Copies exécutoires RÉPUBLIQUE FRANÇAISE

délivrées aux parties le : AU NOM DU PEUPLE FRANÇAIS

COUR D’APPEL DE PARIS

Pôle 5 – Chambre 6

ARRÊT DU 15 OCTOBRE 2025

(n° , 9 pages)

Numéro d’inscription au répertoire général : N° RG 24/08303 – N° Portalis 35L7-V-B7I-CJL26

Décision déférée à la Cour : Jugement du 27 Mars 2024 – tribunal judiciaire de Paris 9ème chambre 2ème section – RG n° 23/05448

APPELANTE

Mme [R] [Z] divorcée [I]

née le [Date naissance 4] 1970 à [Localité 9]

[Adresse 5]

[Localité 7]

Représentée par M^e Frédérique ETEVENARD, avocat au barreau de Paris, toque : K0065

Ayant pour avocat plaidant M^e Erick ROYER, avocat au barreau de Paris, toque : C1732

INTIMÉE

S.A. BNP PARIBAS

[Adresse 3]

[Localité 6]

N°SIREN : 662 042 449

agissant poursuites et diligences de ses représentants légaux domiciliés en cette qualité audit siège

Représentée par M^e Dominique PENIN du PARTNERSHIPS MORGAN LEWIS & BOCKIUS UK LLP, avocat au barreau de Paris, toque : J11, avocat plaidant

COMPOSITION DE LA COUR :

En application des dispositions des articles 805 et 906 du code de procédure civile, l’affaire a été débattue le 04 septembre 2025, en audience publique, les avocats ne s’y étant pas opposés, devant Madame Pascale SAPPEY-GUESDON, conseillère, chargée du rapport.

Ce magistrat a rendu compte des plaidoiries dans le délibéré de la Cour, composée de :

M. Vincent BRAUD, président de chambre

M^me Pascale SAPPEY-GUESDON, conseillère

M^me Laurence CHAINTRON, conseillère

Greffier, lors des débats : M^me Yulia TREFILOVA

ARRET :

— contradictoire

— par mise à disposition de l’arrêt au greffe de la Cour, les parties en ayant été préalablement avisées dans les conditions prévues au deuxième alinéa de l’article 450 du code de procédure civile.

— signé parVincent BRAUD, président de chambre et par Mélanie THOMAS, greffier, présent lors de la mise à disposition.

* * * * *

PROCEDURE ET PRETENTIONS DES PARTIES

Par déclaration reçue au greffe de la cour le 24 avril 2024 Mme [R] [Z] (divorcée [I]) a interjeté appel d’un jugement rendu le 27 mars 2024 en ce que le tribunal judiciaire de Paris, saisi par voie d’assignation en date du 24 février 2023 délivrée à sa requête à la société BNP Paribas, l’a déboutée de ses demandes et condamnée aux dépens ainsi qu’au paiement d’une indemnité procédurale de 1 500 euros.

***

À l’issue de la procédure d’appel clôturée le 2 septembre 2025 les prétentions des parties s’exposent de la manière suivante.

Au dispositif de ses dernières conclusions, communiquées par voie électronique le 6 juin 2025, l’appelante

présente, en ces termes, ses demandes à la cour :

'Vu l’article 1937 du code civil,

Vu les articles L. 133-18, L. 133-19, L. 133-23 et L. 133-44 du code monétaire et financier,

Il est demandé à la Cour d’appel de céans :

INFIRMER le jugement rendu par le Tribunal judiciaire de Paris le 27 mars 2024 en ce qu’il :

— a débouté Mme [R] [Z] divorcée [I] de ses demandes,

— a condamné Mme [R] [Z] divorcée [I] aux dépens,

— a condamné Mme [R] [Z] divorcée [I] à payer à la SA BNP Paribas la somme de 1.500 euros sur le fondement de l’article 700 du code de procédure civile.

