TRIBUNAL DES ACTIVITES ECONOMIQUES DE NANTERRE JUGEMENT PRONONCE PAR MISE A DISPOSITION AU GREFFE LE 24 Janvier 2025 4ème CHAMBRE

DEMANDEUR

Monsieur [U] [O] [Adresse 4] [Localité 3]

comparant par Cabinet d’Avocats LEXCO – M^es Fanny PENCHEDANTHEZ et Marie-Hélène LEGHIE [Adresse 9] [Localité 2]

DEFENDEUR

SA BOURSORAMA [Adresse 6] [Localité 10]

comparant par SCP HUVELIN et Associés [Adresse 1] [Localité 7] et par SAS RICHARD ASSOCIES – M^e Arnaud-Gilbert RICHARD [Adresse 11] [Localité 8]

LE TRIBUNAL AYANT LE 21 Novembre 2024 ORDONNE LA CLOTURE DES DEBATS ET MIS LE JUGEMENT EN DELIBERE POUR ETRE PRONONCE PAR MISE A DISPOSITION AU GREFFE LE 24 Janvier 2025,

EXPOSE DES FAITS

Monsieur [U] [O], demeurant à [Localité 12], est retraité.

M. [O] ouvre un compte bancaire n° [XXXXXXXXXX05] auprès de la banque BOURSORAMA, située à [Localité 10], en 2006, selon lui, ou en 2008, selon la banque.

Le 10 octobre 2022, BOURSORAMA rapporte qu’un nouvel appareil « OnePlusA500 sous Android 7.1 » se connecte sur le compte bancaire de M. [O] et est autorisé à faire des transactions sur ce compte.

Le 22 octobre 2022, Orange envoie par courriel à M. [O] une alerte de sécurité concernant l’activité de son adresse courriel @orange.fr, et bloque temporairement son compte. M. [O] rapporte que, suite à cette alerte, il modifie ce même jour le mot de passe de son espace client et de sa boite courriel chez Orange.

Dimanche 23 octobre 2022, 30 virements sont opérés à partir du compte bancaire de M. [O] pour la somme totale de 59 760 €. M. [O] rapporte qu’il n’autorise pas ces virements. BOURSORAMA rapporte que ces virements sont exécutés de 19h24 à 19h47.

Ce même jour, M. [O] bloque volontairement son compte bancaire en rentrant trois fois un mot de passe erroné, manœuvre qu’il opère en raison de la fermeture des services de la banque le dimanche. BOURSORAMA rapporte à l’audience que le blocage est opéré à 20h39.

Ce même jour, par courriel envoyé à 21h44, M. [O] informe la banque que son compte bancaire a été piraté et qu’il n’a reçu que des courriels de confirmation des virements, et demande que lesdits virements soient bloqués.

Ce même jour, par courriel envoyé à 21h57, M. [O] informe la banque qu’il a essayé de changer le mot de passe de son compte bancaire en cours d’après-midi, « procédure qui n’a pas réussi car [il n’a] jamais reçu le SMS sur [son] téléphone donnant le code de déverrouillage. »

Le 24 octobre 2022, M. [O] appelle la banque à 8h01 pour confirmer sa plainte envoyée la veille. BOURSORAMA informe M. [O] que les virements ont été faits au profit de cinq nouveaux bénéficiaires le 23 octobre 2022, et M. [O] répond qu’il ne connaît pas ces personnes.

Les 24 octobre et 26 octobre 2022, BOURSORAMA recrédite le compte de M. [O] pour la somme totale de 20 014,11 €. Le solde des virements litigieux opérés le 23 octobre s’élève donc à 39 745,89 €.

Par deux courriels en date du 25 octobre 2022, BOURSORAMA indique à M. [O] que « L’exécution des virements que vous contestez induit que vous n’avez pas respecté tout ou partie des mesures de protection, et conduisent BOURSORAMA à considérer que vous n’êtes pas éligible à une prise en charge de remboursement de ces opérations. »

Le 26 octobre 2022, M. [O] rapporte qu’il appelle BOURSORAMA et que le conseiller bancaire lui indique « qu’il n’y avait aucune authentification forte pour ces virements car ceuxci [étaient] inférieurs à un seuil qu’il a refusé de préciser. »

Par pré-plainte en ligne puis par lettre RAR du 27 octobre 2022 adressée à Monsieur le procureur de la République, M. [O] porte plainte pour opérations non autorisées sur son compte bancaire.

