avril à 00h23 et 17 avril à 00h48.

L’escroc s’est connecté sur l’espace client de M. [Y], ce qui signifie que d’une manière ou d’une autre, l’IBAN de l’escroc a été ajouté à l’espace bancaire de M. [Y] en raison de la divulgation préalable à un tiers de ses identifiants et mots de passe car à l’inverse, aucun virement n’aurait pu être réalisé à son profit. M. [Y] se garde bien d’exposer les éléments de contexte précédant l’opération litigieuse et qui a permis la fraude. En effet, l’escroc a pu intervenir sur le compte de M. [Y] car il disposait, préalablement à la création du bénéficiaire du virement, des informations (identifiant et mot de passe de connexion) confidentielles, indispensables et nécessaires pour accéder à son espace client et y introduire le bénéficiaire aujourd’hui contesté et le virement opéré. Il est d’ailleurs intéressant de rappeler que Mme [M] [Y] dispose des informations personnelles pour accéder à l’espace bancaire de son fils : 'Je suis le seul à avoir accès à mes comptes bancaires ainsi que ma mère'- plainte pénale.

Contrairement aux propos de l’appelant, l’ajout du bénéficiaire ne s’est pas fait à 23 h, mais à compter de 12h41.

Il est constant que les virements litigieux n’ont à la fin été réalisés au détriment de M. [Y] qu’en raison de sa seule et unique négligence. L’opération frauduleuse (i.e. l’ajout du bénéficiaire) a nécessité l’intervention de M. [Y] (ou celle de sa mère) à trois moments : en amont, lors de la récupération par l’escroc des données confidentielles du client : M. [Y] (ou sa mère) a consciemment ou inconsciemment (phishing ou tout autre man’uvre frauduleuse) communiqué ses informations de connexion ; puis, l’escroc s’est introduit en lieu et place du client avec les codes d’accès ainsi obtenus sur son espace client en ligne et a créé le bénéficiaire, opération qui est toutefois suspendue à une validation par téléphone mobile ; enfin, par la validation de l’ajout du bénéficiaire qui ne peut intervenir que par le client qui reçoit sur son téléphone une notification dont le texte ne laisse pas de doute sur l’opération à valider ou pas. Les relevés télématiques de BNP Paribas indiquent qu’après l’insertion du RIB frauduleux (i.e celui de '[M] [Y]' ainsi dénommé pour rassurer l’appelant), et ce point-là est capital, une demande de validation de l’ajout de ce bénéficiaire a été envoyée le 15 avril 2019 sur le téléphone mobile de M. [Y] qui a reçu un message affichant l’opération à valider ou à annuler s’il n’en était pas l’auteur : à 12h41, le RIB a été ajouté à la liste de confiance (opération 'CANALRIB’ par le fraudeur ; à 12h44, le RIB a été validé au moyen de la clé digitale (opération 'CANALVALID') par la validation à partir du téléphone mobile détenu par M. [Y] ; à 12h49, le nom du RIB a été changé de [M] [Y]' en '[F] [R] [S]' (opération 'CANALMODRIB') par le fraudeur. Autrement dit, la notification sollicitant la validation d’ajout de bénéficiaire est le deuxième dispositif de sécurité mis en place dans le cadre d’un virement. M. [Y] a confirmé en validant sur son téléphone l’ensemble des données affichées concernant l’opération libellée 'Ajout de bénéficiaire’acceptant ainsi l’ajout du nouveau bénéficiaire de virement dans sa liste de confiance. S’il n’était pas d’accord, il aurait dû annuler l’opération, et il n’y aurait pas eu de virement frauduleux.

Il pouvait également échanger avec sa mère pour vérifier l’opération et les montants de virements à intervenir, vérifier son espace en ligne et suivre les opérations à venir. La réalisation définitive de l’opération a bien été la validation du bénéficiaire, qui était affiché sur l’écran de son téléphone portable, par M. [Y] lui-même : sans cette validation aucun détournement n’aurait pu être opéré. Au cas présent, M. [Y] a fait l’aveu qu’il s’est interrogé sur les besoins en argent de sa mère alors que cette dernière était en Inde, mais curieusement il ne s’est pas rapproché d’elle pour comprendre pourquoi elle avait créé de son propre chef un bénéficiaire sur son compte ni les raisons des virements qu’elle pourrait réaliser. M. [Y] n’a pris aucune précaution et n’a du reste pas réagi après chacun des trois virements exécutés les 15, 16 et 17 avril 2019. Il aurait à tout le moins dû interroger sa mère sur la raison de cet ajout de bénéficiaire sur les débits à intervenir avant de valider la notification. Car sans la validation de cette notification, aucun virement n’aurait pu être fait au profit du RIB ainsi ajouté. L’appelant a donc commis une négligence grave et exclusive de son préjudice.

