TRIBUNAL

JUDICIAIRE

DE GRENOBLE

Ch4.2 Inférieur à 10000 €

N° RG 24/04368 – N° Portalis DBYH-W-B7I-L7V5

TRIBUNAL JUDICIAIRE DE GRENOBLE

4ème CHAMBRE CIVILE – 4.2 – TJ

JUGEMENT DU 24 JUILLET 2025

ENTRE :

DEMANDERESSE

Madame [G] [D]

née le 06 Juin 1948 à ROUEN (76000), demeurant 157 rue des Libellules – 38920 CROLLES

représentée par Maître Adélaïde FREIRE-MARQUES, avocat au barreau de BOURGOIN-JALLIEU, substituée par Maître Jean-Yves BALESTAS, avocat au barreau de GRENOBLE

D’UNE PART

ET :

DEFENDERESSE

Société MILLEIS BANQUE, dont le siège social est sis Service Clients – 2-20 Place des Vins de France – 75012 PARIS

représentée par Maître Philippe BAYLE, avocat au barreau de PARIS, susbtitué par Maître Eric HATTAB, avocat au barreau de GRENOBLE

D’AUTRE PART

A l’audience publique du 05 Juin 2025 tenue par M^me Anne-Laure CHARIGNON, Vice-Présidente près le Tribunal Judiciaire de Grenoble, en présence de M. [R] [L], Auditeur de justice, assistée de M^me Mélinda RIBON, Greffier, en présence de Mme [Z] [P], Greffier stagiaire;

Après avoir entendu les avocats en leurs plaidoiries, l’affaire a été mise en délibéré, et le prononcé de la décision renvoyé au 24 Juillet 2025, date à laquelle il a été statué en ces termes :

Le compte bancaire de Madame [G] [D] ouvert auprès de la société MILLEIS BANQUE a été débité deux fois de 4 000 euros les 10 et 11 octobre 2022.

Par assignation du 25 mars 2024, Madame [G] [D] a saisi le tribunal judiciaire de Grenoble d’une action en responsabilité contre la société MILLEIS BANQUE.

Par jugement du 24 juin 2024, le tribunal a ordonné la radiation de l’affaire en l’absence de comparution des parties.

Par courrier du 24 juillet 2024, Madame [D] a sollicité la réinscription de l’affaire.

A l’audience du 5 juin 2025, Madame [G] [D] représentée par son conseil sollicite le bénéfice de ses conclusions N°2 auxquelles il est fait expressément référence. Elle demande au tribunal de condamner la SA MILLEIS BANQUE à lui payer les somme de :

—  5 789,21 euros outre intérêt légal majoré de 15% au titre du manquement à son obligation de vigilance,

—  1500 euros au titre de son préjudice moral,

—  500 euros pour résistance abusive,

—  1500 euros au titre de l’article 700 du code de procédure civile.

Elle expose avoir déclenché involontairement deux virements de 4000 euros vers des comptes inconnus.

Elle fait valoir en substance au visa des articles L 133-16 et suivants, L 561-6 du code monétaire et financier et 1103 et 1231-1 du code civil, que la banque est tenue d’un devoir général de vigilance et de vérification ; qu’il appartient à cette dernière de rapporter la preuve que l’opération litigieuse a été authentifiée par un procédé d’authentification forte et qu’elle est exempte de déficience technique ; que la MILLEIS BANQUE échoue dans la démonstration ; qu’aucune négligence grave ne peut être reprochée à Mme [D] ; que l’importance des virements devait conduire la banque à alerter sa cliente.

La société anonyme MILLEIS BANQUE représentée par son conseil sollicite le bénéfice de ses conclusions N°2 auxquelles il est fait expressément référence. Elle demande au tribunal de déclarer la demande irrecevable et mal fondée, de débouter intégralement la requérante et de condamner Madame [D] à lui payer une somme de 2500 euros au titre de l’article 700 du code de procédure civile.

Elle fait valoir en substance, au visa des articles lL133-19 IV et L 133-23 du code monétaire et financier, que Mme [D] admet avoir communiqué ses coordonnées bancaires par sms puis avoir cliqué sur un lien et suivi les instructions d’un tiers ; que le plafond journalier des virements (4000 euros) n’a pas été dépassé, excluant toute défaillance du système bancaire ; que les ajouts d’IBAN ont été validés selon un dispositif d’authentification forte auquel la cliente a adhéré ; que Mme [D] a contrevenu à ses obligations et engagé sa responsabilité en validant les ajouts d’IBAN et les virements puis en communiquant au fraudeur les codes à usage unique reçus par sms sur son téléphone mobile.

MOTIFS DE LA DECISION

Sur la demande principale

Selon l’article L133-18 du code monétaire et financier, en cas d’opération de paiement non autorisée dénoncée par l’utilisateur, l’établissement bancaire doit procéder au remboursement du montant détourné sauf fraude de l’utilisateur.

