Inscription
7 jours d’essai gratuit.
Inscription en moins d’une minute. Pas de carte de crédit requise.
Cour d'appel de Versailles, Chambre commerciale 3 2, 18 mars 2025, n° 24/00262
TCOM Pontoise 17 novembre 2023
>
CA Versailles
Confirmation 18 mars 2025

Arguments

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Signaler une erreur.
  • Rejeté
    Responsabilité de la banque en tant que prestataire de services de paiement

    La cour a estimé que les opérations litigieuses n'ont pas été autorisées par la société, mais que la négligence grave de la société dans la gestion de ses moyens de paiement exclut toute indemnisation.

  • Accepté
    Absence de négligence de la banque

    La cour a jugé que la banque a respecté ses obligations et que les sociétés ont commis une négligence grave en confiant leurs moyens de paiement à une personne non autorisée.

  • Rejeté
    Droit à l'indemnité de procédure

    La cour a jugé que, compte tenu de l'issue du litige, il n'y a pas lieu d'allouer d'indemnité de procédure.

Résumé par Doctrine IA

Dans cette affaire, la S.A.R.L. Eteix et la SCI Fabien ont interjeté appel d'un jugement du Tribunal de Commerce de Pontoise qui les avait déboutées de leurs demandes de remboursement de sommes suite à une fraude. La cour d'appel a examiné si les opérations de paiement litigieuses étaient autorisées et si la banque avait manqué à son devoir de vigilance. La première instance avait conclu que les sociétés appelantes avaient commis une négligence grave en confiant des moyens de paiement à une personne non habilitée. La cour d'appel a confirmé cette décision, considérant que les opérations n'avaient pas été autorisées et que la négligence des appelantes excluait leur droit à indemnisation. La cour a donc confirmé le jugement de première instance en toutes ses dispositions.

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Commentaire0

Augmentez la visibilité de votre blog juridique : vos commentaires d’arrêts peuvent très simplement apparaitre sur toutes les décisions concernées. 

Sur la décision

Référence :
CA Versailles, ch. com. 3 2, 18 mars 2025, n° 24/00262
Juridiction : Cour d'appel de Versailles
Numéro(s) : 24/00262
Importance : Inédit
Décision précédente : Tribunal de commerce / TAE de Pontoise, 17 novembre 2023, N° 2021F00292
Dispositif : Autre
Date de dernière mise à jour : 23 mars 2025
Lire la décision sur le site de la juridiction

Sur les parties

Avocat(s) :
Cabinet(s) :
Parties :
S.C.I. FABIEN, S.A.R.L. ETEIX c/ S.A. BNP PARIBAS

Texte intégral

COUR D’APPEL

DE

VERSAILLES

Code nac : 38E

Chambre commerciale 3-2

ARRET N°

CONTRADICTOIRE

DU 18 MARS 2025

N° RG 24/00262 – N° Portalis DBV3-V-B7I-WI7A

AFFAIRE :

S.A.R.L. ETEIX

C/

S.A. BNP PARIBAS

Décision déférée à la cour : Jugement rendu le 17 Novembre 2023 par le Tribunal de Commerce de PONTOISE

N° chambre : 5

N° RG : 2021F00292

Expéditions exécutoires

Expéditions

Copies

délivrées le :

à :

Me Solange RIVERA

Me Véronique FAUQUANT

RÉPUBLIQUE FRANÇAISE

AU NOM DU PEUPLE FRANÇAIS

LE DIX HUIT MARS DEUX MILLE VINGT CINQ,

La cour d’appel de Versailles a rendu l’arrêt suivant dans l’affaire entre :

APPELANTS

S.A.R.L. ETEIX

Ayant son siège

[Adresse 2]

[Adresse 2]

[Localité 4]/France

prise en la personne de ses représentants légaux domiciliés en cette qualité au siège social

Représentant : Me Solange RIVERA,, avocat au barreau de VAL D’OISE, vestiaire : 194

S.C.I. FABIEN

Ayant son siège

[Adresse 2]

[Adresse 2]

[Localité 4]/France

prise en la personne de ses représentants légaux domiciliés en cette qualité au siège social

Représentant : Me Solange RIVERA, avocat au barreau de VAL D’OISE, vestiaire : 194

****************

INTIMEE

S.A. BNP PARIBAS

Ayant son siège

[Adresse 1]

[Localité 3]

prise en la personne de ses représentants légaux domiciliés en cette qualité au siège social

Représentant : Me Véronique FAUQUANT de la SCP PETIT MARCOT HOUILLON, avocat au barreau de VAL D’OISE, vestiaire : 100 – N° du dossier 2100954 -