Autrement dit, le bénéficiaire du virement a pu être renseigné par l’escroc et validé sur l’application 'Mes comptes’ parce que M. [Y] a préalablement communiqué ses codes d’accès confidentiels puis a validé cette création avec une authentification forte, en l’espèce la clé digitale, au moyen d’une notification reçue sur son téléphone. La clé digitale de M. [Y] n’a par ailleurs pas été transférée sur un autre téléphone que celui de M. [Y], puisqu’il reconnaît cette validation. Le système informatique et la sécurité digitale de BNP Paribas n’ont assurément pas concouru à la fraude aujourd’hui déplorée par M. [Y]. Les virements litigieux ont été rendus possible car l’IBAN d’un bénéficiaire a été ajouté au moyen de la validation de la notification reçue sur le téléphone de M. [Y] et c’est cette seule action qui est en lien de causalité avec l’escroquerie dont il a été victime car sans cette validation aucun détournement n’aurait pu être opéré.

Enfin, il est à relever que le 18 avril (juste après la fraude) puis le 22 avril 2019, M. [Y] s’est connecté à son espace en ligne sans s’inquiéter du fait que trois virements avaient été précédemment ordonnés et n’a d’ailleurs informé la banque de ses doutes sur les opérations contestées que le 25 avril 2019. Si l’appelant s’était manifesté plus tôt, BNP Paribas aurait pu faire des demandes de retour de fonds ('recall') auprès de la banque bénéficiaire et tenter de limiter son préjudice quoique de telles demandes seraient restées à l’appréciation de la banque du bénéficiaire. L’inaction de M. [Y], durant les huit jours qui ont suivi, pour supprimer ce bénéficiaire et alerter son conseiller, alors qu’il était parfaitement informé de cette création comme il le déclare, caractérise sa négligence grave et son imprudence.

Il faut également rappeler que le banquier est tenu d’un devoir de non immixtion dans les

affaires de son client et la jurisprudence rappelle, de manière constante en la matière, que le banquier non seulement n’a aucune obligation de procéder à un suivi particulier en profondeur des comptes de ses clients, mais encore qu’il est au contraire tenu de s’abstenir

de toute immixtion dans la gestion des affaires de ces derniers. Il n’appartient pas au banquier de procéder à des investigations sur l’origine et l’importance des mouvements de compte de ses clients, il doit uniquement surveiller le fonctionnement régulier des comptes ouverts dans ses livres sans s’immiscer dans des opérations financières ou commerciales à l’origine des mouvements dont il assure l’exécution. En définitive, le banquier n’a pas à rechercher la motivation et la cause des opérations effectuées par ses clients, quel qu’en soit le montant, dès lors que le fonctionnement ne présente aucune anomalie apparente. Ainsi, le banquier, qui n’est tenu que de vérifier l’identité du donneur d’ordre et d’assurer l’exécution des ordres de virement si le compte est suffisamment provisionné, ne dispose d’aucun droit de regard sur les opérations en cause. En définitive, dès lors qu’aucune anomalie apparente n’affecte les virements litigieux, il n’est censé s’alarmer ni du montant de ces virements, le client ayant la libre disposition et la libre gestion de ses fonds, ni de leur destination, qui ne fait d’ailleurs que rarement l’objet d’une législation spécifique. Or, au cas d’espèce, les virements litigieux ne présentaient aucune anomalie matérielle ou intellectuelle flagrante qui aurait pu amener la banque à suspecter l’existence d’une potentielle fraude. C’est très exactement ce qu’a retenu le tribunal aux termes de son jugement : tous ces virements ont été réalisés et confirmés par M. [Y] depuis son espace personnel, BNP Paribas n’avait donc aucune raison de douter que le demandeur était pleinement conscient de ces opérations. En outre, la situation du compte permettait bien d’effectuer les opérations litigieuses, ce qui n’autorisait donc pas la banque à les refuser conformément à son obligation de non-immixtion : le compte de dépôt est resté créditeur malgré les trois virements effectués de sorte qu’il n’existait pas d’anomalie détectable comme l’aurait été un découvert non autorisé.

