Inscription
7 jours d’essai gratuit.
Inscription en moins d’une minute. Pas de carte de crédit requise.
Cour d'appel de Toulouse, 2e chambre, 28 janvier 2025, n° 23/00872
TI Castelsarrasin 15 décembre 2022
>
CA Toulouse
Infirmation 28 janvier 2025

Arguments

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Signaler une erreur.
  • Rejeté
    Responsabilité de la banque en cas de fraude

    La cour a estimé que la banque n'était pas responsable des pertes subies par Madame [W] en raison de sa négligence grave dans la préservation de la sécurité de ses données de sécurité personnalisées.

  • Rejeté
    Préjudice moral causé par la fraude

    La cour a rejeté cette demande, considérant que le préjudice moral n'était pas justifié dans le cadre de la décision rendue.

  • Rejeté
    Frais irrépétibles liés à la procédure

    La cour a estimé qu'il n'y avait pas lieu d'allouer d'indemnité au titre de l'article 700, les parties étant déboutées de leurs demandes.

Résumé par Doctrine IA

Dans cette décision, la Caisse d'Épargne de Midi-Pyrénées a interjeté appel d'un jugement du tribunal de proximité de Castelsarrasin qui l'avait condamnée à verser 6 489 euros à Madame [R] [W] pour des opérations de virement non autorisées. La question juridique principale était de déterminer la responsabilité de la banque face à une fraude par hameçonnage. Le tribunal de première instance avait reconnu une part de responsabilité de la banque, mais la cour d'appel a infirmé cette décision. Elle a conclu que Madame [W] avait fait preuve de négligence grave en répondant à un email suspect, ce qui a permis la fraude. La cour a donc débouté Madame [W] de sa demande et a condamné celle-ci aux dépens.

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Commentaire0

Augmentez la visibilité de votre blog juridique : vos commentaires d’arrêts peuvent très simplement apparaitre sur toutes les décisions concernées. 

Sur la décision

Référence :
CA Toulouse, 2e ch., 28 janv. 2025, n° 23/00872
Juridiction : Cour d'appel de Toulouse
Numéro(s) : 23/00872
Importance : Inédit
Décision précédente : Tribunal d'instance de Castelsarrasin, 15 décembre 2022, N° 11-22-0001
Dispositif : Autre
Date de dernière mise à jour : 18 mai 2025
Lire la décision sur le site de la juridiction

Sur les parties

Avocat(s) :
Cabinet(s) :
Parties :
CAISSE D' EPARGNE DE MIDI PYRENEES, Caisse CAISSE D' EPARGNE DE MIDI PYRENEES

Texte intégral

28/01/2025

ARRÊT N°

N° RG 23/00872 – N° Portalis DBVI-V-B7H-PJZE

SM AC

Décision déférée du 15 Décembre 2022

Tribunal de proximité de Castelsarrasin

( 11-22-0001)

Madame GABAUDE

Caisse CAISSE D’EPARGNE DE MIDI PYRENEES

C/

[R] [W]

Infirmation

Grosse délivrée

le

à

Me Emmanuelle ASTIE

Me Alexandra TEMPELS RUIZ

REPUBLIQUE FRANCAISE

AU NOM DU PEUPLE FRANCAIS

***

COUR D’APPEL DE TOULOUSE

2ème chambre

***

ARRÊT DU VINGT HUIT JANVIER DEUX MILLE VINGT CINQ

***

APPELANTE

CAISSE D’EPARGNE DE MIDI PYRENEES agissant poursuites et diligences de ses représentants légaux domiciliés audit siège

[Adresse 1]

[Localité 2]

Représentée par Me Emmanuelle ASTIE, avocate postulant au barreau de TOULOUSE et par la SCP CAMBRIEL DE MALAFOSSE STREMOOUHOFF GERBAUD COUTURE ZOUANIA, avocat au barreau de TARN-ET-GARONNE,

INTIMEE

Madame [R] [W]

[Adresse 4]

[Localité 5]

Représentée par Me Alexandra TEMPELS RUIZ, avocate au barreau de TARN-ET-GARONNE

COMPOSITION DE LA COUR

En application des dispositions des articles 805 et 907 du Code de procédure civile, l’affaire a été débattue le 06 Novembre 2024, en audience publique, les avocats ne s’y étant pas opposés, devant

S. MOULAYES, Conseillère, chargée du rapport. Ce magistrat a rendu compte des plaidoiries dans le délibéré de la Cour, composée de :

I. MARTIN DE LA MOUTTE, présidente

S. MOULAYES, conseillère

M. NORGUET, conseillère

Greffier, lors des débats : N.DIABY

ARRET :

— contradictoire

— prononcé publiquement par mise à disposition au greffe après avis aux parties

— signé par I. MARTIN DE LA MOUTTE, présidente, et par A. CAVAN, greffier de chambre

Faits et procédure

Madame [R] [W] est titulaire d’un compte dépôt à vue ouvert auprès de la Caisse d’Epargne Midi-Pyrénées depuis le 21 novembre 1985.

