COUR D’APPEL

DE RIOM

Troisième chambre civile et commerciale

ARRET N°220

DU : 04 juin 2025

N° RG 24/01384 – N° Portalis DBVU-V-B7I-GHMB

ADV

Arrêt rendu le quatre juin deux mille vingt cinq

décision dont appel : Jugement Au fond, origine TJ hors JAF, JEX, JLD, J. EXPRO, JCP de CLERMONT-FERRAND, décision attaquée en date du 31 Juillet 2024, enregistrée sous le n° 23/04497 (ch1 cab2)

COMPOSITION DE LA COUR lors des débats et du délibéré :

M^me Annette DUBLED-VACHERON, Présidente de chambre

M^me Sophie NOIR, Conseiller

Madame Anne Céline BERGER, Conseiller

En présence de : M^me Valérie SOUILLAT, Greffier, lors de l’appel des causes et du prononcé

ENTRE :

BANQUE POPULAIRE AUVERGNE RHONE ALPES,

Société Anonyme Coopérative de Banque Populaire à capital variable immatriculée au RCS de LYON sous le n° 605 520 071 02384

[Adresse 1]

[Localité 5]

Représentant : M^e Christine ROUSSEL-SIMONIN de la SELARL DIAJURIS, avocat au barreau de CLERMONT-FERRAND (postulant) et M^e Prisca WUIBOUT de la SELARL UNITE DE DROIT DES AFFAIRES, avocat au barreau de SAINT-ETIENNE (plaidant)

APPELANTE

ET :

M. [U] [G]

[Adresse 2]

[Localité 4]

Représentant : M^e Géraud MANEIN, avocat au barreau de CLERMONT-FERRAND

Mme [S] [G]

[Adresse 2]

[Localité 3]

Représentant : M^e Géraud MANEIN, avocat au barreau de CLERMONT-FERRAND

INTIMÉS

DEBATS : A l’audience publique du 06 Février 2025 Madame DUBLED-VACHERON a fait le rapport oral de l’affaire, avant les plaidoiries, conformément aux dispositions de l’article 804 du CPC. La Cour a mis l’affaire en délibéré au 26 Mars 2025, prorogé au 21 mai 2025puis au 04 juin 2025.

ARRET :

Prononcé publiquement le 04 juin 2025, par mise à disposition au greffe de la Cour, les parties en ayant été préalablement avisées dans les conditions prévues au deuxième alinéa de l’article 450 du code de procédure civile ;

Signé par M^me BERGER, conseiller pour la Présidente empêchée, et par M^me Valérie SOUILLAT, Greffier, auquel la minute de la décision a été remise par le magistrat signataire.

M. [U] [G] et Mme [S] [G], titulaires d’un compte courant à la Banque Populaire Auvergne-Rhône-Alpes, ont été victimes d’une escroquerie le 9 octobre 2023, entraînant deux prélèvements frauduleux de 2.317 euros et 6.500 euros. Une plainte a été déposée le 11 octobre 2023 auprès de la gendarmerie de [Localité 6].

Le 13 octobre 2023, ils ont signalé à leur banque avoir été victimes d’un phishing, déclenché par un faux mail de renouvellement de carte SNCF et un appel frauduleux d’un prétendu agent de sécurité bancaire. Ils ont demandé le remboursement des sommes prélevées.

Le 15 novembre 2023, la banque a refusé leur demande, proposant un geste commercial de 1.500 euros, que les époux [G] ont rejeté.

Le 28 novembre 2023, ils ont assigné la Banque Populaire Auvergne-Rhône-Alpes devant le tribunal judiciaire de Clermont-Ferrand, réclamant le remboursement d’une somme de 8.817 euros et l’indemnisation de leurs préjudices.

