Du 07 mars 2025

38Z

SCI/

PPP Contentieux général

N° RG 24/01563 – N° Portalis DBX6-W-B7I-ZIGT

[I] [C]

C/

S.A. BNP PARIBAS, S.A. HELLO BANK

— Expéditions délivrées à

— FE délivrée à

Le 07/03/2025

Avocats : la SELARL BARDET & ASSOCIES

la SCP KRAMER LEVIN LLP

TRIBUNAL JUDICIAIRE DE BORDEAUX

Pôle protection et proximité

[Adresse 2]

JUGEMENT EN DATE DU 07 mars 2025

COMPOSITION DU TRIBUNAL :

JUGE : Madame Sandrine SAINSILY-PINEAU, Magistrate

GREFFIER : Madame Françoise SAHORES

DEMANDEUR :

Monsieur [I] [C]

né le [Date naissance 3] 1983 à [Localité 11]

[Adresse 5]

[Localité 4]

Représenté par la SELARL BARDET & ASSOCIES, M^e Max BARDET, Avocat au barreau de BORDEAUX

DEFENDERESSES :

S.A. BNP PARIBAS

RCS [Localité 10] n° 662 042 449

[Adresse 1]

[Localité 6]

Représentée par Maître Dominique PENIN de la SCP KRAMER LEVIN LLP, M^e Dominique PENIN, Avocat au barreau de BORDEAUX

S.A. HELLO BANK -

[Adresse 1]

[Localité 6]

Absente

DÉBATS :

Audience publique en date du 09 Janvier 2025

PROCÉDURE :

Articles 480 et suivants du code de procédure civile.

EXPOSÉ DES FAITS ET DE LA PROCÉDURE

Monsieur [I] [C] est titulaire de deux comptes bancaires :

— un compte n°00000840644 ouvert dans les livres de la SA BNP PARIBAS (la BNP),

— un compte n° 00004463241 ouvert dans les livres de la SA HELLO BANK (HELLO BANK).

Le 23 juin 2023, il a déposé plainte auprès des militaires de la Compagnie de gendarmerie de [Localité 9] expliquant avoir été contacté, le 21 juin 2023, à 16h43, par le service des fraudes BNP VISA 1er ayant pour numéro le + 33 1 42 47 92 49. Ce dernier l’a informé de paiements avec sa VISA 1ère en COTE D’IVOIRE entre le 17 et le 21 juin d’un montant de 4.000 € et de 5.000 €. Il explique qu’ils lui ont fait exécuter des manipulations sécurisées sur l’application BNP de son téléphone pour procéder au blocage de sa carte bancaire et à son renouvellement et pour changer son mot de passe pour accéder à son compte. Il niait avoir transmis ses mots de passe et communiquer des informations sensibles. Il ajoutait qu’on lui avait indiqué qu’il recevrait une nouvelle carte VISA à son agence BNP [Localité 8], barrière de [Localité 7]. Il précisait avoir découvert par la suite l’utilisation frauduleuse de sa carte bancaire sur plusieurs sites et 7 virements frauduleux, notamment, de son compte bancaire HELLO BANK vers un téléphone.

Le 3 juillet 2023, il a contesté, auprès de la BNP, les deux paiements effectués avec sa carte bancaire pour un montant total de 5.099 €. Il a également contesté auprès de la SA HELLO BANK les viremenbts effectués depuis son compte HELLO BANK pour un montant total de 725,20 €.

Par courriers en date des 4 et 17 juillet 2023, la BNP a refusé de le rembourser, les opérations de paiement à distance ayant été validées par un dispositif d’authentification forte, au moyen de sa clé digitale, et la réalisation des différentes étapes de l’opération impliquant nécessairement sa participation active.

Suivant courrier en date du 19 juillet 2023, la SA HELLO BANK a aussi, pour les mêmes raisons, refusé de rembourser Monsieur [I] [C] des opérations réalisées en ligne. Elle lui a proposé, à titre commercial, de créditer son compte de 300 € à titre commercial et exceptionnel.

Par courrier en date du 13 décembre 2023, Monsieur [I] [C] a, par l’intermédiaire de l’Association UFC QUE CHOISIR, mis en demeure la SA BNP PARIBAS de lui rembourser intégralement la somme qui lui a été volée.

C’est dans ces circonstances que, par acte de commissaire de justice délivré le 10 juin 2024, Monsieur [I] [C] a fait assigner la BNP et HELLO BANK devant le tribunal judiciaire de ce siège aux fins de les voir, principalement, condamner à lui payer les sommes de 5.099 € et de 415,20 € assorties des intérêts au taux légal majoré de 15 points à compter du 11 juillet 2023.

