Cour d'appel de Paris, Pôle 5 chambre 6, 29 octobre 2025, n° 24/07573

Autour de la décision
- Arguments
  Nouveau
- Doctrine IA
- Commentaires
  0

Texte intégral
- COUR D'APPEL DE PARIS
- Parties
- Composition de la Cour
- PROCEDURE ET PRETENTIONS DES PARTIES
- Faits
- Motifs de la décision
- Motifs de la décision
- 1) Sur le principe du remboursement des sommes dues, sur le fondement des disp...
- Motifs de la décision
- Motifs de la décision
- 2) Sur le montant du remboursement sur le fondement des dispositions de l'arti...
- 3) Sur le manquement de la banque à son devoir de vigilance
- Motifs de la décision
- Sur les dépens et les frais irrépétibles
- Dispositif

Décisions similaires
- Citées dans les mêmes commentaires
- Citant les mêmes articles de loi
- De référence sur les mêmes thèmes
- Sur les mêmes thèmes

TJ Paris 3 avril 2024

CA Paris
Confirmation 29 octobre 2025

Arguments

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Signaler une erreur.

Rejeté
Absence de négligence dans les opérations frauduleuses
La cour a estimé que les appelants avaient commis une négligence grave en validant les opérations frauduleuses au moyen de leur clé digitale, ce qui les prive de la possibilité de faire supporter les pertes à la banque.
Rejeté
Manquement de la banque à son devoir de vigilance
La cour a jugé que la banque avait respecté ses obligations de vigilance et que les appelants ne pouvaient pas demander des dommages et intérêts en raison de la nature exclusive du régime de responsabilité des prestataires de services de paiement.

Résumé par Doctrine IA

Dans cette décision de la Cour d'appel de Paris du 29 octobre 2025, M. et Mme [B] ont interjeté appel d'un jugement du tribunal judiciaire de Paris qui les avait déboutés de leurs demandes contre BNP Paribas, les condamnant aux dépens. Les appelants contestaient la responsabilité de la banque dans des opérations frauduleuses sur leur compte, arguant qu'ils n'avaient pas validé ces transactions. Le tribunal de première instance avait retenu que M. [B] avait commis une négligence grave en validant les opérations via sa clé digitale, ce qui a conduit à la confirmation de la responsabilité de la banque. La Cour d'appel a confirmé ce jugement, considérant que M. [B] avait effectivement validé les transactions et n'avait pas pris les mesures nécessaires pour protéger ses données, rejetant ainsi toutes les demandes des appelants.

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Commentaire • 0

Augmentez la visibilité de votre blog juridique : vos commentaires d’arrêts peuvent très simplement apparaitre sur toutes les décisions concernées.

Sur la décision

Référence :	CA Paris, pôle 5 ch. 6, 29 oct. 2025, n° 24/07573
Juridiction :	Cour d'appel de Paris
Numéro(s) :	24/07573
Importance :	Inédit
Décision précédente :	Tribunal de grande instance de Paris, 3 avril 2024, N° 22/13778
Dispositif :	Autre
Date de dernière mise à jour :	7 novembre 2025
Lire la décision sur le site de la juridiction

Sur les parties

Avocat(s) :	François-Genêt KIENERPhilippe METAIS
Cabinet(s) :	PARRINELLO VILAIN ET KIENERBRYAN CAVE LEIGHTON PAISNER (FRANCE) LLP
Parties :	S.A. BNP PARIBAS

Texte intégral

Copies exécutoires RÉPUBLIQUE FRANÇAISE

délivrées aux parties le : AU NOM DU PEUPLE FRANÇAIS

COUR D’APPEL DE PARIS

Pôle 5 – Chambre 6

ARRÊT DU 29 OCTOBRE 2025

(n° , 14 pages)

Numéro d’inscription au répertoire général : N° RG 24/07573 – N° Portalis 35L7-V-B7I-CJJ2L

Décision déférée à la Cour : Jugement du 03 Avril 2024 – tribunal judiciaire de Paris 9ème chambre 2ème section – RG n° 22/13778

APPELANTS

M. [X] [B]

né le [Date naissance 2] 1979 à [Localité 7]

[Adresse 1]

[Localité 6]

Mme [O] [J] épouse [B]

née le [Date naissance 4] 1981 à [Localité 7]

[Adresse 1]

[Localité 6]

Représentés par M^e François-Genêt KIENER de l’AARPI PARRINELLO VILAIN & KIENER, avocat au barreau de Paris, toque : R098, avocat plaidant

INTIMÉE

S.A. BNP PARIBAS

[Adresse 3]

[Localité 5]

N°SIREN : 662 042 449

agissant poursuites et diligences de son représentant légal domicilié en cette qualité audit siège

Représentée par M^e Philippe METAIS du PARTNERSHIPS BRYAN CAVE LEIGHTON PAISNER LLP, avocat au barreau de Paris, toque : R030, avocat plaidant

COMPOSITION DE LA COUR :

En application des dispositions des articles 805 et 907 du code de procédure civile, l’affaire a été débattue le 04 septembre 2025, en audience publique, les avocats ne s’y étant pas opposés, devant Madame Pascale SAPPEY-GUESDON, conseillère, entendue en son rapport.

Ce magistrat a rendu compte des plaidoiries dans le délibéré de la Cour, composée de :

M. Vincent BRAUD, président de chambre

M^me Pascale SAPPEY-GUESDON, conseillère

M^me Laurence CHAINTRON, conseillère

Greffier, lors des débats : M^me Yulia TREFILOVA

ARRET :

— contradictoire

— par mise à disposition de l’arrêt au greffe de la Cour, les parties en ayant été préalablement avisées dans les conditions prévues au deuxième alinéa de l’article 450 du code de procédure civile.

— signé parVincent BRAUD, président de chambre et par Mélanie THOMAS, greffier, présent lors de la mise à disposition.

