COUR D’APPEL

DE RIOM

Troisième chambre civile et commerciale

ARRET N°174

DU : 21 Mai 2025

N° RG 24/00372 – N° Portalis DBVU-V-B7I-GENX

SN

Arrêt rendu le vingt et un Mai deux mille vingt cinq

Sur APPEL d’une décision rendue le 15 février 2024 par le Juge des contentieux de la protection du tribunal judiciaire de MOULINS (RG n° 11-23-000220)

COMPOSITION DE LA COUR lors du délibéré :

M^me Annette DUBLED-VACHERON, Présidente de chambre

M^me Sophie NOIR, Conseiller

Madame Anne Céline BERGER, Conseiller

En présence de : M^me Christine VIAL, lors de l’appel des causes et M^me Valérie SOUILLAT, Greffier, lors du prononcé

ENTRE :

La société BNP PARIBAS

SA immatriculée au RCS de Paris sous le n° 662 042 449 00014

[Adresse 2]

[Localité 3]

Représentants : M^e Sophie LACQUIT, avocat au barreau de CLERMONT-FERRAND

(postulant) et Elodie aurore VALETTE du PARTNERSHIPS BRYAN CAVE LEIGHTON PAISNER (France) LLP, avocat au barreau de PARIS (plaidant)

APPELANTE

ET :

M. [S] [V]

[Adresse 5]

[Localité 1]

Représentants : M^e Jean-Michel DE ROCQUIGNY de la SCP COLLET DE ROCQUIGNY CHANTELOT BRODIEZ GOURDOU & ASSOCIES, avocat au barreau de CLERMONT-FERRAND (postulant) et M^e Nicolas TROUSSARD, avocat au barreau de TOURS (plaidant)

INTIMÉ

DÉBATS :

Après avoir entendu en application des dispositions de l’article 805 du code de procédure civile, à l’audience publique du 14 Janvier 2025, sans opposition de leur part, les avocats des parties, Madame NOIR, magistrat chargé du rapport, en a rendu compte à la Cour dans son délibéré.

ARRET :

Prononcé publiquement le 21 Mai 2025 par mise à disposition au greffe de la Cour, après prorogation du délibéré initialement prévu le 05 mars 2025, puis au 26 mars 2025, les parties en ayant été préalablement avisées dans les conditions prévues au deuxième alinéa de l’article 450 du code de procédure civile ;

Signé par M^me BERGER, conseiller pour la Présidente empéchée, et par M^me Valérie SOUILLAT, Greffier, auquel la minute de la décision a été remise par le magistrat signataire.

M. [S] [V] est titulaire d’un compte bancaire à l’agence de [Localité 6] de la SA BNP Paribas.

Le 2 août 2022 il a publié une annonce de vente d’un moteur de bateau au prix de 200 euros sur le site ' le bon coin.fr'. Une personne dénommée 'Mme [Z]' lui a alors proposé de réaliser la transaction via le site Paylib, ce qu’il a accepté de faire.

Le 2 août 2022 à 20h27, le compte bancaire de M. [S] [V] a été débité de la somme de 5 381 euros, créditée sur le compte bancaire [XXXXXXXXXX04] ouvert au nom de M. [T] [V], lequel avait été ajouté en bénéficiaire 10 minutes auparavant.

Le 2 août 2022, un paiement en ligne sur un site marchand de 1 735,79 euros a été réalisé à 20h31, suivi de deux autres achats en ligne de 433 euros (à 20h36) et de 385 euros (à 20h44).

M. [S] [V] a fait opposition le 2 août 2022 à 22h46 auprès des services de la banque.

A 23h51 le 2 août 2022, il a signalé à la SA BNP Paribas via la messagerie de son espace en ligne avoir été débité à tort d’une somme de 5381 euros et a demandé s’il était possible de bloquer ce virement.

M. [S] [V] a déposé deux plaintes le 3 août 2022 et le 25 août 2022.

N’ayant pas obtenu le remboursement de ces différentes sommes par la banque, M. [S] [V] a saisi le juge des contentieux de la protection du tribunal judiciaire de Moulins par acte du 7 septembre 2023 pour obtenir, outre le remboursement d’une somme de 7 737,09 euros, une indemnité de 2 000 euros pour préjudice moral.

Par jugement du 15 février 2024 le juge des contentieux du tribunal judiciaire de Moulins a :

— condamné la SA BNP Paribas à payer à M. [S] [V] la somme de 7 737,09 euros assortis des intérêts au taux légal majoré de 15 points à compter du 1er septembre 2022 ;

— condamné la SA BNP Paribas à payer à M. [S] [V] la somme de 1 000 euros au titre du préjudice moral ;

— débouté les parties du surplus de leurs demandes ;

— condamné la SA BNP Paribas aux dépens ;

— condamné la SA BNP Paribas à payer à M. [S] [V] la somme de 3 000 euros au titre des frais irrépétibles.