Plaidant : Me Nicolas BAUCH-LABESSE de l’AARPI TARDIEU GALTIER LAURENT DARMON associés, avocat au barreau de PARIS, vestiaire : E0022

****************

Composition de la cour :

L’affaire a été débattue à l’audience publique du 13 Janvier 2025, Monsieur Cyril ROTH, président ayant été entendu en son rapport, devant la cour composée de :

Monsieur Ronan GUERLOT, Président de chambre,

Monsieur Cyril ROTH, Président de chambre,

Madame Gwenael COUGARD, Conseillère,

qui en ont délibéré,

Greffier, lors des débats : Madame Françoise DUCAMIN

EXPOSE DU LITIGE

La SARL Eteix et la SCI Fabien, dirigées par M. [C], sont titulaires de comptes ouverts dans les livres de la banque BNP Paribas (la banque).

Le 20 avril 2021, se disant victimes d’une fraude aux moyens de paiement, elles ont assigné la banque devant le tribunal de commerce de Pontoise en remboursement des sommes de 18 978 euros et respectivement de 12 800 euros.

Le 17 novembre 2023, par jugement contradictoire, ce tribunal a :

— déclaré les sociétés Eteix et Fabien recevables mais mal fondées en leurs demandes, les en a déboutées ;

— condamné in solidum les sociétés Eteix et Fabien à payer à la société BNP Paribas la somme de 2 000 euros au titre de l’article 700 du code de procédure civile ;

— condamné in solidum les sociétés Eteix et Fabien aux entiers dépens de l’instance.

Le 8 janvier 2024, les sociétés Eteix et Fabien ont interjeté appel de ce jugement en tous ses chefs de disposition.

Par dernières conclusions du 1er décembre 2024, elles demandent à la cour de :

— infirmer le jugement du 17 novembre 2023 en tous ses chefs de disposition ;

Et statuant à nouveau,

— condamner la société BNP Paribas à payer la somme de 18 978 euros à la société Eteix ;

— juger que cette somme sera portée au crédit du compte bancaire de la société Eteix à la date du 20 avril 2020 de sorte que ledit compte soit rétabli dans l’état dans lequel il se trouvait si les opérations de paiement non autorisées n’avaient pas eu lieu ;

— juger que la somme de 18 978 euros portera intérêts au taux légal à compter du 13 juillet 2020, date de la réception par la société BNP Paribas de la mise en demeure de payer ;

— condamner la société BNP Paribas à payer la somme de 12 800 euros à la société Fabien ;

— juger que cette somme sera portée au crédit du compte bancaire de la société Fabien à la date du 20 avril 2020 de sorte que ledit compte soit rétabli dans l’état dans lequel il se trouvait si les opérations de paiement non autorisées n’avaient pas eu lieu ;

— juger que la somme de 12 800 euros portera intérêts au taux légal à compter du 13 juillet 2020, date de la réception par la société BNP Paribas de la mise en demeure de payer ;

— ordonner la capitalisation des intérêts dans les conditions de l’article 1343-2 du code civil ;

— condamner la société BNP Paribas à payer la somme de 3 000 euros à la société Eteix au titre de l’article 700 du code de procédure civile au titre de la première instance et 2 250 euros au titre de l’instance d’appel ;

— condamner la société BNP Paribas à payer la somme de 3 000 euros à la société Fabien au titre de l’article 700 du code de procédure civile au titre de la première instance et 2 250 euros au titre de l’instance d’appel ;

— condamner la société BNP Paribas aux entiers dépens de première instance et d’appel.

Par dernières conclusions du 19 novembre 2024, la société BNP Paribas demande à la cour de :

— confirmer le jugement dont appel ;

— débouter les sociétés Eteix et Fabien de l’intégralité de leurs demandes ;

— condamner in solidum les sociétés Eteix et Fabien au paiement d’une somme de 6 000 euros au titre de l’article 700 du code de procédure civile ;

— condamner in solidum les sociétés Eteix et Fabien à supporter l’intégralité des dépens.

La clôture de l’instruction a été prononcée le 5 décembre 2024.

Pour plus ample exposé des moyens et prétentions des parties, il est renvoyé aux conclusions susvisées.

MOTIFS

Sur la demande indemnitaire

Les appelantes exposent que, le 20 avril 2020, vers 11h30, elles ont été contactées par une personne se présentant comme un technicien du service télématique de BNP Paribas ; qu’à 11h45, l’appel téléphonique d’un préposé de la banque leur a permis de découvrir l’existence de quatre virements effectués depuis leurs comptes vers un compte situé en Allemagne ; qu’elles ont déposé une pré-plainte le 21 avril 2020.

