MINISTÈRE DE LA JUSTICE

TRIBUNAL JUDICIAIRE DU HAVRE

JUGEMENT DU 17 FEVRIER 2025

Minute :

N° RG 23/01151 – N° Portalis DB2V-W-B7H-GNCL

NAC : 38E Autres actions en responsabilité exercées contre un établissement de crédit

DEMANDEUR :

Monsieur [S] [D]

né le 28 Juillet 1985 à ANNECY (74000), demeurant 17, rue du Chef Mécanicien Prigent – 76310 SAINTE – ADRESSE

Représenté par M^e Virginie LE BIHAN, Avocat au barreau de DIEPPE substituée par M^e Claire MENARD, Avocat au barreau de ROUEN

DÉFENDERESSE :

S.A. BOURSORAMA BANQUE, inscrite au RCS de NANTERRE sous le numéro 351 058 151, dont le siège social est sis 44 Rue Traversière – 92772 BOULOGNE BILLANCOURT CEDEX

Représentée par M^e Arnaud-Gilbert RICHARD, Avocat au barreau de PARIS substitué par M^e Agathe LOEVENBRUCK substituée par M^e Bérangère DELAUNAY, Avocats au barreau du HAVRE

COMPOSITION DU TRIBUNAL :

Lors des débats et du délibéré :

PRÉSIDENT : Danielle LE MOIGNE, Vice-Présidente, Juge au Tribunal Judiciaire du HAVRE

GREFFIER : Isabelle MAHIER

DÉBATS : en audience publique le 16 Décembre 2024

JUGEMENT : contradictoire

en premier ressort

par mise à disposition au Greffe, les parties présentes en ayant été préalablement avisées dans les conditions prévues au 2ème alinéa de l’article 450 du Code de procédure civile.

SIGNÉ PAR : Danielle LE MOIGNE, Vice-Présidente, Juge au Tribunal Judiciaire du HAVRE et Isabelle MAHIER, Greffier au siège de ce Tribunal, 133 Boulevard de Strasbourg – 76600 LE HAVRE

EXPOSE DU LITIGE

Monsieur [S] [D] est titulaire d’un compte bancaire ouvert auprès de la SA BOURSORAMA BANQUE (la banque) ainsi que d’un livret A depuis six ans.

Le 26 juin 2023 à 14h24, alors qu’il est en déplacement dans le Sud de la France en tant que CRS, il a reçu un appel du numéro de téléphone de sa banque l’informant d’un probable paiement frauduleux d’un montant de 1 454 € effectué au Luxembourg pour l’achat de billets d’avion auprès de la compagnie Vueling et de plusieurs virements suspects en train d’être opérés sur son compte. Il a reçu la confirmation de cette information sur son espace client sur lequel il reçoit habituellement les notifications SMS de sa banque en ligne. Il a vérifié les dernières opérations bancaires sur son compte ainsi que l’identité des bénéficiaires enregistrés et n’a constaté rien d’anormal.

Le même jour, à 14h31, il a reçu un message l’informant qu’un nouvel appareil de confiance avait été ajouté et qu’il devait cliquer sur le lien s’il n’en était pas à l’origine. Le numéro de téléphone appelé était toujours celui de sa banque. Il était informé également de l’annulation de virements et de l’ajout de trois IBAN de sécurité. Il constatait alors trois virements frauduleux d’un montant total de 14 500 € avec la mention « processus annulation » mais qui ont été débités finalement sur son compte.

Monsieur [D] a demandé à sa banque d’effectuer un « recall virement » ainsi que le remboursement de la totalité des sommes. Cette dernière lui a indiqué par courriels en date des 27 juin et 6 septembre 2023 ne pouvoir donner une suite favorable à sa demande de remboursement au motif qu’il avait fourni son identifiant pour l’exécution des opérations litigieuses. Toutefois, grâce à l’opération de « recall », le compte de Monsieur [D] a été recrédité le 7 juillet 2023 de deux virements frauduleux, celui de retour de fonds d’un montant de 7 000 € correspond à la fraude d’un dénommé [J] [X] au profit duquel s’était opéré le virement et de celui d’un montant seulement de 13,25 € correspond à la fraude d’un dénommé [N].

