.

18/03/2025

ARRÊT N°115

N° RG 23/03180 – N° Portalis DBVI-V-B7H-PVXI

MN CG

Décision déférée du 20 Juillet 2023

TJ hors JAF, JEX, JLD, J. EXPRO, JCP de TOULOUSE

( 22/00645)

M. GUICHARD

[Z] [T]

C/

Ste Coopérative BANQUE POPULAIRE OCCITANE

INFIRMATION PARTIELLE

Grosse délivrée

le

à M^e DUPEYRON

M^e MARFAING-DIDIER

REPUBLIQUE FRANCAISE

AU NOM DU PEUPLE FRANCAIS

***

COUR D’APPEL DE TOULOUSE

2ème chambre

***

ARRÊT DU DIX HUIT MARS DEUX MILLE VINGT CINQ

***

APPELANT

Monsieur [Z] [T]

[Adresse 4]

[Localité 2]

Représenté par M^e Marie DUPEYRON, avocat postulant au barreau de TOULOUSE

INTIMEE

Ste Coopérative BANQUE POPULAIRE OCCITANE Prise en la personne de son représentant légal domicilié en cette qualité audit siège.

[Adresse 3]

[Localité 1]

Représentée par M^e Jérôme MARFAING-DIDIER de la SELARL DECKER, avocat postulant au barreau de TOULOUSE

COMPOSITION DE LA COUR

En application des dispositions des articles 805 et 907 du Code de procédure civile, l’affaire a été débattue le 17 Décembre 2024, en audience publique, les avocats ne s’y étant pas opposés, devant V. SALMERON, présidente et M. NORGUET, conseillère, chargée du rapport. Ces magistrats ont rendu compte des plaidoiries dans le délibéré de la Cour, composée de :

V. SALMERON, présidente

M. NORGUET, conseillère

S. MOULAYES, conseillère

Greffier, lors des débats : A. CAVAN

ARRET :

— Contradictoire

— prononcé publiquement par mise à disposition au greffe après avis aux parties

— signé par V. SALMERON, présidente, et par A. CAVAN, greffier de chambre

Faits et procédure :

[Z] [T] est titulaire d’un compte bancaire et d’un livret A ouverts dans les livres de la Banque Populaire Occitane (ci-après la Bpo). Il a adhéré au service de banque en ligne sécurisé cyberplus qui comprend un dispositif d’authentification forte dénommé Sécur’Pass.

Le 18 septembre 2021 à 14h52, il a été contacté sur son téléphone portable par une personne se présentant comme un conseiller de sa banque, désirant l’informer d’un retrait frauduleux opéré depuis [Localité 5] sur son compte. Sous prétexte de devoir lancer la procédure d’opposition, son interlocuteur lui a demandé la confirmation de son adresse postale et de son numéro de carte bancaire. [Z] [T] a reçu en suivant un sms de confirmation d’opposition en provenance du numéro de sa banque. Son interlocuteur lui a ensuite proposé de valider un virement « test » de 9 000 euros et, à cette fin, lui a demandé de réinitialiser ses identifiant et mot de passe. [Z] [T] y a procédé et lui a communiqué les données réinitialisées. Il a ensuite validé une série d’opération de type ajout de bénéficiaires.

A l’issue de l’appel, qui a duré une demie-heure, [Z] [T] s’est aperçu que deux virements de 10 000 et 1 500 euros avaient été réalisés depuis son livret A à destination de son compte bancaire, immédiatement suivis d’un virement de 9 000 euros depuis ce compte à destination d’une personne inconnue nommée « [B] [F] », et enfin de 4 retraits de 300 euros intitulés « retraits agence ».

La banque, alertée par son service de détection des fraudes, a bloqué l’accès cyberplus de [Z] [T] le même jour à 16h et réinitialisé le mot de passe corrompu de son client.

[Z] [T] a fait opposition à ces opérations et a déposé plainte auprès de la Gendarmerie, le 19 septembre 2021.

Le 20 septembre 2021, la banque a initié une procédure de recall qui n’a pas permis le retour des fonds.

[Z] [T] a entamé avec sa banque des discussions aux fins de remboursement de ces sommes qui n’ont pas abouti, la banque lui opposant sa négligence grave.

Par courrier recommandé du 17 novembre 2021, [Z] [T] a mis la Bpo en demeure de procéder au remboursement des sommes.

Par acte en date du 7 février 2022, [Z] [T] a assigné la Bpo devant le tribunal judiciaire de Toulouse en responsabilité contractuelle et a sollicité l’allocation de la somme de 10 200 euros à titre de dommages et intérêts outre 3 000 euros pour résistance abusive.