* * * * *

PROCEDURE ET PRETENTIONS DES PARTIES

Par déclaration reçue au greffe de la cour le 16 avril 2024, M. [X] [B] et Mme [O] [J], son épouse, ont ensemble interjeté appel d’un jugement rendu le 3 avril 2024 en ce que le tribunal judiciaire de Paris, saisi par voie d’assignation datée du 18 novembre 2022 délivrée à leur requête à la société BNP Paribas, les a déboutés de leurs demandes, et les a condamnés in solidum aux dépens ainsi qu’au paiement de la somme de 1 500 euros sur le fondement de l’article 700 du code de procédure civile.

***

À l’issue de la procédure d’appel clôturée le 10 juin 2025 les prétentions des parties s’exposent de la manière suivante.

Au dispositif de leurs dernières conclusions, communiquées par voie électronique le 5 juin 2025, les appelants

présentent, en ces termes, leurs demandes à la cour :

'Vu les articles L. 133-16 et suivants du code monétaire et financier,

Il est demandé à la Cour de céans de :

Infirmer la décision dont appel en toutes ses dispositions, statuant à nouveau :

— JUGER que Monsieur [X] [B] n’a fait preuve d’aucune négligence dans le cadre des opérations frauduleuses ayant été commises à son préjudice le 4 mai 2021 ;

— CONDAMNER la société BNP PARIBAS à payer à Monsieur [X] [B] et Madame [O] [J] épouse [B] une somme de 17.848 € à titre de remboursement des opérations frauduleuses ayant été commises à leur préjudice le 4 mai 2021, à parfaire des intérêts au taux légal majoré de 5 points à compter du 4 juin 2021, puis au taux légal majoré de 10 points à compter du 10 juin 2021, puis au taux légal majoré de 15 points à compter du 4 juillet 2021 ;

— CONDAMNER la société BNP PARIBAS à payer à Monsieur [X] [B] et à Madame [O] [J] épouse [B] une somme de 5.000 € au titre du préjudice financier et moral ;

— ORDONNER la capitalisation des intérêts ;

— CONDAMNER la société BNP PARIBAS à payer à Monsieur [X] [B] et à Madame [O] [J] épouse [B] une somme de 5.000 € au titre de l’article 700 du code de procédure civile,

— CONDAMNER la société BNP PARIBAS aux entiers dépens de l’instance.'

Au dispositif de ses dernières conclusions, communiquées par voie électronique le 5 juin 2025, l’intimé

présente, en ces termes, ses demandes à la cour :

'Vu les articles L. 133-4, L. 133-16 et suivants, L. 133-44 du Code monétaire et financier ;

Vu les Directives (CE) 2007/64/CE du 13 novembre 2007 ('DSP 1') et la Directive (UE) 2015/366 du Parlement européen et du Conseil du 25 novembre 2015 ('DSP 2') concernant les services de paiement dans le marché intérieur ;

Vu les articles 696 et 700 du Code de procédure civile ;

Vu le jugement rendu par la 9ème Chambre, 2ème Section du Tribunal judiciaire de Paris le 3 avril 2024 (RG n°22/13778) ;

Il est demandé à la Cour d’appel de Paris de :

Confirmer le jugement rendu par le Tribunal judiciaire de Paris le 3 avril 2024 (RG n°22/13778) en toutes ses dispositions ;

Y ajoutant,

— Débouter Monsieur et Madame [B] de l’intégralité de leurs demandes, fins et conclusions à l’encontre de BNP Paribas ;

— Débouter Monsieur et Madame [B] de leur demande au titre de l’article 700 du Code de procédure civile ;

— Condamner in solidum Monsieur et Madame [B] à verser à BNP Paribas la somme de 5.000 euros au titre de l’article 700 du Code de procédure civile ainsi qu’aux entiers dépens'.

Par application des dispositions de l’article 455 du code de procédure civile, il est renvoyé, pour un plus ample exposé des prétentions et moyens des parties, à leurs conclusions précitées.

MOTIFS DE LA DECISION

M. [X] [B] explique avoir été appelé sur son téléphone portable, le 4 mai 2021, par un soi-disant agent du 'Service des Cartes Bancaires’ qui l’a conduit à faire diverses démarches pour contester des opérations prétendument frauduleuses venant juste d’être commises.

Or, postérieurement à cette intervention, ont été aussitôt effectuées cinq opérations par le moyen de la carte bancaire de M. [B] et de la clé digitale associée, reliée au compte joint dont il est cotitulaire avec son épouse, pour un montant total de 17 848 euros (soit trois transactions de 4 000 euros chacune au bénéfice de 'Gucci’ et une de 2 538 euros au bénéfice de 'Boulanger') que M. [B] a contestées, par lettres des 5 et 6 mai 2021. En effet, M. [B] assure qu’il n’a procédé à aucune validation, relève que les adresses IP pour se connecter aux sites marchands n’apparaissent pas sur le document produit par la banque, et considère que seule l’existence d’une faille du système qu’elle avait mis en place peut expliquer que l’escroc ait pu subtiliser ses données et usurper le numéro de téléphone de BNP Paribas. M. [B] ajoute que la banque a manqué de vigilance en ce qu’elle n’a pas été suffisamment réactive, sept opérations ayant été effectuées en quinze minutes, sans qu’elle intervienne.

MMme [B] à hauteur d’appel à l’instar de ce qu’ils ont soutenu dans leurs développements en première instance, concluent sur le fondement du code monétaire et financier en précisant que le régime spécial qu’il institue est exclusif du droit commun, ce que ne conteste d’ailleurs pas la société BNP Paribas.

Celle-ci soutient que les opérations n’ont été possibles que parce que M. [B] a mis en échec le système d’authentification forte institué par la banque et a commis de nombreuses négligences revêtant un caractère de gravité au sens de l’article L. 133-16 du code monétaire et financier, en particulier en ce qu’il n’a procédé à aucune vérification, et que notamment il n’a pas pris soin de contacter son conseiller, ce qui aurait permis de limiter son préjudice.

