TRIBUNAL JUDICIAIRE

de LILLE

[Localité 6]

☎ :[XXXXXXXX01]

N° RG 24/05705 – N° Portalis DBZS-W-B7I-YMME

N° de Minute : 25/00046

JUGEMENT

DU : 11 Février 2025

[Y] [R] épouse [Z]

C/

S.A. CIC NORD OUEST

REPUBLIQUE FRANÇAISE

AU NOM DU PEUPLE FRANÇAIS

JUGEMENT DU 11 Février 2025

DANS LE LITIGE ENTRE :

DEMANDEUR

Madame [Y] [R] épouse [Z], demeurant [Adresse 3]

comparante en personne

ET :

DÉFENDEUR

S.A. CIC NORD OUEST, dont le siège social est sis [Adresse 4]

représentée par Madame [P] [E], munie d’un pouvoir

COMPOSITION DU TRIBUNAL LORS DES DÉBATS À L’AUDIENCE PUBLIQUE DU 17 Décembre 2024

Maxime KOVALEVSKY, Juge, assisté de Sylvie DEHAUDT, Greffier

COMPOSITION DU TRIBUNAL LORS DU DÉLIBÉRÉ

Par mise à disposition au Greffe le 11 Février 2025, date indiquée à l’issue des débats par Maxime KOVALEVSKY, Juge, assisté de Mahdia CHIKH, Greffier

RG n°5705/24 – Page KB

EXPOSE DU LITIGE

Madame [Y] [R], épouse [Z], est titulaire d’un compte bancaire ouvert dans les livres de la S.A CIC Nord Ouest (ci-après le CIC).

Se prévalant d’opérations de paiement non autorisées le 3 mai 2023, Madame [Y] [R], épouse [Z], a déposé plainte auprès des services de police de [Localité 7] le 9 mai 2023 pour des faits d’escroquerie.

Par lettre du 10 mai 2023, elle a sollicité le remboursement des virements frauduleux, à savoir la somme totale de 2.125,97 euros.

Par lettre du 15 mai 2023, le CIC a accusé réception de sa réclamation.

Par lettre du 24 mai 2023, le CIC a refusé le remboursement de la somme précitée.

Madame [Y] [R], épouse [Z], a saisi le médiateur du CIC qui, par avis du 13 septembre 2023, a estimé que la responsabilité de la banque ne pouvait être engagée.

Par procès-verbal du 7 mai 2024, Monsieur [W] [K], conciliateur de justice, a constaté l’échec de la tentative préalable de conciliation, le CIC ne s’étant pas présenté.

Par requête reçue au greffe le 24 mai 2024, Madame [Y] [R], épouse [Z], a saisi le Tribunal judiciaire de Lille afin de voir condamner le CIC à lui payer la somme de 2.125,97 euros, assortie des intérêts au taux légal à compter de la requête, outre les dépens.

Elle sollicite également le rejet des demandes reconventionnelles adverses.

Les parties ont été convoquées à l’audience du 17 décembre 2024.

A cette audience, Madame [Y] [R], épouse [Z], a comparu en personne.

Elle a réitéré les termes de sa requête.

Sur le fondement des articles L133-18, L133-19 IV et L133-23 et suivants du code monétaire et financier, elle soutient que le CIC est responsable de plein droit des opérations de paiement non consenties, sauf à prouver la négligence grave de l’utilisateur des moyens de paiement. Elle expose avoir réalisé un paiement en ligne le 22 avril 2023 sur un site marchand coréen et payé des frais de douane le 2 mai 2023 pour recevoir son colis. Le 3 mai 2023, elle a reçu un appel d’un numéro d’urgence du CIC ([XXXXXXXX05]). L’homme se présentant comme chargé de fraudes, collaborateur de conseillère cliente, Madame [B], lui a indiqué que sa carte de paiement avait été piratée à l’occasion du paiement des frais de douane et l’a invitée, via l’application bancaire, à valider le remboursement des trois paiements en ligne frauduleusement débités de son compte le 3 mai 2023, d’un montant de 750 euros, de 1.366,82 euros et de 9,15 euros. Après vérification du numéro de téléphone, Madame [Y] [R], épouse [Z], s’est exécutée. Par la suite, elle a pris l’attache de son agence bancaire à [Localité 8] qui l’a informée de la fraude qui venait de s’exécuter.

Elle conteste toute négligence grave. En effet, elle rappelle que l’escroc a usé d’une ligne téléphonique du CIC. A cet égard, elle explique qu’elle ne pouvait pas légitimement penser que la banque n’avait pas sécuriser le numéro de téléphone de sa plateforme. Elle ajoute que l’escroc a également fait référence au nom de sa conseillère bancaire pour diminuer sa vigilance.