Par jugement du 20 juillet 2023, le tribunal judiciaire de Toulouse a :

débouté [Z] [T] de ses demandes,

l’a condamné aux dépens et à payer la somme de 1 500 euros sur le fondement des dispositions de l’article 700 du code de procédure civile,

a débouté la Bpo de sa demande au titre de l’abus de procédure.

Par déclaration en date du 6 septembre 2023, [Z] [T] a relevé appel du jugement du tribunal judiciaire aux fins de le voir réformé en intégralité.

L’ordonnance de clôture a été rendue en date du 18 novembre 2024. L’affaire a été fixée à l’audience du 17 décembre 2024.

Prétentions et moyens des parties :

Vu les conclusions d’appelant N°3 notifiées le 15 novembre 2024, auxquelles il est fait expressément référence pour l’énoncé du détail de l’argumentation, et dans lesquelles [Z] [T] sollicite, au visa des articles L113-18 et suivants du code monétaire et financier et l’article 1231-6 du code civil :

l’infirmation du jugement entrepris en ce qu’il l’a :

— débouté de ses demandes visant à la condamnation de la banque à lui payer la somme de 10 200 euros avec les intérêts au taux légal à compter de la mise en demeure du 17 novembre 2021, outre la somme de 3 000 euros pour abus de résistance,

— condamné aux dépens et à payer la somme de 1 500 euros sur le fondement des dispositions de l’article 700 du code de procédure civile,

et statuant à nouveau, la condamnation de la Banque Populaire Occitane à rembourser la somme de 10 200 euros à [Z] [T], assortie des intérêts de retard capitalisés à compter de la mise en demeure, dès le 17 novembre 2021,

la condamnation de la Banque Populaire Occitane au paiement d’une somme de 3 000 euros, à titre de dommages et intérêts pour résistance abusive,

sa condamnation au paiement d’une somme de 5 000 euros au titre de l’article 700 du code de procédure civile outre les dépens,

subsidiairement et si la cour confirme le jugement rendu, qu’il soit reconnu qu’il n’est pas inéquitable de laisser à la charge du défendeur les frais irrépétibles exposés au titre de l’article 700.

En réponse, vu les conclusions récapitulatives d’intimée notifiées en date du 14 novembre 2024, auxquelles il est fait expressément référence pour l’énoncé du détail de l’argumentation, et dans lesquelles la Bpo demande, au visa des articles L.133-3, L.133-4, L.133-6, I, L.133-13, L.133-18, L.133-19 et L.133-21 du Code monétaire et financier, 1240 et 1242 du Code civil et l’article 700 du Code de procédure civile :

la confirmation du jugement entrepris en ce qu’il a :

— débouté [Z] [T] de ses demandes,

— l’a condamné aux dépens et à payer la somme de 1 500 euros sur le fondement de l’article 700 du Code de procédure civile,

y ajoutant, qu’il soit reconnu que [Z] [T] a commis de graves négligences de nature à lui faire perdre son droit à remboursement,

le rejet de l’intégralité des demandes, fins et prétentions de [Z] [T],

la condamnation de [Z] [T] à lui verser la somme de 1 500 euros en application des dispositions de l’article 700 du Code de procédure civile,

sa condamnation aux entiers dépens.

MOTIFS

Sur les opérations du 18 septembre 2021, l’authentification forte et la négligence grave

La cour rappelle au préalable qu’en application des dispositions de l’article L133-21 du code monétaire et financier, la banque est tenue d’exécuter un virement conformément aux instructions reçues de son client dans les formes contractuellement prévues entre eux.

[Z] [T] maintient que les opérations de paiement en cause ne peuvent être considérées comme autorisées au sens du code monétaire et financier du seul fait qu’elles ont été réalisées via le système d’authentification forte contractuellement prévu, s’agissant d’une véritable escroquerie au cours de laquelle il a été mis en confiance par son interlocuteur qui disposait déjà de certaines de ses données personnelles, comme son adresse et son numéro de compte, et lui a adressé des sms en utilisant le numéro de téléphone habituellement utilisé par sa banque. [Z] [T] atteste qu’il n’a jamais consenti au montant des opérations réalisés, pas plus qu’à leur destinataire.

Sur la négligence grave opposée par la Bpo, il affirme que la banque n’en rapporte aucune preuve et qu’elle lui doit donc le remboursement des sommes détournées.

La banque réplique en soulignant que l’ensemble des opérations nécessaires à la réalisation des détournements, ajout de bénéficiaire, validation des virements et retraits, ont été faites par [Z] [T] lui-même depuis son espace bancaire personnel, après qu’il ait imprudemment communiqués à son interlocuteur ses nouveaux identifiants et mots de passe ainsi que les codes reçus par sms. Ces opérations doivent donc être considérées comme des paiements autorisés au sens du code monétaire et financier. Elle conteste toute défaillance technique, au surplus non démontrée en l’espèce, dans le système de banque en ligne à authentification forte mis à la disposition de [Z] [T]. Celui-ci s’étant rendu coupable d’une négligence grave au sens du code monétaire et financier, doit supporter seul les pertes occasionnées.