Selon l’article L.133-6 du code monétaire et financier, une opération de paiement est autorisée lorsque le payeur a donné son consentement à son exécution.

Selon l’article L133-19 II à IV du code monétaire et financier :

II. – La responsabilité du payeur n’est pas engagée si l’opération de paiement non autorisée a été effectuée en détournant, à l’insu du payeur, l’instrument de paiement ou les données qui lui sont liées.

Elle n’est pas engagée non plus en cas de contrefaçon de l’instrument de paiement si, au moment de l’opération de paiement non autorisée, le payeur était en possession de son instrument.

III. – Sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si le prestataire de services de paiement ne fournit pas de moyens appropriés permettant l’information aux fins de blocage de l’instrument de paiement prévue à l’article L. 133-17.

IV. – Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17.

V. – Sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si l’opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement du payeur n’exige une authentification forte du payeur prévue à l’article L. 133-44.

Selon l’article L133-4 f) du CMF, une authentification forte du client s’entend d’une authentification reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories « connaissance » (quelque chose que seul l’utilisateur connaît), « possession » (quelque chose que seul l’utilisateur possède) et « inhérence » (quelque chose que l’utilisateur est) et indépendants en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d’authentification ;

Enfin, selon L133-23 : Lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre.

L’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière. Le prestataire de services de paiement, y compris, le cas échéant, le prestataire de services de paiement fournissant un service d’initiation de paiement, fournit des éléments afin de prouver la fraude ou la négligence grave commise par l’utilisateur de services de paiement.

Il résulte des deux premiers textes et du dernier qu’une opération de paiement ordonnée par le payeur n’est pas nécessairement autorisée par lui, compte tenu des techniques de fraude qui sont de plus en plus sophistiquées.

L’autorisation de l’utilisateur à un paiement ne se déduit pas non plus nécessairement d’une authentification forte mise en place selon la Directive de 2015 car même en présence d’une authentification forte, le client peut ne pas être à l’origine de l’opération.

De manière générale et en application de l’article 1231-1 du code civil, la banque est tenue d’une devoir de vigilance sur le fonctionnement des comptes de ses clients qui a pour limite l’interdiction de s’immiscer dans leurs affaires.

En l’espèce, madame [D] a vendu par l’intermédiaire du site Le Bon Coin des pneus au prix de 120 euros le 10 octobre 2022. Pour obtenir le règlement, elle a reçu par sms deux liens différents sur lesquels elle a cliqué, puis elle a suivi des instructions en communiquant ses « codes bancaires par sms », ainsi qu’elle l’indique dans un mail adressé à sa banque le 11 octobre 2022.

Dans ses écritures, Mme [D] affirme désormais qu’elle a cliqué sur les liens et qu’elle a uniquement enregistré ses « identifiants de connexion bancaire ».

Deux virements de 4000 euros chacun ont été effectués depuis son compte bancaire au profit de tiers fraudeurs le 10 octobre 2022 et le 11 octobre 2022.

Il résulte des dispositions sus visées que pour obtenir le remboursement des virements effectués, il est nécessaire soit :

— que la banque ne puisse démontrer que les paiements ont été effectués après une authentification forte du payeur,

— que la cliente prouve que son consentement pour l’exécution des opérations de paiement n’a pas été donné c’est à dire que les données liées à son compte bancaire (codes de sécurité) ont été détournées,

— que le système de paiement mis en place par la banque a été défaillant.

1) La preuve d’une authentification forte

La banque soutient avoir procédé à une authentification forte des opérations avant d’exécuter les virements en affirmant que les ajouts d’IBAN ont été validés conformément à son dispositif d’authentification forte et que Mme [D] a également validé les deux virements par sa connexion à son espace bancaire, puis en communiquant au fraudeur les codes à usage unique reçus par sms sur son téléphone mobile.

L’authentification forte étant un fait juridique, la preuve devant la juridiction peut en être rapportée par tout moyen et notamment par le relevé informatique dont le caractère probant est soumis à l’appréciation du juge.

Pour prouver que les ordres de virements ont été soumis à authentification forte, la banque verse aux débats :

— un relevé de fichier informatique des sms adressés par la banque à Mme [D] le 10 et 11 octobre 2022,

— les conditions générales de la convention de compte et celles de l’utilisation du service de banque en ligne Milleisnet du 15 mai 2022.

Il n’est pas contesté par Madame [D] qu’elle avait adhéré au service de banque en ligne Milleisnet, qu’elle possédait un téléphone mobile, que son numéro de téléphone mobile correspondait à celui que la banque avait en sa possession et qui figure sur la pièce 4 de la banque (0609498728). Mme [D] ne conteste pas non plus qu’elle avait téléchargé sur son téléphone l’application de sécurisation des paiements en ligne de sa banque au moment des opérations litigieuses. En revanche, elle a toujours contesté avoir reçu les sms adressés par sa banque.