Le premier juge a relevé qu’il s’agissait de 'spoofing', et a aussi estimé qu’il s’agissait d’opérations non autorisées, M. [B] en se fiant aux consignes données par son interlocuteur pensant invalider les opérations présentées comme frauduleuses, et non les valider. Il a ensuite retenu que M. [B] s’était montré imprudent, en ne prenant pas la précaution de rappeler le service et en validant les messages authentiques ensuite reçus de sa banque, qu’il ne pouvait prendre pour des ordres d’annulation, la clé digitale ne le permettant pas, ce qui constitue une négligence grave au sens de l’article L. 133-19 du code monétaire et financier. Enfin, le tribunal a relevé que la banque, qui a été suffisamment réactive, n’a pas commis de faute.

MMme [B] critiquent le jugement déféré en ce que le tribunal s’est contredit en jugeant que : 'considérant l’absence de démonstration de la déficience du système de la banque, l’usage des données de la carte bancaire de M. [B] par le fraudeur pour initier les opérations de paiement ensuite validées par le demandeur, ne saurait, sans élément probant être imputé à la banque’ – cela même si M. [B] a fait l’objet d’une escroquerie de type 'fishing’ – et en jugeant ensuite que M. [B] n’aurait pas satisfait à ses obligations issues des articles L. 133-16 et L. 133-17 du code monétaire et financier, commettant ainsi 'une négligence grave au sens de l’article L. 133-19 du même code qui le prive de la possibilité de faire supporter par la banque les pertes occasionnées par les opérations de paiement non autorisées qu’il a lui-même validées'.

La société BNP Paribas postule que M. [B] a validé, sur les instructions du fraudeur, les opérations litigieuses, puisqu’il a utilisé sa clé digitale, dont usuellement il maitrisait parfaitement le fonctionnement ; partant, il ne pouvait se méprendre, et voir dans les opérations effectuées, des opérations d’annulation. La réalisation des opérations frauduleuses a nécessité la connaissance préalable et la saisie sur les sites marchands, par le fraudeur, des données relatives à la carte bancaire de M. [B], dont lui seul avait connaissance et dont la garde lui incombait pleinement. Bien que ce dernier ne fournisse aucune explication quant à la façon dont le fraudeur a obtenu ces données, il est avéré que le fraudeur en a eu connaissance, soit parce que M. [B] les a renseignées sur un site internet frauduleux préalablement à la fraude, soit par leur divulgation par l’appelant lui-même au cours de leur conversation téléphonique, à savoir la 'phase d’identification’ qu’il évoque. C’est en ce sens que le jugement a retenu que 'M. [B] qui est supposé être le seul détenteur des informations confidentielles relatives à son instrument de paiement, a fait l’objet d’une escroquerie selon la technique dite de 'fishing’ consistant à amener la victime au cours d’un appel téléphonique à divulguer des données confidentielles'. Ainsi, si les cinq opérations frauduleuses ont pu être effectuées, c’est uniquement parce que M. [B] a communiqué au fraudeur les données relatives à sa carte bancaire et a suivi les instructions de celui-ci en validant, au moyen de sa clé digitale, chacune des opérations de paiement initiée par le fraudeur. L’intimé entend préciser que le même jour à 21h29, la banque a pris attache avec M. [B] afin d’effectuer des vérifications complémentaires s’agissant de ces cinq opérations de paiement, ce que le tribunal a justement rappelé : BNP Paribas 'a contacté M. [B] le soir même de la fraude, moins de deux heures après la validation des opérations, pour effectuer des vérifications nonobstant l’authenticité conférée à celles-ci par l’usage de la clé digitale, faisant preuve d’un temps de réaction très court qui a permis d’éviter la réitération des premières opérations'.

Sur ce

1) Sur le principe du remboursement des sommes dues, sur le fondement des dispositions du code monétaire et financier

L’article L. 133-19 IV du code monétaire et financier dispose que le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17 du même code.

— L’article L. 133-16 du code monétaire et financier dispose : 'Dès qu’il reçoit un moyen de paiement, l’utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées. Il utilise l’instrument de paiement conformément aux conditions régisssant sa délivrance et son utilisation qui doivent être objectives, non discriminatoires et proportionnées'.

— L’article L. 133-17 du même code prévoit que : 'Lorsqu’il a connaissance de la perte, du vol, du détournement ou de toute utilisation non autorisée de son instrument de paiement ou des données qui lui sont liées, l’utilisateur de services de paiement en informe sans tarder, aux fins de blocage de l’instrument, son prestataire ou l’entité désignée par celui-ci'.

Aussi, en cas d’opération de paiement non autorisée, réalisée au moyen d’un instrument de paiement doté de données de sécurité personnalisées, et signalée par l’utilisateur dans les conditions prévues à l’article L. 133-24 du code monétaire et financier, le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée, sauf si la responsabilité du payeur est engagée en application de l’article L. 133-19 du même code.

En l’espèce il résulte des explications des parties, concordantes sur ce point, qu’a bien été utilisé un tel dispositif, constitué d’une clé digitale personnelle à l’utilisateur de moyen de paiement, pour la réalisation des opérations à distance que MMme [B] entendent contester, dans la mesure où ils n’y ont pas consenti.

Par ailleurs, en vertu de l’article L. 133-23 du code monétaire et financier, lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe à son prestataire de service de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée, et qu’elle n’a pas été affectée par une déficience technique ou autre.

