COUR D’APPEL

DE RIOM

Troisième chambre civile et commerciale

ARRET N°304

DU : 12 juin 2024

N° RG 23/01348 – N° Portalis DBVU-V-B7H-GBSS

ADV

Arrêt rendu le douze juin deux mille vingt quatre

Sur APPEL d’une décision rendue le 31 mars 2022 par le tribunal judiciaire de CLERMONT FD N°RG20/03176 ch1c2

COMPOSITION DE LA COUR lors des débats et du délibéré :

M^me Annette DUBLED-VACHERON, Présidente de chambre

M^me Virginie THEUIL-DIF, Conseiller

M. François KHEITMI, Magistrat Honoraire

En présence de : M^me Cécile CHEBANCE, Greffier placé, lors de l’appel des causes et du prononcé

ENTRE :

BANQUE POPULAIRE AUVERGNE RHÔNE ALPES

immatriculée au RCS de Lyon sous le numéro 605 520 071

[Adresse 1]

[Localité 5] / France

Représentants : M^e Anthony MAYMONT, avocat au barreau de CLERMONT-FERRAND et M^e Bertrand DE BELVAL de la SELARL DE BELVAL, avocat au barreau de LYON

APPELANTE

ET :

M. [J] [T]

[Adresse 2]

[Localité 4]

Représentant : M^e Jean-Louis AUPOIS, avocat au barreau de CLERMONT-FERRAND

INTIMÉ

DEBATS : A l’audience publique du 21 février 2024 Madame DUBLED-VACHERON a fait le rapport oral de l’affaire, avant les plaidoiries, conformément aux dispositions de l’article 785 du CPC. La Cour a mis l’affaire en délibéré au 10 avril 2024.

ARRET :

Prononcé publiquement le 12 juin 2024, après prorogé du délibéré initialement prévu le 10 avril 2024, le 15 mai puis le 05 juin, par mise à disposition au greffe de la Cour, les parties en ayant été préalablement avisées dans les conditions prévues au deuxième alinéa de l’article 450 du code de procédure civile ;

Signé par M^me Annette DUBLED-VACHERON, Présidente de chambre, et par M^me Cécile CHEBANCE, Greffier placé, auquel la minute de la décision a été remise par le magistrat signataire.

M. [J] [T] détenteur de plusieurs comptes dans les livres de la banque populaire Auvergne Rhône-Alpes (ci-après BP AURA) a déclaré avoir perdu son portefeuille le 12 août 2019 qui aurait été rapporté par un inconnu au poste de police. Aucun vol de papiers d’identité ou de documents bancaires n’aurait été constaté lors de la restitution de son portefeuille.

Le 14 août 2019, deux chèques d’un montant de 15.253 euros chacun ont été crédités sur le compte de M. [T] pour un montant total de 30.506 euros. Ces chèques comportaient le nom d'[J] [T] comme bénéficiaire. Le même jour, un virement instantané de 15.000 euros a été réalisé au profit de [Y] [E] [O], puis, les 15 et 16 août 2019, cinq virements ont été réalisés pour un montant total de 17.135,51 euros, lequel se décompose comme suit :

— Virement de 9.000 euros au bénéfice de [I] [K] ;

— Virement de 50 euros au bénéfice de [R] [V] ;

— Virement de 5.500 euros au bénéfice de [C] [A] ;

— Virements de 1.500 euros et de 1.085,51 euros sur le propre compte de M. [J] [T].

Les 15 et 16 août 2019 deux retraits DAB ont été effectués à [Localité 6] lieu de résidence et de travail de M.[T].

M. [T] a déclaré ne pas connaître les bénéficiaires de ces virements. Il a déposé plainte le 16 août 2019.

Par courrier recommandé du 22 août 2019 la BP AURA a prononcé la dénonciation des conventions de compte de M. [T] qui ont été clôturés le 22 octobre 2019. Elle a refusé d’accéder aux demandes de remboursement de M. [T].

Par jugement du 31 mars 2022, le tribunal judiciaire de Clermont-Ferrand a condamné la banque à payer à M. [T] la somme de 32.478,61 euros en remboursement des opérations de paiement non autorisées sur son compte de dépôt entre le 14 et le 16 août 2019 et des frais et sommes annexes prélevées sur ce compte, sur son livret A et sur son livret jeune, outre intérêts au taux légal à compter du 26 août 2019. La BP AURA a également été condamnée à verser à M. [T] la somme de 2.000 euros au titre des frais irrépétibles.