Et statuant à nouveau :

— CONDAMNER la BNP PARIBAS à rembourser à Madame [R] [I] la somme de 9.790,94 euros avec intérêt au taux légal à compter du 7 mars 2022 ;

— DEBOUTER la BNP PARIBAS de toutes ses demandes, fins et prétentions ;

— CONDAMNER la BNP PARIBAS à payer à Madame [R] [I] la somme de 20.000 € à titre de dommages et intérêts pour résistance abusive ;

— CONDAMNER la BNP PARIBAS à payer à Madame [R] [I] la somme de 7.000 euros au titre de l’article 700 du code de procédure civile outre les dépens.'

Au dispositif de ses dernières conclusions, communiquées par voie électronique le 13 juin 2025, l’intimé

présente, en ces termes, ses demandes à la cour :

'Il est demandé à la Cour de :

Confirmer en toutes ses dispositions le jugement rendu le 27 mars 2024 par le Tribunal judiciaire de Paris.

Y ajoutant, condamner Madame [Z] à verser à BNP Paribas la somme de 3.500 € au titre de l’article 700 du Code de procédure civile ainsi qu’aux entiers dépens d’appel.'

Par application des dispositions de l’article 455 du code de procédure civile, il est renvoyé, pour un plus ample exposé des prétentions et moyens des parties, à leurs conclusions précitées.

MOTIFS DE LA DECISION

Mme [R] [I] née [Z], titulaire d’un compte de dépôt dans les livres de la société BNP Paribas (au sein de laquelle elle est par ailleurs employée) explique avoir reçu le 3 mars 2022, alors qu’elle était en vacances, un appel d’une personne se présentant comme un collaborateur de BNP Paribas et se disant mandaté par le conseiller bancaire de Mme [Z], Mme [P], de l’agence BNP Paribas de [Localité 8]. Son interlocuteur exposant intervenir dans le cadre d’une action d’information sur le service Clé digitale, Mme [Z] a répondu qu’elle était en vacances et qu’elle reprendrait attache avec son conseiller à son retour. Néanmoins, le même jour, Mme [Z] a reçu également un SMS émanant d’une adresse générique BNP Paribas, en tout point comparable aux SMS de demande de validation d’authentification usuellement envoyés par BNP Paribas, auquel elle s’est abstenue de répondre, se gardant de cliquer sur le lien qui y était contenu.

Si Mme [Z] a bien reçu une notification générique par courriel le 3 mars 2022 relatif à l’enrôlement de sa clé digitale, elle n’a pu en prendre connaissance qu’à son retour de vacances, le 7 mars 2022, celui-ci ayant été adressé sur sa boite professionnelle,à laquelle elle n’avait pas accès pendant ses congés. Mme [Z] précise qu’elle n’a pas reçu de SMS doublant cette communication par voie de mail. Ainsi, c’est à l’occasion de la consultation de ses comptes bancaires, le lundi 7 mars 2022, via l’application en ligne BNP Paribas M^es Comptes, que Mme [Z] a constaté un débit à partir de sa carte Visa Premier, d’un montant de 4 709 euros. Mme [Z] a immédiatement fait opposition à sa carte bancaire, et l’a contesté via l’application en ligne.

Le 8 mars 2022 au matin, Mme [Z] a informé son conseiller BNP Paribas, Mme [P], de la fraude, du fait qu’elle avait fait opposition à sa carte, et lui a exposé les faits ; Mme [P] lui a indiqué qu’allait être remboursée des sommes prélevées, ce qui sera ultérieurement infirmé par la banque au motif que le paiement aurait été validé par un dispositif d’authentification forte, au moyen de la clé digitale.

Dans l’intervalle, le 9 mars 2022, Mme [Z] a constaté deux nouvelles opérations au débit de son compte, survenues les 6 et 7 mars 2022, qui n’étaient pas encore visibles le 7 mars au moment de mise en opposition de la carte bancaire. Mme [Z] formait donc une nouvelle réclamation suite à ces deux débits frauduleux, via l’application en ligne. La banque lui refusait le remboursement pour le même motif de l’authentification des opérations par clé digitale.

Les multiples démarches entreprises par Mme [Z] auprès de BNP Paribas en vue d’obtenir le remboursement des sommes débitées de son compte sont demeurées infructueuses.