Enfin, elle indique que si le CIC l’a alertée le 12 juin 2023 sur l’existence de fraudes, il n’a changé son interface de paiement en ligne pour mettre en garde ses utilisateurs à chaque opération qu’en février 2024.

Le CIC a comparu représentée par Madame [P] [E], dûment munie d’un pouvoir spécial.

Aux termes de ses conclusions déposées à l’audience, auxquelles il se réfère, il sollicite, sur le fondement des articles L133-6, L133-8 et L133-16 et suivants du code monétaire et financier, le rejet des prétentions adverses et, à titre reconventionnel, la condamnation de la requérante à lui payer la somme de 1 euro pour procédure abusive, outre les dépens.

Le CIC soutient que les opérations de paiement ont été consenties au moyen d’un procédé d’authentification forte, tel que rappelé dans les conditions générales de paiement, à savoir la confirmation sur l’application bancaire de son téléphone portable des virements par saisie d’un code confidentiel.

Face à une opération consentie, il estime que sa responsabilité ne peut pas être engagée et, a fortiori, qu’elle n’a pas à démontrer de négligence grave de l’utilisatrice pour s’en exonérer.

Néanmoins, il explique, de manière surabondante, que Madame [Y] [R], épouse [Z], a été doublement négligente en communiquant à l’escroc ses données personnelles par sms (phishing), à l’occasion du paiement des frais de douane, puis en validant les opérations sur son application bancaire (spoofing), pendant sa communication avec l’escroc. Il ajoute que l’utilisatrice s’est exécutée alors que les notifications l’informaient clairement de l’exécution d’une opération de paiement. Enfin, le CIC rappelle avoir mis en œuvre des moyens pour prévenir ces fraudes et diffuser des alertes à ses clients.

A l’issue des débats, l’affaire a été mise en délibéré au 11 février 2025.

Par note en délibéré reçue le 26 décembre 2024, le CIC a, comme le magistrat l’y avait autorisé, a confirmé l’identité de la conseillère bancaire de Madame [Y] [R], épouse [Z], dont l’escroc a fait usage ainsi que de la manœuvre frauduleuse consistant à faire usage de la ligne téléphonique dédiée aux opérations d’opposition. Toutefois, elle précise ne pas pouvoir être tenue pour responsable de ces manœuvres.

MOTIFS DE LA DECISION

Sur la demande en remboursement :

Sur la notion d’opération de paiement autorisée :

Il résulte des articles L133-3 et L133-6 du code monétaire et financier qu’une opération de paiement initiée par le payeur, qui donne un ordre de paiement à son prestataire de services de paiement, est réputée autorisée uniquement si le payeur a également consenti au montant de l’opération (Com. 30 novembre 2022, n°21-17.614).

Sur la responsabilité en cas d’opération de paiement non autorisé :

Il résulte des articles L133-18 et L133-19 du code monétaire et financier qu’en cas d’opération de paiement non autorisée, réalisée au moyen d’un instrument de paiement doté de données de sécurité personnalisées, et signalée par l’utilisateur dans les conditions prévues à l’art. L. 133-24, le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée, sauf si la responsabilité du payeur est engagée en application de l’art. L. 133-19.

L’article L133-19, II, du code monétaire et financier précise que la responsabilité du payeur n’est pas engagée si l’opération de paiement non autorisée a été effectuée en détournant, à l’insu du payeur, l’instrument de paiement ou les données qui lui sont liées.

A l’inverse, le payeur supporte, en application de l’article L133-19, IV, du code monétaire et financier, toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L133-16, qui l’oblige à prendre toute mesure raisonnable pour préserver la sécurité des données de sécurité personnalisées de son instrument de paiement, et L. 133-17, qui l’oblige à informer sans tarder le prestataire de service de paiement de la perte, du vol, du détournement ou de toute utilisation non autorisée de son instrument de paiement ou des données qui lui sont liées.

Dans son arrêt n°23-16.267 du 23 octobre 2024, la chambre commerciale de la Cour de cassation a jugé qu’aucune négligence grave ne pouvait être imputée au titulaire d’un compte qui, contacté téléphoniquement par une personne se faisant passer pour un préposé de sa banque dont le numéro s’affichait (spoofing), utilise à sa demande le dispositif de sécurité personnalisé pour supprimer puis réinscrire des bénéficiaires de virements dans le but d’éviter des opérations malveillantes.

Sur la preuve :

Au visa des articles L133-16, L133-17, L133-19, IV, et L133-23 du code monétaire et financier, la Cour de cassation juge que s’il appartient à l’utilisateur de service de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d’informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l’instrument de paiement ou des données qui lui sont liées, c’est à ce prestataire qu’il incombe de rapporter la preuve que l’utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence grave à ses obligations. Cette preuve ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont lies ont été effectivement utilisées (Com. 18 janvier 2017, n°15-18.102).

