MINUTE N° :

JUGEMENT DU : 31 Décembre 2024

DOSSIER N° : N° RG 23/06947 – N° Portalis DB3T-W-B7H-UPDA

AFFAIRE : [P] [I]-[B] C/ S.A. CAISSE D’EPARGNE ET DE PREVOYANCE ILE DE FRANCE

TRIBUNAL JUDICIAIRE DE CRETEIL

3ème Chambre

COMPOSITION DU TRIBUNAL

PRESIDENT : M. LUCCHINI, Juge

Statuant par application des articles 812 à 816 du Code de Procédure Civile, avis préalablement donné aux Avocats.

GREFFIER : M^me REA

PARTIES :

DEMANDERESSE

Madame [P] [I]-[B]

née le 17 août 1999 à [Localité 6] (94), demeurant [Adresse 1] – [Localité 5]

(bénéficie d’une aide juridictionnelle totale numéro 2022/08992 du 31/01/2023 accordée par le bureau d’aide juridictionnelle de CRETEIL)

représentée par M^e Christophe RIGAL, avocat au barreau du VAL-DE-MARNE, vestiaire : PC 460

DEFENDERESSE

S.A. CAISSE D’EPARGNE ET DE PREVOYANCE ILE DE FRANCE, dont le siège social est sis [Adresse 3] – [Localité 4]

représentée par M^e Vincent GALLET, avocat au barreau de PARIS, vestiaire : E1719

Clôture prononcée le : 25 avril 2024

Débats tenus à l’audience du : 14 octobre 2024

Date de délibéré indiquée par le Président : 17 décembre 2024

Jugement prononcé par mise à disposition au greffe du 31 décembre 2024, nouvelle date indiquée par le Président.

EXPOSE DU LITIGE :

Madame [P] [I]-[B] est titulaire depuis le 29 août 2018 d’un compte de dépôt n° [XXXXXXXXXX02] ouvert dans les livres de la S.A. Caisse d’épargne et de prévoyance Île-de-France associé à une carte Visa Electron et bénéficie d’un service de banque à distance prévoyant pour certaines opérations un dispositif d’authentification forte.

Le 9 novembre 2021, la S.A. Caisse d’épargne et de prévoyance Île-de-France a contacté Madame [P] [I]-[B] pour l’informer d’un important solde débiteur sur son compte.

Le 10 novembre 2021, Madame [P] [I]-[B] a fait opposition à sa carte bancaire, déclarant que la dernière opération réalisée par ses soins datait du 7 octobre 2021 pour un montant de 56,03 €, et a contesté quatre opérations bancaires pour un montant de 6.830 € :

— un paiement de 135 € le 7 novembre 2021 au bénéfice des Galeries Lafayette Haussmann ;

— un paiement de 315 € le 7 novembre 2021 au bénéfice de « LE FRANKLIN » ;

— un paiement de 1.980 € le 7 novembre 2021 au bénéfice des Galeries Lafayette Haussmann ;

— un paiement de 4.400 € le 7 novembre 2021 au bénéfice des Galeries Lafayette Haussmann.

Le 15 novembre 2021, elle a également contesté huit opérations bancaires pour un montant de 4.297,44 € :

— un paiement de 498,48 € le 7 novembre 2021 au bénéfice de la société BUNQ B.V. ;

— un paiement de 496,00 € le 7 novembre 2021 au bénéfice de la société BUNQ B.V. ;

— un paiement de 996,56 € le 7 novembre 2021 au bénéfice de la société Revolut ;

— un paiement de 498,48 € le 7 novembre 2021 au bénéfice de la société BUNQ B.V. ;

— un paiement de 498,46 € le 7 novembre 2021 au bénéfice de la société BUNQ B.V. ;

— un paiement de 496,00 € le 8 novembre 2021 au bénéfice de la société BUNQ B.V. ;

— un paiement de 315,00 € le 8 novembre 2021 au bénéfice de la société BUNQ B.V. ;

— un paiement de 498,46 € le 8 novembre 2021 au bénéfice de la société BUNQ B.V. ;

L’intéressée a porté plainte contre [U] pour des faits d’usage d’instrument de paiement contrefaisant ou falsifié, lesquels on fait l’objet d’un classement sans suite le 22 novembre 2022.

Par courrier des 23 et 26 novembre 2021, la S.A. Caisse d’épargne et de prévoyance Île-de-France a indiqué à Madame [P] [I]-[B] que son compte avait été crédité d’un montant de 1.500 € au titre de sa souscription « Assurance Moyens de Paiement » et lui a notifié que le résiduel des sommes débitées dans le cadre des opérations susmentionnées demeurait à sa charge en vertu de sa responsabilité de titulaire de la carte bancaire à partir de laquelle les paiements ont été effectués.