Le tribunal a considéré, au visa des articles 1937 du code civil, L 133-16 à L 133-19, L 133-23 et L 133-24 du code monétaire et financier dans leur rédaction résultant de la transposition par l’ordonnance n°2017-1252 du 9 août 2017 de la directive UE 2015/2366 du 25 novembre 2015 relative aux services de paiement, que :

— M. [S] [V] a déclaré avoir validé les virements litigieux par clé digitale en validant la notification reçue sur son smartphone à l’aide de son code secret personnel ;

— pour autant, il n’est pas caractérisé de négligence grave à son encontre dès lors qu’il croyait être en relation avec un conseiller du site de paiement Paylib, qu’il a cru valider la notification litigieuse sur son application bancaire dont la banque assure qu’elle est sécurisée et que le mode opératoire, par l’utilisation du spoofing, l’a mis en confiance et a diminué sa vigilance, qu’il n’a pas tardé à révéler à sa banque les virements frauduleux ;

— quand bien même il a utilisé son code confidentiel, il n’est pas démontré qu’il l’a communiqué à un tiers :

— client de la banque depuis plusieurs années, M. [S] [V] a été moralement affecté par le refus de remboursement de cette dernière au motif d’une négligence grave qu’elle ne justifie pas.

La SA BNP Paribas a interjeté appel de ce jugement le 5 mars 2024.

Dans ses dernières conclusions notifiées par RPVA le 27 décembre 2024 la SA BNP Paribas demande à la cour de :

— infirmer le jugement déféré ;

Statuant à nouveau :

— débouter M. [S] [V] de sa demande de remboursement des opérations litigieuses à hauteur de 7 737,09 euros ;

— débouter M. [S] [V] de sa demande de dommages-intérêts à hauteur de 1 000 euros ;

En tout état de cause :

— débouter M. [S] [V] de l’intégralité de ses demandes, fins et conclusions ;

— débouter M. [S] [V] de sa demande au titre de l’article 700 du code procédure civile ;

— condamner M. [S] [V] à lui payer la somme de 5 000 euros sur le fondement de l’article 700 du code civil.

Dans ses dernières conclusions notifiées par RPVA le 18 décembre 2024 M. [S] [V] demande à la cour de :

— confirmer en toutes ses dispositions le jugement déféré ;

— condamner la SA BNP Paribas à lui payer la somme de 6 000 euros au titre de l’article 700 du code de procédure civile ;

— condamner la SA BNP Paribas aux entiers dépens.

Pour plus ample relation des faits, de la procédure, des prétentions, moyens et arguments des parties, conformément aux dispositions de l’article 455 du code de procédure civile, il y a lieu de se référer à la décision attaquée et aux dernières conclusions régulièrement notifiées et visées.

L’ordonnance de clôture a été rendue le 9 janvier 2025.

MOTIFS :

Sur la demande de remboursement de la somme de 7 737,09 euros formée par M. [S] [V] :

Selon l’article L 133-18 du code monétaire et financier, dans sa version antérieure à la loi n°2022-1158 du 16 août 2022 : 'En cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L. 133-24, le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement et s’il communique ces raisons par écrit à la Banque de France. Le cas échéant, le prestataire de services de paiement du payeur rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu.'

Il résulte des articles L. 133-19, IV, et L. 133-23 alinéa 1 du code monétaire et financier que s’il entend faire supporter à l’utilisateur d’un instrument de paiement doté d’un dispositif de sécurité personnalisé les pertes occasionnées par une opération de paiement non autorisée rendue possible par un manquement de cet utilisateur, intentionnel ou par négligence grave, aux obligations mentionnées aux articles L. 133-16 et L. 133-17 de ce code, le prestataire de services de paiement doit au préalable prouver que l’opération en cause a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre.

Selon les articles L. 133-6 et L. 133-7 du code monétaire et financier, une opération de paiement est autorisée si le payeur a donné son consentement à son exécution, ce consentement étant donné sous la forme convenue entre le payeur et son prestataire de services de paiement.

La seule démonstration par le prestataire de services de paiement qu’un tel service, doté d’un dispositif de sécurité, a été utilisé, ne permet pas de présumer que l’utilisateur du service de paiement a donné son autorisation à l’opération de paiement litigieuse.

