Cour d'appel de Riom, Chambre commerciale, 28 avril 2021, n° 19/00721

TI Clermont-Ferrand 26 mars 2019

CA Riom
Confirmation 28 avril 2021

Arguments

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Signaler une erreur.

Accepté
Absence de négligence grave de l'utilisateur
La cour a estimé que le CREDIT AGRICOLE n'a pas prouvé que M. X avait agi avec négligence grave, confirmant ainsi le jugement du tribunal.
Rejeté
Préjudice distinct des opérations frauduleuses
La cour a jugé qu'il n'y avait pas de préjudice distinct des sommes remboursées, rejetant ainsi la demande de dommages et intérêts.
Accepté
Dépens d'appel
La cour a condamné la banque à payer une indemnité à M. X en raison de sa succombance dans l'instance.

Résumé par Doctrine IA

La Cour d'Appel de Riom a confirmé le jugement du Tribunal d'instance de Clermont-Ferrand qui avait condamné la Caisse Régionale de Crédit Agricole Mutuel de Centre France à rembourser à M. B X la somme de 3 952,15 euros pour des opérations frauduleuses effectuées sur son compte via un hameçonnage (phishing). La question juridique centrale était de déterminer si M. X avait commis une négligence grave en répondant à un courriel frauduleux, ce qui aurait pu justifier le non-remboursement des sommes débitées frauduleusement selon les articles L.133-19 et L.133-23 du code monétaire et financier. La juridiction de première instance avait jugé que, bien que le courriel présentait des indices de fraude, la négligence de M. X n'était pas suffisamment grave pour refuser le remboursement. La Cour d'Appel a rejeté l'argument de la banque selon lequel M. X aurait nécessairement divulgué des informations confidentielles permettant la fraude, faute de preuve apportée par la banque. La Cour a donc confirmé le remboursement des opérations frauduleuses et a rejeté la demande de dommages et intérêts supplémentaires de M. X, tout en le condamnant à payer 2 000 euros au titre de l'article 700 du code de procédure civile ainsi qu'aux dépens d'appel.

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Commentaire • 0

Augmentez la visibilité de votre blog juridique : vos commentaires d’arrêts peuvent très simplement apparaitre sur toutes les décisions concernées.

Sur la décision

Référence :	CA Riom, ch. com., 28 avr. 2021, n° 19/00721
Juridiction :	Cour d'appel de Riom
Numéro(s) :	19/00721
Décision précédente :	Tribunal d'instance de Clermont-Ferrand, 26 mars 2019, N° 11-18-001494
Dispositif :	Confirme la décision déférée dans toutes ses dispositions, à l'égard de toutes les parties au recours

Sur les parties

Président :	Anne-Laurence CHALBOS, président
Avocat(s) :	Julie MASDEU
Cabinet(s) :	SCP D'AVOCATS COLLET-DE ROCQUIGNY-CHANTELOT-BRODIEZ-GOURDOU & ASSOCIES
Parties :	Société CREDIT AGRICOLE CENTRE FRANCE

Texte intégral

COUR D’APPEL

DE RIOM

Troisième chambre civile et commerciale

ARRET N°

DU : 28 Avril 2021

N° RG 19/00721 – N° Portalis DBVU-V-B7D-FGCM

VTD

Arrêt rendu le vingt huit Avril deux mille vingt et un

Sur APPEL d’une décision rendue le 26 mars 2019 par le Tribunal d’instance de CLERMONT-FERRAND (RG n° 11-18-001494)

COMPOSITION DE LA COUR lors des débats et du délibéré :

Madame Anne-Laurence CHALBOS, Président

M^me Virginie THEUIL-DIF, Conseiller

M. Y Z, Magistrat A

En présence de : M^me Christine VIAL, Greffier, lors de l’appel des causes et du prononcé

ENTRE :

CAISSE REGIONALE DE CREDIT AGRICOLE MUTUEL DE CENTRE FRANCE

S o c i é t é c o o p é r a t i v e à c a p i t a l e t p e r s o n n e l v a r i a b l e s i m m a t r i c u l é e a u R C S d e CLERMONT-FERRAND sous le n° 445 200 488 00010