La BP AURA a relevé appel de cette décision suivant déclaration du 17 août 2023.

Par ordonnance du 24 novembre 2022, le magistrat chargé de la mise en état a ordonné la radiation de l’affaire qui a été réinscrite au rôle après exécution par la banque des causes du jugement de première instance.

Le 21 février 2023, la BP AURA a déposé plainte à l’encontre de M. [T] pour tentative d’escroquerie.

Aux termes de conclusions notifiées le 2 novembre 2023, elle demande à la cour au visa des articles. 133-4, L. 133-16, L. 133-19, et L. 561-1 et suivants du code monétaire et financier, de bien vouloir :

— infirmer le jugement critiquer et statuant à nouveau, de constater :

* que la situation factuelle décrite par M. [T] n’est pas conforme à la réalité en raison des incohérences constatées ;

*que ses déboires ne peuvent pas matériellement correspondre à sa description, puisqu’il aurait fallu que le prétendu escroc dispose simultanément de trois codes différents appartenant à M. [T], outre la possession physique de la carte bancaire et du téléphone portable (et a fortiori de son code de déverrouillage), alors que ce dernier a indiqué avoir toujours conservé sa carte et son téléphone ;

*qu’elle avait mis en place un dispositif d’authentification forte, dit Sécur’Pass, au profit de M. [T], et ce conformément à la réglementation en vigueur ;

— de juger qu’elle a parfaitement respecté ses obligations professionnelles de non-immixtion et de vigilance en faisant notamment preuve de diligence envers M. [T];

— de constater que l’obligation de vigilance imposée en matière de LCB-FT ne peut pas être invoquée par les clients de banque afin de réclamer des dommages-intérêts au banquier ;

— de juger qu’elle n’a pas manqué à son obligation de vigilance au titre du dispositif de LCB-FT ;

— de juger que M. [T] a commis divers manquements quant à la préservation de la sécurité de ses dispositifs de sécurité personnalisés, et ce en faisant preuve d’une négligence grave voire d’une intention frauduleuse ;

En conséquence,

— de rejeter les demandes de M. [T] et de la mettre hors de cause ;

— de condamner M. [T] à lui verser la somme de 5.000 euros à titre de dommages et intérêts pour procédure abusive et celle de 3.000 euros sur le fondement de l’article 700 du code de procédure civile

— de condamner M. [T] aux dépens.

Par conclusions notifiées le 13 octobre 2023, M. [T] demande à la cour :

— de constater que la BP AURA ne rapporte pas la preuve, à son encontre, d’un manquement grave ou d’une intention frauduleuse ;

— de constater que la banque a manqué à ses obligations légales et notamment à son devoir de vigilance et en conséquence ;

— de confirmer le jugement en toutes ses dispositions sauf en ce qu’il a été débouté de sa demande de dommages et intérêts.

— de condamner la BP AURA à lui verser la somme de 5.000 euros à titre de dommages et intérêts et celle de 3.000 euros sur le fondement de l’article 700 du code de procédure civile.

M. [T] conteste toute fraude de sa part. Il rappelle qu’il était lycéen et que son compte ne connaissait pas de mouvements importants.

Il reproche à la banque d’avoir encaissé deux chèques de 15.253 euros, versés par une personne inconnue qui s’est avérée interdite bancaire, sans vérification préalable, alors que parallèlement le compte était débité de 30.000 euros.

Il estime que la banque procède à son égard par affirmation sans démontrer qu’il a commis une négligence de nature à engager sa responsabilité.

Il affirme que l’inscription au fichier national des incidents de remboursements l’a placé dans une situation très difficile. Il explique qu’aucun remboursement n’est intervenu, l’établissement ayant procédé à la clôture des comptes épargnes (livret A, livret jeune) en s’en accaparant les soldes positifs.

A l’audience, la cour a invité les parties à produire le cas échéant le verso des chèques remis à l’encaissement.

Les conseils des parties ont présenté leurs observations sur l’impossibilité alléguée tant par la banque (en considération du secret bancaire) que par M. [T] (qui justifie en avoir fait la demande à la banque Boursorama).