1) *MMme [B] soutenant l’absence de preuve d’autorisation des opérations litigieuses concluent sur le fondement du code monétaire et financier en particulier les dispositions de l’article L. 133-19 II° ' qui dispose que 'La responsabilité du payeur n’est pas engagée si l’opération de paiement non autorisée a été effectuée en détournant, à l’insu du payeur, l’instrument de paiement ou les données qui lui sont liées’ ' et celles de l’article L. 133-23, précité, et font valoir qu’en l’espèce les transactions litigieuses n’ont jamais fait l’objet d’une quelconque autorisation par M. [B], qui a été invité à accomplir plusieurs démarches afin de contester les prétendues opérations frauduleuses, ce qu’il a fait, et qui n’a donc jamais validé aucune des cinq transactions toutes réalisées à son insu. M. [B] a été victime de faits d’escroquerie causés par un défaut de sécurisation des outils mis à sa disposition et dont il a la garde, dont l’instrument de paiement lui ayant été délivré – en l’espèce sa carte bancaire et le cryptogramme inscrit au dos de celle-ci – et qui a conduit à plusieurs paiements non autorisés de sa part, effectués au moyen de détournements de ses données personnelles liées à sa carte bancaire,

*La société BNP Paribas conteste qu’il y ait eu 'défaut de sécurisation’ et développe avoir parfaitement respecté ses obligations relatives à la sécurisation de l’instrument de paiement mis à la disposition de M. [B] – prévue en application de l’article L. 133-4 du code monétaire et financier. Elle s’attache à décrire le dispositif 'Clé Digitale’ d’authentification forte à utiliser pour les opérations en ligne [dispositif de sécurité enrôlé sur le téléphone portable identifié sur l’espace en ligne du client, permettant, lors de chaque opération, de s’assurer que ce dernier en est à l’initiative (…)] ; elle fait valoir que la réalisation des paiements n’est permise que par une action humaine, et c’est à juste titre que le jugement a considéré qu’en présence d’une opération validée au moyen d’un système d’authentification forte par M. [B] lui-même, serait-ce sur instructions du fraudeur, l’hypothèse d’une déficience technique du système de sécurisation de la banque doit être écartée.

La banque entend préciser quant au déroulement des faits, que le 4 mai 2021 à 19h42, 19h44, 19h46, 19h47 et 19h48, soit au cours de leur conversation téléphonique, après que le fraudeur a saisi les données de la carte bancaire sur les sites marchands, M. [B] a validé, à cinq reprises, les opérations au moyen de sa clé digitale, comme il le reconnaît, celles-ci étant dès lors dûment authentifiées et revêtant ainsi un caractère irrévocable. Les traces informatiques démontrent en effet que chacune des cinq opérations a été validée au moyen de la clé digitale de M. [B], par l’appelant lui-même – pièce n°3. Il a été jugé que la concomitance entre l’appel du fraudeur et l’exécution d’opérations frauduleuses exclut l’hypothèse d’une déficience technique du système de sécurisation de l’espace en ligne de l’établissement bancaire. Le dispositif de sécurité mis en oeuvre par la banque pour que M. [B] puisse accéder à son espace personnel en ligne et valider des paiements implique donc bien une reconnaissance par identifiant personnel et unique, une authentification par système indépendant du service de paiement et une validation du paiement par un moyen de reconnaissance sécurisé et indépendant. Les opérations frauduleuses ont, à l’issue des différentes étapes susvisées, donc été dûment authentifiées, enregistrées et comptabilisées et n’ont été affectées d’aucune déficience technique, BNP Paribas a parfaitement respecté ses obligations en matière de sécurisation de l’instrument de paiement de M. [B].

Sur ce,

Il convient de souligner que le simple fait qu’ait été utilisé un système d’authentification forte pour l’exécution des opérations litigieuses ne suffit pas à constituer la preuve que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée, et qu’elle n’a pas été affectée par une déficience technique ou autre, comme il est dit à l’article L. 133-23 du code monétaire et financier.

Cependant en l’espèce la banque intimée produit au débat une pièce numérotée 3 – 'Traces des opérations de carte de [B] [X]' – que ne commentent pas MMme [B] – suffisamment précise et détaillée et qui permet de considérer que cette preuve est, en l’état, rapportée.

2) Pour autant, selon le dernier alinéa de l’article L. 133-23 du code monétaire et financier, le prestataire de services de paiement fournit des éléments afin de prouver la fraude ou la négligence grave commise par l’utilisateur desdits services de paiement.

* La banque – sur laquelle pèse la charge de la preuve de la négligence et de son caractère de gravité – estime qu’en droit la négligence grave ne s’apprécie pas en considération de la personne du payeur, mais d’un comportement normalement attentif d’un individu face à des indices qui auraient dû l’alerter. L’utilisateur de services de paiement fait preuve de négligence grave dès lors qu’il valide en personne les transactions litigieuses, qu’il savait ne pas avoir initiées, au moyen d’un dispositif d’authentification forte, mettant ainsi à néant le dispositif destiné à sécuriser les opérations bancaires réalisées à distance. Les manoeuvres effectuées par l’utilisateur de services de paiement, fussent-elles dictées par une personne se présentant comme conseiller bancaire, ne sont pas de nature à l’exonérer de toute responsabilité, notamment lorsque ces manoeuvres relèvent d’une négligence manifeste de sa part.

Or en l’espèce M. [B] a commis plusieurs négligences graves :

' En divulguant au fraudeur les données relatives à sa carte bancaire, en ce compris ses numéros, sa date d’expiration et le cryptogramme visuel inscrit au dos de celle-ci, puisque il est avéré que sans la saisie de ces données sur les sites marchands, démontrée par les traces informatiques, aucun paiement en ligne n’aurait pu être effectué ; ce faisant, M. [B] a violé les dispositions de l’article L. 133-16 du code monétaire et financier puisqu’il n’a pas pris toutes les mesures propres à assurer la sécurité des données de sa carte bancaire ;