Par lettre RAR du 27 octobre 2022, M. [O] demande à BOURSORAMA de lui rembourser la somme de 39 745,89 €.

Par courriel en date du 3 novembre 2022, BOURSORAMA rejette à nouveau la demande de remboursement de M. [O].

Par lettre RAR du 28 novembre 2022, le conseil de M. [O] met BOURSORAMA en demeure de lui rembourser la somme de 39 745,89 €. En vain.

Par sommations de communiquer en date du 18 juillet 2023 et du 24 novembre 2023, le conseil de M. [O] demande à BOURSORAMA de communiquer :

* le procès-verbal de retranscription de la conversation téléphonique du 26 octobre 2022 entre M. [O] et BOURSORAMA ;

* la preuve du document « Journal des connexions [O] lors des virements litigieux et des messages des authentifications fortes effectuées par BOURSORAMA et validées par le client » et la preuve de son caractère officiel ;

* les « alertes, messages, emails et demandes d’authentification fortes […] prétendument envoyés par la banque à M. [O] les 10 et 23 octobre 2022. »

PROCEDURE ET PRETENTIONS DES PARTIES

C’est dans ces circonstances que, par acte de commissaire de justice du 10 mars 2023 signifié à personne, M. [O] assigne BOURSORAMA devant le tribunal de commerce de Nanterre.

Par dernières CONCLUSIONS EN REPLIQUE N° 3 déposées à l’audience du 15 février 2024, M. [O] demande au tribunal de :

Vu les articles L. 133-18 et suivants du code monétaire et financier,

JUGER que la société BOURSORAMA a manqué à ses obligations légales et contractuelles en matière de vigilance, d’authentification forte et de remboursement ;

JUGER que la connexion sur l’espace en ligne sécurisé de M. [O] par les escrocs n’a fait l’objet d’aucune authentification forte ;

JUGER que l’ajout de nouveaux bénéficiaires n’a fait l’objet d’aucune authentification forte ; JUGER que les virements litigieux et à hauteur de 39 745,89 € n’ont pas été autorisés par M. [O] par le biais d’une authentification forte ;

JUGER que, en tout état de cause, M. [O] n’a commis aucune faute ni aucune négligence grave dans l’exécution de ses obligations, notamment concernant la sécurité de ses données personnelles ; En conséquence :

CONDAMNER BOURSORAMA à verser à M. [O] la somme de 39 745,89 €, augmentée des intérêts au taux légal majoré de quinze points ;

DEBOUTER BOURSORAMA de toutes ses demandes, fins et prétentions ;

CONDAMNER BOURSORAMA au paiement de la somme de 9 000 € à M. [O] au titre de l’article 700 du code de procédure civile ;

CONDAMNER BOURSORAMA aux entiers dépens.

Par dernières CONCLUSIONS RECAPITULATIVES ET EN REPLIQUE N° 3 déposées à l’audience du 4 avril 2024, BOURSORAMA demande au tribunal de :

Vu les articles 1134 et 1219 du code civil ;

Vu les articles 6, 9, et 700 du code de procédure civile ;

Vu les articles L. 133-3 et suivants, notamment L. 133-16 et L. 133-19 IV du code monétaire et financier,

RECEVOIR BOURSORAMA en ses prétentions en défense et la jugeant bien fondée ; DEBOUTER M. [O] de l’ensemble de ses demandes, fins et conclusions à l’encontre de BOURSORAMA ; CONDAMNER M. [O] à régler à BOURSORAMA la somme de 3 500 € sur le fondement de l’article 700 du code de procédure civile et aux entiers dépens du procès.

Les parties se présentent à l’audience du juge chargé d’instruire l’affaire du 21 novembre 2024, y confirment que leurs dernières écritures sont récapitulatives au sens des dispositions de l’article 446-2, deuxième alinéa, du code de procédure civile, et y développent leurs prétentions et moyens.