Elles soutiennent que ces opérations de paiement n’ont pas été autorisées et que la banque est tenue de les leur rembourser ; que les stipulations contractuelles produites par la banque, non signées, ne leur sont pas opposables ; elles soutiennent n’avoir communiqué aucune donnée au fraudeur et n’avoir effectué aucune manipulation elles-mêmes ; que les opérations ont été effectuées à partir d’une adresse IP située au Maroc ; que la banque ne démontre pas que son système sécurisé est infaillible ; qu’au contraire, les faits démontrent qu’il peut être piraté ; que la banque ne prouve aucune négligence grave pouvant leur être imputée.

Enfin, elles prétendent qu’il découle de l’arrêt de la CJUE du 2 septembre 2021 que l’utilisateur de services de paiement peut engager la responsabilité du prestataire de services de paiement sur le terrain du droit commun dès lors que l’opération de paiement lui a été notifiée dans le délai de trois mois prévu à l’article L. 133-24 du code monétaire et financier ; que la banque leur doit réparation en tant que dépositaire des fonds, ayant manqué à la vigilance et commis une négligence fautive en ne vérifiant pas l’identité du donneur d’ordre.

La banque intimée fait valoir qu’au moment des faits litigieux, la carte « transfert sécurisé » (TS) des sociétés appelantes permettant de sécuriser les transactions n’a pas été utilisée par M. [C], leur dirigeant, à qui elle était contractuellement personnelle, mais par sa secrétaire, Mme [X] ; que les opérations litigieuses ont été initiées par le fraudeur grâce à la communication téléphonique par celle-ci des codes les permettant. Elle expose qu’elle a le jour même demandé le retour des fonds auprès de la banques allemande bénéficiaire, ce qui a permis d’en recouvrer une partie.

Elle fait valoir que le droit commun est exclu par le mécanisme de responsabilité prévu par le code monétaire et financier, de sorte qu’aucun manquement à un devoir de vigilance ne peut lui être reproché ; que les opérations de paiement litigieuses étaient autorisées au sens des articles L. 131-6 et L. 131-7 de ce code ; qu’elles ne présentaient pas d’anomalie apparente ; qu’elle était dans l’incapacité technique de connaître l’adresse IP du donneur d’ordre en temps réel et n’avait pas à s’interroger sur le destinataire du virement.

Elle soutient encore que les conditions générales d’utilisation de la carte TS stipulent que tout ordre est réputé de manière irréfragable émaner du client ; qu’elles sont opposables aux appelantes, à qui elles ont été remises.

Elle prétend qu’il n’existe en l’espèce aucune déficience technique au sens de l’article L. 133-23 du code monétaire et financier, la fraude procédant d’une manipulation psychologique.

Enfin, elle fait valoir qu’elle n’est pas légalement tenue d’effectuer une demande retour des fonds, mais l’a pourtant effectuée, accomplissant toutes les démarches en son pouvoir pour minimiser le préjudice.

Subsidiairement, la banque soutient que le fait pour l’utilisateur d’être victime d’une fraude n’est pas exclusif d’une négligence grave au sens de l’article L. 133-19 du code monétaire et financier ; que la solution dégagée par l’arrêt rendu par la Cour de cassation le 23 octobre 2024 en matière de spoofing est ici inapplicable ; qu’en l’occurrence, les sociétés appelantes ont commis une négligence grave en confiant la carte TS et le boîtier sécurisé à une personne qui n’y était pas contractuellement habilitée et en transmettant les données de sécurité personnalisées à un tiers ; que le relevé télématique montre que la société ETEIX a accompli diverses actions sur le lecteur de carte et que dans sa plainte, le dirigeant a lui-même affirmé que les instruments de paiement, savoir la carte TS et le lecteur, ont été utilisés par la secrétaire ; que les sociétés appelantes ont activement participé, étape par étape, aux opérations frauduleuses ; qu’elle n’a pas manqué à son devoir de vigilance.

Réponse de la cour

L’ordonnance du 15 juillet 2009 n° 2009-866 du 15 juillet 2009 relative aux conditions régissant la fourniture de services de paiement et portant création des établissements de paiement a transposé aux articles L. 133-1 et suivants du code monétaire et financier la directive n°2007/64/CE du 13 novembre 2007 concernant les services de paiement dans le marché intérieur, dite DSP 1 ; l’ordonnance du 9 août 2017 n° 2017-1252 du 9 août 2017 y a transposé la directive (UE) 2015/2366 du 25 novembre 2015 du Parlement européen et du Conseil concernant les services de paiement dans le marché intérieur, dite DSP 2.