' En validant à cinq reprises, une à une, des opérations de paiement en ligne au moyen de sa clé digitale, et ce alors même qu’il savait ne pas être à l’origine de ces transactions, cela le 4 mai 2021 entre 19h32 et 19h56, au cours de l’appel téléphonique avec le fraudeur, étant à relever que la notification de clé digitale, affichée à cinq reprises sur l’appareil de M. [B], ne pouvait être comprise comme autre chose que la validation d’un paiement par carte bancaire, et non comme permettant de 'contester des opérations'; au surplus, M. [B] ne peut prétendre que le 'contexte’ dans lequel il a validé les cinq paiements serait de nature à l’exonérer de toute responsabilité puisque, au-delà du caractère parfaitement explicite de la notification, M. [B] est coutumier du système de clé digitale, installée depuis mai 2020 sur son appareil mobile et qu’il utilisait fréquemment à l’occasion de paiements en ligne ; en agisssant ainsi M. [B] a manqué à son obligation de prendre toute mesure raisonnable pour préserver la sécurité des données telle que prescrite par l’article L. 133-16 du code monétaire et financier ;

' En suivant minutieusement l’ensemble des instructions d’une personne qu’il ne connaissait pas, sans même s’interroger sur la cohérence de ses propos, et sans chercher à contacter le Centre cartes BNP Paribas joignable 24 heures sur 24 et 7 jours sur 7, en vue de s’assurer de la qualité de son interlocuteur et de la réalité de ses propos, et former opposition, ce qu’il s’est abstenu de faire, mais aurait permis d’éviter la réalisation des opérations frauduleuses.

Il s’ensuit que M. [B] a manqué, par négligence grave, à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et confidentiels.

* MMme [B] observent qu’il n’y a aucune anormalité à ce que M. [B] se soit entretenu avec une personne qu’il ne connaissait pas s’agissant d’un membre du service centralisé Cartes Visa Infinité et dont le numéro de téléphone affiché correspondait bien audit service. Et c’est de parfaite mauvaise foi que BNP Paribas soutient que M. [B] aurait dû appeler son conseiller habituel BNP Paribas afin de s’assurer de la qualité de son interlocuteur et de la réalité de ses propos, puisque M. [B] a été contacté par l’escroc à 19h32, heure à laquelle l’agence BNP Paribas est déjà fermée.

MMme [B] estiment que le tribunal n’a pas caractérisé en quoi M. [B] aurait été gravement négligent dans la préservation de ses données personnelles. Aucun 'utilisateur normalement attentif’ n’aurait pu raisonnablement se douter du caractère frauduleux de l’appel, bien au contraire, l’utilisation du même numéro que celui utilisé par le service Visa Infinité était de nature à mettre l’utilisateur en confiance. Ainsi la seule caractérisation de l’utilisation d’une fraude par spoofing exonère M. [B] de toute négligence grave. Or ce n’est que dans ses ultimes conclusions que la banque a contesté que M. [B] ait été victime de spoofing, alors qu’il existe de nombreux éléments en sens contraire. Il est également rappelé que ces contestations de transactions que pensait opérer M. [B] ont été réalisées sur un laps de temps extrêmement court de six minutes, comme le démontrent les traces informatiques fournies par BNP Paribas. Ainsi, comme l’a tranché la Cour de cassation l’utilisation du 'spoofing’ a mis M. [B] 'en confiance et a diminué sa vigilance, inférieure, face à un appel téléphonique émanant prétendument de sa banque pour lui faire part du piratage de son compte, à celle d’une personne réceptionnant un courriel, laquelle aurait pu disposer de davantage de temps pour s’apercevoir d’éventuelles anomalies révélatrices de son origine frauduleuse.' (Cass., Chambre commerciale financière et économique, 23 octobre 2024, n°23-16.267).

MMme [B] défendent que M. [B] n’a jamais communiqué les données confidentielles de sa carte bancaire ainsi que le cryptogramme inscrit au dos de celle-ci, ces allégations de la banque étant affirmées sans démonstration ni justifications. Les règlements contestés ont pu être effectués en raison du fait que le fraudeur disposait des coordonnées téléphoniques, de l’identité de M. [B], de l’information selon laquelle il était adhérent au service Visa Infinité, et des données complètes de la carte bancaire alors même qu’il n’a pas transmis ces données au fraudeur. Cela signifie que BNP Paribas a été victime d’un vol de données de son client ; ses infrastructures informatiques, qu’elle se doit pourtant de sécuriser contre toute intrusion, ont manifestement été piratées tout comme le numéro de téléphone du service Visa Infinité a été également usurpé.

Ainsi, et contrairement à ce que soutient BNP Paribas et à ce qu’a jugé le tribunal judiciaire de Paris, il ne saurait être reproché à M. [B] d’avoir violé les dispositions de l’article L. 133-16 du code monétaire et financier dès lors qu’il a pris toutes les mesures raisonnablement envisageables afin assurer la sécurité des données de sa carte bancaire.

Enfin, contrairement à ce qu’affirme BNP Paribas, la notification de clé digitale pouvait parfaitement être comprise comme une contestation d’un paiement par carte bancaire, et surtout il convient de ne pas considérer cette notification seule, mais de la remettre dans le contexte d’un appel d’un collaborateur du service qui alerte le client d’une fraude en cours sur son compte, lui explique qu’il va recevoir une notification aux fins de contestation de l’opération d’achat et qu’il convient de rapidement valider cette contestation d’achat en ligne.

Sur ce,

Comme précisé par la banque intimée, contrairement à ce que MMme [B] le laissent entendre dans leurs écritures, on ne saurait déduire de l’arrêt de la Chambre commerciale de la Cour de cassation du 23 octobre 2024 que l’existence d’une fraude par spoofing téléphonique aurait pour conséquence nécessaire d’obliger le prestataire de services de paiement à rembourser des opérations de paiement contestées.

S’agissant des négligences qu’aurait pu commettre M. [B] le tribunal a retenu la caractérisation d’une 'négligence grave’ au sens de l’article L. 133-19 IV du code monétaire et financier en ce que M. [B] s’était montré imprudent : il n’a pas pris la précaution de rappeler le service, a validé les messages authentiques ensuite reçus de sa banque, qu’il ne pouvait prendre pour des ordres d’annulation, la clé digitale ne le permettant pas.