A l’issue de l’audience du 21 novembre 2024, le juge, après avoir entendu les parties sur le fond, a clos les débats et mis le jugement en délibéré pour être prononcé, après son rapport à la formation de jugement, par mise à disposition au greffe du tribunal le 24 janvier 2025, les parties en ayant été préalablement avisées dans les conditions prévues à l’article 450 du code de procédure civile.

MOYENS DES PARTIES ET MOTIVATION DE LA DECISION

Sur la demande en principal de M. [O]

Au soutien de sa demande de voir le tribunal condamner BOURSORAMA à lui verser la somme de 39 745,89 €, M. [O] met en avant que :

* trente virements, qu’il n’a pas autorisé, ont prélevé sur son compte la somme totale 59 760 € le dimanche 23 octobre 2022 en seulement 23 minutes, certains virements apparaissant comme étant opérés en 1 seconde ;

* BOURSORAMA ne démontre pas l’authentification forte des connexions sur son espace bancaire en ligne les 10 et 23 octobre 2022 ;

* BOURSORAMA ne démontre pas l’authentification forte qui a permis l’ajout de cinq bénéficiaires vers lesquels ont eu lieu des virements litigieux ;

* BOURSORAMA ne démontre pas l’authentification forte lors de la validation des virements litigieux ;

* il n’a pas commis de négligence grave concernant ses obligations, y compris concernant la sécurité de ses données personnelles ;

* suite à sa réclamation, BOURSORAMA n’a restitué que la somme de 20 014,11 € sur le total de 59 760 €, le solde non restitué s’élevant à 39 745,89 €.

M. [O] en réponse à BOURSORAMA, ajoute :

*

qu’il nie avoir autorisé l’ajout d’un nouveau téléphone portable le 10 octobre 2022 pour se connecter sur son espace client et que BOURSORAMA ne précise pas le mode opératoire des demandes d’autorisation, ne prouve pas l’envoi desdites demandes et ne rapporte pas la preuve qu’il ait donné cette autorisation ;

*

que le fichier Journal des connexions communiqué par BOURSORAMA est un fichier au format Excel qui n’a pas de force probante ;

*

que le Journal des connexions ne comporte pas de mention d’authentification forte pour les trente virements frauduleux et n’indique pas le mode d’envoi des codes d’authentification par courriel ou par SMS ;

*

et, concernant la sécurité de sa connexion à son réseau internet Orange, M. [O] met en avant que dès l’alerte reçue samedi 22 novembre 2022, faisant suite au blocage de son compte Orange, et qu’il a modifié son mot de passe afin de récupérer l’accès à son compte.

BOURSORAMA oppose que :

*

elle est une banque en ligne, et tous les clients détiennent un code identifiant et un mot de passe personnels et confidentiels pour se connecter à leur espace en vue de consulter leurs comptes et effectuer les opérations ;

*

M. [O] dispose des codes identifiant et mot de passe personnels, qui sont placés sous sa responsabilité comme prévu par la loi et par les conditions générales de BOURSORAMA ; – M. [O] a dû se connecter sur le site de la banque en saisissant son identifiant et mot de passe pour renseigner les paramètres des virements, y compris les références des nouveaux bénéficiaires, et confirmer les virements ;

*

M. [O] a reçu sur son téléphone portable et sur sa boîte courriel personnels « l’ensemble des SMS, mails et demandes d’authentification forte pour l’ensemble des virements » ;

*

M. [O] reconnaît avoir reçu de multiples courriels de BOURSORAMA l’informant des virements le 23 octobre 2022 ;

*

M. [O] a commis une négligence grave en s’abstenant « de prendre une quelconque mesure conservatoire après le message d’alerte de sécurité Orange qui compromet son compte et la connexion en ligne » et, suite à l’autorisation d’un nouvel appareil OnePlusA500 « pour lequel M. [O] a bien reçu par mails de BOURSORAMA cette information et les demandes d’authentification forte pour qu’il soit autorisé. […] Si M. [O] ne comptait pas autoriser ce nouvel appareil à la suite de l’alerte par mail reçue de la Banque et qu’il puisse être utilisé désormais pour toute opération, il devait immédiatement contacter BOURSORAMA […] ce que M. [O] n’a pas fait » ;