Il résulte des articles L. 133-18 et L. 133-19 du code monétaire et financier qu’en cas d’opération de paiement non autorisée, réalisée au moyen d’un instrument de paiement doté de données de sécurité personnalisées, et signalée par l’utilisateur dans les conditions prévues à l’article L. 133-24 du code monétaire et financier, le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée, sauf si la responsabilité du payeur est engagée en application de l’article L.133-19 du même code.

Ainsi, cet article L.133-19 prévoit que le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées s’il n’a pas satisfait par négligence grave, exclusive de toute appréciation de sa bonne foi, à l’obligation, imposée à l’utilisateur de services de paiement par l’article L. 133-16 du même code, de prendre toute mesure raisonnable pour préserver la sécurité du dispositif de sécurité personnalisé mis à sa disposition.

En application des dispositions de l’article L 133-23 du code monétaire et financier, [Z] [T] contestant le caractère autorisé des opérations de paiement concernées, c’est à la banque qu’il revient de prouver dans un premier temps que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique, puis, dans un second temps, que l’utilisateur a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence grave à ses obligations, cette preuve ne pouvant se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés.

— sur l’authentification forte

La banque affirme que les ordres de virements et de retraits litigieux ont été intégralement initiés puis validés depuis l’espace bancaire personnel cyberplus de [Z] [T], en utilisant son système d’authentification forte Sécur’Pass et qu’il n’est mis en évidence aucune déficience matérielle de ce système.

Elle produit les conditions générales applicables qui explicitent le fonctionnement des systèmes cyberplus et Sécur’pass, lesquels en ce qu’ils requièrent au moins deux facteurs d’identification, se rattachent bien aux systèmes d’authentification forte tels que définis à l’article L133-4 du code monétaire et financier. L’article 8 de ces conditions générales intitulé « règles de preuve » présume que toute opération passée via le système d’authentification forte, émane du client et de lui seul.

La banque produit également en pièce 14 le relevé des connexions de [Z] [T] au système d’authentification en date du 18 septembre 2021, confirmant que la conversation avec son interlocuteur a bien duré une demie-heure et que sur les 25 connexions au service sécurisée relevées, 4 validations par identification ont été réalisées par [Z] [T] lui-même.

[Z] [T] se limite à contester que le seul fait que les opérations aient été passées via le système d’authentification forte n’est pas suffisant pour leur donner le caractère d’opérations autorisées. Il souligne que le fait d’avoir été victime d’une escroquerie par un tiers se faisant passer pour un conseiller de son établissement bancaire exclut par principe toute caractère autorisé des opérations en cause.

En l’espèce, en l’absence de toute démonstration de défaillance technique des systèmes cyberplus et sécur’pass par l’appelant, la cour retient que la banque rapporte la preuve de la mise à disposition de son client d’un système d’authentification forte conforme aux prescriptions de l’article L 133-4 du code monétaire et financier et que les opération litigieuses, passées via l’utilisation de ce système sécurisé, sont bien des opérations autorisées au sens de l’article L133-6 du même code.

— sur la négligence grave

Les parties ne contestent pas que [Z] [T] est un payeur de bonne foi, en conséquence de quoi c’est bien la seule négligence grave qui lui est opposé par la banque.

La banque affirme qu’en remettant ses données d’identification et son mot de passe réinitialisés au fraudeur, [Z] [T] a commis une négligence grave, ce que ce dernier conteste

Il est de jurisprudence constante que le défaut de vigilance du payeur qui communique ses données permettant à un tiers l’utilisation, y compris avec son aide, de son espace bancaire personnel en contournement du système d’authentification forte, dans des circonstances qui devaient l’alerter sur la commission à son préjudice d’agissements frauduleux, caractérise la négligence grave opposable par la banque.

Néanmoins, il a été récemment jugé qu’aucune négligence grave ne peut être imputée au titulaire d’un compte qui, contacté téléphoniquement par une personne se faisant passer pour un préposé de sa banque dont le numéro s’affichait, utilise à sa demande le dispositif de sécurité personnalisé pour supprimer puis réinscrire des bénéficiaires de virements dans le but d’éviter des opérations malveillantes. Il a été notamment admis à cette occasion qu’un tel mode opératoire est de nature à mettre le payeur en confiance et a diminuer sa vigilance, s’agissant d’un appel téléphonique émanant prétendument de sa banque aux fins de l’aviser d’un piratage de son compte, comparé à la vigilance d’une personne réceptionnant un courriel et disposant de davantage de temps pour s’apercevoir d’éventuelles anomalies révélatrices du caractère frauduleux de l’opération.