Suivant assignation délivrée par huissier le 19 octobre 2023, Madame [P] [I]-[B] a attrait S.A. Caisse d’épargne et de prévoyance Île-de-France devant le tribunal judiciaire de Créteil, aux fins de remboursement du montant des opérations non autorisées.

EXPOSE DES PRÉTENTIONS ET DES MOYENS

Dans son exploit introductif d’instance, Madame [P] [I]-[B] a demandé à la juridiction de :

« Dire et juger Mme [P] [I]-[B] recevable et bien fondée en son action,

Condamner la SA CAISSE D’EPARGNE ILE DE France à rembourser à Mme [P] [I]-[B] le montant des opérations non autorisées soit 11.129,00 € en application de l’article L133-18 du Code monétaire et financier.

Dire et juger que la somme de 11.129,00 € sera assortie de plein droit des intérêts au taux légal à compter de la demande en justice en application des dispositions de l’article 1231-6 du Code civil.

Dire et juger que la somme de 11.129,00 € sera assortie de plein droit des intérêts au taux légal à compter de la demande en justice en application des dispositions de l’article 1231-6 du Code Civil.

Condamner la SA CAISSE D’EPARGNE ILE DE France à payer à Mme [P] [I]-[B] la somme de 3.000,00 € à titre de dommages intérêts en application de l’article 1231-1 du Code civil.

Ordonner l’exécution provisoire du jugement à intervenir en application de l’article 514 du code de procédure civile ».

Madame [P] [I]-[B] soutient que :

— il revient à la S.A. Caisse d’épargne et de prévoyance Île-de-France de démontrer un manquement intentionnel ou une négligence grave de sa part dans l’utilisation de son instrument de paiement ;

— la S.A. Caisse d’épargne et de prévoyance Île-de-France ne satisfait pas à l’obligation législative prévue à l’article L. 133-23 du Code monétaire et financier aux termes duquel il revient à la banque d’établir que les ordres de paiement litigieux émanaient de la demanderesse ;

— en application de l’article L. 133-18 du même code, la banque est redevable des sommes correspondants à des opérations non autorisées par la demanderesse ;

— l’inexécution des obligations contractuelles de la banque lui a causé un préjudice en ce qu’elle a été privée de ses moyens de paiement avec un compte courant débiteur.

Dans ses conclusions notifiées par RPVA le 23 janvier 2024, la S.A. Caisse d’épargne et de prévoyance Île-de-France a demandé au tribunal :

« JUGER qu’en mentionnant son code confidentiel sur un « post-it » collé sur sa carte bancaire, Madame [I] [B] a commis une faute lourde qui exonère la CEIDF de toute obligation de remboursement ;

JUGER que Madame [I] [B] a manqué, par négligence grave, à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés ;

Et en conséquence,

DEBOUTER Madame [X] [I] [B] de l’ensemble de ses demandes, fins et prétentions;

CONDAMNER Madame [I] [B] à payer à la CAISSE D’EPARGNE ET DE PREVOYANCE ILE-DE-FRANCE la somme de 1 500 euros par application de l’article 700 du Code de procédure civile, outre les entiers dépens. »

La S.A. Caisse d’épargne et de prévoyance Île-de-France a soutenu que :

— la demanderesse a admis avoir inscrit le code confidentiel de la carte bancaire dont elle a déclaré le vol sur un post-it apposé sur le moyen de paiement, ce qui est constitutif d’un élément extrinsèque caractérisant une négligence grave de sa part qui engage sa responsabilité personnelle ;

— les opérations supplémentaires contestées le 15 novembre 2021 par la demanderesse ont été ordonnées à travers une procédure d’authentification forte à partir du téléphone portable personnel de Madame [P] [I]-[B], dont cette dernière n’allègue pas voir été dépossédée, de sorte qu’elle n’apporte pas la preuve qu’elle n’a pas autorisé lesdites opérations litigieuses.

L’acte introductif d’instance a été signifié au défendeur suivant les modalités de l’article 654 du Code de procédure civile.

Pour un plus ample exposé des moyens et prétentions des parties, il est renvoyé aux écritures déposées, en application de l’article 455 du Code de procédure civile.

À l’issue de la mise en état, la clôture a été prononcée le 25 avril 2024.

L’affaire a été appelée à l’audience de plaidoirie en juge unique du 14 octobre 2024 et mise en délibéré au 17 décembre 2024 puis prorogée au 31 décembre 2024.