L’affaire a été appelée à l’audience du 9 janvier 2025, après plusieurs renvois justifiés par la nécessité pour Monsieur [I] [C] et la BNP d’échanger leurs conclusions et pièces.

A l’audience, Monsieur [I] [C], représenté par son conseil, demande au tribunal sur le fondement des dispositions des articles L. 133-4 et suivants du code monétaire et financier et sous le bénéfice de l’exécution provisoire de :

— condamner la BNP à lui verser la somme de 5.099 € assortie des intérêts au taux légal majoré de 15 points à compter du 4 juillet 2023,

— condamner HELLO BANK à lui verser la somme de 415,20 € assortie des intérêts au taux légal majoré de 15 points à compter du 11 juillet 2023,

— condamner solidairement la BNP et HELLO BANK à lui verser la somme de 1.500 € en application de l’article 700 du code de procédure civile ainsi qu’aux entiers dépens de l’instance,

— débouter la BNP et HELLO BANK de toutes leurs demandes, fins et conclusions plus amples ou contraires.

En défense, la BNP, représentée par son conseil, demande au tribunal :

— de débouter Monsieur [I] [C] de l’intégralité de ses demandes à toutes fins qu’elles comportent,

— de condamner Monsieur [I] [C] à lui verser la somme de 1.500 € sur le fondement des dispositons de l’article 700 du code de procédure civile ainsi qu’aux entiers dépens,

— d’écarter l’exécution provisoire de la décision à intervenir.

Pour l’exposé des moyens venant au soutien de ces demandes, il est renvoyé aux conclusions de Monsieur [I] [C] et de la BNP.

HELLO BANK n’a ni comparu ni été représentée, bien que citée à personne.

L’affaire a été mise en délibéré au 7 mars 2025.

La présente décision, susceptible d’appel, sera réputée contradictoire en application des dispositions de l’article 474 du code de procédure civile.

MOTIFS DU JUGEMENT

L’article 472 du code de procédure civile prévoit que «si le défendeur ne comparaît pas, il est néanmoins statué sur le fond. Le juge ne fait droit à la demande que dans la mesure où il l’estime régulière, recevable et bien fondée».

1 – Sur la demande en paiement de Monsieur [I] [C] :

Aux termes des dispositions de l’article L. 133-16 du code monétaire et financier, «dès qu’il reçoit un instrument de paiement, l’utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées. Il utilise l’instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation qui doivent être objectives, non discriminatoires et proportionnées».

Il ressort des dispositions de l’article L. 133-17 du même code que «I. – lorsqu’il a connaissance de la perte, du vol, du détournement ou de toute utilisation non autorisée de son instrument de paiement ou des données qui lui sont liées, l’utilisateur de services de paiement en informe sans tarder, aux fins de blocage de l’instrument, son prestataire ou l’entité désignée par celui-ci».

L’article L. 133-19 du code monétaire et financier dispose que « II. – La responsabilité du payeur n’est pas engagée si l’opération de paiement non autorisée a été effectuée en détournant, à l’insu du payeur, l’instrument de paiement ou les données qui lui sont liées.

IV. – Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17.

V. – Sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si l’opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement du payeur n’exige une authentification forte du payeur prévue à l’article L. 133-44. »

L’article L. 133-23 du code monétaire et financier prévoit que «l’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière. Le prestataire de services de paiement, y compris, le cas échéant, le prestataire de services de paiement fournissant un service d’initiation de paiement, fournit des éléments afin de prouver la fraude ou la négligence grave commise par l’utilisateur de services de paiement».

En application des dispositions susvisées, si, aux termes des articles L. 133-16 et L. 133-17 du code monétaire et financier, il appartient à l’utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d’informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l’instrument de paiement ou des données qui lui sont liées, il incombe, en revanche, à ce prestataire, par application des articles L. 133-19, IV, et L. 133-23 du même code, de rapporter la preuve que l’utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence grave à ses obligations. Il est, en outre, constant que cette preuve ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés.

Il est désormais acquis «qu’aucune négligence grave au sens de l’article L. 133-19 du code monétaire et financier ne peut être imputée au titulaire d’un compte qui, contacté téléphoniquement par une personne se faisant passer pour un préposé de sa banque dont le numéro s’affichait, utilise à sa demande le dispositif de sécurité personnalisé pour réaliser des opérations de paiement». Dans ces conditions, il a le droit d’être remboursé par sa banque des opérations frauduleuses.