Pour l’essentiel de son argumentation Mme [Z] affirme n’avoir validé aucune des opérations frauduleuses et n’avoir jamais communiqué à quiconque aucune information personnelle concernant ses données bancaires.

Quant aux faits, la société BNP Paribas entend souligner que le numéro que Mme [Z] dans sa plainte identifie comme étant le numéro qui l’a appelée (07 77 20 66 19) n’est pas un numéro de la banque ; que Mme [Z] est taisante quant aux évènements précédents qui ont conduit, probablement par hameçonnage, à la divulgation à un tiers de ses accès confidentiels à son espace en ligne, l’ensemble de ces informations transmises au fraudeur ayant concouru à la réalisation des opérations contestées. Il est constant que son numéro de téléphone est le [XXXXXXXX01] et c’est effectivement sur ce numéro et sur son téléphone qu’elle a reçu le 3 mars 2022 à 16h33, un SMS l’informant que si elle souhaitait activer l’enrôlement de la clé digitale sur un appareil de téléphone mobile, elle devait utiliser le lien mentionné dans le message reçu, et qu’en tout état de cause elle ne devait 'Jamais communiquer ce code'. L’activation de la clé digitale sur le nouvel appareil mobile à 16h33 a généré l’envoi d’un courriel à l’attention de Mme [Z], l’informant que si elle n’en était pas à l’origine elle devait contacter sa banque. À réception de ce courriel automatique reçu le jeudi 3 mars 2022 à 16h34, avertissant une nouvelle fois Mme [Z] de l’effet de ces validations, elle aurait dû immédiatement prendre contact avec son conseiller de clientèle ou téléphoner au 3477 puisqu’elle ne pouvait alors pas ignorer qu’elle n’avait pas activé sa clé digitale, ce qu’elle n’a manifestement pas fait. Après le transfert de la clé digitale sur un nouvel appareil de téléphone, force est de constater qu’à 16h34, le numéro de téléphone de Mme [Z] a été changé sur son espace en ligne, l’escroc disposant de ses accès confidentiels comme le confirme la pièce adverse n°23 de première instance et les traces informatiques de BNP Paribas : 'Votre numéro de mobile enregistré est le suivant : +33 ** ** ** 66 19. Vous recevrez sur ce numéro de mobile les codes de validation exigés lors de l’utilisation de certaines transactions sensibles en ligne'. Le fraudeur, déjà en possession des codes d’accès confidentiels à l’espace en ligne de Mme [Z] et fort de cet enrôlement sur un autre appareil téléphonique, disposait donc le 3 mars 2022 des codes d’accès et identifiant de Mme [Z] à son espace client pour authentifier des opérations bancaires, de la capacité de modifier le plafond de sa carte bancaire, et de valider, à partir de son propre appareil de téléphone par authentification forte les achats réalisés avec la carte bancaire de Mme [Z]. Le nouveau numéro de téléphone enregistré dans son espace en ligne permettait au fraudeur de recevoir d’autres SMS à éventuellement venir. Dit autrement, le fraudeur a ainsi détourné l’ensemble des moyens de paiement de Mme [Z] ainsi que ses moyens d’authentification forte. Ce n’est que quatre jours plus tard, le 7 mars 2022, que Mme [Z] s’est rendu compte d’un débit non autorisé et a fait opposition à sa carte bancaire via l’application en ligne puis le 8 mars 2022, a informé son conseiller bancaire de la fraude.

La société BNP Paribas fait observer que le coup de téléphone de l’escroc le 3 mars 2022 a été nécessaire pour i) obtenir les informations confidentielles de connexion à son espace en ligne et ii) obtenir le code reçu par SMS sur le numéro de Mme [Z] pour permettre de finaliser l’enrôlement de la clé digitale sur un autre téléphone mobile que le sien. Si l’escroc avait pu opérer des opérations sur son espace sécurisé comme le prétend Mme [Z], il n’aurait pas eu besoin de l’appeler pour obtenir les éléments indispensables à la captation de ces moyens de validation. Mme [Z] a reconnu ensuite avoir reçu un SMS le 3 mars 2022 l’invitant à utiliser un code unique pour permettre le déploiement de la clé digitale sur un nouvel appareil de téléphone portable et en l’occurrence ce lien a été utilisé sur un appareil de téléphone qui n’était pas le sien. Ce SMS est bien la preuve que l’appel du fraudeur était nécessaire à l’escroc pour obtenir de Mme [Z] des informations confidentielles de sa part.