MOTIFS DE LA DECISION :

Sur les demandes principales

Sur les règles applicables au litige,

L’article L. 133-4 du Code monétaire et financier impose aux prestataires de services de paiement de mettre en place un dispositif de sécurisation des instruments de paiement :

« a) Les données de sécurité personnalisées s’entendent des données personnalisées fournies à un utilisateur de services de paiement par le prestataire de services de paiement à des fins d’authentification ; (…)

c) Un instrument de paiement s’entend, alternativement ou cumulativement, de tout dispositif personnalisé et de l’ensemble de procédures convenu entre l’utilisateur de services de paiement et le prestataire de services de paiement et utilisé pour donner un ordre de paiement ;

e) Une authentification s’entend d’une procédure permettant au prestataire de services de paiement de vérifier l’identité d’un utilisateur de services de paiement ou la validité de l’utilisation d’un instrument de paiement spécifique, y compris l’utilisation des données de sécurité personnalisées de l’utilisateur.

f) Une authentification forte du client s’entend d’une authentification reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories « connaissance » (quelque chose que seul l’utilisateur connaît), « possession » (quelque chose que seul l’utilisateur possède) et « inhérence » (quelque chose que l’utilisateur est) et indépendants en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d’authentification ; »

L’article L133-16 du même code dispose que :

« Dès qu’il reçoit un instrument de paiement, l’utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées.

Il utilise l’instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation qui doivent être objectives, non discriminatoires et proportionnées. »

Son article L133-17 ajoute que :

« I. – Lorsqu’il a connaissance de la perte, du vol, du détournement ou de toute utilisation non autorisée de son instrument de paiement ou des données qui lui sont liées, l’utilisateur de services de paiement en informe sans tarder, aux fins de blocage de l’instrument, son prestataire ou l’entité désignée par celui-ci.

II. – Lorsque le paiement est effectué par une carte de paiement émise par un établissement de crédit, une institution ou un service mentionné à l’article L.518-1 et permettant à son titulaire de retirer ou de transférer des fonds, il peut être fait opposition au paiement en cas de procédure de redressement ou de liquidation judiciaires du bénéficiaire tant que le compte du prestataire de services de paiement du bénéficiaire n’a pas été crédité du montant de l’opération de paiement. »

L’article L. 133-18 de ce code précise en outre qu’en cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L. 133-24 le prestataire de services de paiement du payeur rembourse immédiatement au payeur le montant de l’opération non autorisée et, le cas échéant, rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu.

L’article L. 133-19 de ce code prévoit spécialement, dans le cas d’utilisation d’instruments de paiements dotés de données de sécurité personnalisées, que la responsabilité du payeur, c’est-à-dire l’utilisateur du service de paiement, n’est pas engagée si l’opération de paiement non autorisée a été effectuée en détournant, à son insu, l’instrument de paiement ou les données qui lui sont liées, mais qu’inversement, le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations de prudence et d’alerte mentionnées aux articles L. 133-16 et L. 133-17.

L’article L. 133-23 du même code dispose que lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre.

Le même texte précise que l’utilisation de l’instrument de paiement telle qu’enregistré par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière.

Il résulte ainsi des articles L. 133-19 et L. 133-23 du Code monétaire et financier, qu’en cas d’opération de paiement non autorisée, réalisée au moyen d’un instrument de paiement doté de données de sécurité personnalisées, et signalée par l’utilisateur dans les conditions prévues à l’article L. 133-24, le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée, sauf si la responsabilité du payeur est engagée en application de l’article L. 133-19 (Com., 30 nov. 2022, n° 21-17.614).

Il en résulte encore que c’est au prestataire de services de paiement qu’il incombe de rapporter la preuve que l’utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence grave à ses obligations, et que cette preuve ne peut se déduire du seul fait que les instruments de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisées.

Sur la responsabilité de la S.A. Caisse d’épargne et de prévoyance Île-de-France,

Sur les opérations résultant de la déclaration du 10 novembre 2021,

Madame [P] [I]-[B] soutient que la S.A. Caisse d’épargne et de prévoyance Île-de-France, en qualité de prestataire du service de paiement, est tenue de lui rembourser les sommes correspondants à quatre opérations qu’elle a contestées le 10 novembre 2021 et qui s’élèvent à un montant cumulé de 6.830 €.

Le formulaire de déclaration de vol signé par Madame [P] [I]-[B] (pièce n° 4 de la demanderesse) comporte la mention manuscrite « post-it collé sur ma CB » accolée à la demande stéréotypée du formulaire « Où se trouvait le code confidentiel au moment des faits ? ».

