TRIBUNAL DES ACTIVITES ECONOMIQUES DE NANTERRE JUGEMENT PRONONCE PAR MISE A DISPOSITION AU GREFFE LE 15 Mai 2025 3ème CHAMBRE

DEMANDEURS

SARL CDM [Localité 4] comparant par M^e Virginie TREHET GERMAIN THOMAS [Adresse 3] et par M^e Pierre ECHARD-JEAN [Adresse 5]

SARL [E] [Localité 4] comparant par M^e Virginie TREHET GERMAIN THOMAS [Adresse 3] et par M^e Pierre ECHARD-JEAN [Adresse 5]

DEFENDEUR

SA BANQUE D’ESCOMPTE [Adresse 2]

comparant par SELARL CABINET SEVELLEC DAUCHEL [Adresse 1] et par M^e Arnaud MOQUIN [Adresse 6]

LE TRIBUNAL AYANT LE 26 Mars 2025 ORDONNE LA CLOTURE DES DEBATS ET MIS LE JUGEMENT EN DELIBERE POUR ETRE PRONONCE PAR MISE A DISPOSITION AU GREFFE LE 15 Mai 2025,

FAITS

LA SARL CDM (ci-après CDM) et LA SARL [E] (ci-après [E]) exercent dans le même groupe qui a pour activité le transport routier.

LA SA BANQUE D’ESCOMPTE (ci-après [V]) exerce des activités bancaires et propose un site de banque en ligne sous la dénomination Manager.One. Les clients, utilisateurs des services en ligne de Manager.One peuvent alors initialiser des cartes de paiement virtuelles et opérer plus particulièrement des achats sur internet.

CDM et [E] utilisent les services de Manager.One.

Les 28 juin 2022, 20 juillet 2022, 16 février 2023, 17 février 2023, 21 février 2023 et 7 mars 2023, [V] envoie des messages de sécurité à ses clients sur les risques de fraudes en ligne.

Le 16 février 2023 [V] alerte non seulement sur les appels téléphoniques, emails et sms frauduleux, mais également sur la nécessité de vérifier l’adresse web (URL) sur laquelle le client se rend pour se connecter au service Manager.One.

Le 17 février 2023, [V] alerte ses clients sur l’existence de sites frauduleux aux couleurs de Manager.One, et les met en garde contre les fraudes par « sites miroirs »,

reproductions du site officiel de la banque, à des fins d’hameçonnage. [V] demande alors à ses clients de vérifier systématiquement l’authenticité des adresses de connexion : https://www.managerone et https://client.Manager.One.

Le 21 février 2023, CDM et [E] se connectent sur un site qu’elles considèrent être Manager.One et se déclarent victimes de fraudes à la carte bancaire pour des montants respectifs de 16 619,24 € et 2 438,04 €.

Le 22 février 2023, elles déposent respectivement plainte auprès de la gendarmerie dont leurs domiciles sont rattachés, informent par LRAR [V] et lui demandent de procéder aux remboursements des sommes qui ont été détournées à leur détriment.

Le 6 mars 2023, par courriel, [V] répond aux demanderesses ne pas pouvoir prendre en compte leur réclamation car elle a identifié une négligence grave de leur part malgré les alertes dont elle avait fait part.

Le 14 mars 2023, par LRAR, les demanderesses mettent en demeure [V] de procéder aux remboursements des sommes prélevées lors de la fraude.

Le 28 mars 2023, par LRAR, [V] notifie les demanderesses de son refus de l’indemnisation demandée, et fait valoir que la responsabilité de la banque n’est pas engagée car la réalisation des opérations s’est effectuée au moyen d’information confidentielle transmise par négligence par les demanderesses dans le cadre d’une authentification forte.

Le 19 mai 2023, [E] prend connaissance de messages internes à [V] sur le processus mis en place par la banque pour indemniser tout ou partie de ses clients.

C’est en l’état que se présente l’affaire.

PROCEDURE

Dans ces circonstances, par acte de commissaire de justice en date du 24 juillet 2023, remis à personne habilitée pour personne morale, CDM et [E] assignent [V] devant ce tribunal.

Par conclusions régularisées à l’audience de mise en état du 16 octobre 2024, [V] demande à ce tribunal :

Vu les articles L. 133-19 IV, L. 133-16, L. 133-23 du code monétaire et financier,

* Voir débouter purement et simplement CDM ET [E] de toutes leurs demandes, moyens, fins et conclusions ;

* Voir condamner solidairement et conjointement CDM ET [E] à payer à [V] la somme de 5 000 € en application de l’article 700 CPC ;

* Voir condamner les demanderesses en tous les dépens.