Par jugement du 31 juillet 2024, le tribunal judiciaire de Clermont-Ferrand, statuant par jugement contradictoire, a :

— condamné la Banque Populaire Auvergne-Rhône-Alpes à payer à M. [U] [G] et Mme [S] [G] la somme de 8.817 euros à titre de remboursement des opérations de paiement frauduleuses réalisées le 10 octobre 2021 ;

— rejeté la demande de M. [U] [G] et Mme [S] [G] en paiement de la somme de 2.500 euros à chacun pour préjudice moral ;

— condamné la Banque Populaire Auvergne-Rhône-Alpes aux dépens ;

— accordé à M^e Géraud Manein, Avocat, le bénéfice des dispositions de l’article 699 du code de procédure civile,

— condamné la Banque Populaire Auvergne-Rhône-Alpes à payer à M. [U] [G] et Mme [S] [G] la somme de 1.500 euros au titre de l’article 700 du code de procédure civile ;

— dit n’y avoir lieu à écarter l’exécution provisoire du jugement.

Pour statuer comme il l’a fait, le tribunal a essentiellement retenu que :

— il incombe au prestataire de services de paiement de démontrer la négligence grave de ses clients ;

— les époux [G] ne sont pas à l’origine de ces virements ; qu’ils n’ont pas consentis à ces virements de sorte qu’ils ne peuvent être considérés comme autorisés au sens de l’article L133-6 alinéa 1er du code monétaire et financier ;

— que M. [G] croyait être en contact avec un conseiller de sa banque et n’a pas communiqué son code personnel par téléphone ou mail ; que le numéro de téléphone de son interlocuteur apparaissait comme celui de la plateforme d’assistance pour effectuer opposition à une carte bancaire ; que le mode opératoire des escrocs a pu mettre en confiance M. [G] et diminuer sa vigilance ; que M. [G] n’a pas attendu pour indiquer qu’il faisait l’objet d’une escroquerie.

Par déclaration du 30 août 2024, la Banque Populaire Auvergne-Rhône-Alpes a interjeté appel de cette décision.

Suivant ses dernières conclusions déposées et notifiées le 3 janvier 2025, l’appelante demande à la cour de :

— déclarer recevables et bien fondées ses demandes ;

— infirmer le jugement rendu par le tribunal judiciaire de Clermont-Ferrand le 31 juillet 2024, sauf en ce qu’il a débouté M. [U] [G] et Mme [S] [G] de leur demande au titre du préjudice moral ;

Statuant à nouveau :

— rejeter l’ensemble des demandes de M. [U] [G] et Mme [S] [G] ;

— condamner M. [U] [G] et Mme [S] [G] à lui payer la somme de 3.500 euros au titre de l’article 700 du code de procédure civile ;

— condamner les mêmes aux entiers dépens de l’instance dont distraction sera faite au profit de la SELARL Diajuris, sur son affirmation de droit conformément à l’article 699 du code de procédure civile.

Au soutien de ses prétentions, elle fait valoir:

— que les opérations ont été authentifiées, dûment enregistrées et comptabilisées et que le système n’a pas été affecté d’une déficience technique ;

— que M. [G] a manifestement été négligeant ; qu’il a renseigné les éléments de sécurisation du couple d’abord en exécutant le paiement puis en validant les opérations litigieuses ; que les époux [G] n’ont pas satisfait, par négligence grave, aux obligations qui leur incombaient au titre de l’article L.133-16 du code monétaire et financier ;

— qu’elle n’est pas tenue de supporter les pertes occasionnées par aucune obligation, ni contractuelle, ni légale.

Dans ses dernières conclusions déposées et notifiées le 18 novembre 2024, M. [U] [G] et Mme [S] [G] demandent à la cour de :

— confirmer le jugement en ce qu’il a :

— condamné la Banque Populaire Auvergne-Rhône-Alpes à leur payer la somme de 8.817 euros à titre de remboursement des opérations de paiement frauduleuses réalisées le 10 octobre 2021 ;

— condamné la Banque Populaire Auvergne-Rhône-Alpes aux dépens ;

— accordé à M^e Géraud Manein, Avocat, le bénéfice des dispositions de l’article 699 du code de procédure civile,

— condamné la Banque Populaire Auvergne-Rhône-Alpes à leur payer la somme de 1.500 euros au titre de l’article 700 du code de procédure civile ;

— dit n’y avoir lieu à écarter l’exécution provisoire du jugement.

