MINISTÈRE DE LA JUSTICE

TRIBUNAL JUDICIAIRE DU HAVRE

JUGEMENT DU 16 DECEMBRE 2024

Minute :

N° RG 23/00057 – N° Portalis DB2V-W-B7H-GESW

NAC : 38E Autres actions en responsabilité exercées contre un établissement de crédit

DEMANDERESSE :

Madame [R], [C], [K] [V]

née le 21 Septembre 2000 à HARFLEUR (76700), demeurant 14, rue Emile Zola – 76600 LE HAVRE

Représentée par M^e François RICHEZ, Avocat au barreau de SAINT-OMER

DÉFENDERESSE :

S.A. LA BANQUE POSTALE, immatriculée au RCS de PARIS sous le numéro 421 100 645, dont le siège social est sis 115 rue de Sèvres – 75275 PARIS CEDEX 06

Représentée par M^e Julien MARTINET substitué par M^e Marius CHAPON, Avocats au barreau de PARIS

COMPOSITION DU TRIBUNAL :

Lors des débats et du délibéré :

PRÉSIDENT : Danielle LE MOIGNE, Vice-Présidente, Juge au Tribunal Judiciaire du HAVRE

GREFFIER : Isabelle MAHIER

DÉBATS : en audience publique le 21 Octobre 2024

JUGEMENT : contradictoire

en premier ressort

par mise à disposition au Greffe, les parties présentes en ayant été préalablement avisées dans les conditions prévues au 2ème alinéa de l’article 450 du Code de procédure civile.

SIGNÉ PAR : Danielle LE MOIGNE, Vice-Présidente, Juge au Tribunal Judiciaire du HAVRE et Isabelle MAHIER, Greffier au siège de ce Tribunal, 133 Boulevard de Strasbourg – 76600 LE HAVRE

EXPOSE DU LITIGE

Madame [R] [V] est titulaire d’un compte courant auprès de la Banque Postale ainsi que d’un livret Jeune Swing et un livret A.

Dès la fin juillet 2021, elle a constaté sur son compte CPP des débits ainsi que des crédits de faibles sommes (2 à 3 euros) portant l’intitulé « MGP Leetchi ». Le 4 août 2021, un dénommé « [J] » la contacte sur son lieu de travail se présentant comme employé de la Banque Postale et lui indique avoir relevé des mouvements susceptibles d’être frauduleux sur son compte CPP. Il l’invite à changer son numéro CERTIPLUS lui demandant de ne pas s’inquiéter dans la mesure où il gérait l’opposition et les sommes débitées indûment. Elle a rappelé son interlocuteur quelques jours plus tard au même numéro et il a décroché. Des prélèvements ont été effectués frauduleusement à hauteur de 6 456,10 €. La Banque Postale lui a indiqué qu’aucune opposition n’avait été réalisée.

Le 16 août 2021, elle a déposé plainte et a demandé à la banque le remboursement des sommes indûment prélevées qui lui a indiqué ne pas pouvoir donner une suite favorable à sa demande au motif que les opérations ont été réalisées à partir de la banque en ligne avec ses identifiants et mot de passe.

Aucune réponse n’étant apportée au courrier adressé par son conseil à la banque, Madame [V] a fait assigner la Banque Postale devant le tribunal judiciaire du Havre par acte en date du 4 janvier 2024.

L’affaire a été appelée une première fois à l’audience du 11 avril 2023 lors de laquelle elle a été renvoyée à l’audience de mise en état du 30 mai 2023 puis à plusieurs reprises jusqu’à être fixée à l’audience de plaidoirie du 21 octobre 2024.

A cette audience, Madame [V] était représentée par Maître François RICHEZ, avocat au Barreau de Saint Omer, qui a repris oralement ses conclusions. La Banque Postale était représentée par Maître Julien MARTINET, avocat au Barreau de Paris, substitué par Maître Marius CHAPON, qui a repris oralement ses conclusions.