Contestant être l’auteur des trois virements frauduleux et ayant réclamé en vain la restitution totale des fonds litigieux, il a alors fait assigner la banque devant le tribunal judiciaire du Havre par acte en date du 12 décembre 2023.

L’affaire a été appelée une première fois à l’audience du 19 février 2024 lors de laquelle elle a été renvoyée à l’audience du 27 mai 2024 puis à plusieurs reprises jusqu’à être fixée à l’audience de plaidoirie du 16 décembre 2024.

A cette audience, Monsieur [S] [D], était représenté par Maître Virginie LE BIHAN, substituée par Maître Claire MENARD, qui a repris oralement ses conclusions. La SA BOURSORAMA BANQUE était représentée par Maître Agathe LOEVENBRUCK, substituée par Maître DELAUNAY, elle-même substituée pour l’audience de plaidoirie par Maître Arnaud-Gilbert RICHARD, qui a repris oralement ses conclusions.

Aux termes de ses conclusions récapitulatives, notifiées par message RPVA le 6 mai 2024 et auxquelles il convient de se reporter pour un plus ample examen de leurs prétentions et moyens, Monsieur [D], demande au tribunal de :

— déclarer recevable et bien fondée la demande en paiement,

— débouter la SA BOURSORAMA BANQUE de toutes ses demandes, fins et conclusions, la dire mal fondée,

— condamner la SA BOURSORAMA BANQUE à lui verser la somme principale de 7 486,75 € avec intérêts au taux légal à compter de la décision à intervenir au titre deux virements effectués et débités frauduleusement sur son compte bancaire le 26 juin 2023,

— Condamner la SA BOURSORAMA BANQUE à lui payer la somme de 2 000 € sur le fondement de l’article 700 du code de procédure civile ainsi que les entiers dépens,

— dire n’y avoir lieu à écarter l’exécution provisoire de droit attachée à la décision à intervenir.

Monsieur [D] rappelle la présomption de responsabilité de la banque et conteste formellement avoir commis une faute ou négligence au motif qu’il conteste avoir donné ses identifiants ou validé les opérations litigieuses. Il ne serait donc pas l’auteur des trois ordres frauduleux et n’aurait pas validé la connexion d’un nouvel appareil de confiance. Il soutient que la négligence grave doit être un dol et doit démontrer l’inaptitude à préserver la sécurité des dispositifs de sécurité. Elle ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles ont été utilisées.

Aux termes de ses conclusions récapitulatives n°3, communiquées par message RPVA le 6 décembre 2024 et auxquelles il convient de se reporter pour un plus ample examen de ses prétentions et moyens, la SA BOURSORAMA BANQUE demande au tribunal de :

— recevoir la société Boursorama en ses prétentions en défense et la jugeant bien fondée,

— Débouter Monsieur [S] [D] de l’ensemble de ses demandes, fins et prétentions,

— Condamner Monsieur [S] [D] à lui payer la somme de 1 500 € au titre de l’article 700 du code de procédure civile ainsi qu’aux entiers dépens.

La SA BOURSORAMA BANQUE soutient à titre principal que les opérations contestées ont toutes été autorisées par Monsieur [D] et subsidiairement, il aurait commis plusieurs fautes révélant d’une négligence grave dans le déroulement de la fraude. Tout d’abord, il serait à l’origine de toutes les opérations contestées et les aurait donc autorisées en commençant par avoir enregistré lui-même le nouvel appareil de confiance et les ayant authentifiées fortement. D’autre part, il aurait commis des négligences graves en ce qu’il n’aurait pas tenu compte des alertes et sécurités données par la banque pourtant inscrites dans les conditions générales. En effet, il savait que la banque n’appelle jamais ses clients puisqu’il existe une messagerie à partir de l’espace sécurisé pour échanger. Il aurait donc dû cesser toute conversation au téléphone avec l’escroc. D’autre part, il a été informé par la banque qu’il venait d’enregistrer un nouvel appareil et que s’il n’en était pas à l’origine, il devait réagir, ce qu’il n’a pas fait. Au lieu de cela, il aurait validé par authentification forte le nouvel appareil à l’aide de son appareil habituel, son iPhone 13. Il aurait accepté de rentrer également les trois IBAN litigieux et les a validés lui-même par authentification forte à partir de son iPhone 13. C’est toujours à partir de son téléphone qu’il aurait validé les virements par authentification forte.