— réformer le jugement en ce qu’il a rejeté leur demande en paiement de la somme de 2.500 euros à chacun pour préjudice moral ;

Statuant à nouveau :

— condamner la Banque Populaire Auvergne-Rhône-Alpes à leur payer la somme de 8.817 euros au titre des sommes détournées ;

— condamner la même à leur payer la somme de 2.500 euros chacun au titre de leur préjudice moral ;

— condamner la même à leur payer la somme de 3.500 euros au titre de l’article 700 du code de procédure civile ;

— condamner la même aux entiers dépens, dont distraction au profit de M^e Manein sur ses affirmations de droit.

Ils répliquent que :

— que M. [G] s’est montré prudent et vigilant ; qu’il a même pris la peine d’enregistrer le numéro de la plateforme de sécurité sur son téléphone ; qu’il pensait ainsi être en contact avec un salarié de la banque

— qu’il a cru légitimement valider une opération demandée par le centre d’opposition carte bancaire ; que le mode opératoire dit de « spoofing » a mis M. [G] en confiance et a diminué sa vigilance ;

— qu’il n’a pas communiqué son code confidentiel à une personne tierce mais l’a seulement saisi sur son application, dont la banque garantit qu’elle est sécurisée ;

— qu’il a communiqué son numéro de carte dans le cadre du phishing, pratiqué par les mêmes fraudeurs et qui constitue la première étape de l’opération de spoofing ; qu’il n’a pas communiqué son code confidentiel ; qu’il ne saurait lui être reprocher une négligence grave ;

— que la banque ne peut leur reprocher une négligence du fait du piège dont ils ont été victimes ; qu’elle ne peut pas non plus leur reprocher leur manque de vigilance lors d’un appel téléphonique plutôt que lors de la réception d’un mail par exemple ; que les failles de son système et de son application bancaire sont présentes et ont été exploitées par les auteurs du spoofing ;

— que la banque fait preuve de mauvaise foi en ignorant délibérément ses obligations légales et contractuelles ; qu’il doit lui être reproché une résistance abusive.

Il sera renvoyé pour l’exposé complet des demandes et moyens des parties, à leurs dernières conclusions, conformément aux dispositions de l’article 455 du code de procédure civile.

L’ordonnance de clôture a été rendue le 9 janvier 2025.

MOTIFS :

Les opérations litigieuses ayant été réalisées en mars 2022, ce sont les dispositions issues de l’ordonnance N°2017-1252 du 9 août 2017, entrée en vigueur le 13 janvier 2018, ayant transposé en droit français la directive 2015/2366/UE du 25 novembre 2015 sur les services de paiement dite DSP2, qui sont applicables.

L’article L. 133-15, I, dans sa rédaction issue de l’ordonnance n° 2017-1252 du 9 août 2017, énonce :

« I. – Le prestataire de services de paiement qui délivre un instrument de paiement doit s’assurer que les données de sécurité personnalisées telles que définies à l’article L. 133-4 ne sont pas accessibles à d’autres personnes que l’utilisateur autorisé à utiliser cet instrument. »

L’article 133-16, dans sa rédaction applicable en l’espèce, dispose :

« Dès qu’il reçoit un instrument de paiement, l’utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés. Il utilise l’instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation qui doivent être objectives, non discriminatoires et proportionnées. »

Conformément à l’article L. 133-4 du code monétaire et financier, le dispositif de sécurité personnalisé s’entend des données personnalisées fournies à un utilisateur de services de paiement par le prestataire de services de paiement à des fins d’authentification. Ce dispositif, propre à l’utilisateur de services de paiement et placé sous sa garde, vise à l’authentifier.