S’il appartient à l’utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d’informer sans tarder son prestataire de services de paiement de toute utilisation non autorisée de l’instrument de paiement ou des données qui lui sont liées, c’est à ce prestataire qu’il incombe, par application des articles L.133-19, IV et L.133-23 du même code, de rapporter la preuve que l’utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence grave à ses obligations ; cette preuve ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés.

En cas d’utilisation d’un dispositif de sécurité personnalisé, il appartient également au prestataire de prouver que l’opération en cause a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre.

En l’espèce, M. [S] [V] fait valoir au soutien de sa demande de remboursement du virement et des trois paiements en ligne frauduleux que :

— il n’est pas contesté que son espace bancaire en ligne a été piraté par un individu inconnu à compter du 2 août 2022, ce qui est à l’origine des opérations frauduleuses ;

— il n’a jamais divulgué ses identifiant et mot de passe pour accéder à son espace personnel et la SA BNP Paribas ne rapporte pas la preuve de ce qu’il a divulgué les coordonnées de sa carte Visa et de ce qu’il a validé les clés digitales, la pièce 3 de la banque étant inexploitable et ne permettant pas d’établir en quoi il a été défaillant ;

— la SA BNP Paribas reconnaît que ce n’est pas lui qui a ajouté un nouveau compte bénéficiaire au nom de [T] [V] ;

— la SA BNP Paribas n’a mis en place aucune mesure de sécurité spécifique en cas de connexion à son espace en ligne depuis un appareil étranger et notamment une alerte pour vérifier que la tentative de connexion repérée émane bien de lui ;

— la SA BNP Paribas ne peut donc soutenir avoir mis en place un système d’authentification forte tel que prévu à l’article L 133-4 du code monétaire et financier et, à partir du moment où il est possible de se connecter avec une adresse IP dont la banque ne s’est pas assurée qu’elle appartient au client, l’un des trois critères de l’authentification forte (le critère de possession) n’est pas rempli ;

— une fois le piratage découvert il a été extrêmement réactif puisqu’il a adressé une alerte à la banque le jour même ;

— malgré une première alerte auprès de sa banque dans l’heure qui a suivi la fraude, son compte a de nouveau fait l’objet de virements frauduleux ce qui démontre un manquement de la SA BNP Paribas à son obligation de vigilance ;

— une fois alertée, la SA BNP Paribas n’a pris aucune mesure de sécurité spécifique, aucune mesure conservatoire, aucun blocage du compte pour le mettre en sécurité ;

— la SA BNP Paribas ne justifie pas non plus d’une tentative de recall pour récupérer les fonds prélevés de manière frauduleuse comme prévu à l’article L 133-21 du code monétaire et financier ;

— les manquements de la SA BNP Paribas à ces différentes obligations sont à l’origine d’une perte de chance de pouvoir récupérer ses fonds.

La SA BNP Paribas s’oppose à la demande de remboursement aux motifs que :

— elle a mis en place pour le fonctionnement de l’espace en ligne (opérations d’ajouts de bénéficiaires, de virements externes et d’achats à distance) et les opérations en ligne de M. [S] [V] une authentification forte par clé digitale conforme à l’article L 133-4 du code monétaire et financier (code secret connu du seul client relié au smartphone de ce dernier sur lequel est installé le dispositif de clé digitale) ;

— dès lors que l’opération a été validée au moyen d’un système d’authentification forte par M. [S] [V], l’hypothèse d’une déficience technique du système de sécurisation des établissements, doit être écartée ;

— M. [S] [V] reconnaît avoir validé avec sa clé digitale à deux reprises le 2 août 2022 à 20h23 et à 20h27 le nouveau bénéficiaire '[T] [V]' et le virement ;

— les trois paiements en ligne effectués à 20h31, 20h36 et 20h44 le même jour ont également été dûment authentifiés au moyen de la clé digitale de M. [S] [V], ce qu’il reconnaît avoir fait sur instruction de la personne qui était en communication téléphonique avec lui ;

— la création d’un bénéficiaire de virement et l’émission d’un virement externe requièrent l’identifiant et le mot de passe confidentiel d’accès à l’espace en ligne BNP Paribas ainsi que leur validation par clé digitale ;

— étant tenue d’un devoir de non immixtion dans les affaires de son client, elle n’a pas à contrôler les adresses IP utilisées pour se connecter à leur espace en ligne ;

— tous ces éléments démontrent que les opérations frauduleuses ont été authentifiées, enregistrées et comptabilisées et qu’elles n’ont été affectées d’aucune déficience technique ;

— l’article 12.1 de l’annexe du contrat cadre 'convention de compte de dépôt’ impose aux titulaires de la carte bancaire de prendre toutes mesures pour préserver les données de sécurité personnalisée qui lui sont attachées ;