Monsieur [I] [C] conteste être à l’origine des opérations de paiement par carte bancaire pour un montant total de 5.814,20 € effectuées les 21 et 22 juin 2023. Il assure les avoir signalées à sa banque dès la découverte des opérations litigieuses. Il nie avoir communiqué la moindre information confidentielle au fraudeur. Il conteste toute négligence dont la preuve n’est pas, par ailleurs, apportée par la BNP. Il affirme avoir été contacté par une personne se faisant passer pour un employé du service des fraudes de la banque et avoir légitimement pensé que les opérations qu’il effectuait ne pouvait lui nuire d’autant qu’il n’a validé aucune opération de paiement ou de changement de bénéficiaire et n’a communiqué aucune donnée personnelle au fraudeur.

La BNP soutient que l’escroc s’est connecté à l’espace personnel de Monsieur [I] [C] en raison de sa négligence grave. Elle affirme qu’il n’est pas démontré que ce dernier a été victime de spoofing d’autant que le spoofing d’un numéro de téléphone n’est pas mis en évidence à l’occasion de cette escroquerie. Elle considère qu’à le supposer prouver, il n’a pas pour effet d’exonérer Monsieur [I] [C] de toute négligence grave. Elle signale qu’elle avertit ses clients depuis décembre 2022, soit bien avant la fraude dont Monsieur [I] [C] a été victime, par le biais de son site internet, du risque de spoofing, de sorte qu’elle n’a pas commis une négligence à ce titre. Elle prétend que Monsieur [I] [C] a été gravement négligent, l’escroc l’ayant contacté ayant réussi à le persuader de procéder au désenrôlement de sa clé digitale pour pouvoir l’enrôler sur son propre téléphone portable, les traces informatiques de son système mettant en évidence que la clé digitale a été enrôlée le 21 juin 2023 à 17h14 sur un nouveau téléphone portable, un IPHONE 9.4. Elle ajoute que cet enrôlement a généré l’envoi d’un SMS sur le numéro de Monsieur [I] [C] contenant un «lien cliquable» composé d’un code nécessaire à la finalisation de cet enrôlement sur le téléphone de l’escroc. Elle constate que l’enrôlement de la clé digitale sur le téléphone de l’escroc a fonctionné ainsi que l’atteste ses relevés informatiques. Elle précise que muni des informations de la carte bancaire et du cryptogramme de Monsieur [I] [C] et après avoir saisi sur les sites d’achat en ligne, il ne restait plus à l’escroc qu’à authentifier un à un les achats litigieux à l’aide de la clé digitale installée sur son téléphone portable, ce qu’il a fait le 21 juin 2023 à 17h35 et le 22 juin 2023 à 2h30. Elle estime que si Monsieur [I] [C] n’avait pas permis l’enrôlement de la clé digitale sur un autre téléphone que le sien, l’escroc n’aurait pu valider aucun achat à l’aide de son téléphone.

En l’espèce, les deux opérations litigieuses effectuées avec la carte bancaire de Monsieur [I] [C] pour un montant de 5.099 € et les virements réalisés en ligne sur son compte bancaire HELLO BANK ne sont pas contestées.

Lors de son audition par les militaires de la gendarmerie, Monsieur [I] [C] déclare :

— avoir reçu, le 21 juin 2023, à 16h47, un appel émanant du numéro +33 1 42 47 92 49 et provenant du service des fraudes BNP VISA 1er, lequel l’a informé de deux paiements avec sa Visa 1ère en COTE D’IVOIRE entre le 17 et le 21 juin d’un montant de 4.000 € et de 5.000 €,

— qu’on lui a demandé de procéder à des manipulations sécurisées sur l’application BNP de son téléphone pour réaliser le blocage de sa carte bancaire et son renouvellement et changer les mots de passe pour accéder à ses comptes,

— ne pas avoir transmis ses nouveaux mots de passe et autres informations sensibles,

— avoir été, par la suite, alerté de l’utilisation de sa carte bancaire sur différents sites marchands et de plusieurs virements frauduleux émis de son compte bancaire HELLO BANK.

La BNP soutient que Monsieur [I] [C] a commis une négligence grave puisqu’il a permis à la personne l’ayant contacté d’enrôler sur son propre téléphone portable la clé digitale dont il était titulaire.

Il y a lieu d’abord de constater que Monsieur [I] [C] a reçu un appel téléphonique émanant d’un numéro qu’il n’a pas identifié, son interlocuteur se présentant comme du service des fraudes BNP VISA 1er. Il apparaît qu’il était pourtant alerté par son établissement bancaire du risque d’appel frauduleux, la page de connexion à l’espace bancaire BNP PARIBAS, versée aux débats, contenant le message suivant : «des SMS usurpant des organismes officiels vous poussent à transmettre des informations personnelles et confidentiels. Ils sont suivis d’appels frauduleux se faisant passer pour des services bancaires afin de vous faire valider des opérations». Pourtant informé du risque d’appel frauduleux, il s’est montré négligent en ne vérifiant pas que l’appel qu’il recevait émanait bien du service des fraudes de son établissement bancaire.

