COUR D’APPEL

DE RIOM

Troisième chambre civile et commerciale

ARRET N°206

DU : 28 Mai 2025

N° RG 24/01170 – N° Portalis DBVU-V-B7I-GGYM

ACB

Arrêt rendu le vingt huit Mai deux mille vingt cinq

décision dont appel : Jugement Au fond, origine TJ hors JAF, JEX, JLD, J. EXPRO, JCP d’AURILLAC, décision attaquée en date du 03 Mai 2024, enregistrée sous le n° 23/00027

COMPOSITION DE LA COUR lors des débats et du délibéré :

M^me Annette DUBLED-VACHERON, Présidente de chambre

M^me Sophie NOIR, Conseiller

Madame Anne Céline BERGER, Conseiller

En présence de : M^me Valérie SOUILLAT, Greffier, lors de l’appel des causes et du prononcé

ENTRE :

CAISSE D’EPARGNE ET DE PREVOYANCE D’AUVERGNE ET DU LIMOUSIN

Société coopérative à forme anonyme, directoire et conseil de surveillance immatriculée au RCS de CLERMONT-FERRAND sous le n° 382 742 013 01501

[Adresse 2]

[Adresse 2]

Représentée par M^e Olivier TOURNAIRE de la SELARL TOURNAIRE ET ASSOCIES, avocat au barreau de CLERMONT-FERRAND

APPELANTE

ET :

Mme [R], [E] [G]

[Adresse 1]

[Adresse 1]

Représentée par M^e Laurent LAFON, avocat au barreau D’AURILLAC

(bénéficie d’une aide juridictionnelle Totale numéro 2024/006042 du 12/08/2024 accordée par le bureau d’aide juridictionnelle de CLERMONT-FERRAND)

Mme [S] [M]

[Adresse 1]

[Adresse 1]

Représenté par M^e Laurent LAFON, avocat au barreau D’AURILLAC

(bénéficie d’une aide juridictionnelle Totale numéro 2024/006041 du 12/08/2024 accordée par le bureau d’aide juridictionnelle de CLERMONT-FERRAND)

INTIMÉES

DEBATS : A l’audience publique du 13 Mars 2025 Madame BERGER a fait le rapport oral de l’affaire, avant les plaidoiries, conformément aux dispositions de l’article 804 du CPC. La Cour a mis l’affaire en délibéré au 28 Mai 2025.

ARRET :

Prononcé publiquement le 28 Mai 2025, par mise à disposition au greffe de la Cour, les parties en ayant été préalablement avisées dans les conditions prévues au deuxième alinéa de l’article 450 du code de procédure civile ;

Signé par M^me Annette DUBLED-VACHERON, Présidente de chambre, et par M^me Valérie SOUILLAT, Greffier, auquel la minute de la décision a été remise par le magistrat signataire.

Exposé du litige :

Mme [R], [E] [G] est titulaire d’un compte bancaire à la Caisse d’épargne et de prévoyance d’Auvergne et du Limousin (CEPAL). Sa fille, Mme [S] [M] est également titulaire d’un compte de dépôt, d’un livret A et d’un livret jeune dans cette même banque.

Mme [G] a procuration sur le compte de Mme [M].

Le 4 juin 2022, le compte de dépôt de Mme [G] a été crédité de deux virements de sa fille, soit 1 500 euros en provenance de son livret jeune et 1 700 euros en provenance de son livret. Puis il a été débité de 2 500 euros au bénéfice de Mme [O] [C]. Le compte de dépôt de Mme [M] a été débité aussi au profit de Mme [O] [C] d’un montant de 2 245 euros.

Mme [M] a porté plainte le 06 juin 2022, soutenant ne pas être à l’origine des virements tant au profit de sa mère que de Mme [C].

Par acte de commissaire de justice en date du 28 mars 2023, Mme [G] et Mme [M] ont fait assigner la CEPAL devant le tribunal judiciaire d’Aurillac aux fins d’obtenir le remboursement des fonds prélevés indûment, outre une somme au titre de leur préjudice moral.

Par jugement du 3 mai 2024, le tribunal a :

— condamné la CEPAL à payer à :

— Mme [M] la somme de 4 745 euros pour les fonds prélevés indûment sur son compte bancaire avec intérêts au taux légal à compter du 28 mars 2023, outre la somme de 500 euros à titre de dommages et intérêts ;

— Mme [G] la somme de somme de 500 euros à titre de dommages et intérêts outre la somme de 27.40 euros au titre de son préjudice matériel ;

— condamné la CEPAL à payer à Mme [M] et Mme [G] la somme de 750 euros chacune au titre de leurs frais irrépétibles ;

— débouté la CEPAL de sa demande au titre de ses frais irrépétibles ;

— condamné la CEPAL aux entiers dépens y compris frais d’aide juridictionnelle ;

— dit n’y avoir lieu à application de l’article 699 du code de procédure civile ;

— rappelé l’exécution provisoire de la décision.