Par conclusions régularisées à l’audience de mise en état du 22 janvier 2025, CDM et [E] demandent à ce tribunal :

Vu les articles L. 133-19 et L. 133-23 du code monétaire et financier, Vu les articles 1231-1 et suivants du code civil, Vu les articles 695 et suivants du code de procédure civile,

* Condamner [V] à payer :

* À CDM :

* 16 619,24 € au titre des sommes indument prélevées avec intérêts de droits et anatocisme depuis le 14 mars 2023, date de la mise en demeure ;

* 4 000 € au titre de la résistance abusive ;

* 2 500 € sur le fondement de l’article 700 CPC ;

* À [E] :

* 2 438,04 € au titre des sommes indument prélevées avec intérêts de droits et anatocisme depuis le 14 mars 2023, date de la mise en demeure ;

* 1 000 € au titre de la résistance abusive ;

* 2 500 € sur le fondement de l’article 700 CPC.

* La condamner encore aux entiers dépens qui comprendront ceux relatifs à la procédure devant le tribunal de Paris.

Lors de l’audience du 26 mars 2025, et après avoir entendu les parties, qui ont réitéré oralement leurs demandes, le juge chargé d’instruire l’affaire a clos les débats et a mis le jugement en délibéré pour être prononcé par mise à disposition auprès du tribunal le 15 mai 2025, les parties présentes en ayant été préalablement avisées dans les conditions prévues à l’article 450 du code de procédure civile.

MOYENS DES PARTIES ET MOTIVATION

CDM et [E] rappellent qu’alors qu’elles étaient en train de réaliser un achat sur un site de vente de cartouches d’encre, elles ont reçu un code de validation pour ce paiement – ou ce qu’elle a cru en être un – et voyant que leur paiement ne fonctionnait pas, elles ont appelé l’entreprise et abandonné l’achat. Aussi, elles nient avoir sciemment autorisé l’opération de paiement qui s’est exécutée.

Elles dégagent toute responsabilité car l’opération de paiement non autorisée a été effectuée en détournant, à l’insu du payeur, l’instrument de paiement ou les données qui lui sont liées.

[E] indique que les messages internes de [V] dont il a eu connaissance mentionnent la possibilité de confondre les demandes d’authentification pour un paiement et celle pour l’enrôlement d’un nouveau téléphone.

Aussi, elles réfutent toute négligence grave d’acte intentionnel, puisque l’action reprochée aux concluantes pouvait être confondue avec celle qu’elle voulait accomplir.

[E] ajoute aussi que les messages internes de [V] dont il a eu connaissance mentionnent aussi les dispositions que la banque a prises pour indemniser ses clients alors qu’elle n’a pas pu en bénéficier.

[V] rappelle que l’accès aux comptes et aux différentes opérations pouvant être effectuées sur le compte Manager.One repose sur une identification forte conformément à l’article L.133-4 du code monétaire et financier. Le 2eme niveau d’identification forte consiste à valider l’opération à partir du téléphone mobile enregistré au nom du titulaire du compte, par le biais d’un message que le possesseur du téléphone enregistré doit alors valider, en sus de son identification par ses numéros de compte et identifiants de connexion.

[V] indique avoir alerté régulièrement ses clients par l’envoi de messages de sécurité sur les risques de fraudes en ligne. Plus particulièrement, le 16 février 2023 elle alerte sur les appels téléphoniques, emails et sms frauduleux comme sur la nécessité de vérifier l’adresse web (URL) sur laquelle le client se rend pour se connecter au service Manager.One. Le 17 février 2023, elle alerte à nouveau ses clients sur l’existence de sites frauduleux aux couleurs de Manager.One, et les met en garde contre les fraudes par « sites miroirs » , reproduction du site officiel de la banque, à des fins d’hameçonnage. Elle demande alors à ses clients de vérifier systématiquement l’authenticité des adresses de connexion : https://www.managerone et https://client.Manager.One.

[V] fait valoir d’une part, que les demanderesses ont, en amont de l’opération de paiement, renseigné identifiants et mots de passe, qu’elles ont reçu un message pour valider l’opération sur le numéro du téléphone portable indiqué dans leurs paramètres d’identification, que ce message s’est avéré étant inopérant et qu’elles ont alors elles-mêmes procédé à réception d’un message sur leur téléphone mobile les en invitant, à l’enregistrement d’un nouveau numéro de téléphone mobile. Cette dernière intervention a permis de valider les opérations de paiement qui ont suivi puisque le fraudeur disposait non seulement des identifiants des demanderesses mais pouvait initier des cartes de paiement virtuelles et assurer sans encombre les validations de ses opérations.

[V] souligne d’autre part que si des gestes commerciaux ont pu être consentis, ceuxci l’ont été dans des circonstances étudiées au cas par cas et ne ressortant pas de négligences graves commises de surplus par des clients professionnels.