Il ressort des explications données par la banque dans ses écritures, non contestées ni même commentées sur ce point [M. [B] écrivant en page 19 de ses conclusions qu’il y a lieu de remettre les événements dans le contexte d’une personne faisant partie du Service Visa Infinité l’alertant d’une fraude en cours sur son compte et lui expliquant qu’il va recevoir une notification aux fins de contestation de l’opération d’achat à valider rapidement] que 'Lorsqu’un client entend réaliser une opération d’achat à distance et ainsi mettre en oeuvre le système de Clé Digitale, le processus de validation se déroule comme suit :

— L’opération est associée au téléphone mobile du client. Une notification est alors envoyée sur son téléphone mobile, l’invitant à valider le paiement : il reçoit alors un détail de l’opération en attente de validation. S’il n’en est pas l’auteur et ne l’a pas initiée, il ne doit pas le valider et, au contraire, l’annuler ;

— S’il clique sur 'Valider', le client doit alors entrer le code confidentiel de sa Clé Digitale, qu’il a lui-même créée et personnalisée lors de son activation (soit le mot de passe utilisé pour ouvrir l’application 'M^es Comptes'). Une fois ce code confidentiel entré, que le client est seul à connaître, l’opération initiée est validée.

En d’autres termes, le système de Clé Digitale n’entraîne pas l’envoi d’un SMS au client lorsque le paiement est initié, mais une notification détaillée de l’opération d’achat à valider sur son téléphone. Il doit alors confirmer ladite opération au moyen de son téléphone, en composant un code secret qu’il a lui-même créé, unique et qu’il est le seul à connaître. En ce sens, la réalisation des paiements n’est permise que par une action humaine.'

En présence des explications pertinentes de la banque intimée relativement au déroulement de la teneur d’une notification en matière d’opération de paiement, il y a lieu de confirmer le motif du premier juge et la conséquence qu’il en a tirée s’agissant de la caractérisation d’une négligence grave de l’utilisateur du service de paiement. En effet, quand bien même il a été habilement persuadé de la nécessité d’agir dans l’urgence, M. [B] a validé chaque opération comme cela apparaissait dans la notification détaillée qu’il admet avoir reçue, au lieu de l’annuler comme il prétend l’avoir compris sans que pour autant cela ne repose sur la moindre indication formelle et objectivée, l’ 'exemple’ que M. [B] inclut dans ses conclusions pour soutenir que la confusion est possible, n’étant aucunement convaincant. Le premier juge doit donc être approuvé en ce qu’il a écrit que 'M. [B], qui a bien authentifié lesdites opérations litigieuses au moyen de son téléphone et de son code confidentiel [a] permis de contourner le système de sécurisation des services de paiement’ mis en place par la Banque', et que 'cette authentification résulte bien d’une action humaine de sa part', caractérisant ainsi une négligence grave, M. [B] n’ayant pas assuré de manière efficace la conservation de son outil de paiement comme il est dit à l’article L. 133-16 du monétaire et financier.

Le jugement déféré est donc confirmé de ce premier chef.

2) Sur le montant du remboursement sur le fondement des dispositions de l’article 133-18 du code monétaire et financier

MMme [B] rappellent que le tribunal ayant conclu à une absence de responsabilité de la banque, il n’a pas statué sur la résistance abusive de celle-ci, et en cause d’appel ils demandent à la cour de :

'CONDAMNER la société BNP PARIBAS à payer à Monsieur [X] [B] et Madame [O] [J] épouse [B] une somme de 17.848 € à titre de remboursement des opérations frauduleuses ayant été commises à leur préjudice le 4 mai 2021, à parfaire des intérêts au taux légal majoré de 5 points à compter du 4 juin 2021, puis au taux légal majoré de 10 points à compter du 10 juin 2021, puis au taux légal majoré de 15 points à compter du 4 juillet 2021 ;'

cela par application des dispositions de l’article 133-18 du code monétaire et financier, qui dispose :

'En cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L. 133-24, le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement et s’il communique ces raisons par écrit à la Banque de France. Le cas échéant, le prestataire de services de paiement du payeur rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu.

Lorsque l’opération de paiement non autorisée est initiée par l’intermédiaire d’un prestataire de services de paiement fournissant un service d’initiation de paiement, le prestataire de services de paiement gestionnaire du compte rembourse immédiatement, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, au payeur le montant de l’opération non autorisée et, le cas échéant, rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu. La date de valeur à laquelle le compte de paiement du payeur est crédité n’est pas postérieure à la date à laquelle il avait été débité.

En cas de manquement du prestataire de services de paiement aux obligations prévues aux deux premiers alinéas du présent article, les pénalités suivantes s’appliquent :

1° Les sommes dues produisent intérêt au taux légal majoré de cinq points ;

2° Au-delà de sept jours de retard, les sommes dues produisent intérêt au taux légal majoré de dix points ;

3° Au-delà de trente jours de retard, les sommes dues produisent intérêt au taux légal majoré de quinze points.

Si le prestataire de services de paiement qui a fourni le service d’initiation de paiement est responsable de l’opération de paiement non autorisée, il indemnise immédiatement le prestataire de services de paiement gestionnaire du compte, à sa demande, pour les pertes subies ou les sommes payées en raison du remboursement du payeur, y compris le montant de l’opération de paiement non autorisée.

Le payeur et son prestataire de services de paiement peuvent décider contractuellement d’une indemnité complémentaire.'