[…]

Représentant : la SCP COLLET DE ROCQUIGNY CHANTELOT BRODIEZ GOURDOU & ASSOCIES, avocats au barreau de CLERMONT-FERRAND

APPELANTE

ET :

M. B X

[…]

Représentant : M^e Julie MASDEU, avocat au barreau de CLERMONT-FERRAND

INTIMÉ

DEBATS : A l’audience publique du 24 Février 2021 Madame THEUIL-DIF a fait le rapport oral de l’affaire, avant les plaidoiries, conformément aux dispositions de l’article 785 du CPC. La Cour a mis l’affaire en délibéré au 28 Avril 2021.

ARRET :

Prononcé publiquement le 28 Avril 2021, par mise à disposition au greffe de la Cour, les parties en ayant été préalablement avisées dans les conditions prévues au deuxième alinéa de l’article 450 du code de procédure civile ;

Signé par Madame Anne-Laurence CHALBOS, Président, et par M^me Christine VIAL, Greffier, auquel la minute de la décision a été remise par le magistrat signataire.

EXPOSE DU LITIGE

Depuis l’année 2007, M. B X est titulaire d’un compte de F ouvert dans les livres de la Caisse de CREDIT AGRICOLE MUTUEL CENTRE FRANCE (le CREDIT AGRICOLE), sur lequel est attachée une carte bancaire MASTERCARD, et bénéficie d’un accès privé et sécurisé à ses comptes bancaires en ligne via le site internet de l’établissement bancaire.

Le 4 juin 2018, M. X a été destinataire sur sa boîte mail personnelle d’un message à l’intitulé du CREDIT AGRICOLE, l’invitant à utiliser un service PAYLIB et à activer le lien qui s’affichait, ce qu’il fit en entrant ensuite un code d’activation reçu par SMS expédié prétendument par le CREDIT AGRICOLE.

Le 2 juillet 2018, M. X a été alerté par son agence bancaire de l’existence d’opérations frauduleuses réalisées sur son compte les 6, 15 et 18 juin 2018. Estimant ne pas être à l’origine de ces opérations frauduleuses, il a déposé plainte avec opposition sur sa carte bancaire, sollicitant du CREDIT AGRICOLE la prise en charge des débits frauduleux.

Puis, par acte d’huissier du 21 septembre 2018, M. B X a fait assigner devant le tribunal d’instance de Clermont-Ferrand le CREDIT AGRICOLE en paiement des sommes de 3 952,15 euros en principal et 1 000 euros à titre de dommages et intérêts en réparation de son préjudice résultant des perturbations subies.

Par jugement du 26 mars 2019, le tribunal a :

— condamné le CREDIT AGRICOLE à payer à M. X la somme de 3 952,15 euros en remboursement des opérations frauduleuses survenues entre les 6 et 18 juin 2018 ;

— débouté M. X de sa demande de dommages et intérêts ;

— condamné le CREDIT AGRICOLE à payer à M. X une somme de 800 euros en application de l’article 700 du code de procédure civile et aux dépens ;

— dit n’y avoir lieu à exécution provisoire.

Au visa des articles L.133-19 et L.133-23 du code monétaire et financier, le tribunal a considéré qu’il existait des indices résultant aussi bien de la présentation du message, de la qualité de l’expéditeur et du corps du courriel contenant diverses fautes qui auraient dû normalement attirer l’attention de l’utilisateur de services bancaires en ligne dont la vigilance avait été régulièrement rappelée par les établissements bancaires ; que toutefois cette négligence résultant d’une simple réponse à un courriel

ne revêtait pas une gravité suffisante pour refuser le remboursement des paiements frauduleux à défaut de démontrer que M. X avait nécessairement communiqué des données personnelles pour permettre les paiements frauduleux.

La Caisse de CREDIT AGRICOLE MUTUEL CENTRE FRANCE a interjeté appel du jugement le 9 avril 2019.