Elle a souscrit un abonnement de banque à distance lui permettant de consulter et gérer ses comptes en ligne.

Le 4 mai 2020 Madame [W] a reçu plusieurs mails de la Caisse d’Epargne Midi-Pyrénées, l’informant de l’ajout de quatre bénéficiaires de virements, et de cinq opérations de virement, pour un montant total de 18 589 euros ; n’étant pas à l’origine de ces opérations, Madame [W] a informé la banque, qui est parvenue à bloquer une partie des virements pour un montant de 6 100 euros.

Elle a déposé plainte le 5 mai 2020, en indiquant avoir cliqué sur le lien contenu dans un courrier électronique reçu le 1er mai 2020, lui demandant de réactiver son service « Sécuripass », mais sans se souvenir pour autant avoir donné de quelconques informations.

Par courrier du 18 juin 2020 la Caisse d’Epargne a refusé de prendre en charge la totalité du solde de la fraude au motif de la négligence de sa cliente, mais a accepté à titre de geste commercial, de lui verser une somme de 6 000 euros.

Madame [W] a saisi le service de médiation de la Caisse d’Epargne, qui dans son rapport du 8 juillet 2020 a considéré que la banque n’engageait pas sa responsabilité en refusant de répondre positivement à sa demande de prise en charge.

Par acte du 2 novembre 2021, Madame [R] [W] a fait délivrer assignation à la Caisse d’Epargne Midi-Pyrénées devant le juge des contentieux de la protection du tribunal judiciaire de Montauban, afin d’obtenir sa condamnation à lui rembourser le solde de la fraude, outre des dommages et intérêts en réparation de son préjudice moral.

Par jugement du 11 août 2022, le juge des contentieux de la protection du tribunal judiciaire de Montauban s’est déclaré incompétent au profit de la chambre de proximité de Castelsarrasin.

Par jugement du 15 décembre 2022, le juge des contentieux de la protection du tribunal de proximité de Castelsarrasin a :

— condamné la Caisse d’Epargne Midi-Pyrénées à payer à Madame [R] [W] la somme de 6 489 euros ;

— débouté Madame [R] [W] de sa demande de dommages et intérêts pour préjudice moral ;

— condamné la Caisse d’Epargne Midi-Pyrénées à payer à Madame [R] [W] la somme de 1 000 euros au titre de l’article 700 du code de procédure civile ;

— rejeté toutes demandes autres ou plus amples formées par les parties ;

— condamné la Caisse d’Epargne Midi-Pyrénées aux dépens.

Par déclaration du 10 mars 2023, la Caisse d’Epargne Midi-Pyrénées a formé appel des chefs de jugement qui l’ont condamnée à payer à Madame [W] les sommes de 6 489 euros, et de 1 000 euros au titre de l’article 700, ainsi qu’aux dépens.

La clôture est intervenue le 19 octobre 2023, et l’affaire a été appelée à l’audience du 6 novembre 2024.

Prétentions et moyens

Vu les conclusions d’appelant notifiées le 1er juin 2023 auxquelles il est fait expressément référence pour l’énoncé du détail de l’argumentation, de la Caisse d’Epargne Midi-Pyrénées demandant de :

— infirmer la décision rendue par le Tribunal de proximité de Castelsarrasin en date du 15 décembre 2022 en ce qu’il a condamné la Caisse d’Epargne à payer à Madame [W] :

— la somme de 6 489 €

— la somme de 1 000 € en application de l’article 700 du CPC ainsi qu’aux entiers frais et dépens de l’instance.

Statuant à nouveau,

— débouter Madame [W] de l’intégralité de ses demandes comme étant injustes ou en tout cas infondées ;

— condamner Madame [W] à payer à la Caisse d’Epargne la somme de 2 000 € en application de l’article 700 du code de procédure civile ainsi qu’aux entiers frais et dépens de l’instance et de la Cour.

— ordonner l’exécution provisoire qui est de droit dans le cas de l’espèce.