Enfin, les jurisprudences citées par le demandeur ne s’appliqueraient pas notamment l’arrêt de la Cour de cassation du 23 octobre 2024 car il est personnellement à l’origine de opérations litigieuses et non pas un prétendu escroc. Il a été également contractuellement averti et mis en garde sur les risques d’appel de faux conseillers et de la méthode de spoofing de sorte que son consentement n’a pas pu être surpris.

A l’issue des débats, la décision a été mise en délibéré au 17 février 2025.

MOTIFS

Sur les responsabilités engagées

1°/ Sur l’autorisation des opérations litigieuses :

L’article L. 133-18 du code monétaire et financier, dans sa version applicable aux faits de l’espèce dispose que :

« En cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L. 133-24, le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement et s’il communique ces raisons par écrit à la Banque de France. Le cas échéant, le prestataire de services de paiement du payeur rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu.

Lorsque l’opération de paiement non autorisée est initiée par l’intermédiaire d’un prestataire de services de paiement fournissant un service d’initiation de paiement, le prestataire de services de paiement gestionnaire du compte rembourse immédiatement, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, au payeur le montant de l’opération non autorisée et, le cas échéant, rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu. La date de valeur à laquelle le compte de paiement du payeur est crédité n’est pas postérieure à la date à laquelle il avait été débité.

Si le prestataire de services de paiement qui a fourni le service d’initiation de paiement est responsable de l’opération de paiement non autorisée, il indemnise immédiatement le prestataire de services de paiement gestionnaire du compte, à sa demande, pour les pertes subies ou les sommes payées en raison du remboursement du payeur, y compris le montant de l’opération de paiement non autorisée.

Le payeur et son prestataire de services de paiement peuvent décider contractuellement d’une indemnité complémentaire. »

L’article L. 133-19 du code monétaire et financier dispose en son IV que : « Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17. »

Aux termes de l’article L.133-23 du même code, lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre.

L’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière. Le prestataire de services de paiement, y compris, le cas échéant, le prestataire de services de paiement fournissant un service d’initiation de paiement, fournit des éléments afin de prouver la fraude ou la négligence grave commise par l’utilisateur de services de paiement.

Ces dispositions édictent une présomption de responsabilité sans faute de la banque qui doit, pour la renverser, établir que le client est à l’origine de la fraude ou qu’il a commis une négligence grave qui a rendu cette fraude possible. Pour s’exonérer de sa responsabilité et refuser de rembourser les sommes litigieuses à son client, la banque doit donc établir la négligence grave du client, étant précisé que cette négligence ne peut résulter des données personnelles qui lui sont liées, et elle doit prouver également que l’opération a été authentifiée, dûment enregistrée et comptabilisée, sans être affectée par une déficience technique ou autre qui lui serait imputable.

A titre principal, la banque soutient que sa responsabilité ne peut être engagée sur l’article L.133-18 du code monétaire et financier que dans deux hypothèses, celle d’une opération non autorisée ou celle d’une opération mal exécutée. Elle peut donc rapporter la preuve que les opérations ont bien été autorisées par le donneur d’ordre pour se dédouaner de sa responsabilité puisqu’il n’est pas contesté que les opérations n’ont pas été mal exécutées.

La banque reconnaît que Monsieur [D] n’est pas à l’origine de la fraude invoquée mais affirme qu’il a autorisé les opérations litigieuses au mépris des règles de sécurité en validant l’enrôlement d’un nouvel appareil par authentification forte permettant le transfert des fonds litigieux de son livre A vers son compte à vue, en ajoutant 3 IBAN de façon successive à partir de son iPhone 13 validés par authentification forte et en permettant les virements sur les 3 IBAN. Il aurait donc autorisé toutes les opérations.