MMme [B] font valoir qu’ainsi, une banque qui a été informée par son client d’opérations non autorisées au débit de son compte est dans l’obligation de rembourser immédiatement audit client le montant des opérations non autorisées ou au plus tard à la fin du premier jour ouvrable suivant. À défaut, et au bout d’une période excédant un mois suivant l’information donnée, l’intérêt légal dû est majoré de 15 points. Or, en l’espèce, M. [B] a informé BNP Paribas, par téléphone, le jour même, soit le 4 mai 2021, des opérations non autorisées, puis à nouveau, par courrier dès le lendemain, et enfin a contesté lesdites opérations le 6 mai 2021 par le moyen du formulaire dédié de BNP Paribas. En dépit de cette information réitérée, la banque n’a jamais procédé au remboursement des sommes indûment prélevées. Le délai de trente jours de retard est largement écoulé dès lors que cela fait plus de deux ans que M. [B] réclame le remboursement de ces sommes, sans succès. Partant, la résistance abusive de BNP Paribas est parfaitement caractérisée (…) et constitue une faute de BNP Paribas qui cause nécessairement un préjudice à MMme [B], qu’il conviendra d’indemniser, MMme [B] étant bien fondés à demander que la somme due, de 17 848 euros, produise intérêt au taux légal majoré de quinze points, comme il est dit à l’article 133-18 du code monétaire et financier.

La banque intimée répond, à bon droit, que ce texte ne prévoit l’application de pénalités de retard en cas de manquement du prestataire de services de paiement à son obligation de remboursement que dans sa version en vigueur depuis le 18 août 2022, issue de la loi du 16 août 2022, cette disposition n’était pas en vigueur au moment et des faits.

En effet dans sa rédaction applicable aux faits, issue de l’ordonnance n°2017-1252 du 9 août 2017 en vigueur le 13 janvier 2028, l’article L. 133-18 du code monétaire et financier était rédigé en ces termes :

Le payeur et son prestataire de services de paiement peuvent décider contractuellement d’une indemnité complémentaire.'

Il en ressort que comme le dit la banque, les dispositions selon lesquelles :

En cas de manquement du prestataire de services de paiement aux obligations prévues aux deux premiers alinéas du présent article, les pénalités suivantes s’appliquent :

1° Les sommes dues produisent intérêt au taux légal majoré de cinq points ;

2° Au-delà de sept jours de retard, les sommes dues produisent intérêt au taux légal majoré de dix points ;

3° Au-delà de trente jours de retard, les sommes dues produisent intérêt au taux légal majoré de quinze points',

ont été introduites postérieurement aux faits, de mai 2021, par la loi n° 2022-1158 du 16 août 2022.

En tout état de cause, Mmme [B] étant déboutés de leurs demande en paiement leur prétention au titre d’une majoration des intérêts qui seraient dus par la banque, se trouve sans objet.

Par conséquent il y a lieu de rejeter la demande tendant à voir CONDAMNER la société BNP PARIBAS à payer à Monsieur [X] [B] et Madame [O] [J] épouse [B] une somme de 17.848 € à titre de remboursement des opérations frauduleuses ayant été commises à leur préjudice le 4 mai 2021, à parfaire des intérêts au taux légal majoré de 5 points à compter du 4 juin 2021, puis au taux légal majoré de 10 points à compter du 10 juin 2021, puis au taux légal majoré de 15 points à compter du 4 juillet 2021.

3) Sur le manquement de la banque à son devoir de vigilance

* MMme [B] indiquent également que le tribunal ayant conclu à une absence de responsabilité de la banque, il n’a pas statué sur leur préjudice et en cause d’appel ils demandent à la cour de : 'CONDAMNER la société BNP PARIBAS à payer à Monsieur [X] [B] et à Madame [O] [J] épouse [B] une somme de 5.000 € au titre du préjudice financier et moral'.

Les appelants rappellent dans leurs écritures que le tribunal s’est également prononcé sur l’obligation générale de vigilance qui pèse sur l’établissement bancaire teneur de compte, et devant laquelle cède son devoir de non ingérence dans les affaires de son client dès lors que le banquier se trouve confronté, à l’occasion d’opérations demandées par son client, à des anomalies et irrégularités manifestes qu’il se doit de déceler, conformément à cette obligation de vigilance.

Contestant les motifs du tribunal jugeant qu’il ne peut être fait grief à la banque d’avoir manqué à son devoir de vigilance dès lors qu’il est constant que ses services ont contacté M. [B] à 21h34 le soir même de la fraude, moins de deux heures après la validation des opérations, MMme [B] considèrent qu’il existait des anomalies apparentes justifiant une alerte de la banque dans le cadre de son obligation de vigilance.

MMme [B] à l’appui de leur demande citent les dispositions de l’article L.133-15 du code monétaire et financier disposant que 'I. ' Le prestataire de services de paiement qui délivre un instrument de paiement doit s’assurer que les données de sécurité personnalisées telles que définies à l’article L. 133-4 ne sont pas accessibles à d’autres personnes que l’utilisateur autorisé à utiliser cet instrument.['] III. ' Le prestataire de services de paiement empêche toute utilisation de l’instrument de paiement après avoir été informé, conformément aux dispositions de l’article L. 133-17, de sa perte, de son vol, de son détournement ou de toute utilisation non autorisée de l’instrument de paiement ou des données qui lui sont liées. IV. ' Le prestataire de services de paiement supporte le risque lié à l’envoi au payeur d’un instrument de paiement ou de toute donnée de sécurité personnalisée de celui-ci'. Ils font également valoir qu’il est de jurisprudence constante que la banque a une obligation de vigilance vis-à-vis de ses clients, et qu’il incombe aux établissements bancaires d’apporter la preuve qu’ils ont effectivement satisfait à leur obligation. À ce titre, les établissements bancaires se doivent de détecter toutes les opérations atypiques ou répétées de nature à constituer une anomalie et le cas échéant, alerter voire suspendre lesdites opérations suspectes.