Le tribunal a principalement énoncé qu’en application des dispositions des articles 133-7 et 133-23 du code monétaire et financier la CEPAL ne rapportait pas la preuve que les opérations ont été validées par Mme [G] ; qu’en tant que professionnelle avisée, elle ne s’est pas questionnée sur la modification de l’appareil de confiance et qu’elle n’avait effectué aucune vérification sur ces virements ; qu’enfin, il ne saurait être retenu, eu égard aux circonstances, aucune négligence grave de Mme [G].

Par déclaration du 15 juillet 2024, la CEPAL a interjeté appel du jugement en toutes ses dispositions.

Par conclusions notifiées par voie électronique le 07 février 2025, la CEPAL demande à la cour de :

— infirmer le jugement ;

Statuant à nouveau

— à titre principal :

— constater qu’elle démontre que les opérations contestées ont été réalisées par authentification forte et qu’elles sont donc autorisées ;

— constater qu’elles ont été dûment enregistrées et comptabilisées et qu’elles n’ont pas été affectées par une déficience technique ;

— constater que la fraude dont s’estiment victimes Mmes [G] et [M] est la conséquence d’une grande imprudence de Mme [G] dans la conservation de ses données bancaires ;

— débouter Mmes [G] et [M] de l’intégralité de leurs demandes, fins et conclusions ;

— à titre subsidiaire si la cour, entrait en voie de condamnation à l’égard de la concluante,

— condamner Mme[G] à la garantir de toute condamnation mise à sa charge au bénéfice de Mme [S] [M] ;

— en tout état de cause condamner Mme [R] [G] et Mme [S] [M] à lui payer la somme de 3 000 euros sur le fondement des dispositions de l’article 700 du code de procédure civile.

Au soutien de ses prétentions, elle fait valoir que l’authentification forte a été mise en place et utilisée par Mme [G] lors des virements via l’application Sécur’Pass et qu’en conséquence, le paiement a été autorisé ; que l''enregistrement d’un nouvel appareil sur cette application est soumis au même niveau de sécurité que celui de la création d’un compte Sécur’Pass et nécessite un numéro de téléphone, un identifiant, un mot de passe et un code à 6 chiffres.

Elle soutient que Mme [G] a commis plusieurs négligences graves notamment en transmettant ses données d’accès à Direct Ecureuil à un tiers, en validant l’accès au tiers à son espace Direct Ecureuil, en activant l’application Sécur’Pass sur le téléphone d’un tiers et en ne régissant pas aux SMS reçus après cette activation. Enfin, elle fait valoir l’absence de défaillance du système.

Par conclusions notifiées par voie électronique le 07 janvier 2025, Mme [G] et Mme [M] demandent à la cour de :

— confirmer le jugement ;

— y ajoutant :

— condamner la CEPAL à payer à chacune la somme de 1.500 euros au titre de leur frais irrépétibles d’appel ;

— condamner la CEPAL aux entiers dépens d’appel en ce compris ceux dus au titre de l’aide juridictionnelle.

Au soutien de leurs prétentions, Mme [G] fait valoir qu’elle a été victime de phishing en installant l’application Sécuri’Pass et qu’il ne saurait lui être reproché un défaut de vigilance. Elles soutiennent qu’il est acquis en jurisprudence que la seule utilisation des identifiants par le client ne suffit pas à établir une négligence grave et que la banque n’a procédé à aucune vérification lors de la modification de l’appareil de confiance.

Il sera renvoyé pour l’exposé complet des demandes et moyens des parties à leurs dernières conclusions.

L’ordonnance de clôture a été rendue le 20 février 2025.

MOTIFS :

1- sur la demande en remboursement formée par Mme [G] :

A titre liminaire, il convient de rappeler que dès lors que la responsabilité d’un prestataire de services de paiement est recherchée en raison d’une opération de paiement non autorisée ou mal exécutée, seul est applicable le régime de responsabilité défini aux articles L. 133-18 à L. 133-24 du code monétaire et financier; de sorte que ses demandes ne peuvent prospérer sur le droit commun tel que le devoir de vigilance (Com. 15 janv. 2025, FS-B, n° 23-13.579, Com. 15 janv. 2025, FS-B, n° 23-15.437).

a- sur le caractère autorisé des opérations :

L’article L. 133-6 I du code monétaire financier dispose qu’une opération de paiement est autorisée si le payeur a donné son consentement à son exécution. Ainsi, une opération de paiement est réputée autorisée, au sens du code monétaire et financier, que si le payeur, qui donne un ordre de paiement à son prestataire de service de paiement, a consenti à son bénéficiaire et au montant de l’opération.