Aux termes de ses conclusions récapitulatives n°2, notifiées par message RPVA le 13 novembre 2023 et auxquelles il convient de se reporter pour un plus ample examen de ses prétentions et moyens, Madame [V] demande au tribunal, au visa des dispositions des articles L.133-19 et suivants, L.561-6 du code monétaire et financier, de :

— Condamner la SA BANQUE POSTALE à lui payer la somme de 6 449 euros avec intérêts au taux légal majoré de quinze points à compter du 16 août 2021 au titre des sommes détournées,

— Condamner la SA BANQUE POSTALE à lui payer la somme de 2,10 € avec intérêts au taux légal à compter du 14 octobre 2021 au titre des frais de virement des sommes précitées,

— Condamner la SA BANQUE POSTALE à lui payer la somme de 2 500 € à titre de dommages et intérêts,

— Condamner la SA BANQUE POSTALE à lui payer la somme de 1 750 € sur le fondement de l’article 700 du code de procédure civile ainsi qu’aux entiers dépens,

Madame [V] soutient que la Banque Postale a contrevenu aux obligations que lui impose le code monétaire et financier. Elle rappelle la présomption de responsabilité de la banque et conteste formellement avoir commis une négligence grave. La Banque Postale aurait manqué à son devoir de vigilance et de mise en garde au regard des opérations inhabituelles s’étant déroulées sur son compte.

Madame [V] sollicite que lui soit accordée des dommages et intérêts pour ne pas avoir suffisamment sécurisé l’utilisation numérique de ses différents comptes dont elle était titulaire ni attiré son attention sur les mouvements suspects les affectant.

Aux termes de ses conclusions en défense n°3, communiquées par message RPVA le 13 février 2024 et auxquelles il convient de se reporter pour un plus ample examen de ses prétentions et moyens, la SA BANQUE POSTALE demande au tribunal, au visa des articles L.133-6, L.133-23 du code monétaire et financier, de :

— Débouter Madame [V] de ses demandes,

— Condamner Madame [V] à lui payer la somme de 5 000 € au titre de l’article 700 du code de procédure civile ainsi qu’aux entiers dépens,

A titre principal, la Banque Postale fait valoir que les opérations ont été dûment authentifiées et à titre subsidiaire, à supposer les ordres non-autorisés, elle invoque des négligences graves de Madame [V].

Elle rappelle qu’à l’époque des faits, Madame [V] avait adhéré au service certicode Plus, service d’authentification forte par numéro sécurisé consistant en l’envoi d’un code de validation à usage unique par SMS sur le numéro de téléphone de la cliente pour chaque opération nécessitant l’authentification forte. Or, le même jour qu’elle a été contactée par « [J] », elle a changé le numéro de portable désigné dans le cadre du service certicode plus et un nouveau bénéficiaire a été ajouté à la liste de confiance. Elle aurait alors communiqué son nouveau numéro certicode plus. Les opérations litigieuses auraient été dûment authentifiées via le dispositif d’authentification forte certicode. Enfin, elle aurait fait preuve des négligences graves en donnant son code et en n’informant pas la banque immédiatement des opérations suspectes.

A l’issue des débats, la décision a été mise en délibéré au 16 décembre 2024.

MOTIFS

Sur les responsabilités engagées

L’article L. 133-18 du code monétaire et financier, dans sa version applicable aux faits de l’espèce dispose que :

« En cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L. 133-24, le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement et s’il communique ces raisons par écrit à la Banque de France. Le cas échéant, le prestataire de services de paiement du payeur rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu.

Lorsque l’opération de paiement non autorisée est initiée par l’intermédiaire d’un prestataire de services de paiement fournissant un service d’initiation de paiement, le prestataire de services de paiement gestionnaire du compte rembourse immédiatement, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, au payeur le montant de l’opération non autorisée et, le cas échéant, rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu. La date de valeur à laquelle le compte de paiement du payeur est crédité n’est pas postérieure à la date à laquelle il avait été débité.

Si le prestataire de services de paiement qui a fourni le service d’initiation de paiement est responsable de l’opération de paiement non autorisée, il indemnise immédiatement le prestataire de services de paiement gestionnaire du compte, à sa demande, pour les pertes subies ou les sommes payées en raison du remboursement du payeur, y compris le montant de l’opération de paiement non autorisée.

Le payeur et son prestataire de services de paiement peuvent décider contractuellement d’une indemnité complémentaire. »

L’article L. 133-19 du code monétaire et financier dispose que :

« I. – En cas d’opération de paiement non autorisée consécutive à la perte ou au vol de l’instrument de paiement, le payeur supporte, avant l’information prévue à l’article L. 133-17, les pertes liées à l’utilisation de cet instrument, dans la limite d’un plafond de 50 €.

Toutefois, la responsabilité du payeur n’est pas engagée en cas :

– d’opération de paiement non autorisée effectuée sans utilisation des données de sécurité personnalisées ;

– de perte ou de vol d’un instrument de paiement ne pouvant être détecté par le payeur avant le paiement ;

– de perte due à des actes ou à une carence d’un salarié, d’un agent ou d’une succursale d’un prestataire de services de paiement ou d’une entité vers laquelle ses activités ont été externalisées.