— M. [S] [V] a commis des négligences graves en violation des dispositions de l’article L133-16 du code monétaire et financier ayant permis aux fraudeurs de réaliser les opérations frauduleuses en :

— cliquant sur le lien l’ayant redirigé vers un site Internet frauduleux présenté comme une interface de paiement

— renseignant sur ce site Internet l’ensemble de ses données bancaires confidentielles (identifiant et mot de passe d’accès à son espace en ligne, numéro de sa carte bancaire, date d’expiration et cryptogramme visuel notamment)

— validant lui-même l’ajout d’un bénéficiaire de virement qu’il ne connaissait pas avant d’effectuer lui-même le virement externe frauduleux au moyen de sa clé digitale

— validant à trois reprises les opérations de paiement en ligne effectuées au moyen de sa carte bancaire

— suivant minutieusement l’ensemble des instructions d’une personne qu’il ne connaissait pas pour effectuer des opérations sans relation avec l’objet de la transaction à savoir la vente d’un moteur de bateau

— validant chacune des 4 opérations en toute connaissance de cause ;

— validant au moyen de sa clé digitale les 3 opérations d’achat en ligne alors qu’il savait depuis 20h28 qu’un virement frauduleux avait été initié à partir de son compte bancaire et en attendant 23h16 pour modifier son mot de passe ;

— l’article L133-21 du code monétaire et financier ne lui impose pas de diligenter une procédure de rappel des fonds en cas d’opérations autorisées.

Il ressort des deux procès-verbaux de dépôt de plainte de M. [S] [V] en date du 3 août 2022 et du 25 août 2022 que, suite à la publication d’une annonce sur le site ' le bon coin.fr’ le 2 août 2022 M. [S] [V] a reçu le jour même en fin d’après-midi un appel téléphonique d’une personne se présentant comme étant Mme [Z], lui indiquant être intéressée par son offre, et lui proposant d’acheter son moteur de bateau au moyen d’un virement via le site Paylib. Suite à son accord, cette personne lui a envoyé 'un SMS de validation avec un lien’ sur lequel M. [S] [V] a cliqué. Une interface de paiement lui est alors apparue. Il a ensuite créé son compte et inscrit ses coordonnées bancaires. Il a également reçu un appel d’une personne se présentant comme un conseiller du site de paiement Paylib lui demandant de confirmer son accord sur la transaction et lui proposant de l’aider ' à faire les démarches’ du fait de sa qualité de nouveau membre du service de paiement Paylib. Son correspondant téléphonique lui a ensuite demandé de valider des clés digitales 'vierges', ' les mêmes que les conseillers BNP lors d’une authentification'. Il explique que grâce à ces validations, son interlocuteur a pu opérer le virement de 5 183 euros via un compte bénéficiaire qu’il a rajouté lui-même, puis trois virements à partir de son compte chèque d’une valeur totale de 2 550,09 euros. Il indique que s’étant rendu compte de cette fraude vers 22 heures le 2 août 2022, il a tenté en vain d’appeler le service d’urgence la banque qui était fermé depuis 22 heures, qu’il a fait opposition à sa carte bancaire le soir même et qu’il a contacté la SA BNP Paribas le lendemain à huit heures.

Ainsi, il apparaît que M. [S] [V], en répondant au sms frauduleux et en se connectant sur un faux site Paylib, a été victime d’un hameçonage (phising) qui a permis à des tiers de récupérer ses données bancaires. Au vu des circonstances frauduleuses dans lesquelles ces données ont été récupérées par un tiers se présentant sous la fausse apparence de représentant d’un site de paiement en ligne et à défaut de tout élément permettant de caractériser l’existence d’anomalies grossières ou de sérieuses irrégularités qui auraient dû attirer son attention sur une possible fraude, le fait que M. [S] [V] ait cliqué sur le lien envoyé par les faussaires, renseigné ses données bancaires et obéit aux instructions d’une personne qu’il pensait de bonne foi être un conseiller de la société Paylib ne revêtent pas de caractère fautif.

La société BNP Paribas verse aux débats (pièce 3) un listing des opérations réalisées sur le compte bancaire de M. [S] [V] entre le 31 juillet 2022 à 22h05 et le 2 août 2022 à 23h51.

Il ressort de ce listing qu’une première connexion, via une adresse IP différente de celles utilisées habituellement par M. [S] [V], s’est produite le 2 août 2022 à 20h20.

Trois minutes plus tard, à 20h23, un nouveau RIB au nom de [T] [V] a été créé et à 20h24 l’activation du bénéficiaire de ce RIB a été réalisée au moyen de la clé digitale, à partir de la même IP étrangère.