L’article L. 133-19 du code monétaire et financier, qui figure dans la section intitulée

« Contestation et responsabilité en cas d’opération de paiement non autorisée », énonce :

«  II. La responsabilité du payeur (le titulaire du compte ou de la carte bancaire) n’est pas engagée si l’opération de paiement non autorisée a été effectuée en détournant, à son insu, l’instrument de paiement ou les données qui lui sont liées (…)

IV. Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 [obligation de prendre toute mesure raisonnable pour préserver la sécurité du dispositif de sécurité personnalisé] et L. 133-17. "

L’article L.133-23 du même code, inséré dans la section intitulée « Modalités pratiques et délais en cas d’opération de paiement non autorisées ou mal exécutée » dispose en son alinéa 1 : « Lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre. »

La charge de la preuve de la régularité de l’autorisation pèse donc sur le prestataire de services de paiement, qui doit établir que l’ordre émane bien de l’utilisateur du service.

L’alinéa 2 précise :

« L’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière. Le prestataire de services de paiement, y compris, le cas échéant, le prestataire de services de paiement fournissant un service d’initiation de paiement, fournit des éléments afin de prouver la fraude ou la négligence grave commise par l’utilisateur de services de paiement. »

Il incombe à la Banque Populaire Auvergne-Rhône-Alpes, prestataire de service de paiement, de démontrer la négligence grave de son client, étant observé qu’il est jugé que la preuve d’une telle négligence de l’utilisateur d’un service de paiement ou des données personnelles qui lui sont liées et qu’aucune présomption ne doit être attachée à l’infaillibilité supposée des instruments de paiement fortement sécurisées dès lors que le risque de la fraude ne pèse pas sur l’utilisateur.

En l’espèce, il résulte des explications constantes des époux [G] et notamment de leur déposition lors de leur dépôt de plainte au commissariat que :

— le 9 octobre 2023, M. [U] [G] a été victime de phishing suite à un mail frauduleux lui indiquant un renouvellement de sa carte avantage senior SNCF Connect ; il a donné suite à ce mail en réalisant un paiement de 1 euro ;

— il a ensuite formé opposition à sa carte bancaire le 10 octobre 2023 dans la matinée ;

— en début d’après-midi, il a reçu un appel du 01 77 86 24 24, enregistré par ses soins dans ses contacts comme étant le numéro afférent au service « Visa Opposition » de sa banque ;

— la personne au téléphone se présentait comme un agent de la plateforme de sécurité nationale des cartes visa et lui a expliqué les démarches à suivre ; elle lui a indiqué que des transactions anormales étaient en cours de traitement et qu’une tentative de débit frauduleux était en cours; que suite à son opposition, il devait intervenir rapidement pour stopper ces transactions et, pour cela, se connecter sur son application bancaire ;

— le faux conseiller lui a demandé de valider via l’application bancaire certaines transactions afin qu’il puisse les rejeter; M. [U] [G] a donc suivi les directives de l’agent et a validé à 4 reprises des opérations mais seules deux opérations sur quatre ont été validées à concurrence de 2.317 euros et de 6.500 euros ;

— le faux conseiller lui a assuré que les opérations validées allaient être annulées et le montant des sommes allait lui être remboursé d’ici 4 à 5 heures et l’appel a pris fin ;

— il a constaté a posteriori qu’il venait d’être victime d’une escroquerie et que son compte courant et son livret A étaient vides ; deux virements ont été effectués l’un de 6.500 euros au profit de M. [V] [K] et l’autre de 2.317 euros au profit de M. [J] [R].

Contrairement à ce qu’indique la banque, en réglant sur un faux site la somme de 1 euros et en transmettant à cette occasion ses numéros de carte bancaire, M. [G] n’a pas transmis de données confidentielles, tout paiement en ligne supposant la communication de ces numéros. Ces numéros ne sont pas assimilables aux données personnalisées fournies à un utilisateur de services de paiement par le prestataire de services de paiement à des fins d’authentification.

Il n’est en revanche pas contesté que M. [G] a validé les opérations demandées sur son application Secur’Pass.

M. [G] a indiqué avoir validé à 4 reprises 4 virements dont deux ont été rejetés mais il apparaît que préalablement, le même jour un virement de 6540 euros a été réalisé pour alimenter le compte-chèques (aucun virement ne pouvant être fait à partir d’un livret). Le montant de ce virement (6 450 euros) est différent de celui du virement autorisé par M. [G] (6 500 euros). M. [G] n’a jamais indiqué avoir autorisé ce transfert de fonds sans lequel les virements frauduleux n’auraient pu prospérer faute de fonds disponible sur le compte.