*

« Toutes les opérations d’ajout des IBAN et de virement du dimanche 23 octobre 2022 ont été initiées à partir de l’appareil autorisé par M. [O] ("OnePlusA500 sous Android 7.1) et il a bien reçu l’ensemble des notifications par SMS et email relativement à ces opérations » ; – et elle produit un « Journal des connexions » comme preuve :

de l’authentification forte du nouveau téléphone OnePlusA500, avec envoi du code à usage unique OTP par courriel le 10 octobre 2022 ;

des opérations d’ajout des IBAN et virements du 23 octobre 2022 initiées à partir de ce téléphone ;

« des demandes d’authentification forte pour l’ensemble des virements litigieux avec envoi des codes à 6 chiffres comme cela ressort du tableau des connexions » ;

et donc que les diverses négligences graves de M. [O] ont permis les opérations litigieuses.

SUR CE, le tribunal motive ainsi sa décision :

Le code monétaire et financier dispose que :

* Article L. 133-16 : « Dès qu’il reçoit un instrument de paiement, l’utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées.

Il utilise l’instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation qui doivent être objectives, non discriminatoires et proportionnées. »

* Article L. 133-18 : « En cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L. 133-24, le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement et s’il communique ces raisons par écrit à la Banque de France. Le cas échéant, le prestataire de services de paiement du payeur rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu. […]

En cas de manquement du prestataire de services de paiement aux obligations prévues aux deux premiers alinéas du présent article, les pénalités suivantes s’appliquent : […]

3° Au-delà de trente jours de retard, les sommes dues produisent intérêt au taux légal majoré de quinze points.[…] »

* Article L. 133-19 : « […] IV. – Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17.

V. – Sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si l’opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement du payeur n’exige une authentification forte du payeur prévue à l’article L. 133-44. »

* Article L. 133-23 : « Lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre.

[…] Le prestataire de services de paiement […] fournit des éléments afin de prouver la fraude ou la négligence grave commise par l’utilisateur de services de paiement. »

* Article L. 133-44- I : « Le prestataire de services de paiement applique l’authentification forte du client définie au f de l’article L. 133-4 lorsque le payeur :

1° Accède à son compte de paiement en ligne ;

2° Initie une opération de paiement électronique ;

3° Exécute une opération par le biais d’un moyen de communication à distance, susceptible de comporter un risque de fraude en matière de paiement ou de toute autre utilisation frauduleuse. »

* Article L. 133-4 f) : « Une authentification forte du client s’entend d’une authentification reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories « connaissance » (quelque chose que seul l’utilisateur connaît), « possession » (quelque chose que seul l’utilisateur possède) et « inhérence » (quelque chose que l’utilisateur est) et indépendants en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d’authentification. »

Le tribunal constate que :

* la pièce Journal des connexions est un fichier de format Excel avec un onglet « Activité Client » dont les colonnes sont : « Horodatage / Login / API / Message / Status [Sic] / User Agent / ID / Appareil / OS / Client / IP / Opérateur / Pays / Région / Ville ». Cet onglet comporte 507 lignes et ne comporte pas de glossaire permettant de comprendre toutes les informations techniques dans ces lignes ; un onglet « Virements » dont les colonnes sont : « Horodatage / Login / Compte donneur d’ordre / Compte bénéficiaire / Montant / Devise / Motif / Parcours / Type de virement / Type de programmation / ID / Appareil / OS / Client / IP / Opérateur / Pays / Région / Ville ». Cet onglet comporte 34 lignes.

et il ressort de ce fichier :

qu’il est un élément de preuve dont les 30 lignes 6 à 35 de l’onglet Virements indiquent un montant total de virements pour la journée du 23 octobre 2022 s’élevant à 59 760 €, montant sur lequel les parties sont d’accord ; que l’onglet Activité Client, dont chaque ligne est horodatée, ne permet pas au tribunal de s’assurer que les opérations d’ajout d’un téléphone OnePlusA500 le 10 octobre 2022, d’ajout d’IBAN bénéficiaires et de virements le 23 octobre 2022 ont fait l’objet d’une authentification forte au sens des articles L. 133-23 et L. 133-4 du code monétaire et financier ;