II. – La responsabilité du payeur n’est pas engagée si l’opération de paiement non autorisée a été effectuée en détournant, à l’insu du payeur, l’instrument de paiement ou les données qui lui sont liées.

Elle n’est pas engagée non plus en cas de contrefaçon de l’instrument de paiement si, au moment de l’opération de paiement non autorisée, le payeur était en possession de son instrument. »

IV. – Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement par négligence grave aux obligations mentionnées aux articles L.133-16 et L.133-17. »

Ces dispositions édictent une présomption de responsabilité sans faute de la banque qui doit, pour la renverser, établir que le client est à l’origine de la fraude ou qu’il a commis une négligence grave qui a rendu cette fraude possible.

En l’espèce, la banque reconnaît que Madame [V] n’est pas à l’origine de la fraude mais affirme qu’elle s’est rendue coupable de négligence grave.

La Banque Postale explique que le service d’authentification forte est un dispositif d’identification avec des conditions de sécurité renforcée car il requiert la confirmation de l’authentification du client. La Banque permet l’authentification forte soit par « numéro sécurisé certicode » consistant en l’envoi d’un code de validation à usage unique par SMS sur le numéro du client pour chaque opération nécessitant l’authentification forte, soit par le dispositif « certicode plus » consistant en l’envoi d’une notification sur un téléphone portable unique (dit terminal) demandant la saisie d’un code confidentiel à 5 chiffres créé par le client dont lui seul à connaissance. Ce dispositif ne peut être associé que sur un seul terminal à la fois et le fraudeur qui souhaite substituer son propre téléphone portable en tant qu’appareil de confiance à celui du client doit obtenir de celui-ci qu’il saisisse sur son espace en ligne le code confidentiel reçu sur son propre appareil de confiance. Madame [V] avait adhéré au service certicode plus.

Les opérations litigieuses intervenues entre le 5 et le 13 août 2021. La Banque Postale prétend que ces opérations ne peuvent avoir de caractère frauduleux car elles ont été faites depuis l’application mobile avec une authentification forte certicode plus et comptabilisées sans être affectées par une déficience technique.

Par les documents qu’elle produit et notamment l’historique certicode plus, la Banque Postale démontre qu’un nouveau bénéficiaire de virements a été ajouté à la liste de confiance de Madame [V] depuis son espace en ligne, ce que cette dernière ne conteste pas puisque dans son dépôt de plainte, elle indique que le dénommé « [J] » lui a demandé d’abord de changer son code certiplus, ce qu’elle a fait sur le champ. Puis, il lui a demandé son nouveau code certiplus et elle a reconnu que « sans réfléchir, je lui ai donné », ce qui a permis à son interlocuteur de s’ajouter comme nouveau bénéficiaire.

Cet ajout a permis l’exécution des virements dès le lendemain. En conséquence, les opérations de paiement litigieuses ont été correctement authentifiées, dûment enregistrées et comptabilisées via le dispositif certicode plus, auquel Madame [V] avait adhéré. Elles n’ont donc pas été affectées d’une déficience technique et la Banque Postale était légitime à croire qu’elles avaient été initiées par sa cliente.

Enfin, le seul élément que les virements étaient faits vers une banque lituanienne – ce que pouvait voir effectivement la banque en fonction du code BIC ou de l’IBAN du bénéficiaire renseigné – ne peut suffire à lui seul pour autant à alerter la banque d’une anomalie de fonctionnement du compte puisque les virements ont été faits dans les livres d’une banque étrangère dûment agréée (REVOLUT) et ces mouvements inhabituels ne sont pas pour autant constitutifs d’anomalies.

Ces opérations ont été dûment authentifiées et ne pouvaient donc qu’être exécutées par la Banque Postale.

Cependant, la Banque Postale soutient que Madame [V] doit supporter les pertes occasionnées car elle aurait fait preuve de négligences graves en ce qu’elle aurait dû constater qu’elle n’était pas en relation avec sa conseillère habituelle, qu’elle a suivi les instructions d’un inconnu et qu’elle lui a donné son code. Elle aurait donc commis une négligence grave dans la conversation de ses données personnelles.

En l’espèce, Madame [V] justifie que des mouvements anormaux se sont déroulés sur son compte et consistant en des débits et crédits de petites sommes au profit de [M] et Leetchi qui sont des cagnottes en ligne auxquelles il n’est pas contesté qu’elle n’y avait pas adhéré. Ces mouvements douteux ont été effectués à compter du 28 juillet 2021 et en août 2021, soit juste avant les virements litigieux.