D’une manière générale, ces dispositions sont applicables, selon l’article L. 133-1 de ce code, lorsque le paiement est réalisé en euros entre deux banques localisées dans l’Espace économique européen.

Selon l’article L. 133-3 de ce code, une opération de paiement est une action consistant à verser, transférer ou retirer des fonds, indépendamment de toute obligation sous-jacente entre le payeur et le bénéficiaire, initiée par le payeur, ou pour son compte, ou par le bénéficiaire ; une telle opération peut être initiée par le payeur, qui donne un ordre de paiement à son prestataire de services de paiement.

Selon les articles L. 133-6 et L. 133-7, une opération de paiement est autorisée si le payeur a donné son consentement à son exécution, sous la forme convenue avec le prestataire de services de paiement.

Selon l’article L. 133-8, l’opération de paiement initiée par l’utilisateur de services de paiement est en principe irrévocable.

L’article L. 133-16 dispose :

Dès qu’il reçoit un instrument de paiement, l’utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées.

Il utilise l’instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation qui doivent être objectives, non discriminatoires et proportionnées.

Les articles L. 133-18 à 133-24 transposent les articles 58, 59 et 60, § 1, de la DSP 1 définissant le régime de la responsabilité d’un prestataire de services de paiement en raison d’une opération de paiement non autorisée ou mal exécutée.

Ce régime a fait l’objet d’une harmonisation totale excluant tout régime alternatif de responsabilité résultant du droit national, tel que celui résultant en France de l’article 1240 du code civil (CJUE, 16 mars 2023, C-351/21, Beobank ; CJUE, 2 septembre 2021, C-337/20 ; Com, 27 mars 2024, n°22-21.200, publié ; Com., 23 mai 2024, n° 22-18.098 ; Com, 15 janvier 2025, n°23-13.579, publié ; Com, 15 janvier 2025, n°23-15.437, publié).

Selon l’article L. 133-19, IV, le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17, à savoir celle de préserver la sécurité de ses données de sécurité et celle d’informer sans tarder le prestataire de services de paiement de toute perte, vol ou détournement de ses moyens de paiement ou de ses données.

L’article L. 133-23 du code monétaire et financier dispose :

Lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre.

L’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière. Le prestataire de services de paiement, y compris, le cas échéant, le prestataire de services de paiement fournissant un service d’initiation de paiement, fournit des éléments afin de prouver la fraude ou la négligence grave commise par l’utilisateur de services de paiement.

En application des articles L. 133-19, IV, et L. 133-23, alinéa 1, du code monétaire et financier précités, il incombe au prestataire de services de paiement de prouver le manquement de l’utilisateur à ses obligations, cette preuve ne pouvant se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés (Com., 18 janvier 2017 n°15-18.102, publié ; Com, 28 mars 2018, n°16-20.018, publié).

S’il entend faire supporter à l’utilisateur d’un instrument de paiement doté d’un dispositif de sécurité personnalisé les pertes occasionnées par une opération de paiement non autorisée rendue possible par un manquement de cet utilisateur, intentionnel ou par négligence grave, aux obligations mentionnées aux articles L. 133-16 et L. 133-17 de ce code, le prestataire de services de paiement doit, au préalable, prouver que l’opération en cause a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre (Com., 12 nov. 2020, n°19-12.112, publié ; Com, 20 nov. 2024, n° 23-15.099, publié).

Ni les directives de 2007 et de 2015, ni le code monétaire et financier ne définissent ce qu’est une négligence grave.

Le considérant 72 de la directive de 2015, reprenant en substance le considérant 33 de la directive de 2007, ne contient à ce sujet que l’indication suivante :

Afin d’évaluer l’éventualité d’une négligence ou d’une négligence grave de la part de l’utilisateur de services de paiement, il convient de tenir compte de toutes les circonstances. Les preuves et le degré de négligence alléguée devraient en général être évalués conformément au droit national. Toutefois, si la négligence implique un manquement au devoir de diligence, la négligence grave devrait impliquer plus que de la simple négligence et comporter un défaut de vigilance caractérisé, comme le serait le fait de conserver les données utilisées pour autoriser une opération de paiement à côté de l’instrument de paiement, sous une forme aisément accessible et reconnaissable par des tiers. Les clauses et conditions contractuelles concernant la fourniture et l’utilisation d’un instrument de paiement qui auraient pour effet d’alourdir la charge de la preuve incombant au consommateur ou d’alléger la charge de la preuve imposée à l’émetteur devraient être considérées comme nulles et non avenues. En outre, dans des situations spécifiques et en particulier lorsque l’instrument de paiement n’est pas présent au point de vente, par exemple dans le cas de paiements en ligne, il convient que le prestataire de services de paiement soit tenu d’apporter la preuve de la négligence alléguée, le payeur n’ayant, dans ce cas, que des moyens limités de le faire.