Elle estime que Madame [W], qui n’est âgée que de 57 ans et a pour habitude d’utiliser les services de banque en ligne, connaissait le fonctionnement du système informatique, et la qualité de rédaction des mails habituels de la banque ; elle a fait preuve de négligence grave en donnant les informations nécessaires pour permettre la réalisation de la fraude en réponse à un mail qui comportait des irrégularités apparentes, et en ne donnant aucune alerte sur l’activation du système de sécurité « Sécur’Pass » alors qu’elle n’était pas à l’origine de cette manoeuvre.

Madame [R] [W] a constitué avocat dans le cadre de la présente procédure, mais n’a pas conclu.

Par message RPVA du 6 novembre 2024, soit le jour de l’audience, son avocat a indiqué s’en remettre aux écrits de la procédure, en l’occurrence au jugement rendu en première instance.

MOTIFS

Sur la demande en paiement

Madame [W] a affirmé dans le cadre de la procédure avoir été victime d’hameçonnage ; devant les services de polices ainsi que devant le médiateur de la banque, elle a indiqué avoir « cliqué » le 1er mai 2020 sur le mail adressé avec le logo de la Caisse d’Epargne pour souscrire au service de banque en ligne Secur’Pass, sans toutefois se souvenir avoir donné de quelconques informations.

Le 5 mai au matin, elle a donné l’alerte à sa banque après avoir reçu, dans la soirée et la nuit précédentes, plusieurs mails l’informant de la création de de nouveaux bénéficiaires de virements, et de paiements à leur profit.

La banque invoque la négligence grave de Madame [W] face à un mail qui présentait plusieurs anomalies apparentes.

Il ressort des dispositions de l’article 133-16 du code monétaire et financier, que dès qu’il reçoit un instrument de paiement, l’utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisés. Il utilise l’instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation qui doivent être objectives, non discriminatoires et proportionnées.

Le code monétaire et financier envisage de manière spécifique les instruments de paiement dotés d’un dispositif de sécurité personnalisé, lequel dispositif, conformément à l’article L. 133-4, a) s’entend des données personnalisées fournies à un utilisateur de services de paiement par le prestataire de services de paiement à des fins d’authentification.

Ce dispositif, propre à l’utilisateur de services de paiement et placé sous sa garde, vise à l’authentifier.

L’article L133-19 de ce même code, dispose en son § II que la responsabilité du payeur (le titulaire du compte ou de la carte bancaire) n’est pas engagée si l’opération de paiement non autorisée a été effectuée en détournant, à son insu, l’instrument de paiement ou les données qui lui sont liées.

Il ajoute en son § IV que le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 ci-dessus reprises.

Enfin, selon l’article L133-23 alinéa 1, lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre.

La charge de la preuve de la régularité de l’autorisation pèse donc sur le prestataire de services de paiement, qui doit établir que l’ordre émane bien de l’utilisateur du service.

L’alinéa 2 de cet article ajoute que l’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière. Le prestataire de services de paiement, y compris, le cas échéant, le prestataire de services de paiement fournissant un service d’initiation de paiement, fournit des éléments afin de prouver la fraude ou la négligence grave commise par l’utilisateur de services de paiement.

Il résulte de ces textes que s’il appartient à l’utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d’informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l’instrument de paiement ou des données qui lui sont liées, c’est à ce prestataire qu’il incombe, de rapporter la preuve que l’utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence grave à ses obligations. Cette preuve ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés.

Par ailleurs, sur le fondement de ces textes, la Cour de Cassation fait obligation au prestataire de service, qui entend faire supporter à l’utilisateur d’un instrument de paiement doté d’un dispositif de sécurité personnalisé les pertes occasionnées par une opération de paiement non autorisée rendue possible par un manquement de cet utilisateur, intentionnel ou par négligence grave, de prouver au préalable que l’opération en cause a été authentifiée. (Com., 20 novembre 2024, pourvoi n° 23-15.099)

Il appartient donc à la banque de rapporter la preuve non seulement de la négligence grave de Madame [W], mais également de l’utilisation de ses données de sécurité personnelles pour l’authentification des paiements litigieux.

Il convient de rappeler qu’il a été jugé que manque, par négligence grave, à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés l’utilisateur d’un service de paiement qui communique les données personnelles de ce dispositif de sécurité en réponse à un courriel qui contient des indices permettant à un utilisateur normalement attentif de douter de sa provenance (Com., 28 mars 2018, pourvoi n° 16-20.018)

En l’espèce, le mail auquel Madame [W] a répondu, en cliquant directement sur le lien fourni, présentait plusieurs anomalies apparentes.