Or, les pièces produites par la banque ne permettent pas d’établir que le téléphone de Mme [D] se serait connecté à Milleisnet les 10 et 11 octobre 2022.

Le relevé informatique des sms adressés au numéro de mobile 0609498728 permet d’établir que 6 sms ont été adressés par la banque à ce numéro le 10 octobre 2022, et 5 sms le 12 octobre 2022 et que des codes de validation ont été communiqués pour :

— valider l’ajout de deux bénéficiaires le 10 octobre,

— valider deux virements de 4000 euros (le 10 et le 11 octobre).

A la suite des virements, deux sms ont enfin été adressés à ce même numéro de téléphone pour informer que deux virements de 4000 euros avaient été saisis.

Si ces pièces permettent de retenir que les bénéficiaires et les virements ont été authentifiés via l’application Milleisnet, enregistrés et comptabilisés, la banque ne démontre pas en revanche que Mme [D] aurait reçu à quatre reprises un code de validation communiqué par la banque, ni pour chaque opération une demande d’entrer son code personnel, ni enfin qu’elle aurait effectivement entré les codes de validation et son code personnel à quatre reprises. Or selon le système d’authentification forte, chacune de ces étapes auraient dû être réalisée et pour chacune des opérations litigieuses : ajout de bénéficiaires et virements.

La banque se limite dans ses écritures à affirmer que la cliente a nécessairement reçus les sms car son fichier informatique les mentionne. Cette assertion ne peut valoir preuve de l’envoi par le système des sms ni de leur réception par Mme [D] alors que cette dernière a toujours contesté les avoir reçus. Rien n’établit que Mme [D] se soit connectée à Milleisnet.

Ainsi, la négligence de Mme [D], qui est par ailleurs établie dès lors qu’elle a communiqué au fraudeur ses identifiants bancaires permettant à ce dernier de se connecter au site de la banque et qu’elle a cliqué à deux reprises sur un lien non sécurisé qui n’émanait pas du site Le Bon Coin, ne fait pas disparaître la responsabilité de la MILLEIS BANQUE dès lors que cette dernière n’apporte pas la preuve de la réalisation complète du processus d’authentification forte conformément aux prescriptions de l’article L 133-4 du code monétaire et financier.

2) Sur la preuve du détournement

Madame [D] affirme avoir été victime d’une utilisation frauduleuse de son téléphone et ou des données associées et doit en apporter la preuve. La copie de sa plainte et sa réaction immédiate dès qu’elle a été avisée de l’existence des virements sont un commencement de preuve.

En outre, le fait que Mme [D] soit en relation avec sa banque depuis 1971, et qu’elle deux virements à 24 heures d’intervalle d’un montant atteignant le plafond maximum autorisé pour un montant total de 8 000 euros auraient dû conduire la banque à considérer que ces ordres de virement présentaient l’apparence d’une irrégularité manifeste.

Ainsi, le tribunal retient que la société MILLEIS BANQUE ne démontre pas que le processus d’authentification forte qu’elle a mis en place a été respecté et qu’au vu des éléments de contexte de l’opération elle aurait dû avoir un doute sur les consentements donnés aux opérations.

En conséquence, la société MILLEIS BANQUE sera condamnée à rembourser à madame [D] la somme de 5 798,21 euros outre intérêts légal à compter du dépôt des conclusions de réinscription au rôle le 25 juillet 2024, l’assignation initiale ayant fait l’objet d’un jugement de radiation pour défaut de diligence des parties.

Aucun fondement n’est invoqué à l’appui de la demande de majoration du taux d‘intérêts à 15%.

Sur les autres demandes

Madame [D] qui a aussi été négligente ne justifie pas avoir subi un préjudice moral.

Elle ne démontre pas que le droit de la banque de défendre à la procédure aurait dégénéré en abus.

Dans ces conditions, ses demandes tendant à l’octroi de dommages et intérêts complémentaires seront rejetées.

Succombant, la MILLEIS BANQUE sera condamnée aux dépens. Elle payera en outre une somme de 800 euros à Mme [D] au titre de l’article 700 du code de procédure civile.

PAR CES MOTIFS

Le Tribunal, statuant publiquement, par jugement contradictoire et en premier ressort,

Condamne la société MILLEIS BANQUE à rembourser à Madame [G] [D] la somme de 5 798,21 euros outre intérêts légal à compter du 25 juillet 2024 ;

Déboute les parties de leurs autres demandes ;

Condamne la société MILLEIS BANQUE aux dépens à payer à Madame [G] [D] une somme de 800 euros au titre de l’article 700 du code de procédure civile.

AINSI JUGE ET PRONONCE PAR MISE A DISPOSITION AU GREFFE DE LA JURIDICTION LE VINGT-QUATRE JUILLET DEUX MILLE VINGT-CINQ, LES PARTIES EN AYANT ETE AVISEES CONFORMEMENT A L’ARTICLE 450 DU CODE DE PROCEDURE CIVILE.

Le Greffier Le Juge