L’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur

En l’espèce, il est établi que suite à la réception par Mme [G] d’un sms frauduleux lui demandant d’enregistrer l’application Sécur’Pass sur son portable, un tiers a intercepté ses données de connexion et a enregistré le 1er juin 2022 entre 21h28 et 21 h30 son propre téléphone portable comme appareil de confiance sur l’application mobile Direct Ecureuil de Mme [G] (pièce 10 de la banque). Ensuite, cette tierce personne, qui possédait désormais les codes pour accéder à l’espace personnel de Mme [G] sur le site internet de la banque, a elle-même procédé à deux virement des comptes de Mme [M] sur le compte de dépôt de Mme [G] (soit 1 500 euros en provenance de son livret jeune et 1 700 euros en provenance de son livret A) puis a enregistré un nouveau bénéficiaire le 4 juin à 23h14 et a procédé à un virement au bénéfice de Mme [O] [C] du compte de Mme [G] le 4 juin 2022 à 23h25 pour un montant total de 2 500 euros. Le compte de dépôt de Mme [M] a été également débité au profit de Mme [O] [C] d’un montant de 2 245 euros le 4 juin 2022 à 23h20 (pièces 5 à 8). Ces opérations ont été rendu possible par le fait que Mme [G] avait procuration sur le compte de sa fille.

La banque ne conteste pas que Mme [G] a été victime d’une fraude mais soutient que dès lors qu’elle démontre qu’elle a mis en place l’authentification forte et l’utilisation de l’authentification forte par le demandeur pour les opérations contestées, Mme [G] a donné son consentement selon les formes contractuellement prévues de sorte que ces opérations sont autorisées.

Il est établi que les virements litigieux ont été réalisés selon la procédure d’authentification forte mise en place par la banque au sens des textes précités, ce qu’attestent les traces informatiques de l’espace en ligne produites par la banque. (pièce 10). Cependant, ce virement frauduleux n’a pas été matériellement réalisé par Mme [G] dès lors que suite à la fraude, la tierce personne a récupéré ses données personnelles puis a procédé elle-même aux opérations contestées. Dès lors, Mme [G] n’a pas consenti sciemment aux opérations litigieuses tant dans leur principe que dans leur quantum de sorte que les opérations litigieuses ne peuvent s’analyser en des opérations autorisées au sens du code monétaire et financier.

b- sur la négligence grave :

Aux termes de l’article L. 133-18 du code monétaire et financier, en cas d’opération de paiement non autorisée signalée par l’utilisateur dans les délais prévus par l’article L.133-24 du même code, le prestataire de services de paiement du payeur rembourse à ce dernier le montant de l’opération non autorisée sauf s’il a de fortes suspicions de soupçonner une fraude de l’utilisateur du service de paiement.

En application de l’article L. 133-19, IV du code monétaire et financier le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent des agissements frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17.

Selon l’article L. 133-23 du même code, lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre.

En application de ces textes, le teneur de compte est tenu de rapporter la preuve d’une négligence grave dans la conservation des données de sécurité par le titulaire du compte pour s’exonérer de cette responsabilité de plein droit. De telles dispositions, en cas de caractère non autorisé de l’opération, ne nécessitent pas de la part du demandeur, victime de la fraude, de rapporter la preuve de la faute de l’établissement bancaire.

Enfin, la seule fourniture par la banque du justificatif établissant que les paiements ont été validés après authentification forte ne suffit pas à dégager la banque de sa responsabilité, dès lors que cet élément est, en soi, insuffisant pour caractériser le manquement intentionnel ou la négligence grave du payeur.

Il convient dès lors de rechercher si Mme [G] peut se voir reprocher une négligence grave au sens des articles L.133-16, L.133-17 et L.133-19 IV et suivants du code monétaire et financier faisant obstacle à son indemnisation.

En l’espèce, Mme [G] dit avoir été victime d’un phishing et avoir été victime d’une fraude en répondant à un sms reçu du '38018" lui demandant d’installer l’application Secur’Pass sur son mobile. Dans son courrier adressé à la banque le 10 juin 2022, Mme [G] explique qu’elle a installé Sécur’Pass le 1er juin 2022 après avoir rentré les deux codes comme demandé (pièce 9). Elle justifie avoir reçu un code de sécurité à saisir sur son mobile puis plusieurs sms lui disant que le nouveau Sécur’Pass est en cours de synchronisation (pièces1 et 2)

De son côté, la banque ne conteste que Mme [G] a été victime d’un 'smisshing’ mais lui reproche à Mme [G] d’avoir répondu à ce sms frauduleux alors qu’elle avait déjà installé le 28 mars 2021 l’application Sécur’Pass sur son mobile.