Sur le déroulement de la fraude, Monsieur [D] a reçu le 26 juin 2023 à 14h24 un appel avec le numéro de téléphone correspondant à celui de la banque (01.46.09.49.49) comme en atteste sa pièce n°16. Il reçoit alors à 14h37 un SMS dans son espace SMS des notifications d’opération de la banque l’informant qu’il est actuellement en ligne avec un conseiller au matricule 7214 qui lui signale une opération frauduleuse d’un montant de 1 454 € pour l’achat de billets d’avion. Toujours sur ce même SMS, cette opération apparaît comme étant annulée et l’informe qu’un nouvel appareil de confiance a été enregistré sur son compte. S’il n’est pas à l’origine de l’opération, il doit cliquer sur un lien (pièce n°16). A 14h31, il reçoit dans la même fenêtre de message de la banque, le message l’informant que qu’un nouvel appareil de confiance a été ajouté à son compte à 14h30, de système d’exploitation Windows, avec une adresse IP, après ses recherches immédiates, qui s’est révélée être à Angers. Entre 15h12 et 15h22, toujours sur son espace SMS de la banque, il reçoit plusieurs SMS l’informant que ses IBAN de sécurité suivants sont à renseigner sur l’application :

— FR76 4061 8804 0700 0401 6326 212

— FR76 4061 8803 8000 0401 3403 328

— FR76 1619 8000 0100 0131 7448 301.

Il lui est indiqué que la transaction de 5 500 € sur l’IBAN finissant par 212 est en cours d’annulation et qu’il doit continuer la procédure afin de finaliser l’annulation puis que l’opération de 5 500 € a été annulée. Il en a été de même pour la somme de 7 000 € sur l’IBAN finissant par 328 et pour l’opération de 2 000€ en instantanée sur l’IBAN finissant par 301. Les opérations n’ont pas été annulées mais débitées sur son compte.

En l’espèce, Monsieur [D] a été informé qu’une nouvelle connexion sur son espace client avait été détectée à partir d’un nouveau support (Windows) le 26 juin 2023 à 14h31(pièce demandeur n°17 et pièce défenderesse n°2) et que s’il n’est pas à l’origine de cette opération, soit il doit cliquer sur le lien (dans le message SMS reçu) soit il doit immédiatement changer de mot de passe.

Monsieur [D] ne conteste pas avoir été appelé par la banque et avoir reçu ces messages d’alerte. S’agissant de l’enregistrement du nouvel appareil de confiance, Monsieur [D] indique, après avoir reçu les messages d’alerte d’enregistrement, qu’il a alors tenté de contacter en vain ce même conseiller qui l’avait déjà appelé sur le numéro de téléphone de la banque, soit le 01.46.09.49.49, ce qui démontre qu’il n’était pas à l’origine de l’enregistrement de ce nouvel appareil de confiance puisqu’il a cherché immédiatement a contacté sa banque. En effet, il ne peut être déduit de l’enregistrement du nouvel appareil de confiance que l’auteur en serait nécessairement le titulaire du compte, le fraudeur ayant pu tout aussi bien se connecter sur l’espace sécurisé du client. Enfin, il est établi que Monsieur [D] a toujours indiqué n’avoir jamais communiqué ses identifiants ni validé aucune des opérations frauduleuses de prélèvement sur son compte bancaire.

Par ailleurs, en effectuant les opérations de recall et en acceptant de rembourser une partie des sommes indûment prélevées au demandeur, la banque a reconnu l’existence des détournements frauduleux qui sont par conséquent non imputables à Monsieur [D].

La banque ne rapporte donc pas la preuve que Monsieur [D] aurait autorisé les opérations litigieuses étant précisé de plus que la circonstance pour la banque d’exécuter les opérations frauduleuses qui avaient toute l’apparence de l’authenticité, est indifférente en l’absence de négligence grave du payeur.

2°/ Sur la négligence grave :

Subsidiairement, pour tenter de renverser la présomption de responsabilité sans faute qui pèse sur elle, la banque soutient que Monsieur [D] aurait commis une négligence grave qui a rendu cette fraude possible.

Or, Monsieur [D] a toujours contesté avoir communiqué ses identifiants, enregistré le nouvel appareil de confiance, ajouté des nouveaux IBAN et avoir effectué les virements litigieux à partir de son iphone13 et encore moins à partir du nouvel appareil de confiance Windows qui avait une adresse IP à Angers, celui-ci prouvant qu’il était en mission au moment des faits à Mandelieu La Napoule (06) du 21 au 30 juin 2023. Il ajoute être fonctionnaire de police depuis 17 ans, être extrêmement précautionneux, avoir déjà reçu de nombreuses victimes de fraudes bancaires et que dans ces conditions, il ne peut donc avoir commis de négligence grave.