* Orange, par courriel du 22 octobre 2022 à 20h34 adressé à M. [O], lui notifie « Alerte sécurité : blocage provisoire de votre compte Orange – […] Par mesure de sécurité et pour protéger vos informations personnelles, nous avons réalisé un blocage provisoire de votre compte, (l’accès à votre Espace client, vos mails et vos applis Orange est bloqué). » Les courriels envoyés par M. [O] à BOURSORAMA le 23 octobre 2022 à 21h44 puis à 21h57, intitulés « Piratage de mon compte Boursorama » démontrent que M. [O] a effectivement débloqué son compte Orange en changeant son mot de passe.

En application de l’article L. 133-23 du code monétaire et financier, M. [O] niant avoir autorisé les virements opérés le 23 octobre 2022, il revient à BOURSORAMA de prouver la fraude ou la négligence grave de son client, ou de démontrer que M. [O] n’a pas préservé la sécurité de ses données de sécurité personnelles.

BOURSORAMA ne démontre donc pas avoir mis en place les mesures d’authentification forte requises par les articles L. 133-44-I et L 133-4 (f) du code monétaire et financier, pour la connexion à l’espace bancaire en ligne de M. [O], ni pour l’ajout de nouveaux bénéficiaires, ni pour la validation des paiements.

Par ailleurs, BOURSORAMA ne démontre pas que M. [O] se soit « abstenu de prendre une quelconque mesure conservatoire » alors qu’il a effectivement modifié son code d’accès aux services Orange suite au blocage de son compte, et bloqué l’accès au compte bancaire dès le 23 octobre 2022 à 20h39, soit environ 1h après le premier virement frauduleux, et dès lors BOURSORAMA ne démontre pas la négligence grave commise par son client.

Aussi, en application des dispositions de l’article L. 133-18 du code monétaire et financier, BOURSORAMA devra rembourser à M. [O] le montant des opérations non autorisées par ce dernier.

En conséquence, le tribunal condamnera BOURSORAMA à payer à M. [O] la somme de 39 745,89 €, solde des virements litigieux non encore remboursés, outre intérêts au taux légal majoré de quinze points à compter du 24 octobre 2022 en application des dispositions de l’article L. 133-18 (3) du code monétaire et financier.

Sur l’article 700 du code de procédure civile, l’exécution provisoire et sur les dépens

Pour faire valoir ses droits, M. [O] a dû exposer des frais non compris dans les dépens qu’il serait inéquitable de laisser à sa charge.

En conséquence, le tribunal condamnera BOURSORAMA à payer à M. [O] la somme de 1 500 € au titre de l’article 700 du code de procédure civile déboutant ce dernier du surplus.

Au vu des faits de la cause, le tribunal condamnera BOURSORAMA qui succombe aux dépens.

PAR CES MOTIFS,

Le tribunal, après en avoir délibéré, statuant publiquement par un jugement contradictoire en premier ressort,

CONDAMNE la société anonyme BOURSORAMA à payer à Monsieur [U] [O] la somme de 39 745,89 €, outre intérêts au taux légal majoré de quinze points à compter du 24 octobre 2022 ;

CONDAMNE la société anonyme BOURSORAMA à payer à Monsieur [U] [O] la somme de 1 500 € au titre de l’article 700 du code de procédure civile ;

CONDAMNE la société anonyme BOURSORAMA aux dépens.

Liquide les dépens du greffe à la somme de 70,91 euros, dont TVA 11,82 euros.

Délibéré par M. Thierry de BAILLIENCOURT, président du délibéré, M. Thierry BOURGEOIS et M. Cyril de MALEPRADE, (M. DE MALEPRADE Cyril étant juge chargé d’instruire l’affaire).

Le présent jugement est mis à disposition au greffe de ce tribunal, les parties en ayant été préalablement avisées verbalement lors des débats dans les conditions prévues au deuxième alinéa de l’article 450 du code de procédure civile.

La minute du jugement est signée électroniquement par le président du délibéré et le greffier.