Sur ce

1) Sur le remboursement des sommes dues

L’article L. 133-19 IV du code monétaire et financier dispose que le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17 du même code.

— L’article L. 133-16 du code monétaire et financier dispose : 'Dès qu’il reçoit un moyen de paiement, l’utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées. Il utilise l’instrument de paiement conformément aux conditions régisssant sa délivrance et son utilisation qui doivent être objectives, non discriminatoires et proportionnées'.

— L’article L. 133-17 du même code prévoit que : 'Lorsqu’il a connaissance de la perte, du vol, du détournement ou de toute utilisation non autorisée de son instrument de paiement ou des données qui lui sont liées, l’utilisateur de services de paiement en informe sans tarder, aux fins de blocage de l’instrument, son prestataire ou l’entité désignée par celui-ci'.

Aussi, en cas d’opération de paiement non autorisée, réalisée au moyen d’un instrument de paiement doté de données de sécurité personnalisées, et signalée par l’utilisateur dans les conditions prévues à l’article L. 133-24 du code monétaire et financier, le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée, sauf si la responsabilité du payeur est engagée en application de l’article L. 133-19 du même code.

En l’espèce il résulte des explications des parties, concordantes sur ce point, qu’a bien été utilisé un tel dispositif, pour la réalisation des opérations à distance que Mme [Z] entend contester, pour ne pas y avoir consenti.

En vertu de l’article L. 133-23 du code monétaire et financier, lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe à son prestataire de service de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée, et qu’elle n’a pas été affectée par une déficience technique ou autre.

Le tribunal a écrit qu’il résulte du relevé des traces informatiques produit par la banque que le 3 mars 2022 à 16h30, une personne s’est connectée à l’espace en ligne de Mme [Z] depuis l’adresse IP 93.22.149.41 et a effectué une demande d’enrôlement 'Clé digitale’ sur un nouvel appareil, qui a été validée à 16h34 après envoi sur le téléphone mobile de la demanderesse d’un SMS contenant le message 'BNP Paribas, NE JAMAIS COMMUNIQUER CE CODE – Activez la Clé Digitale en cliquant : 'mescomptes://activation/922190@89 – Un doute ' Contactez-nous', permettant ensuite l’enrôlement d’un nouvel appareil mobile ([XXXXXXXX02]) qu’utilisera le fraudeur pour autoriser les opérations litigieuses à l’insu de la demanderesse au moyen de la clé digitale selon la procédure d’authentification forte mise en place par l’établissement. La banque rapporte dès lors la preuve que les opérations litigieuses ont été réalisées en suivant la procédure d’authentification forte'.

Mme [Z] en cause d’appel fait valoir, au visa de l’article 1937 du code civil, mais aussi de l’article L. 133-23 du code monétaire et financier précité, qu’il incombe à la banque de prouver la bonne exécution de son obligation d’authentification des opérations litigieuses (Cass., com., 20 novembre 2024, 23-15.099) et de rapporter la preuve que l’utilisateur qui nie avoir autorisé une opération de paiement a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence grave, à ses obligations, cette preuve ne pouvant se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés. Mme [Z] souligne qu’à l’époque des faits BNP Paribas n’adressait pas de demande de double validation via SMS pour l’activation du service clef digitale, et la substitution du numéro de téléphone mobile dans l’application sans que Mme [Z] ne reçoive d’alerte, ni courriel ni SMS, demandant si elle était bien à l’origine de ce changement, prouve que le fraudeur a pu entrer sur le site de BNP Paribas et effectuer un changement majeur au coeur des systèmes de paiement de BNP Paribas, qui a permis ensuite au fraudeur de valider des paiements sur le nouveau numéro qu’il avait renseigné, faiblesse de sécurité majeure dont Mme [Z] ne peut être tenue responsable. En l’espèce, Mme [Z] n’a jamais communiqué une quelconque information confidentielle, les failles de sécurité de la BNP Paribas à l’époque sont notoires et celle-ci est d’ailleurs taisante sur le point de savoir comment la personne qui a appelé connaissait le numéro de téléphone portable, l’adresse électronique de Mme [Z], le numéro de carte bancaire et le nom de son conseiller, Mme [P], et la localisation de son agence BNP teneur du compte, ce d’autant qu’aucun des documents évoqués par le tribunal ne réunit en une fois les informations telles que le nom du conseiller, le numéro de portable de la cliente, le numéro de carte bancaire, l’adresse électronique. De plus, BNP Paribas est également taisante sur le fait que la fraude a été possible dès la première étape de l’accès à l’application en ligne, ce qui révèle la faiblesse des dispositifs des protocoles de sécurité de BNP Paribas.