Lors de son dépôt de plainte, Madame [V] a indiqué avoir reçu un appel sur son portable d’un homme nommé [J] se présentant comme banquier de la Banque Postale lui disant qu’il y avait des mouvements inquiétants sur son compte au profit de [M] et Leetchi et lui a demandé si c’était elle qui avait effectué ces transactions, ce qui n’était pas le cas comme elle l’a précisé.

Ce faux conseiller l’a donc persuadée que son compte enregistrait des mouvements frauduleux et Madame [V] était en droit de croire qu’elle était bien en ligne avec sa banque même s’il ne s’agissait pas de sa conseillère habituelle dans la mesure où seul un conseiller de sa banque pouvait connaître logiquement des mouvements inhabituels et incompréhensibles se déroulant sur son compte. Cet élément a même suscité l’appel du faux conseiller à Madame [V].

Prétendant l’aider à faire opposition, le faux conseiller lui a alors demandé de changer son code certiplus et lui a demandé le nouveau numéro afin qu’il effectue l’opposition. Madame [V] n’a fait que suivre les instructions qui lui étaient données après avoir été mise en confiance par le faux conseiller de la connaissance qu’il avait des mouvements existants sur son compte.

Au regard des circonstances dans lesquelles l’escroquerie a eu lieu, il ne peut donc être reproché à Madame [V] d’avoir commis une négligence grave en donnant son nouveau code certiplus au faux conseiller après avoir été induite en erreur (en ce sens, Cass.com 23/10/2024, pourvoi n°H23-16.267).

La négligence grave n’est donc pas caractérisée, peu important que la Banque Postale n’ait pas eu d’autre choix que d’exécuter les opérations frauduleuses qui avaient toute l’apparence de l’authenticité, cette circonstance étant indifférente en l’absence de négligence grave du payeur.

Il convient d’en conclure que la banque n’apporte pas la preuve des négligences imputées à Madame [V] et échoue à renverser la présomption de responsabilité qui pèse sur elle. La Banque Postale est donc condamnée à rembourser à Madame [V] le montant des virements frauduleux soit la somme de 6 147 € + 2,10 € (0,7 0x 3) + 302 €, soit 6 451,10 € avec intérêts de droit à compter du 16 août 2021, sans qu’il y ait lieu de majorer les intérêts.

Sur la demande de dommages et intérêts

Madame [V] sollicite que lui soit accordée la somme de 2 500 € de dommages et intérêts pour ne pas avoir suffisamment sécurisé l’utilisation numérique de ses différents comptes dont elle était titulaire ni attiré son attention sur les mouvements suspects les affectant.

Il a été démontré que l’authentification forte avait fonctionné parfaitement et que par conséquent, la banque était tenue d’exécuter les opérations.

La demande de dommages et intérêts sera donc rejetée.

Sur les demandes accessoires

Aux termes de l’article 696 du code de procédure civile, la partie perdante est condamnée aux dépens, à moins que le juge, par décision motivée, n’en mette la totalité ou une fraction à la charge de l’autre partie.

La Banque Postale, qui succombe, est condamnée aux dépens.

L’article 700 du code de procédure civile prévoit que le juge condamne la partie tenue aux dépens ou à défaut la partie qui succombe à payer à l’autre partie la somme qu’il détermine au titre des frais exposés et non compris dans les dépens et qu’il tient compte de l’équité ou de la situation économique de la partie condamnée.

L’équité commande de condamner la Banque Postale à payer à Madame [V] la somme de 1000€ en application des dispositions de l’article 700 du code de procédure civile.

PAR CES MOTIFS

Le tribunal statuant publiquement, par jugement mis à disposition au greffe, contradictoire et en premier ressort,

CONDAMNE la SA LA BANQUE POSTALE à rembourser à Madame [R] [V] la somme de 6 451,10 € avec intérêts de droit à compter du 16 août 2021 ;

REJETTE toute demande plus ample ou contraire,

CONDAMNE la SA LA BANQUE POSTALE aux dépens,

CONDAMNE la SA LA BANQUE POSTALE à payer à Madame [R] [V] la somme de 1 000 euros en application des dispositions de l’article 700 du code de procédure civile,

RAPPELLE que l’exécution provisoire est de droit.

Ainsi jugé le 16 DECEMBRE 2024.

LE GREFFIER LE MAGISTRAT

Isabelle MAHIER Danielle LE MOIGNE