Il convient de relever que les messages reçus, qui comportent des informations crédibles, n’étaient affectés, comme l’a relevé à juste titre le premier juge, que d’erreurs minimes qui n’étaient pas de nature à affecter le sens du texte ou à le rendre suspect. A cet égard, il convient de relever que les mises à jour en matière de protection informatique se font de manière répétée et fréquente de sorte que Mme [G], en recevant les messages et en l’absence d’indice permettant à un utilisateur normalement attentif de douter de leur provenance, a pu légitimement penser que la demande d’installation du nouveau Sécur’Psss était sérieuse et émanait de sa banque et n’a donc pu avoir conscience de son caractère frauduleux.

Ainsi, si Mme [G] a transmis ses identifiants Direct Ecureuil suite au sms frauduleux cela s’explique par le fait qu’elle pouvait raisonnablement croire que le message provenait de sa banque. De surcroît, il convient de relever que la banque ne justifie pas avoir adressé un mail ou un sms à Mme [G] l’informant, à la suite de cette opération, qu’un nouvel appareil de confiance avait été installé, en l’occurrence un Iphone ce qui l’aurait sans aucun doute alerté sur la fraude dont elle venait d’être victime, elle-même ayant comme appareil de confiance un téléphone Android.

Enfin, il est établi par les pièces produites que dès que Mme [G] a reçu un sms le 4 juin 2022 à 23h14 l’informant de l’enregistrement d’un nouveau bénéficiaire dont elle n’était pas à l’origine, elle a immédiatement cherché à contacter sa banque et a fait opposition à deux cartes bancaires puis est allée le 6 juin 2022 déposer plainte avec sa fille auprès des services de gendarmerie après voir constaté les virements frauduleux (pièce 4).

Dès lors, les agissements de Mme [G] ne peuvent être constitutifs d’une négligence grave. Dans ces conditions il y a lieu de faire application des dispositions de l’article L 133-18 du code monétaire et financier Mme [G] ayant rempli les obligations qui lui incombaient relativement à la sécurisation de son compte, au signalement des opérations litigieuses dans les délais requis, la fraude ou la négligence grave de sa part n’ayant pas été démontrée par la défenderesse.

Le jugement déféré sera donc confirmé en ce qu’il a condamné la CEPAL à payer à Mme [M] la somme de 4 745 euros pour les fonds prélevés indûment sur son compte bancaire avec intérêts au taux légal à compter du 28 mars 2023.

En revanche, il y a lieu de rejeter la demande en dommages-intérêts formée par les intimées au titre de leur préjudice moral et matériel laquelle ne saurait prospérer sur le fondement du droit spécial des articles L. 133-18 à L. 133-24 du code monétaire et financier, ces dispositions excluant de rechercher en outre la responsabilité de la banque sur le terrain d’un manquement au devoir de vigilance.

Le jugement sera donc infirmé de ce chef.

Sur les dépens et les frais irrépétibles :

La CEPAL, qui succombe, sera condamnée aux dépens d’appel ainsi qu’à payer à Mme [M] et à Mme [G] chacune la somme de 1 700 euros au titre des dispositions de l’article 700 du code de procédure civile.

PAR CES MOTIFS

La cour, statuant publiquement, par jugement contradictoire, en dernier ressort, par mise à disposition au greffe ;

Confirme le jugement déféré sauf en ce qu’il a condamné la Caisse d’épargne et de prévoyance d’Auvergne et du Limousin à payer à Mme [S] [M] la somme de 500 euros à titre de dommages-intérêts et à Mme [R] [G] la somme de 500 euros à titre de dommages-intérêts et la somme de 27,40 euros au titre de son préjudice matériel;

Statuant à nouveau

Déboute Mme [S] [M] et Mme [R] [G] de leur demande en dommages et intérêts au titre de leur préjudice moral et Mme [R] [G] de sa demande au titre de son préjudice matériel ;

Condamne la Caisse d’épargne et de prévoyance d’Auvergne et du Limousin à payer à Mme [S] [M] et à Mme [R] [G] chacune la somme de 1 700 euros au titre des dispositions de l’article 700 du code de procédure civile ;

Condamne la Caisse d’épargne et de prévoyance d’Auvergne et du Limousin aux dépens d’appel.

Le greffier La présidente