Ainsi, lorsque un tiers malintentionné appelle un payeur au téléphone en se faisant passer pour un conseiller de son établissement bancaire et lui communique, aux fins d’asseoir l’usurpation d’identité, des informations personnelles comme ici l’adresse et le numéro de la carte bancaire de [Z] [T], puis qu’il prétexte la nécessité d’une intervention immédiate en vue de faire cesser de prétendues opérations frauduleuses sur le compte pour obtenir du client la communication de ses codes personnels et réaliser des opérations préjudiciables sur son espace bancaire personnel même avec son concours et moyennant la transmission malavisée d’informations d’identification confidentielles, il ne peut être caractérisé de négligence grave à l’encontre du détenteur du compte.

La cour constate à l’examen de la pièce 13 de l’appelant qu’il a bien reçu le 18 septembre 2021 à 14h55 un sms en provenance du numéro enregistré dans son répertoire comme « Banque Pop » l’informant de la confirmation de la mise en opposition de sa carte, de sorte qu’il ne pouvait que légitimement croire qu’il était bien en contact avec un conseiller de son établissement bancaire.

Dès lors, il ne peut être caractérisé à l’encontre de [Z] [T], malgré la communication volontaire d’un certain nombre d’éléments à son interlocuteur, de négligence grave au sens du code monétaire et financier. Le jugement de première instance sera infirmé et la banque doit à l’appelant le paiement des sommes détournées qui s’élèvent à 10 200 euros.

[Z] [T] sollicite l’adjonction des intérêts légaux à compter de la mise en demeure du 17 novembre 2021 ainsi que la capitalisation des intérêts. Il y a lieu de faire droit à ces demandes.

Sur la résistance abusive

[Z] [T] sollicite l’allocation de la somme de 3 000 euros à titre de dommages et intérêts en raison de la résistance abusive de la part de la Bpo, ce à quoi la banque s’oppose.

Aux termes de l’article 1231-6 du code civil, les dommages et intérêts dus à raison du retard dans le paiement d’une obligation de somme d’argent consistent dans l’intérêt au taux légal, à compter de la mise en demeure. Ces dommages et intérêts sont dus sans que le créancier soit tenu de justifier d’aucune perte. Le créancier auquel son débiteur en retard a causé, par sa mauvaise foi, un préjudice indépendant de ce retard, peut obtenir des dommages et intérêts distincts de l’intérêt moratoire.

Le simple retard dans l’exécution de l’obligation contractuelle a vocation à être indemnisée par l’allocation des intérêts légaux à compter de la mise en demeure comme sollicité par [Z] [T] et accordé par la cour.

Pour obtenir l’allocation de dommages et intérêts de ce chef, il appartient à [Z] [T] qui excipe d’un préjudice moral découlant du refus de la banque de rembourser les sommes et d’une allégation de négligence grave à l’encontre de l’établissement de crédit, de le démontrer. Or, l’appelant n’apporte aucune pièce au soutien de l’existence de son préjudice, se contentant d’avancer qu’il y a lieu de sanctionner le comportement « inacceptable » des banques.

En l’absence de toute justification par l’appelant de sa demande et notamment de l’existence d’un préjudice distinct, sa demande en dommages et intérêts pour résistance abusive sera rejetée, le jugement de première instance étant confirmé de ce chef.

Sur les frais irrépétibles,

Infirmé presque intégralement, le jugement de première instance le sera également sur ses dispositions relatives aux dépens et frais irrépétibles de première instance.

La Bpo, partie succombante, sera condamnée aux dépens de première instance et d’appel.

Les circonstances de l’espèce justifient que la Bpo soit condamnée à verser à [Z] [T] la somme de 2 500 euros en application des dispositions de l’article 700 du code de procédure civile, elle-même étant déboutée de sa demande formulée sur ce fondement.

PAR CES MOTIFS,

La Cour,

Infirme le jugement entrepris en toutes ses dispositions sauf en ce qu’il a débouté [Z] [T] de sa demande de dommages et intérêts au titre de la résistance abusive,

Et, statuant à nouveau des chefs infirmés,

Condamne la Banque Populaire Occitane à verser à [Z] [T] la somme de 10 200 euros, avec intérêts au taux légal à compter de la mise en demeure, du 17 novembre 2021 et jusqu’à parfait paiement,

Ordonne la capitalisation des intérêts,

Y ajoutant,

Condamne la Banque Populaire Occitane aux dépens de première instance et d’appel,

Condamne la Banque Populaire Occitane à verser à [Z] [T] la somme de 2 500 euros en application des dispositions de l’article 700 du code de procédure civile,

Déboute la Banque Populaire Occitane de sa demande formulée sur le fondement de l’article 700 du code de procédure civile.

Le greffier, La présidente,