La cour prend acte de la non-communication de ces documents étant considéré que si celle-ci aurait permis d’apporter des éléments supplémentaires au traitement du litige, cette communication n’est pas indispensable à l’exercice du droit de la preuve, la charge de la celle-ci incombant à l’appelante.

Il sera renvoyé aux conclusions des parties pour plus ample exposé des moyens développés au soutien de leurs demandes.

L’ordonnance de clôture a été rendue le 1er février 2024.

Motivation :

Aux termes de l’article L. 133-16 du code monétaire et financier « dès qu’il reçoit un instrument de paiement, l’utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées ».

L’article L. 133-18 du code monétaire et financier dispose :

« En cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L. 133-24, le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement et s’il communique ces raisons par écrit à la Banque de France. Le cas échéant, le prestataire de services de paiement du payeur rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu ».

L’article L. 133-19 du code monétaire et financier prévoit que :

« II. ' La responsabilité du payeur n’est pas engagée si l’opération de paiement non autorisée a été effectuée en détournant, à l’insu du payeur, l’instrument de paiement ou les données qui lui sont liées.

Elle n’est pas engagée non plus en cas de contrefaçon de l’instrument de paiement si, au moment de l’opération de paiement non autorisée, le payeur était en possession de son instrument.

III. ' Sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si le prestataire de services de paiement ne fournit pas de moyens appropriés permettant l’information aux fins de blocage de l’instrument de paiement prévue à l’article L. 133-17.

IV. ' Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17.

V. ' Sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si l’opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement du payeur n’exige une authentification forte du payeur prévue à l’article L. 133-44 ».

L’article L. 133-23 du code monétaire et financier dispose que :

« Lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre.

L’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière. Le prestataire de services de paiement, y compris, le cas échéant, le prestataire de services de paiement fournissant un service d’initiation de paiement, fournit des éléments afin de prouver la fraude ou la négligence grave commise par l’utilisateur de services de paiement ».

L’article L. 133-24 du code monétaire et financier dispose que « l’utilisateur de services de paiement signale, sans tarder, à son prestataire de services de paiement une opération de paiement non autorisée ou mal exécutée et au plus tard dans les treize mois suivant la date de débit sous peine de forclusion à moins que le prestataire de services de paiement ne lui ait pas fourni ou n’ait pas mis à sa disposition les informations relatives à cette opération de paiement conformément au chapitre IV du titre I du livre III ».

Il ressort de ces dispositions que le prestataire de services de paiement est tenu de rembourser au payeur le montant de l’opération non autorisée, sauf fraude ou négligence grave de la part du payeur, qui doit être prouvée par le prestataire de services de paiement. Cette preuve ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés (Com. 18 janv. 2017, no 15-18.102). Cependant, la conscience que la victime avait ou aurait dû avoir est parfois considérée comme une négligence grave de sa part (Com. 31 mai 2016, no 14-29.906), le porteur devant prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés. Cette conscience s’apprécie in abstracto.

En l’espèce, M. [T] a déposé plainte le 16 août 2019 au commissariat de police d'[Localité 6], dénonçant plusieurs virements non-autorisés, effectués sur son compte chèque n° [XXXXXXXXXX03]. Sa demande de remboursement concerne également deux retraits bancaires d’un montant total de 560 euros.

Il résulte des dispositions susvisées que la procédure à suivre dans le cadre de paiements suspicieux est la suivante :

— la banque doit communiquer l’information à son utilisateur,

— ce dernier doit signaler que le paiement était non autorisé, et ce dans un délai de treize mois suivant le débit,

— la loi ne prévoit pas de condition de forme s’agissant du signalement.

En l’espèce, il ressort de la plainte de M. [T] que la banque l’a averti que des mouvements bancaires suspicieux avaient eu lieu son compte, qu’il les a signalés comme étant non autorisés, de telle sorte que le contexte dans lequel la banque est intervenue est bien celui d’une présupposée fraude.

Ladite fraude a été effectuée en déposant sur le compte de M. [T] deux chèques tirés sur le compte Boursorama de M. [H] [M] demeurant à [Localité 7] que la banque a refusé d’honorer faute de provision.