La notion de négligence grave n’est pas plus éclairée par la jurisprudence de la Cour de justice de l’Union.

La Cour de cassation, en revanche, en définit progressivement les contours.

Il est désormais acquis que la bonne foi du payeur est indifférente à l’existence d’une négligence grave tenant au manquement à l’obligation légale de prendre toute mesure raisonnable pour préserver la sécurité du dispositif de sécurité personnalisé mis à sa disposition (Com, 1er juillet 2020, n°18-21.487, publié).

La gravité de la négligence du payeur est examinée à l’aune des indices de fraude qui auraient pu être décelés par un « utilisateur normalement attentif » (Com, 28 mars 2018, n°16-20.018, publié, dans un cas d’hameçonnage par un courriel d’aspect frauduleux). En communiquant au fraudeur ses codes personnels, le payeur commet une négligence grave excluant son indemnisation par le prestataire de services de paiement (Com, 25 oct. 2017, n°16-11.644 ; Com, 6 juin 2018, n°16-29.065 ; Com, 3 oct. 2018, n°17-21.395 ; Com, 2 juin 2021, n°17-21.395 ; Com, 24 nov. 2021, n°20-13.767).

La Cour de cassation a récemment adopté une solution favorable aux victimes de « spoofing », technique de fraude consistant pour son auteur à usurper au téléphone l’identité d’un prestataire de services de paiement, en posant qu’aucune négligence grave ne peut être imputée au titulaire d’un compte qui, contacté téléphoniquement par une personne se faisant passer pour un préposé de sa banque dont le numéro s’affichait, utilise à sa demande le dispositif de sécurité personnalisé pour supprimer puis réinscrire des bénéficiaires de virements dans le but d’éviter des opérations malveillantes (Com, 23 octobre 2024, n°23-16.267, publié).

Le règlement (UE) n° 260/2012 du Parlement européen et du Conseil du 14 mars 2012 établit des règles et des exigences techniques et commerciales pour les virements en euros au sein de l’espace unique de paiements en euros, la zone SEPA (Single Euro Payements Area), dont font partie tous les Etats membres de l’Union européenne.

Le Conseil européen des paiements (European Payments Council) est une organisation non-gouvernementale créée en 2002 par l’industrie bancaire afin de contribuer à l’harmonisation du traitement des paiements en zone SEPA.

A cette fin, il édite notamment un document décrivant les bonnes pratiques en matière de virements appelé SEPA Credit Transfer Rulebook, ou SCT Rulebook.

Le manquement par un fournisseur de service de paiements y ayant adhéré aux usages décrits dans ce document est de nature à engager sa responsabilité.

Le Rulebook de 2020, version 1.1, en date du 5 mars 2020, était en vigueur du 1er avril au 30 novembre 2020, à l’époque des paiements litigieux.

Le point 4.3.2.3 de ces Rulebook décrit la procédure de « recall », qui vise à l’annulation d’un virement et à la restitution des fonds au payeur.

La banque d’origine met en 'uvre cette procédure spontanément ou à la demande de son client (points CT- 02.00, CT- 02.01 ; point 4.3.2.4), en cas de doublon, de problème technique ou d’instruction frauduleuse de virement (« fraudulent originated SEPA Credit Transfer Instruction ») ; elle est tenue de s’assurer que la demande de retour est motivée par l’un de ces cas ; elle doit demander le recall dans les 10 jours ouvrables (« banking business days ») de l’exécution du virement ; la banque bénéficiaire doit lui répondre dans les 15 jours.

Selon le point CT-20.03R du Rulebook applicable, la banque bénéficiaire refuse le retour dans différents cas, en particulier si le compte n’est pas suffisamment provisionné, ou bien a été fermé, ou bien en cas de refus ou de silence de son client.

Selon une jurisprudence ancienne, en droit commun de la responsabilité contractuelle, si le banquier n’a pas à s’immiscer dans les affaires de son client, il est contractuellement tenu à un devoir de vigilance tel qu’il lui incombe de prouver que les opérations qu’il a exécutées n’étaient pas affectées d’une anomalie apparente (voir par exemple Com, 21 sept 2022, n°21-12.335). Ce régime de responsabilité du banquier au regard du droit commun est le seul applicable lorsque l’opération n’entre pas dans le champ territorial des directives DSP 1 et DSP 2 défini à l’article L. 133-1 du code monétaire et financier (Com, 14 février 2024, n°22-11.654, publié). Inversement, comme il a déjà été signalé, le régime spécial de responsabilité prévu par les directives exclut toute application du droit commun (voir par exemple Com, 2 mai 2024, n°22-18.454).