MMme [B] font valoir que la jurisprudence a déjà pu décider 'qu’il faut sur cette question relever que les cinq opérations de paiement litigieuses ont été passées au profit de deux bénéficiaires différents et dans un temps particulièrement réduit (moins de dix minutes), ce qui suppose de la part d’un même utilisateur une célérité extrême pour recevoir de la banque le code confidentiel pour chaque opération et renseigner les diverses rubriques qui s’affichent à l’écran, une telle célérité étant manifestement incompatible avec le maniement d’un service d’achat sur internet'- Cour d’appel de Douai, Chambre 8 section 1, 11 octobre 2018, n° 16/03511. En l’espèce, les opérations frauduleuses ont toutes été réalisées successivement le même jour, dans un délai très court de six minutes 'manifestement incompatible avec le maniement d’un service d’achat sur internet’ et au profit de plusieurs commerçants différents, ce qui constituait déjà une première anomalie : aucune personne physique n’est capable d’effectuer cinq transactions différentes au profit de commerçants différents en moins de six minutes, ce qui impliquerait un temps moyen d’à peine une minute par transaction et n’est à l’évidence pas compatible avec l’ensemble des champs à remplir lors d’un achat sur internet.

De surcroît, les transactions litigieuses ont porté sur des montants significatifs : 4 000 euros, 3 310 euros, 2 538 euros, lesquels ne correspondent en rien aux habitudes de consommation de M. [B], ce qui constitue une seconde anomalie que BNP Paribas aurait dû détecter.

C’est d’ailleurs dans le cadre de son obligation de vigilance que BNP Paribas a pris attache avec M. [B], le 4 mai 2021 après l’appel frauduleux, afin de vérifier s’il avait été véritablement l’auteur des opérations frauduleuses. BNP Paribas a d’ailleurs pu bloquer immédiatement deux des sept opérations, d’un montant de 500 euros pour la première et de 350 euros pour la seconde sans, pour autant, qu’elle explique pourquoi les cinq autres n’avaient pas pu l’être. BNP Paribas a donc manifestement manqué à son obligation de vigilance dès lors qu’elle aurait dû détecter une anomalie en enregistrant cinq opérations successives avec des bénéficiaires distincts en à peine six minutes ; qu’elle aurait pu faire obstacle aux opérations litigieuse de manière à ce qu’aucun débit n’intervienne, à l’instar des opérations frauduleuses effectuées auprès des enseignes Mafrenchbank et Joonpany, pour les montants respectifs de 500 et 350 euros, qui n’ont in fine jamais abouti.

Il y a lieu d’ajouter que compte tenu du déferlement de la pratique de l’escroquerie au faux conseiller bancaire, et depuis que M. [B] en a été victime, les banques, dont BNP Paribas ont considérablement renforcé les mesures de précautions pour toute action effectuée par leurs clients à distance.

* Sur ce la banque répond que le régime de responsabilité des prestataires de services de paiement fait l’objet d’une application exclusive et autonome, MMme [B], qui prétendent agir contre BNP Paribas à raison d’opérations de paiement par carte bancaire, ne peuvent pas agir sur un autre fondement que celui du régime juridique spécial des services de paiement qui, issu de la transposition de la directive 2007/64/CE puis de la directive (UE) 2015/2366 (respectivement dites directive DSP 1 et DSP 2 concernant les services de paiement dans le marché intérieur), est codifié en France aux articles L. 133-1 et suivants du code monétaire financier. En d’autres termes, les époux [B] ne peuvent fonder leur demande de remboursement sur de prétendus manquements de la Banque à son obligation de vigilance.

MMme [B] prétendent que leur demande de dommages et intérêts ne serait pas fondée sur le régime de droit commun mais sur celui de l’article L. 133-15 du code monétaire et financier, qui selon eux prévoit l’obligation de sécurité des instruments de paiement délivrés par le prestataire de services de paiement ainsi que son obligation de vigilance. Or, l’article L. 133-15, I. ne traite pas d’un quelconque devoir de vigilance et, en tout état de cause, ne prévoit pas l’octroi de dommages et intérêts puisqu’il dispose que : 'I.- Le prestataire de services de paiement qui délivre un instrument de paiement doit d’assurer que les données de sécurité personnalisées telles que définies à l’article L.133-4 ne sont pas accessibles à d’autres personnes que l’utilisateur autorise à cet instrument. Le prestataire de services de paiement s’abstient d’envoyer tout instrument de paiement non sollicité, sauf dans le cas où un instrument de paiement déjà donné à l’utilisateur de services de paiement doit être remplacé.'

Sur ce

L’action indemnitaire de MMme [B] est fondée sur le régime de responsabilité des prestataires de services de paiement et, concomitamment, sur le régime de responsabilité de droit commun.

Or, comme vu précédemment, le régime de responsabilité des prestataires de services de paiement à raison d’opérations de payement non autorisées, issu des articles L. 133-1 et suivants du code monétaire et financier, ne prévoit que la possibilité d’un remboursement par le prestataire, dans le cadre de l’article L. 133-18 de ce code.

En droit, il est désormais acquis que ce régime spécial est exclusif de toute autre forme d’indemnisation. Par conséquent, MMme [B] ne peuvent solliciter, en sus du remboursement des opérations litigieuses, l’octroi d’une somme à titre de dommages et intérêts en raison du caractère autonome et exclusif du régime de responsabilité des prestataires de services de paiement.

Leur demande à ce titre ne peut donc qu’être rejetée.

Sur les dépens et les frais irrépétibles

MMme [B] qui échouent dans leurs demandes, supporteront la charge des dépens et ne peuvent prétendre à aucune somme sur le fondement de l’article 700 du code de procédure civile. L’équité n’impose pas de faire droit à la demande de la société BNP Paribas formulée sur ce même fondement.

PAR CES MOTIFS

La cour, statuant dans les limites de l’appel,

CONFIRME le jugement déféré en toutes ses dispositions ;

Et y ajoutant,

CONDAMNE M. [X] [B] et Mme [O] [J] épouse [B] aux entiers dépens d’appel ;

DÉBOUTE les parties de leurs demandes sur le fondement de l’article 700 du code de procédure civile à raison des frais irrépétibles exposés en cause d’appel ;

DÉBOUTE M. [X] [B] et Mme [O] [J] épouse [B] de leur autres demandes.

* * * * *

Le greffier Le président