Il résulte ainsi du propre aveu de la demanderesse qu’en décidant d’apposer directement sur sa carte bancaire un support papier où était inscrit le code censé être confidentiel de cette dernière, de sorte que toute personne entrant en sa possession pouvait l’utiliser afin d’effectuer des opérations de retrait ou de paiement, elle a porté une négligence grave à son obligation de prudence prescrite par l’article L. 133-16 précité du Code monétaire et financier.

Par conséquent, Madame [P] [I]-[B] a commis une négligence grave à l’origine de son préjudice et ne peut pas demander le remboursement des sommes débitées et déclarées le 10 novembre 2021.

Sur les opérations résultant de la déclaration du 15 novembre 2021

La demanderesse fait également valoir que la banque est tenue de lui rembourser les sommes correspondants à huit opérations qu’elle a contestées le 15 novembre 2021 et qui s’élèvent à un montant cumulé de 4.297,44 €.

En réplique, la S.A. Caisse d’épargne et de prévoyance Île-de-France argue de ce que sept des huit opérations litigieuses procèdent en réalité d’opérations ordonnées à partir du téléphone portable de Madame [P] [I]-[B] suivant un procédé d’authentification forte.

Il résulte de l’article L. 133-4 précité du Code monétaire et financier qu’une authentification forte s’entend d’une authentification reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories « connaissance » (quelque chose que seul l’utilisateur connaît telle qu’un mot de passe, un code secret, une question secrète, etc…), « possession » (quelque chose que seul l’utilisateur possède telle qu’un téléphone portable, une montre connectée, une clé USB etc…) et « inhérence » (quelque chose que l’utilisateur est, telle que la reconnaissance faciale ou vocale, la reconnaissance par empreinte digitale, etc…) et indépendants en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d’authentification. L’authentification forte repose donc sur l’utilisation de deux de ces éléments, voire plus.

À ce titre, le fonctionnement du système de la « clé digitale » répond aux exigences du gouvernement qui, depuis une ordonnance du 9 août 2017, exige des établissements de crédit d’assurer une « authentification forte » lorsqu’un utilisateur de services bancaires en ligne réalise une opération en ligne basée sur le fait que le client possède « son smartphone » et est seul à connaître son code secret.

Ainsi, il incombe au prestataire de paiement de prouver que l’opération litigieuse a été effectuée après une authentification forte, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre, l’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement, à savoir l’utilisation des identifiants du client et l’absence de déficience technique ou autre, notamment par le biais de la production d’un relevé de ses connexions, ne suffisant pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur.

Par ailleurs, la responsabilité du payeur n’est pas engagée si l’opération de paiement non autorisée a été effectuée en détournant, à son insu, l’instrument de paiement ou les données qui lui sont liées. Cependant, il supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’agissements frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L.133-16 et L.133-17 du code précité.

En l’espèce, la S.A. Caisse d’épargne et de prévoyance Île-de-France produit des relevés informatiques de connexions (pièce n° 8 de la défenderesse) dont les mentions « MOBILE_APP (normal) », « 17515_MOBILE_APP » ainsi que le numéro d’adresse IP indiquent les opérations suivantes effectuées à partir d’un appareil mobile à travers l’application en ligne de la Caisse d’épargne :

—  996,56 € le 7 novembre 2021 ;

—  496,00 € le 7 novembre 2021 ;

—  498,46 € le 7 novembre 2021 ;

—  498,48 € le 7 novembre 2021 ;

—  498,48 € le 7 novembre 2021 ;

—  496,00 € le 8 novembre 2021 ;

—  498,46 € le 8 novembre 2021.

Si les relevés de connexion produits ne permettent pas, dans la présente procédure, de déterminer que le payeur a autorisé lesdites opérations, il apparaît, sans que cela soit contesté par Madame [P] [I]-[B] au cours des débats, que ces opérations sont bien rattachées à un identifiant « Pan » correspondant au numéro de carte bancaire déclaré par la demanderesse les 10 et 15 novembre 2021, et que les sommes, les dates et les bénéficiaires des opérations figurant sur ces relevés correspondent en tout point à sept des huit opérations mentionnées par la demanderesse dans sa déclaration du 15 novembre 2021 pourtant relative à un vol de carte bancaire.

En outre, il ressort du contrat d’ouverture bouquet liberté du 29 août 2018 (pièce n° 1 de la demanderesse) produit par Madame [P] [I]-[B] que cette dernière était bien abonnée au service de sécurisation des opérations en ligne par SMS ainsi qu’au service de banque à distance DIRECT ECUREUIL, dont il résulte des conditions générales (pièce n° 1 de la défenderesse) qu’il comporte un procédé d’authentification forte, la demanderesse n’établissant par ailleurs pas dans la présente procédure avoir désactivé la fonction de paiement à distance.