Ainsi, selon le droit commun, lorsqu’un virement international est réalisé vers un compte localisé dans un Etat hors zone SEPA, le banquier est tenu, à réception de l’ordre de virement, s’il présente des anomalies apparentes, de vérifier leur régularité auprès du dirigeant de la société cliente, seule personne habilitée à les valider, lors que les circonstances inhabituelles de passation des ordres laissent supposer une possible fraude au président (voir par exemple Com, 2 oct. 2024, n°23-13.282, publié, dans un cas de virements d’un montant important vers un pays d’Asie avec lequel la société cliente n’avait prestation de services de relations habituelles).

Le 23 mars 2015, au nom de la société Eteix, M. [C] a souscrit au service BNP Net Evolution, qui permet notamment, depuis internet, moyennant l’usage d’une carte " transfert sécurisé’ (TS), insérée dans un boîtier physique doté d’un clavier numérique, de procéder à des virements SEPA.

La création d’un bénéficiaire de virement comme la réalisation d’un virement comporte plusieurs étapes : l’accès au site internet, qui nécessite un numéro d’abonné, l’insertion de la carte TS dans le boîtier, la saisie sur le boîtier d’un code confidentiel attaché à la carte, enfin la saisie sur la plateforme internet de la clé d’accès numérique unique générée par le boîtier.

Le contrat du 23 mars 2015 comporte la formule suivante, au-dessus de la signature du client : « Je reconnais avoir reçu, pris connaissance et accepter sans réserve les Conditions Générales BNP Net Evolution et ses annexes dans leur version en vigueur au jour de la signature des présentes, dont un exemplaire m’a été remis préalablement à celle-ci, qui forment un tout indissociable et indivisible avec les présente Conditions Particulières (') Lorsque le Client a opté pour la Carte TRANSFERT SECURISE comme mode d’authentification forte, il reconnaît avoir pris connaissance préalablement à la signature des présentes des Conditions de Fonctionnement de la Carte TRANSFERT SECURISE et déclare en accepter toutes les dispositions sans réserves ».

La banque intimée ne produit pas les conditions générales BNP Net Evolution ni les conditions de fonctionnement de la carte transfert sécurisé remises à M. [C] en 2015.

Elle verse en revanche aux débats les conditions générales de ce service dans leur édition de 2017, ainsi que les conditions de fonctionnement de la carte transfert sécurisé datées de février 2017.

La cour retient, compte tenu des mentions du contrat de 2015, que ces documents contractuels sont opposables aux sociétés appelantes et qu’ils décrivent de manière adéquate la forme de l’ordre de paiement convenue avec le prestataire de services de paiement, au sens des articles L. 133-6 et L. 133-7 du code monétaire et financier, au jour des virements litigieux.

L’article 1.3 des conditions générales de fonctionnement de la carte TS stipule que le titulaire de la carte, nommé le Détenteur, est un mandataire désigné par le client et agréé par la banque ; que la carte est nominative et à l’usage exclusif du Détenteur ; que l’identité de ce dernier et la raison sociale du client sont imprimées sur la carte.

Il est encore stipulé que la carte est rigoureusement personnelle et qu’il est strictement interdit au Détenteur de la prêter ou de s’en déposséder (§2.1) ; qu’à cette carte est attaché un code confidentiel que le Détenteur doit tenir absolument secret et ne communiquer à personne (§3.1).

Il n’est pas allégué par les appelantes que ces stipulations soient dépourvues d’objectivité, discriminatoires ou disproportionnées.

Il est constant que M. [C], dirigeant de la société Eteix, était contractuellement désigné comme Détenteur de la carte TS ayant servi aux virements litigieux ; les appelantes reconnaissent que Mme [X], secrétaire, n’était pas habilitée à connaître le code confidentiel associé à la carte ni autorisée à manipuler la carte TS et le boîtier.

Les parties s’accordent sur le fait que c’est un fraudeur qui, le 20 avril 2020, a réalisé les quatre virements litigieux à partir des comptes des sociétés Eteix et Fabien.

De quoi il résulte nécessairement, au regard de la règle relative à la charge de la preuve du caractère autorisé d’un paiement prévue à l’article L. 133-23 du code monétaire et financier, que ces opérations de paiement n’ont pas été autorisées au sens de l’article L. 133-6 de ce code, les sociétés appelantes n’ayant pas donné leur consentement à leur exécution.