La banque intimée produit au débat une pièce numérotée 11 qui n’est pas commentée par Mme [Z], est suffisamment précise et détaillée, à l’examen de laquelle il n’est pas relevé d’incohérence, et qui permet de considérer que preuve est rapportée de ce que les opérations que conteste Mme [Z] ont été authentifiées, dûment enregistrées et comptabilisées, et qu’elle n’ont pas été affectée par une déficience technique ou autre.

Pour autant, selon le dernier alinéa de l’article L. 133-23 du code monétaire et financier, le prestataire de services de paiement après avoir rapporté cette preuve, pour échapper à son obligation de remboursement doit fournir des éléments afin de prouver la fraude ou la négligence grave commise par l’utilisateur de services de paiement.

Le tribunal a retenu la caractérisation d’une 'négligence grave’ au sens de l’article L. 133-19 IV du code monétaire et financier en ce que 'd’une façon ou d’une autre, même si elle le conteste, Mme [Z] a transmis ses identifiant et mot de passe pour l’accès à son espace personnel au fraudeur qui par la suite a pu depuis cet espace demander l’enrôlement d’un nouvel appareil qui a été validé au moyen des éléments contenus dans le SMS que Mme [Z] ne conteste pas avoir reçu le 3 mars 2022, opération qui a nécessairement rendu inefficace le système d’authentification forte mis en place par la banque et qui explique que par la suite Mme [Z] n’a plus été destinataire des demandes d’autorisation qu’elle conteste avoir validées'.

S’agissant des négligences susceptibles d’être reprochées à Mme [Z], la société BNP Paribas, avec pertinence, relève que :

* Mme [Z] n’a pas jugé utile de prendre contact avec son conseiller de clientèle le 3 mars 2022 et, partant, a accepté de communiquer le code permettant d’enrôler sur un nouvel appareil téléphonique le système d’authentification forte sans opérer la moindre vérification à l’aide de ses canaux habituels de consultation et de contact de BNP Paribas, ce qu’a relevé le tribunal : 'Si Mme [Z] affirme n’avoir ni cliqué sur le lien contenu dans le SMS ni communiqué le code qu’il contenait, l’absence de toute diligence auprès de son agence pour effectuer des vérifications, alors que la réception d’un SMS qu’elle estimait frauduleux, couplé à un appel téléphonique, rendait plus que probable une tentative d’escroquerie, interroge sur la réalité de ses soupçons au moment des faits'. De ce fait Mme [Z] a manqué à son obligation de préservation de la sécurité de ses données de sécurité personnalisées, comprenant nécessairement la préservation de la confidentialité des

codes d’activation ou validation qui lui sont adressés et qui est rappelée dans chaque envoi. Ce manquement caractérise une négligence grave en ce qu’il a permis l’enrôlement de l’appareil qui a servi par la suite aux opérations frauduleuses ;

* Mme [Z] n’a pas non plus songé à vérifier si son interlocuteur appelait bien de la part de sa conseillère, pas plus qu’elle n’a contrôlé ensuite les opérations engendrées par les messages reçus de sa banque ;

* Mme [Z] a tardé à réagir, alors même qu’elle s’est connectée à son espace en ligne à partir de son adresse IP habituelle (90.3.37.140) le 7 mars 2022 à 9h17, faisant opposition le 7 mars 2022 à 22h55. Si elle avait été diligente le 7 mars 2022 au matin, le dernier achat litigieux, réalisé pour un montant de 3 231,94 euros le 7 mars 2022 à 12h43, aurait pu être évité, comme l’a relevé le tribunal.