Cette opération bancaire avait un caractère inhabituel en considération de la situation de M. [T] (saisonnier et âgé de 19 ans) ainsi que des mouvements habituellement enregistrés sur son compte bancaire. M. [T] déclare avoir eu connaissance de ces opérations par un appel de son conseiller bancaire. La fraude a donc été initialement constatée par la Banque Populaire.

La Banque Populaire assure que M. [T] a fait preuve soit d’une négligence grave soit d’une intention frauduleuse et met en avant les éléments suivants en lien :

— M. [T] connaît l’une des bénéficiaires des virements litigieux : Mme [R] [V]

— des retraits conséquents de 300 euros et 260 euros ont été réalisés les 15 et 16 août 2019 auprès d’un distributeur automatique de billets externes

— M. [T] n’a jamais perdu sa carte bancaire et a réalisé des achats avec celle-ci les 15 et 16 août 2019 ;

— elle dispose d’un dispositif d’authentification forte qui ne souffre d’aucune faille

— seule une divulgation intentionnelle des données de sécurité personnalisées du client ou une négligence grave de sa part ont pu permettre un détournement du système.

S’agissant du dépôt des chèques et des virements qui ont suivi : le tribunal a rappelé à juste titre que la seule utilisation d’un système de sécurité et des données qui y sont liées ne permet pas de prouver que l’utilisateur du service qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence à ses obligations. L’alerte donnée le 12 juillet 2018 par la Banque populaire sur le fait que des pirates ont profité du lancement de la nouvelle solution de sécurité Sécur’pass pour tenter de s’enrôler à la place des clients afin de pouvoir effectuer des opérations sensibles en leur nom, comme des activations de bénéficiaires, des validations de virements ou des paiements 3DS sur internet, en témoigne.

Le raisonnement de la banque selon lequel l’authentification forte rendrait improbable toute fraude et conduirait à considérer que tout paiement dans ce cadre implique nécessairement une autorisation ou une négligence grave est contraire à l’exigence des textes susvisés en matière de preuve.

La mère de M. [T] a formulé une demande de médiation auprès de la banque et précisé à cette occasion que son fils avait été victime d’une fraude suite au piratage de sa messagerie.

Cette affirmation n’est corroborée par aucune pièce mais elle ne permet en tout état de cause pas de retenir que M. [T] a intentionnellement communiqué ses données bancaires ou fait preuve d’une négligence grave.

Le fait que M. [T] ait conservé sa carte bancaire est sans lien avec le dépôt des chèques et les virements qui ont suivi.

Dans un courrier du 26 août 2019, M. [T] a indiqué « ma seule responsabilité dans cette histoire est ma négligence avec ma messagerie mais je n’ai connu aucune fraude. » Cependant par des motifs que la cour adopte, le tribunal a relevé qu’il ne pouvait être déduit de cet aveu que M. [T] avait intentionnellement ou par négligence divulgué ses données de sécurité personnalisées relatives au service Cyberplus aux fins d’ajout de bénéficiaires des virements.

De son côté, la Banque Populaire se borne effectivement à procéder par affirmation pour indiquer que son dispositif ne souffre d’aucune faille et pour affirmer dans un courrier du 11 octobre 2019 que : «  après avoir procédé à diverses vérifications, notamment par nos expert du service échanges des données interbancaires et par BPCE-IT, il s’avère que les bénéficiaire ont été activés le 14 août 2008 via un processus d’authentification forte intitulé Secur’Pass après connexion à Cyberplus » et pour en déduire que : « ces éléments démontrent que ces opérations ont bien été effectuées par vous-même ou que vous avez communiqué l’ensemble des informations ci-dessus à un tiers. »

Le fait que M. [T] ait connu Mme [V], bénéficiaire d’un virement de 50 euros qui s’est intercalé dans les virements litigieux ne démontre pas que ceux-ci ont été autorisés par M. [T] ou réalisés en raison d’une négligence grave de sa part. Il convient de souligner qu’en déposant plainte, M. [T] n’a pas signalé ce virement de 50 euros comme étant un virement frauduleux. Par ailleurs les deux opérations de 1500 euros effectués pour l’une à son crédit et pour l’autre à son débit s’annulent et ne démontrent pas la fraude.