En premier lieu, l’expéditeur était nommé par une adresse de courrier électronique, et non directement par le nom de la banque ; ainsi sa dénomination était « [Courriel 6] »

L’adresse mail de cet expéditeur était par ailleurs sans lien avec la banque, et comportait une série de chiffres et de lettres sans cohérence : « [Courriel 7] »

Le simple fait de constater que l’adresse mail de l’expéditeur était sans lien avec la Caisse d’Epargne devait alerter Madame [W], étant rappelé que la dénomination est choisie par l’expéditeur lorsqu’il crée son adresse mail, alors que l’adresse est un élément plus fiable, qui doit comporter l’extension de la banque.

Par ailleurs, de nombreuses incohérences doivent être relevées dans ce message électronique ; il a pour titre « Inscription Votre SecuriPass », alors qu’il évoque ensuite le « Secur’Pass » et la désactivation de ce service par Madame [W] elle-même, et non une inscription.

A défaut d’avoir conclu dans la présente procédure, Madame [W] ne précise pas si elle était déjà abonnée à ce service ou non ; en tout état de cause, à défaut d’avoir elle-même désactivé ce système, le contenu même du message constituait une anomalie apparente.

Il en va de même s’agissant des tournures de phrases, qui évoquent tantôt la désactivation du service, tantôt la perte ou le vol « de votre appareil », et qui invitent à cliquer sur le lien « Accès aux Comptes » pour activer le service, le tout sans cohérence.

Par ailleurs, ce message électronique n’est pas signé du nom du conseiller bancaire de Madame [W], et comporte en entête une publicité « Join Ingrid & Anders VIP Club », ce qui est tout à fait inhabituel dans les messages électroniques adressés par les banques.

Madame [W] a donc fait preuve d’une négligence grave en se connectant au lien contenu dans ce message électronique, sans préserver la sécurité de ses dispositifs de sécurité personnalisés.

Si l’intimée a affirmé devant les services de police lors de son dépôt de plainte, ou devant le médiateur de la banque, ne pas se souvenir d’avoir communiqué des données de sécurité, elle admet cependant avoir reçu le sms de confirmation venant du numéro [XXXXXXXX03] habituellement utilisé par la banque.

La Caisse d’Epargne verse aux débats les conditions générales liées à l’activation du système Secur’Pass, qui permet une authentification renforcée pour certaines opérations de paiement et de virements, et qui nécessite de communiquer une partie de son numéro de carte bancaire, et de valider ensuite son code confidentiel à la réception du sms de confirmation.

La Banque rapporte donc la preuve d’une authentification conforme aux dispositions contractuelles de Madame [W], lorsqu’elle a reçu le sms de confirmation, les opérations litigieuses ultérieures de création de bénéficiaires de virements et de paiement n’ayant été rendues possibles que grâce à cette authentification.

Dans ces conditions, et en application des dispositions légales ci-dessus reprises, il appartient au payeur, à savoir Madame [W], d’assumer les conséquences financières de sa négligence grave quant à la préservation de la sécurité de ses données de sécurité personnalisées.

Le premier jugement sera donc infirmé en ce qu’il a condamné la banque au paiement de la somme de 6 489 euros, et Madame [W] sera déboutée de sa demande en paiement.

Sur les demandes accessoires

En l’état de la présente décision d’infirmation, les chefs du premier jugement condamnant la Caisse d’Epargne au paiement de la somme de 1 000 euros en application de l’article 700 du code de procédure civile, ainsi qu’aux dépens, seront également infirmés.

Madame [W], qui succombe, sera condamnée aux entiers dépens de première instance et d’appel.

En revanche, l’équité ne commande pas d’allouer d’indemnité au titre de l’article 700 du code de procédure civile ; les parties seront déboutées de leurs demandes de ce chef, au titre des frais irrépétibles de première instance et d’appel.

PAR CES MOTIFS

La cour statuant dans la limite de sa saisine, en dernier ressort, de manière contradictoire, par mise à disposition au greffe,

Infirme les dispositions du jugement déférées ;

Statuant à nouveau et y ajoutant,

Déboute Madame [R] [W] de sa demande en paiement ;

Déboute Madame [R] [W] et la Caisse d’Epargne Midi-Pyrénées de leurs demandes fondées sur l’article 700 du code de procédure civile, au titre des frais irrépétibles de première instance et d’appel ;

Condamne Madame [R] [W] aux entiers dépens de première instance et d’appel ;

La Greffière La Présidente

.