En revanche, cette pièce ne démontre pas que M. [S] [V] a validé le virement externe frauduleux et les trois achats en ligne au moyen de sa clé digitale.

En effet, ce listing ne comporte pas les données relatives aux trois achats en ligne réalisés après le virement exécuté à 20h27 et il n’est pas justifié de ce que la mention 'règle du jeu de profils : CD (normal)' signifie que l’opération a été validée par clé digitale.

De même, hormis l’opération d’activation d’un nouveau bénéficiaire à 20h24 le 2 août 2022 qui mentionne sur la même ligne 'Clé digitale', la SA BNP Paribas ne justifie pas de ce que l’opération intitulée 'exécution de virement SEPA’ de 5 381 euros réalisée à 20h27 a été effectuée au moyen de la clé digitale. En effet, il n’est pas démontré que le code 1-ok figurant sur cette ligne du listing signifie que la clé digitale a été activée. En outre et contrairement à ce que soutient la banque, M. [S] [V] conteste avoir utilisé sa clé digitale et indique dans son dépôt de plainte avoir validé des 'clés digitales vierges’ (pour le virement et pour les trois achats en ligne successifs).

La cour considère également qu’il ne peut être reproché à M. [S] [V] d’avoir tardé à signaler l’utilisation frauduleuse des données liées à sa carte bancaires dans la mesure où ce dernier a formé opposition à 22h46 le 2 août 2022, soir 2h19 après la première opération frauduleuse.

Ainsi, la SA BNP Paribas ne rapporte pas la preuve de ce que les 4 opérations bancaires litigieuses ont été validées au moyen d’un dispositif de sécurité personnalisé, que M. [S] [V] a autorisé le virement et les trois paiements en ligne litigieux, qu’une négligence grave de M. [S] [V] à ses obligations découlant des articles L133-16 et L133-17 du code monétaire et financier a rendu possibles les opérations de paiement non autorisées, et, en toute hypothèse, que les quatre opérations en cause ont été authentifiées, dûment enregistrées et comptabilisées et qu’elles n’ont pas été affectées par une déficience technique ou autre.

En conséquence et par application de l’article L133-18 du code monétaire et financier susvisé la cour condamne la SA BNP Paribas à payer à M. [S] [V] la somme de 7 737,09 euros assortis des intérêts légaux au taux légal majoré de 15 points à compter du 1er septembre 2022.

Le jugement déféré sera confirmé de ce chef.

Sur la demande de dommages et intérêts pour préjudice moral formée par M. [S] [V] :

Au soutien de sa demande de dommages-intérêts pour préjudice moral, M. [S] [V] fait valoir que la SA BNP Paribas n’a pas réagi à son alerte au sujet du piratage de son compte ce qui a généré un préjudice d’anxiété en raison de 'l’insécurité stagnante de son compte bancaire ouvert aux quatre vents’ et que l’inaction de la banque est à l’origine de nouvelle fraude survenue au mois d’août 2022 génératrice de peur et d’incertitude.

Les pièces versées aux débats démontrent que toutes les opérations frauduleuses sont antérieures au blocage consécutif à l’opposition effectuée par M. [S] [V] le 2 août 2022 à 22h46. L’existence d’un retard de réaction de la banque aux alertes de M. [S] [V] n’est pas démontrée, tout comme le lien de causalité avec les trois paiements en ligne réalisés avant l’opposition.

En conséquence la cour, infirmant le jugement déféré, rejette la demande de dommages et intérêts pour préjudice moral

Sur les frais irrépétibles et les dépens :

Partie perdante, la SA BNP Paribas supportera la charge des dépens de première instance et d’appel.

La SA BNP Paribas sera également condamnée à payer M. [S] [V] la somme de 4 000 euros sur le fondement de l’article 700 du code de procédure civile au titre de la procédure de première instance et de la procédure d’appel.

PAR CES MOTIFS,

La cour, statuant publiquement, par arrêt contradictoire, après en avoir délibéré conformément à la loi,

Confirme le jugement entrepris, SAUF en ce qu’il a condamné la SA BNP Paribas à payer à M. [S] [V] la somme de 1 000 euros en réparation du moral subi ;

Statuant à nouveau sur ce chef et y ajoutant :

Rejette la demande de dommages-intérêts pour préjudice moral ;

Condamne la SA BNP Paribas à payer à M. [S] [V] la somme de 4 000 euros sur le fondement de l’article 700 du code de procédure civile ;

Condamne la SA BNP Paribas aux dépens de la procédure de première instance et de la procédure d’appel.

Le greffier Pour la présidente empêchée