SUR CE, le tribunal motive ainsi sa décision :

1. Sur la demande principale :

L’article L. 133-16 du code monétaire et financier dispose que « Dès qu’il reçoit un instrument de paiement, l’utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées… ».

L’article L. 133-19 du code monétaire et financier dispose que « … Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16… ».

Les conditions générales de MANAGER.ONE stipulent en leur article 6.3'obligation de sécurité et de vigilance’que « le client doit prendre toutes les mesures raisonnables pour préserver la confidentialité et la sécurité de ses identifiants personnels. Il s’engage également …. A la préservation de la confidentialité et la sécurité de leurs propres identifiants personnels. Le client est pleinement averti du risque lié à la perte ou au vol de ses identifiants personnels, au piratage de ses équipements ou tout autre agissement frauduleux permettant une utilisation non autorisée de son compte. ».

Le tribunal relève après examen des échanges et des pièces versées aux débats :

* CDM et [E] sont des clients professionnels. Ce sont des clients avertis tels que stipulés à l’article 6.3 des conditions générales de Manager.One ;

* [V] a alerté régulièrement ses clients sur la vigilance à observer quant aux risques de fraude. A ce titre elle invitait le 17 février 2023 ses clients à vérifier la bonne conformité de l’adresse de l’URL du site sur lequel ils exécutaient l’opération de

paiement. Ainsi, [V] s’est montrée vigilante envers ses clients. Cependant, CDM et [E] n’indiquent pas avoir effectué cette vérification. Faute de ne pas avoir contrôlé cette adresse, CDM et [E] se sont connectées sur le site frauduleux et ont fourni librement leurs identifiant et mot de passe. ;

Au visa de l’article L. 133-16 du code monétaire et financier, les demanderesses n’ont pas pris les mesures raisonnables pour préserver la sécurité de leurs données de sécurité personnalisées ;

* Les enregistrements techniques des opérations exécutées par les demanderesses et produits par [V] montrent qu’elles se sont connectées sur un faux site de Manager.One, qu’elles ont entré identifiant et mot de passe personnels et qu’ensuite à réception d’un message sur leur téléphone portable, elles ont validé l’ajout d’un nouveau téléphone portable ;

L’opération de paiement frauduleuse a donc été effectuée au moyen de la communication des données de sécurité personnalisées au visa de l’article L. 133-19 du code monétaire et financier, les demanderesses ont fait preuve de négligence grave.

En conséquence, le tribunal déboutera CDM et [E] de leurs demandes de condamnation de [V].

2. Sur la demande de dommages et d’intérêts pour résistance abusive

CDM et [E] demandent au tribunal de condamner [V] à leur verser respectivement les sommes de 4 000 € et 1 000 € de dommages et d’intérêts pour résistance abusive.

Au vu de ce qui précède, le tribunal déboutera CDM et [E] de leurs demandes de dommages et d’intérêts.

3. Sur l’application de l’article 700 du code de procédure civile

Pour faire reconnaitre ses droits, [V] a dû exposer des frais non compris dans les dépens et qu’il serait inéquitable de laisser à sa charge.

En conséquence, le tribunal condamnera solidairement et conjointement CDM et [E] à payer à [V] la somme de 1 500 € au titre de l’article 700 du code de procédure civile, déboutant du surplus.

4. Sur les dépens

Le tribunal condamnera CDM et [E] à supporter les dépens.

PAR CES MOTIFS,

Le tribunal, après en avoir délibéré, statuant publiquement en premier ressort par un jugement contradictoire,

Déboute la SARL CDM et la SARL [E] de leur demande de condamnation de la SA BANQUE D’ESCOMPTE a leur payer les sommes de 16 619,24 € et de 2 438,04€, au titre de sommes indument prélevées ;

* Déboute la SARL CDM et la SARL [E] de leurs demandes au titre des dommages et intérêts pour résistance abusive ;

* Condamne la SARL CDM et la SARL [E] à payer à la SA BANQUE D’ESCOMPTE la somme de 1 500 € au titre de l’article 700 du code de procédure civile ;

* Condamne la SARL CDM et la SARL [E] aux dépens.

Liquide les dépens du greffe à la somme de 116,26 euros, dont TVA 19,38 euros.

Délibéré par Monsieur Laurent Pitet, président du délibéré, et Mesdames Viviane Madinier-Ritzau et Claire Nourry, (M^me MADINIER-RITZAU Viviane étant juge chargé d’instruire l’affaire).

Le présent jugement est mis à disposition au greffe de ce tribunal, les parties en ayant été préalablement avisées verbalement lors des débats dans les conditions prévues au deuxième alinéa de l’article 450 du code de procédure civile.

La minute du jugement est signée électroniquement par le président du délibéré et le greffier.