SUR CE

En vertu de l’article L. 133-19 IV du code monétaire et financier, le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17 ' l’article L. 133-16 du code monétaire et financier disposant que dès lors qu’il reçoit un instrument de paiement l’utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées.

Selon l’article L. 133-23 du code monétaire et financier, lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe à son prestataire de service de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée, et qu’elle n’a pas été affectée par une déficience technique ou autre. L’alinéa 2 de l’article L. 133-23 du code monétaire et financier prévoit que 'l’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière. Enfin, selon le dernier alinéa de l’article L. 133-23 du code monétaire et financier le prestataire de services de paiement fournit des éléments afin de prouver la fraude ou la négligence grave commise par l’utilisateur de services de paiement.

En l’espèce, si dans un premier temps l’ajout du bénéficiaire a été validé par M. [Y], il est constant que ce dernier n’a pas consenti à ce que les opérations qui ont suivi soient effectuées au profit d’une autre personne que Mme [M] [Y]. Les opérations litigieuses sont donc des opérations non autorisées au sens des articles précités.

M. [Y] affirme que la banque ne fait pas la démonstration de ce que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée, et qu’elle n’a pas été affectée par une déficience technique ou autre, alors que le tribunal, non sans pertinence, a retenu que la procédure d’authentification forte telle que mise en place par la banque ayant fonctionné pour la première phase de l’opération c’est à dire l’ajout d’un bénéficiaire, la société BNP Paribas prestataire de service de paiement établit à suffisance que le système n’était pas affecté d’une déficience technique.

Aussi, contrairement à ce que soutient M. [Y], la société BNP Paribas expose de manière cirsconstanciée le modus operandi de l’escroc qui a exploité non une insuffisance du système d’identification forte, mais en amont des opérations de paiement proprement dites antérieurement à la demande d’ajout de bénéficiaire, une ou plusieurs déficiences imputables à l’utilisateur de services de paiement. Elle explique également comment l’auteur de la fraude a pu effectuer un changement du nom de bénéficiaire via l’application M^es Comptes.

En effet, M. [Y] a commis une négligence dont le caractère de gravité résulte de la conjonction de deux imprudences, qui sont d’avoir donné à sa mère la possibilité d’accèder à ses comptes et à son espace personnel, dans des circonstances non précisées mais sans que le fait ne soit contesté par lui (qui en a fait état dans sa plainte pénale) puis la validation de l’ajout du bénéficiaire sans s’interroger et sans prendre la moindre précaution alors qu’ordinairement l’initiative d’une opération de cette nature émane du titulaire du compte lui-même et non d’un tiers. Contrairement à ce que prétend M. [Y], c’est bien la validation de la demande d’ajout de bénéficiaire qui par suite, en définitive, permettra à l’escroc de parvenir à ses fins.

Les opérations dénoncées par M. [Y] incontestablement s’analysant en opérations non autorisées, par conséquent seules sont applicables les dispositions du code monétaire et financier à l’exclusion du régime de responsabilité du droit commun.

Le jugement déféré est donc confirmé en ce que M. [Y] a été débouté de toutes ses demandes.

°°°°°°°

Sur les dépens et les frais irrépétibles

M. [Y], qui échoue dans ses demandes, supportera la charge des dépens et ne peut prétendre à aucune somme sur le fondement de l’article 700 du code de procédure civile. Par équité il n’y a pas lieu de faire droit à la demande adverse formulée sur ce même fondement tendant à l’octroi d’une indemnité procédurale supplémentaire au titre des frais irrépétibles engagés à hauteur d’appel.

PAR CES MOTIFS

La cour, statuant dans les limites de l’appel,

CONFIRME le jugement déféré en toutes ses dispositions ;

Et y ajoutant :

DÉBOUTE chacune des parties de sa demande formée sur le fondement de l’article 700 du code de procédure civile à raison des frais irrépétibles exposés en cause d’appel ;

CONDAMNE M. [D] [Y] aux entiers dépens d’appel.

*****

Le greffier Le président