Par conclusions déposées et notifiées le 23 octobre 2020, l’appelante demande à la cour, au visa des articles L.133-16 et suivants du code monétaire et financier, de :

— dire et juger son appel recevable et bien fondé ;

— confirmer le jugement en ce qu’il a débouté M. X de sa demande de dommages et intérêts;

— l’infirmer pour le surplus ;

— dire et juger que M. X a fait preuve d’une négligence grave dans le traitement du courriel reçu le 4 juin 2018 excluant le remboursement des sommes objets des opérations frauduleuses dont son comportement est à l’origine ;

— débouter M. X de l’ensemble de ses demandes, fins et conclusions dirigées à son encontre;

— condamner M. X à lui payer une indemnité de 2 500 euros u titre de l’article 700 du code de procédure civile, et aux dépens.

La banque considère que le tribunal a à bon droit qualifié le courriel reçu par M. X de 'manifestement frauduleux', mais que l’analyse retenue, à savoir qu’il n’était pas démontré que M. X ait communiqué ses données personnelles, témoignait d’une méconnaissance patente de la technique employée par les pirates en matière de 'phishing', rappelée sur de nombreux sites officiels dont celui du CREDIT AGRICOLE, mais également de la Direction générale de la concurrence, de la consommation et de la répression des fraudes ou du Ministère de l’Economie. Cette technique consiste à obtenir frauduleusement les données confidentielles d’un utilisateur en le redirigeant vers un site internet contrefait. Elle repose sur la crédulité de l’utilisateur et son incapacité à juger un courriel frauduleux, et ne peut aboutir que dans la mesure où celui-ci délivre ses données confidentielles sur le site internet contrefait dont le lien figure dans ledit courriel.

Ainsi, le CREDIT AGRICOLE estime que les pirates ne peuvent avoir accès aux coordonnées bancaires ou au compte en ligne de l’utilisateur par le biais d’un simple 'click’ sur le lien d’un courriel frauduleux car les pirates ne sont pas capables de récupérer les données personnelles sans un comportement actif de l’utilisateur. M. X a donc nécessairement dû renseigner ses codes d’accès dans la page internet ouverte par le biais du lien frauduleux, permettant au fraudeur d’accéder à ses comptes en ligne pour activer PAYLIB.

Par conclusions déposées et notifiées le 27 octobre 2020, M. B X demande à la cour, au visa des articles L.133-18 et L.133-23 du code monétaire et financier, de :

— confirmer le jugement en toutes ses dispositions ;

— y ajoutant, condamner le CREDIT AGRICOLE à lui payer la somme de 2 000 euros à titre de dommages et intérêts et celle de 3 000 euros sur le fondement de l’article 700 du code de procédure civile, ainsi qu’aux dépens.

Il soutient qu’il ne peut se voir reprocher d’avoir commis une négligence pouvant être qualifiée de grave. Le courriel reçu et auquel il a répondu, ne présentait aucun indice évident permettant à

l’utilisateur normalement attentif, de douter de sa provenance. Il n’était assorti que de quelques fautes d’orthographe pouvant passer totalement inaperçues pour un utilisateur moyen ; que les points de suspension et le fait que l’adresse était constituée de chiffres, de lettres et ponctuations émanant d’un opérateur 'mail.hover.com’ n’étaient pas visibles à l’écran au moment de l’opération. Il ajoute que le processus s’est fait en deux temps : il a reçu un mail avec un lien sur lequel il a cliqué comme il était invité à le faire, puis est apparue une fenêtre l’invitant à inscrire un code d’activation qu’il allait recevoir par SMS, il a ensuite effectivement reçu un SMS sur son téléphone portable comportant un code qu’il a reporté, puis il a refermé la page. Le code renseigné n’était pas une donnée personnelle.

Il fait valoir qu’il ne lui a pas été demandé de communiquer ses données bancaires personnelles et il ne les a pas communiquées avant comme après l’envoi du SMS frauduleux. Il n’a pas non plus communiqué ses coordonnées téléphoniques lors de l’opération et les affirmations contraires du CREDIT AGRICOLE sont pures conjectures. Or, c’est à la banque de rapporter la preuve de ce que l’opération frauduleuse a pu être rendue possible par une action intentionnelle du porteur de la carte ou par sa négligence qualifiée de grave.