Dans sa plainte du 13 mai 2020, M. [C] a indiqué que le fraudeur avait pris téléphoniquement l’attache d’une secrétaire, Mme [X], se présentant comme un technicien du service télématique de la banque, et que celle-ci lui avait communiqué le numéro d’abonné permettant l’accès aux comptes des sociétés Eteix et Fabien sur la plateforme internet.

Aucune défaillance technique du système de sécurisation des virements par boîtier et carte TS ni aucun piratage de ce système ne peuvent être inférés des faits décrits par les parties ni des pièces versées aux débats ; la cour retient d’autre part que les opérations litigieuses ont été authentifiées, dûment enregistrées et comptabilisées.

La cour considère comme établi que, compte tenu du processus nécessaire à l’authentification forte préalable à la création d’un bénéficiaire de virement et à la réalisation des quatre virements litigieux précédemment décrit, les opérations litigieuses n’ont pu être réalisées que, comme le soutient la banque, grâce à la participation active de la salariée des sociétés appelantes, qui préalablement à chacune de ces cinq opérations, a fourni au fraudeur la clé d’accès numérique unique générée par le boîtier en sa possession ; que la réalisation des virements à partir d’un ordinateur à l’adresse IP marocaine n’était pas connue de la banque au moment de leur passation.

Dès lors que la salariée ayant contribué à la fraude n’était pas contractuellement le Détenteur de la carte TS associée à ce boîtier, le fait pour les sociétés appelantes de la lui avoir confiée, ainsi que le code confidentiel associé permettant d’actionner le boîtier, en contravention aux dispositions de l’article L. 133-16 du code monétaire et financier précité comme aux stipulations du contrat passé avec la banque, constitue une négligence grave du payeur exclusive de toute indemnisation, ainsi que le tribunal de commerce l’a retenu à juste titre.

Il n’est pas contesté que la banque BNP Paribas est un prestataire de services de paiement soumis aux recommandations du European Payments Council.

Contrairement à ce que soutient l’intimée, la banque d’origine est, selon le SCT Rulebook applicable, en particulier son point 4.3.2.4, tenue de mettre en 'uvre la procédure de recall lorsque son client lui en fait la demande.

En l’occurrence, il est établi que la banque a mis en 'uvre avec diligence la procédure de recall des virements litigieux, dès lors que cette procédure a permis la restitution d’une partie des fonds détournés au préjudice de la société Eteix.

Les opérations litigieuses ont été réalisées en euros, à destination de l’Allemagne, soit au sein de l’Union européenne. Il s’ensuit que seul le régime de responsabilité prévu aux articles L. 133-1 et suivants du code monétaire et financier est applicable à la responsabilité du prestataire de services de paiement, à l’exclusion du droit commun contractuel.

De là suit en premier lieu que les moyens pris par les appelantes des articles 1915 et suivants du code civil relatifs au dépôt sont inopérants, quelle que soit la date à laquelle l’utilisateur a signalé les opérations non autorisées à la banque.

La règle dégagée par l’arrêt rendu par la CJUE le 2 septembre 2021 selon laquelle la caution d’un utilisateur de services de paiement peut rechercher la responsabilité civile du prestataire de services de paiement selon le droit commun pour contester le montant de la dette garantie invoquée par les appelantes est ici sans application.

De là suit en second lieu que les moyens pris par les appelantes d’une prétendue négligence de la banque dans la vérification de l’identité du bénéficiaire des virements, notamment au regard des opérations qu’elles réalisaient ordinairement, qui caractériserait selon elles un manquement de la banque à son devoir de vigilance, sont inopérants.

Le jugement entrepris doit en conséquence être confirmé en toutes ses dispositions.

Sur les demandes accessoires

Compte tenu de l’issue du litige et de la situation économique respective des parties, l’équité n’impose pas d’allouer à l’une d’elles d’indemnité de procédure.

PAR CES MOTIFS,

la cour, statuant contradictoirement,

Confirme le jugement entrepris ;

Condamne solidairement les sociétés Eteix et Fabien aux dépens d’appel ;

Rejette les demandes formulées au titre des frais non compris dans les dépens.

— prononcé publiquement par mise à disposition de l’arrêt au greffe de la cour, les parties en ayant été préalablement avisées dans les conditions prévues au deuxième alinéa de l’article 450 du code de procédure civile.

— signé par Monsieur Ronan GUERLOT, Président, et par Madame Françoise DUCAMIN, Greffière, auquel la minute de la décision a été remise par le magistrat signataire.