Il s’agit par ailleurs de virements à des particuliers inconnus de M. [G] qui n’étaient donc pas sur sa liste de bénéficiaires. La banque n’explique pas comment ces bénéficiaires ont pu être créés alors qu’elle ne démontre pas que son client a le même jour, ajouté à son espace personnel [R] [J] et [K] [V].

Ainsi, si M. [G] a effectivement validé 4 virements via le Secur’Pass, il apparaît que cette escroquerie a été rendue possible grâce à une faille technique.

S’il ressort des déclarations effectuées par M. [U] [G] et du mode opératoire des virements litigieux, que celui-ci a validé par clé digitale en validant la notification reçue sur son smartphone à l’aide de son code secret personnel, il n’est pas pour autant caractérisé une négligence grave à son encontre dès lors qu’il croyait être en relation avec un salarié de la Banque Populaire Auvergne-Rhône-Alpes, le numéro d’appel de son interlocuteur apparaissant comme étant celui de la plateforme d’assistance pour effectuer opposition à sa carte bancaire et qu’il a cru valider la notification litigieuse sur son application bancaire dont la banque assure qu’il s’agit d’une application sécurisée ; le mode opératoire, par l’utilisation du « spoofing », soit littéralement une usurpation d’identité, a mis M. [U] [G] en confiance et a diminué sa vigilance, étant observé que face à un appel téléphonique évoquant de surcroît un piratage, la vigilance de la personne qui reçoit cet appel est moindre que celle d’une personne qui réceptionne un mail, laquelle dispose de davantage de temps pour en prendre connaissance et s’apercevoir d’éventuelles anomalies révélatrices de son origine frauduleuse. Com., 23 octobre 2024, n° 23-16.267, (B), FS

En outre, M. [U] [G] n’a aucunement tardé dans la révélation de ces virements frauduleux à sa banque.

Dans ces circonstances, quand bien même M. [U] [G] a fait usage de son code confidentiel, étant observé qu’il n’est pas démontré qu’il l’a communiqué au téléphone mais qu’il a indiqué l’avoir saisi sur son application, il n’est pas caractérisé à son égard une négligence grave.

La banque est donc tenue de restituer les fonds correspondant aux virements litigieux.

Sur la demande en dommages-intérêts formée par M. et Mme [G] :

Au visa des dispositions de l’article 1231-1 du code civil, les intimés sollicitent la condamnation de la BPAURA à leur verser une somme de 2.500 euros chacun au titre d’un préjudice moral, causé par la résistance abusive de la banque.

L’appelante rappelle à juste titre que le régime du code monétaire et financier est exclusif de sorte que les intimés ne peuvent rechercher sa responsabilité sur un autre fondement.

En outre, le tribunal a justement considéré que M. et Mme [G] ne justifiaient pas du préjudice allégué.

Au regard des éléments de motivation susvisés le jugement sera entièrement confirmé.

Sur les dépens et les frais irrépétibles :

Succombant à l’instance, la Banque Populaire Auvergne-Rhône-Alpes sera condamnée aux dépens d’appel.

En outre, la Banque Populaire Auvergne-Rhône-Alpes sera condamnée à payer à M. et Mme [G] la somme de 2.500 euros au titre des dispositions de l’article 700 du code de procédure civile.

PAR CES MOTIFS :

La cour, statuant publiquement, contradictoirement, par arrêt mis à disposition au greffe,

Confirme le jugement entrepris par motifs partiellement substitués ;

Y ajoutant,

Condamne la Banque Populaire Auvergne-Rhône-Alpes Auvergne à payer à M. [U] [G] et Mme [S] [G] la somme de 2.500 euros au titre des dispositions de l’article 700 du code de procédure civile ;

Condamne la SA Banque Populaire Rhône Alpes Auvergne aux dépens d’appel dont distraction au profit de M^e Manein sur ses affirmations de droit.

Le greffier Pour la présidente empêchée