Il sera renvoyé pour l’exposé complet des demandes et moyens des parties à leurs dernières conclusions.

L’ordonnance de clôture a été rendue le 5 novembre 2020.

MOTIFS

L’article L.133-16 du code monétaire et financier dispose que dès qu’il reçoit un instrument de paiement, l’utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées. Il utilise l’instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation qui doivent être objectives, non discriminatoires et proportionnées.

L’article L.133-19 IV dudit code prévoit que le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L.133-16 et L.133-17.

L’article L.133-23 énonce que lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération qui a été exécutée ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre.

L’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataires de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière. Le prestataire de services de paiement, y compris, le cas échéant, le prestataire de services de paiement fournissant un service d’initiation de paiement, fournit des éléments afin de prouver la fraude ou la négligence grave commise par l’utilisateur des services de paiement.

Il résulte de ces dispositions qu’il incombe au prestataire de paiement de rapporter la preuve que l’utilisateur qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence grave à ses obligations ; que cette preuve ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisées.

Ainsi, manque par négligence grave à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés, l’utilisateur d’un service de paiement qui communique les données personnelles de ce dispositif de sécurité en réponse à un courriel qui contient des indices permettant à un utilisateur normalement attentif de douter de sa provenance, peu important qu’il soit ou non avisé des risques d’hameçonnage (Cass. Com 28 mars 2018, pourvoi n°16.20-018 P).

En l’espèce, M. X expose depuis sa plainte en juillet 2018, avoir reçu un courriel frauduleux le 4 juin 2018 à l’intitulé du CREDIT AGRICOLE ; que ce message reçu dans sa boîte mail consultée à partir de son ordinateur, l’invitait à utiliser le service PAYLIB, et à cette fin à activer un lien qui s’affichait ; qu’il suivait cette instruction ; qu’une fenêtre s’affichait à l’écran demandant à l’utilisateur de rentrer un code d’activation qu’il allait recevoir par SMS ; qu’il recevait quelques secondes plus tard un SMS sur son téléphone portable mentionnant être expédié par le CREDIT AGRICOLE ; que le message comportait un code d’activation PAYLIB qu’il était invité à saisir ; qu’il reportait le code d’activation puis refermait la page et sa messagerie.

Plusieurs opérations frauduleuses ont alors été effectuées sur son compte bancaire les 6, 15 et 18 juin 2018, correspondant à des achats par carte sur internet auprès de E F G H, SARENZA.COM et C D, pour un montant total de 3 952,15 euros.

C’est à juste titre que le tribunal a énoncé que l’examen du courriel du 4 juin 2018 versé aux débats permettait d’établir :

— que l’objet du message comportait de manière surprenante, donc anormale, de nombreux points de suspension ;

— qu’il provenait d’une adresse constituée de nombreux chiffres, lettres et ponctuations diverses émanant d’un opérateur 'mail.hover.com’ non habituel ;

— que le corps du courriel comportait des fautes d’orthographe, dont certaines évidentes pour un utilisateur majeur moyen : 'Afin de prévenir l’utilisation frauduleuse des cartes bancaires sur internet, Crédit Agricole est dotée d’un nouveau dispositif de controle des paiements. Ce service est entièrement gratuit. Notre système a détecté que vous n’avez pas activer Paylib. Cliquer sur le lien ci-dessous pour activer ce service :…' .

Il a bon droit considéré que ces différents indices auraient dû attirer l’attention de l’utilisateur de services bancaires en ligne dont la vigilance était régulièrement rappelée par les établissements bancaires, et notamment par le CREDIT AGRICOLE ainsi qu’il en justifiait dans le cadre de la procédure ; que toutefois cette négligence résultant d’une simple réponse à un courriel frauduleux n’apparaissait pas revêtir une gravité suffisante, sans démontrer que M. X avait nécessairement communiqué des données personnelles pour permettre les paiements frauduleux.