Décisions similaires

Citées dans les mêmes commentaires3

  • Droits attachés à la personne ·
  • Droit des personnes ·
  • Tribunal judiciaire ·
  • Prolongation ·
  • Étranger ·
  • Décision d’éloignement ·
  • Asile ·
  • Interprète ·
  • Menaces ·
  • Contrôle ·
  • Identité ·
  • Délivrance
  • Relations du travail et protection sociale ·
  • Protection sociale ·
  • Cotisations ·
  • Lettre d'observations ·
  • Urssaf ·
  • Redressement ·
  • Forfait ·
  • Accord collectif ·
  • Salarié ·
  • Versement transport ·
  • Mise en demeure ·
  • Lettre
  • Droits attachés à la personne ·
  • Droit des personnes ·
  • Tribunal judiciaire ·
  • Prolongation ·
  • Diligences ·
  • Décision d’éloignement ·
  • Voyage ·
  • Durée ·
  • Étranger ·
  • Consulat ·
  • Algérie ·
  • Ordonnance

Citant les mêmes articles de loi3

  • Prêt d'argent, crédit-bail , cautionnement ·
  • Contrats ·
  • Voyage ·
  • Sociétés ·
  • Créance ·
  • Cautionnement ·
  • Banque ·
  • Engagement de caution ·
  • Prêt ·
  • Information ·
  • Pénalité ·
  • Cession
  • Biens - propriété littéraire et artistique ·
  • Propriété et possession immobilières ·
  • Revendication d'un bien immobilier ·
  • Polynésie française ·
  • Cadastre ·
  • Consorts ·
  • Revendication de propriété ·
  • Acte ·
  • Action ·
  • Commission ·
  • Nullité ·
  • Certificat ·
  • Appel
  • Relations du travail et protection sociale ·
  • Autres demandes contre un organisme ·
  • Protection sociale ·
  • Accident du travail ·
  • Employeur ·
  • Déclaration ·
  • Certificat médical ·
  • Délai ·
  • Tribunal judiciaire ·
  • Video ·
  • Victime ·
  • Surveillance ·
  • Assurance maladie

De référence sur les mêmes thèmes3

  • Contrat d'assurance ·
  • Contrats ·
  • Adresses ·
  • Restaurant ·
  • Personne morale ·
  • Audit ·
  • Siège ·
  • Qualités ·
  • Avocat ·
  • Désistement ·
  • Forum ·
  • Appel
  • Faillite personnelle ·
  • Interdiction ·
  • Entreprise commerciale ·
  • Exploitation agricole ·
  • Incapacité ·
  • Formation professionnelle ·
  • Sociétés ·
  • Personne morale ·
  • Déchéance ·
  • Tribunal judiciaire
  • Relations du travail et protection sociale ·
  • Protection sociale ·
  • Jonction ·
  • Tribunal judiciaire ·
  • Appel ·
  • Recours ·
  • Décision implicite ·
  • Déclaration ·
  • Adulte ·
  • Handicapé ·
  • Commission ·
  • Rejet

Sur les mêmes thèmes3

  • Relations du travail et protection sociale ·
  • Relations individuelles de travail ·
  • Titre ·
  • Contrat de travail ·
  • Salarié ·
  • Employeur ·
  • Discrimination syndicale ·
  • Rappel de salaire ·
  • Harcèlement moral ·
  • Demande ·
  • Liquidateur ·
  • Sociétés
9 commentaires
  • Relations du travail et protection sociale ·
  • Protection sociale ·
  • Urssaf ·
  • Picardie ·
  • Tribunal judiciaire ·
  • Travail dissimulé ·
  • Redressement ·
  • Cotisations ·
  • Sociétés ·
  • Lettre d'observations ·
  • Contrôle ·
  • Lien de subordination
1 commentaire
  • Copropriété : organisation et administration ·
  • Biens - propriété littéraire et artistique ·
  • Copropriété ·
  • Adresses ·
  • Assemblée générale ·
  • Administrateur provisoire ·
  • Syndicat ·
  • Principal ·
  • Nullité ·
  • Exécution provisoire ·
  • Tribunal judiciaire ·
  • Exécution

Textes cités dans la décision

  1. Code de procédure civile
  2. Code monétaire et financier
Extraits similaires à la sélection

Aucune décision de référence ou d'espèce avec un extrait similaire.

Inscrivez-vous gratuitement pour imprimer votre décision
Cour d'appel de Toulouse, 2e chambre, 28 janvier 2025, n° 23/00872
  1. Doctrine
  2. Décisions de justice
  3. 2025
  4. CA Toulouse, 2e ch., 28 janv. 2025, n° 23/00872
Contactez notre service commercial au 01 84 80 33 48