Ainsi, selon la société BNP Paribas, dont le raisonnement ne peut qu’être approuvé, l’intervention nécessaire de Mme [Z] pour permettre le transfert de la clé digitale sur le mobile du fraudeur, et le défaut d’attention et de réaction de Mme [Z] aux messages et alertes de la banque, ont permis l’enrôlement de la clé digitale sur le mobile de l’escroc, son changement de numéro de téléphone et l’augmentation de son débit carte bancaire. Si Mme [Z] n’avait pas permis l’enrôlement de la clé digitale sur un autre téléphone que le sien, l’escroc n’aurait pu valider aucun achat à l’aide de son téléphone.

Il peut y être ajouté en relevant que Mme [Z] prétend qu’elle n’a pas accédé au SMS qu’elle a reçu le 3 mars, alors que selon ses propres déclarations il apparaissait conforme aux notifications émanant de BNP Paribas, ce qu’elle est à même de relever sans erreur compte tenu de ses activités professionnelles au sein de cette banque, et qui aurait dû éveiller son attention, eu égard au fait qu’elle venait de recevoir un appel téléphonique qu’elle avait choisi d’écourter, et qu’elle n’avait, à l’en croire, effectué aucune opération. À retenir sa version des faits, selon laquelle elle s’est abstenue de toute intervention, force est de constater que procédant ainsi Mme [Z], qui ne conteste pas le contenu du message tel que la banque le relate dans ses écritures, pour le moins s’est privée d’une chance de découvrir la fraude qui était en train de se commettre à ses dépens.

En outre, abstraction faite du fait que Mme [Z] à l’encontre de toute logique conteste absolument avoir effectué une quelconque opération de nature à permettre à un tiers d’accéder à son espace personnel, pour le moins, elle s’est abstenue de réagir dès sa réception le 3 mars 2022 au courriel qui a été envoyé à son adresse professionnelle, celle-la même qu’elle avait communiquée pour recevoir les informations et alertes en provenance de son établissement bancaire, et dont elle était tenue de vérifier l’activité, ce qui constitue une faute de sa part, son incapacité momentanée d’y accèder n’étant pas le fait de BNP Paribas.

Ainsi est caractérisée la négligence grave au sens de l’article précité, Mme [Z] par son attitude d’abstention n’ayant pas assuré la protection des données personnelles dont elle avait la garde.

2) Sur le devoir de vigilance de la banque et la demande de dommages et intérêts pour résistance abusive

— Mme [Z] soutient par ailleurs que, en vertu de l’article L. 561-6 du code monétaire et financier, le teneur du compte a une obligation légale de vigilance et de s’informer auprès de son client pour les opérations qui lui apparaissent comme inhabituelles en raison notamment de leur montant, de leurs modalités ou de leur caractère exceptionnel au regard de celles traitées précédemment. Ce point a été soulignée par Mme [Z] dans son courrier du 14 avril 2022 (…). La banque est également taisante sur le fait que Mme [Z] l’a prévenue dès le 7 mars laissant passer deux paiements supplémentaires. Au surplus, l’opération relative à la somme de 1 850 euros était en USD alors que la demanderesse n’effectue pas d’opérations dans cette devise. Le libellé de cette opération mentionnait également 'CRO', sigle pour Cryptomonnaie. Enfin, la quatrième opération avait un libellé mentionnant 'Malte'. L’aspect atypique des paiements aurait dû nécessairement alerter la banque. Elle est enfin taisante sur le montant et le caractère anormal des opérations qui auraient attiré l’attention d’un banquier diligent. De plus fort, la banque a engagé sa responsabilité.