Le CREDIT AGRICOLE conclut notamment en page 2 : 'Monsieur X a été dirigé vers une nouvelle page mentionnant le CREDIT AGRICOLE sur laquelle il a nécessairement du remplir ses codes d’accès lui permettant d’accéder à ses comptes en ligne, informations qu’il devait compléter par un code d’activation reçu par SMS. Une fois ces codes renseignés, ces derniers ont été portés à la connaissance du pirate qui a pu accéder au compte personnel de Monsieur X sur le site Internet du CREDIT AGRICOLE. Le pirate en a profité pour solliciter la création d’un IBAN, ce qui a généré l’envoi d’un SMS sur le téléphone portable de Monsieur X…[…] Il est tout bonnement impossible que Monsieur X ait reçu un SMS par le biais d’un simple click sur un courriel. Il est assez évident que le pirate ne disposait pas du numéro de portable de Monsieur X. Monsieur X a nécessairement communiqué des données personnelles pour que le pirate puisse lui envoyer un SMS avec un code d’activation'.

A l’appui de sa démonstration, il se prévaut des explications données sur des sites officiels dont celui du CREDIT AGRICOLE, mais également celui de la Direction générale de la concurrence, de la consommation et de la répression des fraudes ou du Ministère de l’Economie, relatives à la technique du 'phishing', consistant à obtenir les données confidentielles d’un utilisateur en le redirigeant vers un site Internet contrefait. Il soutient que 'le pirate ne peut donc avoir accès aux coordonnées bancaires ou au compte en ligne de l’utilisateur par le biais d’un simple click sur un lien d’un courriel frauduleux'. Il poursuit en indiquant que M. X ne produit pas la capture d’écran de la page internet sur laquelle le lien du courriel l’a redirigé, éludant ainsi les étapes intermédiaires entre la réception du courriel frauduleux et le SMS.

Toutefois, il ne résulte pas des pièces versées aux débats que M. X a divulgué à un tiers de manière intentionnelle, par imprudence ou par négligence grave des éléments d’identification strictement confidentiels ayant permis les paiements contestés, le CREDIT AGRICOLE se borne en effet à invoquer l’hypothèse d’un hameçonnage en prétendant que M. X a 'nécessairement' renseigné un certain nombre d’informations personnelles en répondant au courriel frauduleux qui ont permis de réaliser les opérations frauduleuses à distance, mais sans en apporter la démonstration. La charge de cette preuve pèse sur l’établissement bancaire

Aussi, il y a lieu d’adopter les motifs retenus par le tribunal, à savoir que le CREDIT ARICOLE procédait uniquement par voie d’affirmations, M. X contestant fermement avoir communiqué ses codes d’accès, et que faute de rapporter la preuve de la divulgation d’informations confidentielles, le CREDIT AGRICOLE n’établissait pas la négligence grave imputable à l’utilisateur.

Il convient de confirmer le jugement en ce qu’il a condamné le CREDIT AGRICOLE à rembourser à M. X la somme de 3 952,15 euros correspondant aux opérations frauduleuses intervenues entre le 6 et 19 juin 2018.

La demande de dommages et intérêts à hauteur de 2 000 euros formée par M. X sera rejetée et le jugement confirmé, en l’absence de justification d’un préjudice distinct des retraits frauduleux ou des frais engagés dans le cadre de la procédure qui seront indemnisés au titre de l’article 700 du code de procédure civile, l’intéressé concluant lui-même être très scrupuleux et avoir réussi à ne jamais être en difficulté.

Succombant à l’instance, le CREDIT AGRICOLE sera condamné aux dépens d’appel et à payer à M. X une indemnité de 2 000 euros sur le fondement de l’article 700 du code de procédure civile.

PAR CES MOTIFS :

La cour, statuant publiquement, par arrêt mis à disposition au greffe, contradictoire,

Confirme le jugement entrepris en toutes ses dispositions ;

Condamne la Caisse de CREDIT AGRICOLE MUTUEL CENTRE FRANCE à payer à M. B X la somme de 2 000 euros en application des dispositions de l’article 700 du code de procédure civile, ainsi qu’aux dépens d’appel.

Le greffier Le président