Il convient par ailleurs d’analyser les conditions dans lesquelles la banque a procédé aux virements.

Il est constant que le banquier a l’obligation d’exécuter un virement que son client lui ordonne, pourvu que l’ordre soit régulier et que le compte contienne une somme disponible suffisante.

Ce principe de non-immixtion, ou de non-ingérence, conduit à considérer que la banque ne commet pas de faute si elle ne s’aperçoit pas, dans l’exercice d’une de ses missions, qu’elle prête involontairement la main aux agissements coupables de son client ou d’un tiers.

La banque n’a pas à accomplir de diligence particulière pour s’assurer de la régularité et de l’opportunité des actes de son client.

Ce devoir de non-immixtion trouve cependant sa limite dans le devoir de surveillance et vigilance du banquier. Celui-ci est limité à la détection des seules anomalies apparentes, qu’elles soient matérielles, lorsqu’elles affectent les mentions figurant sur les documents ou effets communiqués au banquier, ou intellectuelles, lorsqu’elles portent sur la nature des opérations effectuées par le client et le fonctionnement du compte.

Il est intéressant d’observer en l’espèce : que M. [T] est un jeune client âgé de 19 ans dont le compte n’enregistre pas habituellement des mouvements portant sur de fortes sommes d’argent. M. [T] opère habituellement de petits virements sur son PEL ou vers son compte-chèques. Il encaisse également de petites sommes de ses parents. La remise de deux chèques pour un montant global de 30 506 euros était donc tout à fait anormale et à tout le moins inhabituelle. La création simultanée de nouveaux bénéficiaires était de nature à attirer la vigilance de la banque sur l’existence d’une anomalie grave et apparente.

Ainsi la Banque Populaire échoue à prouver la négligence ou le comportement frauduleux de son client et ne peut utilement se retrancher derrière son devoir de non immixtion dès lors qu’elle a, au cas d’espèce, failli à son devoir de surveillance et de vigilance.

S’agissant des retraits d’argent : M. [T] assure ne pas être à l’origine de deux retraits, la banque déduit du fait qu’il a déclaré avoir toujours été en possession de sa carte bancaire le fait que M. [T] est nécessairement l’auteur de ces retraits. La banque ne démontre cependant pas que M. [T] a commis une négligence grave et a failli à son obligation de sécurité dans la conservation de son instrument de paiement.

Car si M. [T] n’a pas déclaré le vol de sa carte bancaire il a également déclaré avoir perdu quelques jours avant son portefeuille qui a été ramené au poste (en précisant disposer du justificatif) et peut tout à fait avoir été victime de piratage.

Au regard de l’ensemble de ces éléments, c’est donc par une juste application du droit au cas d’espèce que le tribunal a fait droit à la demande de M. [T].

M. [T] sollicite une somme de 5.000 euros à titre de dommages et intérêts en faisant grief à la banque de l’avoir placé dans une situation extrêmement délicate en clôturant ses comptes, en conservant les sommes qui y étaient versées et en ayant procédé à son inscription au fichier national des incidents de remboursement.

Toutefois, le montant des sommes allouées par le tribunal tient compte du remboursement des opérations de paiement non autorisées sur le compte de dépôt N°[XXXXXXXXXX03], des frais et sommes annexes prélevés sur ce même compte, sur le livret A et le livret jeune.

M. [T] ne justifie pas d’un préjudice complémentaire. Le jugement sera donc confirmé en ce qu’il a rejeté la demande de dommages et intérêts présentée par M. [T].

La Banque Populaire succombant en sa demande supportera les dépens.

Il serait inéquitable de laisser à la charge de M. [T] ses frais de défense. La Banque Populaire sera condamnée à lui verser la somme de 3.000 euros sur le fondement de l’article 700 du code de procédure civile.

Par ces motifs :

La cour après en avoir délibéré, statuant publiquement, contradictoirement, en dernier ressort, l’arrêt étant mis à disposition des parties au greffe de la cour ;

Confirme le jugement critiqué en toutes ses dispositions ;

Y ajoutant ;

Condamne la SA Banque Populaire à verser à M. [J] [T] la somme de 3.000 euros sur le fondement de l’article 700 du code de procédure civile ;

Condamne la SA Banque Populaire aux dépens d’appel.

Le Greffier La Présidente