LA GREFFIÈRE LE PRÉSIDENT

Décisions similaires

Citées dans les mêmes commentaires3

  • Caducité ·
  • Adresses ·
  • Investissement ·
  • Intimé ·
  • Signification ·
  • Appel ·
  • Activité économique ·
  • Date ·
  • Déclaration ·
  • Procédure civile
  • Droits attachés à la personne ·
  • Droit des personnes ·
  • Tribunal judiciaire ·
  • Liberté ·
  • Droit d'asile ·
  • Prolongation ·
  • Appel ·
  • Ordonnance ·
  • Éloignement ·
  • Contrôle ·
  • Séjour des étrangers ·
  • Déclaration
  • Responsabilité et quasi-contrats ·
  • Consolidation ·
  • Préjudice ·
  • Gauche ·
  • Victime ·
  • Expert ·
  • Titre ·
  • Tuberculose ·
  • Déficit fonctionnel permanent ·
  • Professionnel ·
  • Tierce personne

Citant les mêmes articles de loi3

  • Commissaire de justice ·
  • Loyer ·
  • Bail ·
  • Clause resolutoire ·
  • Commandement de payer ·
  • Indemnité d 'occupation ·
  • Tribunal judiciaire ·
  • Expulsion ·
  • Contentieux ·
  • Protection
  • Relations du travail et protection sociale ·
  • Relations individuelles de travail ·
  • Salariée ·
  • Agence ·
  • Employeur ·
  • Harcèlement ·
  • Non-concurrence ·
  • Discrimination ·
  • Rupture ·
  • Contrat de travail ·
  • Poste ·
  • Titre
  • Relations du travail et protection sociale ·
  • Protection sociale ·
  • Tribunal judiciaire ·
  • Demande ·
  • Adresses ·
  • Répertoire ·
  • Communication des pièces ·
  • Message ·
  • Conseil ·
  • Radiation ·
  • Magistrat ·
  • Partie

De référence sur les mêmes thèmes3

  • Relations du travail et protection sociale ·
  • Relations individuelles de travail ·
  • Employeur ·
  • Service ·
  • Astreinte ·
  • Avertissement ·
  • Rémunération variable ·
  • Discrimination ·
  • Titre ·
  • Harcèlement ·
  • Contrat de travail ·
  • Résiliation judiciaire
  • Relations du travail et protection sociale ·
  • Relations individuelles de travail ·
  • Etablissement public ·
  • Indemnité ·
  • Chômage ·
  • Pôle emploi ·
  • Sociétés ·
  • Demande ·
  • Licenciement verbal ·
  • Omission de statuer ·
  • Dominique ·
  • Adresses
  • Recouvrement ·
  • Créance ·
  • Mandataire judiciaire ·
  • Administrateur judiciaire ·
  • Titre ·
  • Finances publiques ·
  • Montant ·
  • Adresses ·
  • Conversion ·
  • Finances

Sur les mêmes thèmes3

  • Droits attachés à la personne ·
  • Droit des personnes ·
  • Rhin ·
  • Tribunal judiciaire ·
  • Prolongation ·
  • Identification ·
  • Administration ·
  • Étranger ·
  • Ordonnance ·
  • Appel ·
  • Niger ·
  • Compétence
  • Droits attachés à la personne ·
  • Droit des personnes ·
  • Registre ·
  • Prolongation ·
  • Ordonnance ·
  • Décision d’éloignement ·
  • Étranger ·
  • Détention ·
  • Liberté ·
  • Délivrance ·
  • Notification ·
  • Asile
  • Dommages causés par des véhicules ·
  • Responsabilité et quasi-contrats ·
  • Caraïbes ·
  • Mise en état ·
  • Désistement ·
  • Adresses ·
  • Ordonnance ·
  • Tribunal judiciaire ·
  • Sécurité sociale ·
  • Chine ·
  • Appel ·
  • Sécurité

Textes cités dans la décision

  1. DSP I - Directive 2007/64/CE du 13 novembre 2007 concernant les services de paiement dans le marché intérieur
  2. Règlement (UE) 260/2012 du 14 mars 2012 établissant des exigences techniques et commerciales pour les virements et les prélèvements en euros
  3. DSP II - Directive (UE) 2015/2366 du 25 novembre 2015 concernant les services de paiement dans le marché intérieur
  4. Code de procédure civile
  5. Code civil
  6. Code monétaire et financier
Extraits similaires à la sélection

Aucune décision de référence ou d'espèce avec un extrait similaire.

Inscrivez-vous gratuitement pour imprimer votre décision
Cour d'appel de Versailles, Chambre commerciale 3 2, 18 mars 2025, n° 24/00262
  1. Doctrine
  2. Décisions de justice
  3. 2025
  4. CA Versailles, ch. com. 3 2, 18 mars 2025, n° 24/00262
Contactez notre service commercial au 01 84 80 33 48