Il résulte de tout ce qui précède que sept des huit opérations litigieuses des 7 et 8 novembre 2021 ont été ordonnées via l’application mobile de la banque, sans qu’il soit établi ou même allégué qu’elles n’auraient pas été autorisées par Madame [P] [I]-[B] qui n’a pas déclaré que son téléphone portable lui aurait été soustrait, ainsi que le relève en défense la S.A. Caisse d’épargne et de prévoyance Île-de-France, ou bien que ses données de connexion auraient été détournées.

En pareille hypothèse, la demanderesse aurait alors nécessairement eu connaissance, notamment par SMS eu égard aux montants des opérations concernées, d’une quelconque utilisation non autorisée de cet instrument de paiement ou des données qui lui sont liées. Il lui revenait dès lors la demanderesse, qui ne conteste pas les éléments produits par la S.A. Caisse d’épargne et de prévoyance Île-de-France selon lesquels sept des huit opérations déclarées le 15 novembre 2021 comme non autorisées provenaient d’un appareil mobile et non d’un retrait par carte bancaire, d’informer sous les meilleurs délais la banque d’un éventuel détournement ou d’une éventuelle utilisation non autorisée des données liées à cet instrument de paiement, conformément à l’article L. 133-17 précité du Code monétaire et financier.

Concernant la huitième opération de 315 € du 8 novembre 2021, il convient de relever que Madame [P] [I]-[B] l’associe dans sa déclaration du 15 novembre suivant au vol de sa carte bancaire, et que le formulaire comporte les mêmes mentions manuscrites que celles indiquées supra selon lesquelles elle a apposé directement sur ladite carte le code pourtant confidentiel permettant de l’utiliser.

En définitive, Madame [P] [I]-[B] a commis une négligence grave en ce qu’il résulte de son propre aveu qu’elle n’a, en tout état de cause, pas préservé la sécurité de son code confidentiel de carte bancaire.

Au surplus, dans l’hypothèse où les opérations de banque à distance par appareil mobile n’auraient pas été autorisées, il est constant qu’il ne s’évince d’aucun élément versé aux débats que la demanderesse se serait alors conformée à l’obligation d’informer sans délai la S.A. Caisse d’épargne et de prévoyance Île-de-France de ce que ses données de sécurité personnalisées liées à son téléphone portable auraient été compromises.

En conséquence, la S.A. Caisse d’épargne et de prévoyance Île-de-France n’est pas tenue à lui rembourser les sommes litigieuses, et Madame [P] [I]-[B] sera déboutée de cette demande.

En outre, dans la mesure où Madame [P] [I]-[B] succombe au principal et où la banque n’a commis aucun manquement, il ne saurait être retenu que cette dernière lui a causé un préjudice ; de sorte que la demande indemnitaire formée par la demanderesse sera rejetée.

Sur les demandes accessoires

En application de l’article 696 du Code de procédure civile, il convient de condamner Madame [P] [I]-[B] aux entiers dépens qui seront recouvrés comme en matière d’aide juridictionnelle.

Il y a lieu en outre de condamner Madame [P] [I]-[B] à payer à la S.A. Caisse d’épargne et de prévoyance Île-de-France la somme de 1.500 € en application de l’article 700 du Code de procédure civile

L’exécution provisoire est de droit, conformément à l’article 514 du Code de procédure civile, et il n’y a pas lieu en l’espèce d’en disposer autrement.

PAR CES MOTIFS

Le Tribunal, statuant après débats publics, par décision contradictoire mise à disposition des parties par le greffe et en premier ressort,

DÉBOUTE Madame [P] [I]-[B] de l’intégralité de ses demandes ;

CONDAMNE Madame [P] [I]-[B] à payer à la la somme de 1.500 € en application de l’article 700 du Code de procédure civile ;

DIT n’y avoir lieu de suspendre l’exécution provisoire de la présente décision ;

CONDAMNE Madame [P] [I]-[B] aux entiers dépens qui seront recouvrés comme en matière d’aide juridictionnelle.

Fait à CRETEIL, L’AN DEUX MIL VINGT QUATRE ET LE TRENTE ET UN DECEMBRE

LE PRÉSENT JUGEMENT A ÉTÉ SIGNE PAR LE PRÉSIDENT ET LE GREFFIER PRÉSENTS LORS DU PRONONCE.

Le GREFFIER Le PRÉSIDENT