Sur l’authentification forte :

Enfin, l’article L133-19, V, du code monétaire financier ajoute que, sous réserve de la fraude, le payeur ne supporte aucune conséquence financière si l’opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement du payeur n’exige une authentification forte du payeur prévue à l’article L133-44.

L’article L133-4, f, du code monétaire et financier définit une authentification forte comme une authentification reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories « connaissance », « possession » et « inhérence » et indépendants, en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des mesures d’authentification.

L’article L133-44 du code monétaire et financier l’exige pour l’accès au compte de paiement en ligne, l’initiation d’une opération de paiement électronique et l’exécution d’une opération par le biais d’un moyen de communication à distance, susceptible de comporter un risque de fraude en matière de paiement ou de toute autre utilisation frauduleuse.

En l’espèce, trois opérations de paiement d’un montant de 750 euros, de 1.366,82 euros et de 9,15 euros ont été débitées du compte courant de Madame [Y] [R], épouse [Z], le 5 mai 2023.

Si ces opérations ont été effectuées à l’issue d’un procédé d’authentification forte, elles n’ont pas, pour autant, été autorisées par le payeur, au sens des articles précités, tels qu’interprétés par la jurisprudence, qui n’a pas consenti à leur montant. En effet, Madame [Y] [R], épouse [Z], a constamment déclaré avoir agi pour obtenir un remboursement. En ce sens, elle ne peut avoir consenti au montant des paiements frauduleux.

Les trois opérations de paiement constituent donc des opérations de paiement non autorisées.

En ce cas, il appartient à la banque de prouver la négligence grave de l’utilisateur des moyens de paiement.

Madame [Y] [R], épouse [Z], justifie, par capture d’écran de son téléphone portable, avoir été contacté par le numéro [XXXXXXXX02] correspondant à la ligne d’urgence de la CIC pour faire opposition à sa carte bancaire.

Elle explique, dans sa plainte comme dans les démarches ultérieures pour obtenir remboursement des paiements, que son interlocuteur a fait usage d’une fausse qualité de conseiller bancaire du CIC ainsi que de l’identité de sa conseillère bancaire habituelle, Madame [H] [B], pour l’amener à réaliser les opérations en ligne.

Si le processus de confirmation mobile fait effectivement apparaître l’information selon laquelle son but était de confirmer un paiement et, en aucun cas, un remboursement ou une annulation de paiement, les manœuvres précitées ont mis en confiance l’utilisatrice et amoindrie sa vigilance qui, face à la brièveté d’un appel téléphonique, dans un contexte d’anxiété générée par les allégations de piratage, ne disposait pas du temps nécessaire pour se renseigner et s’apercevoir des anomalies révélatrices de leur origine frauduleuse.

D’ailleurs, Madame [Y] [R], épouse [Z], a procédé à une vérification sommaire du numéro de téléphone utilisé avant de s’exécuter.

Il en résulte que la banque ne démontre nullement de négligence grave de la requérante, victime de spoofing.

En conséquence, le CIC sera condamné à rembourser à Madame [Y] [R], épouse [Z], la somme de 2.125,97 euros au titre des opérations de paiements non autorisées du 3 mai 2023, assortie des intérêts au taux légal à compter de la requête, soit le 24 mai 2024.

Sur la demande reconventionnelle :

La demande de Madame [Y] [R], épouse [Z], étant bien fondée, celle de la banque CIC en dommages et intérêts pour procédure abusive sera rejetée.

En toute hypothèse, la banque CIC ne démontrait aucunement de faute de l’utilisatrice faisant dégénérer son droit d’agir en justice en abus.

Sur les demandes accessoires :

RG n°5705/24 – Page KB

En application de l’article 696 du code de procédure civile, la partie perdante est condamnée aux dépens, à moins que le juge, par décision motivée, n’en mette la totalité ou une fraction à la charge d’une autre partie.

En l’espèce, le CIC, partie perdante, supportera la charge des dépens.

En application de l’article 514 du code de procédure civile, les décisions de première instance sont, de droit, exécutoires à titre provisoire à moins que la loi ou la décision rendue n’en dispose autrement.

PAR CES MOTIFS

Le Tribunal, statuant publiquement par décision contradictoire mise à disposition au greffe, rendue en dernier ressort,

CONDAMNE la S.A CIC Nord-Ouest à rembourser à Madame [Y] [R], épouse [Z], la somme de 2.125,97 euros au titre des opérations de paiements non autorisées du 3 mai 2023, assortie des intérêts au taux légal à compter de la requête, soit le 24 mai 2024 ;

DEBOUTE la S.A CIC Nord-Ouest de sa demande indemnitaire ;

CONDAMNE la S.A CIC Nord-Ouest aux dépens ;

RAPPELLE que l’exécution provisoire de la présente décision est de droit.

Ainsi jugé et prononcé à Lille, le 11 février 2025.

LE GREFFIER LE JUGE