S’agissant de la première négligence grave invoquée par la défenderesse sur le fait que Monsieur [D] aurait dû cesser toute conversation avec le faux conseiller au motif que les conditions générales indiquent que la banque n’appelle jamais ses clients pour leur demander leurs données de sécurité, de réaliser ou de valider une opération, Monsieur [D] a toujours contesté avoir communiqué ses données confidentielles à cette occasion. L’appel concernait une alerte de fraude et le numéro d’appel qu’il a vérifié correspondait à celui de sa banque. La banque, qui doit rapporter la preuve que le client aurait divulgué à cette occasion ses données confidentielles à l’escroc au téléphone, n’apporte aucun élément en ce sens. Il ne peut donc être reproché à Monsieur [D] de ne pas avoir raccroché et d’avoir communiqué ses données personnelles de sécurité. Par ce simple appel, aucune faute contrevenant aux conditions générales de la banque n’est établie.

Enfin, pour tenter d’établir la négligence grave du payeur, la banque produit le journal des connexions et authentifications fortes correspondant à sa pièce n°3. Or, celle-ci comprend tout d’abord, une page totalement illisible tellement écrite en petits caractères tandis que la suite des pages est constituée par des abréviations sibyllines, des phrases dont la plupart sont en anglais et d’autres qui sont tout aussi incompréhensibles. Enfin, ce listing cabalistique ne comprend aucune date. Ces pièces sont donc totalement inexploitables et ne permettent pas de retenir les simples affirmations de la banque selon lesquelles Monsieur [D] aurait commis une négligence grave en validant lui-même l’ajout d’un nouvel appareil et en ordonnant les virements litigieux depuis son iPhone 13. De surcroît, ce comportement invoqué par la banque reviendrait à considérer que le demandeur a participé pleinement au dénuement de ses comptes alors qu’il est un client particulièrement aguerri aux fraudes et aux techniques de l’hameçonnage du fait de sa qualité de fonctionnaire de police recevant les plaintes de cet ordre.

La négligence grave n’est donc pas caractérisée, peu important que la banque n’ait pas eu d’autre choix que d’exécuter les opérations frauduleuses qui avaient toute l’apparence de l’authenticité.

Il convient d’en conclure que la banque n’apporte pas la preuve des négligences imputées à Monsieur [D] et échoue à renverser la présomption de responsabilité qui pèse sur elle. Elle est donc condamnée à rembourser au demandeur le montant des virements frauduleux non déjà remboursés, se décomposant comme suit : 5 500 €+ 7 000 € + 2 000 € = 14 500 € – 7 000 € – 13,25 €, soit la somme de 7 486,75 € avec intérêts de droit à compter de la notification du jugement.

Sur les demandes accessoires

Aux termes de l’article 696 du code de procédure civile, la partie perdante est condamnée aux dépens, à moins que le juge, par décision motivée, n’en mette la totalité ou une fraction à la charge de l’autre partie.

La banque, qui succombe, est condamnée aux dépens.

L’article 700 du code de procédure civile prévoit que le juge condamne la partie tenue aux dépens ou à défaut la partie qui succombe à payer à l’autre partie la somme qu’il détermine au titre des frais exposés et non compris dans les dépens et qu’il tient compte de l’équité ou de la situation économique de la partie condamnée.

L’équité commande de condamner la SA BOURSORAMA BANQUE à payer à Monsieur [D] la somme de 1 000 € en application des dispositions de l’article 700 du code de procédure civile.

PAR CES MOTIFS

Le tribunal statuant publiquement, par jugement mis à disposition au greffe, contradictoire et en premier ressort,

CONDAMNE la SA BOURSORAMA BANQUE à rembourser à Monsieur [S] [D] la somme de 7 486,75 € euros avec intérêts de droit à compter de la notification du jugement ;

REJETTE toute demande plus ample ou contraire ;

CONDAMNE la SA BOURSORAMA BANQUE aux dépens, ;

CONDAMNE la SA BOURSORAMA BANQUE à payer à Monsieur [S] [D] la somme de 1 000 euros en application des dispositions de l’article 700 du code de procédure civile ;

RAPPELLE que l’exécution provisoire est de droit.

Ainsi jugé le 17 FEVRIER 2025.

LE GREFFIER LE MAGISTRAT

Isabelle MAHIER Danielle LE MOIGNE