Par ailleurs, si Monsieur [I] [C] nie avoir transmis une quelconque information confidentielle au fraudeur, force est de constater que les pièces produites démontrent le contraire.

Les traces informatiques de l’enrôlement de la clé digitale versées aux débats permettent de confirmer l’appel reçu par Monsieur [I] [C] à 16h47 et les manipulations qu’il reconnaît avoir effectuées. Il apparaît, en effet, qu’entre 16 h 51 et 17 h 09, il s’est authentifié au moyen de son empreinte digitale en utilisant l’adresse IP 91.165.206.240, a validé son mot de passe puis l’a modifié. Il convient, par ailleurs, de noter qu’un appareil utilisant une autre adresse IP, soit IP 62.144.22.85, s’est authentifié avec son numéro de client et son mot de passe à 17 h 04 soit au cours de la communication téléphonique. Il y a lieu, en conséquence, de déduire que Monsieur [I] [C] a communiqué ces informations confidentielles à son interlocuteur. Il apparaît, enfin, que sa clé digitale a été enrôlée sur un nouveau téléphone à 17:14 avec cette même adresse IP 62.144.22.85. Même si Monsieur [I] [C] ne le produit pas, en dépit de la sommation de communiquer qui lui a été délivrée, un SMS lui a nécessairement été adressé sur son téléphone mobile contenant le message : «BNP PARIBAS NE JAMAIS COMMUNIQUER CE CODE : ACTIVEZ la clé Digitale en cliquant : mescomptes://actovatop,/6@71_76757 – Un doute ? Contactez-nous BNP [Localité 10] NE JAMAIS COMMUNIQUE CE CODE». Il ressort des pièces produites que seul ce SMS a permis l’activation de la clé digitale sur le nouvel appareil utilisé par le fraudeur, il s’en déduit que Monsieur [I] [C] a cliqué sur le lien qui lui a été adressé. Le relevé des traces informatiques montre que toutes les opérations ont, par la suite, été réalisées, à compter de 17 h 22 et durant la nuit, au moyen de la nouvelle adresse IP 62.144.22.85 et ont été validées par la clé digitale dont le mot de passe avait été préalablement modifié à 19 h 11.

Il apparaît, ainsi, que l’ensemble des opérations litigieuses n’a pu être réalisé qu’en raison de la transmission par Monsieur [I] [C] d’informations confidentielles et de son imprudence à cliquer sur le lien qui a rendu inefficace le système d’authentification forte mise en place par son établissement bancaire.

Il a, ainsi, commis une grave négligence justifiant le refus par la BNP de lui rembourser les sommes qui lui ont été dérobées.

Aussi, Monsieur [I] [C] sera débouté de l’ensemble de ses demandes à l’encontre de la BNP.

S’agissant des virements effectués à partir du compte HELLO BANK, le courrier en date du 19 juillet 2023 permet d’établir que ces opérations ont été validées par la clé digitale de Monsieur [I] [C]. Or, il a été démontré que ce dernier avait commis une grave négligence en permettant l’activation de la clé digitale sur le nouvel appareil utilisé par le fraudeur. Dans ces conditions, HELLO BANK était fondé à refuser de lui rembourser le montant des opérations réalisées en ligne.

Monsieur [I] [C] sera, en conséquence, débouté de l’ensemble de ses demandes à l’encontre de HELLO BANK.

3 – Sur les demandes accessoires :

En application des dispositions de l’article 514 du code de procédure civile, la présente décision est de droit exécutoire par provision, aucun élément ne justifiant qu’elle soit en l’espèce écartée.

Monsieur [I] [C], partie perdante, sera condamné aux dépens.

Succombant, il sera débouté de sa demande sur le fondement des dispositions de l’article 700 du code de procédure civile.

Il n’apparaît pas inéquitable de laisser à la BNP la charge de ses propres frais irrépétibles.

PAR CES MOTIFS :

Le tribunal, statuant publiquement, par jugement réputé contradictoire, en premier ressort et mis à disposition au greffe :

Déboute Monsieur [I] [C] de l’ensemble de ses demandes ;

Déboute la SA BNP PARIBAS du surplus de ses demandes ;

Dit n’y avoir lieu à indemnités sur le fondement des dispositions de l’article 700 du code de procédure civile ;

Condamne Monsieur [I] [C] aux dépens.

En foi de quoi, le présent jugement a été signé par la Vice-Présidente et la Greffière.

LE GREFFIER LA VICE PRÉSIDENTE