Mme [Z] relève aussi que la banque a été particulièrement inerte au moment et postérieurement à la fraude. Bien que Mme [Z] ait fait opposition à sa carte le 7 mars 2022 et informé sa conseillère dès le 8 mars 2022 au matin, elle n’a reçu, suite à cela, aucun conseil de BNP Paribas relatif à la procédure à suivre, seulement une réponse négative standardisée datée du 10 mars 2022. Mme [Z] a contacté sa conseillère à nouveau le 15 mars sans obtenir plus de conseils. C’est suite à cet échange infructueux qu’elle a décidé de désactiver la clé (qui avait été activée à son insu par le fraudeur) et de clôturer son application bancaire. C’est aussi elle qui a identifié le changement de numéro de mobile dans l’application tandis que BNP Paribas ne l’avait pas avertie de ce changement malgré ses obligations. La banque a failli dans son devoir de conseil et de protection.

— La société BNP Paribas répond que concernant le devoir de vigilance et le régime de responsabilité du prestataire de services de paiement en raison d’une opération de paiement non autorisée ou mal exécutée, les articles L. 133-18 à L. 133-24 du code monétaire et financier sont seuls applicables, à l’exclusion de tout autre fondement. En tout état de cause, BNP Paribas n’avait aucune obligation à respecter tenant à s’enquérir des achats réalisés depuis le compte bancaire de Mme [Z]. Simple teneur de compte, elle a convenablement exécuté les opérations ordonnées par sa cliente et, en conséquence, l’on ne saurait aujourd’hui lui reprocher un quelconque manquement au sujet de son obligation générale de vigilance, qui est un tempérament à son devoir de non-immixtion dans les affaires de son client, et ne saurait toutefois faire naître à la charge du banquier une obligation de vérification scrupuleuse de chaque achat ou virement réalisé à l’initiative de ses clients, et a fortiori un droit de contrôle des motifs des opérations qui lui sont transmises, dès lors que le fonctionnement ne présente aucune anomalie. En l’espèce, le plafond de paiement permettait les achats litigieux, de sorte qu’ils n’étaient affectés d’aucune anomalie apparente qui auraient dû alerter la banque.

Sur ce

L’action indemnitaire de Mme [Z] au vu de la teneur de son exposé est fondée sur le régime de responsabilité des prestataires de services de paiement et, concomitamment, sur le régime de responsabilité de droit commun.

Or, le régime de responsabilité des prestataires de services de paiement issu des articles L. 133-1 et suivants du code monétaire et financier ne prévoit que la possibilité d’un remboursement par le prestataire, dans le cadre de l’article L. 133-18 de ce code.

En droit, il est désormais acquis que ce régime spécial est exclusif de toute autre forme d’indemnisation. Par conséquent, Mme [Z] ne peut solliciter, en sus du remboursement des opérations litigieuses, l’octroi d’une somme à titre de dommages et intérêts en raison du caractère autonome et exclusif du régime de responsabilité des prestataires de services de paiement du fait des opérations de paiement non autorisées.

Sa demande à ce titre ne peut donc qu’être rejetée.

°°°°°

Sur les dépens et les frais irrépétibles

Mme [Z], qui échoue dans ses demandes, supportera la charge des dépens et ne peut prétendre à aucune somme sur le fondement de l’article 700 du code de procédure civile. En revanche pour des raisons tenant à l’équité il y a lieu de faire droit à la demande de la société BNP Paribas formulée sur ce même fondement, mais uniquement dans la limite de la somme de 2 500 euros.

PAR CES MOTIFS

La cour, statuant dans les limites de l’appel,

CONFIRME le jugement déféré en toutes ses dispositions ;

Et y ajoutant :

DÉBOUTE Mme [R] [Z] du surplus de ses demandes ;

CONDAMNE Mme [R] [Z] à payer à la société BNP Paribas la somme de 2 500 euros en application des dispositions de l’article 700 du code de procédure civile à raison des frais irrépétibles exposés en cause d’appel ;

DÉBOUTE Mme [R] [Z] de sa propre demande formulée sur ce même fondement ;

CONDAMNE Mme [R] [Z] aux entiers dépens d’appel.

*****

Le greffier Le président