TRIBUNAL JUDICIAIRE DE LILLE

— o-o-o-o-o-o-o-o-o-

Chambre 02

N° RG 23/10752 – N° Portalis DBZS-W-B7H-XUOE

JUGEMENT DU 14 OCTOBRE 2025

DEMANDEURS :

Mme [D] [Z] épouse [C]

[Adresse 2]

[Localité 3]

représentée par M^e Hélène CAPPELAERE, avocat au barreau de LILLE

M. [A] [C]

[Adresse 2]

[Localité 3]

représenté par M^e Hélène CAPPELAERE, avocat au barreau de LILLE

DÉFENDERESSE :

S.A. BNP PARIBAS

[Adresse 1]

[Localité 4]

représentée par M^e Patrick DUPONT-THIEFFRY, avocat au barreau de LILLE

COMPOSITION DU TRIBUNAL

Président : Maureen DE LA MALENE, Juge, statuant en qualité de Juge Unique, en application de l’article R 212-9 du Code de l’Organisation Judiciaire,

Greffier : Dominique BALAVOINE, Greffier lors des débats et Stessy PERUFFEL, Greffier lors du délibéré

DÉBATS :

Vu l’ordonnance de clôture rendue en date du 14 Mars 2025, avec effet au 07 Mars 2025 ;

A l’audience publique du 03 Juin 2025, date à laquelle l’affaire a été mise en délibéré, les avocats ont été avisés que le jugement serait rendu le 14 Octobre 2025.

JUGEMENT : contradictoire, en premier ressort, mis à disposition au Greffe le 14 Octobre 2025, et signé par Maureen DE LA MALENE, Présidente, assistée de Stessy PERUFFEL, Greffier.

* * *

EXPOSÉ DU LITIGE

Monsieur [A] [C] et Madame [D] [Z] [C] (ci-après les consorts [C]) sont titulaires de plusieurs comptes bancaires ouverts dans les livres de la société BNP Paribas depuis plusieurs années.

Le 18 février 2023, ils ont reçu un appel téléphonique d’une agence bancaire de la BNP Paribas située à [Localité 5] faisant état d’une tentative d’escroquerie, qui s’est avéré frauduleux.

Le 20 février 2023, cinq virements de 3.000 euros chacun ont été exécutés à partir des comptes chèques des consorts [C] vers des bénéficiaires inconnus.

S’estimant victimes d’une fraude, ils ont déposé plainte le 21 février 2023 auprès des services de police et ont sollicité auprès de leur banque le remboursement de ces sommes le lendemain, sans succès, la banque leur reprochant une négligence grave.

Par lettre recommandée avec accusé de réception distribuée le 5 juin 2023, les consorts [C] ont, par le biais de leur conseil, mis en demeure la BNP Paribas de leur rembourser la somme de 18.000 euros.

Par courrier du 12 juin 2023, la banque a à nouveau refusé de donner une suite favorable à leur demande.

* * *

Aussi, par acte de commissaire de justice signifié le 9 novembre 2023, Monsieur [A] [C] et Madame [D] [Z] [C] ont assigné en responsabilité la société BNP Paribas devant le tribunal judiciaire de Lille.

Dans leurs dernières conclusions notifiées par voie électronique le 23 janvier 2025, ils demandent au tribunal, au visa des articles L.133-18, L.133-24 et L.133-44 du code monétaire et financier et des articles 1231-1 et suivants et 1931 du code civil, de :

A titre principal,

— condamner la BNP Paribas à leur payer la somme de 15.000 euros avec intérêt au taux légal majoré de 15 points à compter du 21 mars 2023 sur le fondement du code monétaire et financier ;

A titre subsidiaire,

— condamner la BNP Paribas à payer 15.000 euros à titre de dommages et intérêts pour le préjudice subi en raison du non-respect du devoir de vigilance ;

En tout état de cause,

— condamner la BNP Paribas à leur verser 4.000 euros à titre de dommages et intérêts pour le préjudice moral subi ;

— débouter la BNP Paribas de l’ensemble de ses demandes, fins et conclusions ;

— condamner la BNP Paribas à leur payer 5.000 euros au titre des frais de justice ainsi qu’aux dépens.

Dans ses dernières conclusions notifiées par voie électronique le 25 février 2025, la société BNP Paribas demande au tribunal, au visa des articles 1231-1 et suivants du code civil et L.133-4, L.133-16 et suivants et L.133-44 du code monétaire et financier, de :

Sur la demande principale tendant au remboursement des opérations litigieuses sur le fondement du régime de responsabilité des prestataires de services de paiement,

— juger que les transactions litigieuses ont été dûment authentifiées et qu’elle a parfaitement respecté ses obligations en matière de sécurisation de l’instrument de paiement et des opérations en ligne des consorts [C] ;

— juger que Madame [C] a commis une négligence grave au sens de l’article L. 133-19, IV. du code monétaire et financier ;

En conséquence,

— débouter les consorts [C] de leur demande de remboursement des opérations litigieuses à hauteur de 15.000 euros, outre intérêts au taux légal majoré ;

— à titre subsidiaire, si le tribunal faisait droit à la demande de remboursement formée par les consorts [C], juger que les pénalités de retard prévues à l’article L.133-18 du code monétaire et financier ne s’appliquent qu’à compter du prononcé de la décision à intervenir ;

Sur la demande subsidiaire tendant au paiement de dommages et intérêts fondée sur le prétendu manquement de BNP Paribas à son devoir de vigilance,

— juger que le régime de responsabilité des prestataires de service de paiement issu des articles L.133-1 et suivants du code monétaire et financier fait l’objet d’une application exclusive et autonome ;

— juger qu’il ne lui incombait pas de procéder aux vérifications d’une quelconque anomalie dès lors que les virements litigieux étaient dûment authentifiés, enregistrés et comptabilisés ;

— juger qu’elle n’a commis aucune inexécution contractuelle ;

En conséquence,

— débouter les consorts [C] de leur demande de dommages et intérêts à hauteur de 15.000 euros au titre de son prétendu manquement à son devoir de vigilance ;

Sur la demande tendant au paiement de dommages et intérêts fondée sur le préjudice moral,

— juger que le régime de responsabilité des prestataires de service de paiement issu des articles L.133-1 et suivants du code monétaire et financier fait l’objet d’une application exclusive et autonome ;

— juger qu’elle n’a commis aucune inexécution contractuelle ;

En conséquence,

— débouter les consorts [C] de leur demande de dommages et intérêts à hauteur de 4.000 euros au titre du préjudice causé par ses prétendues fautes ;

En tout état de cause,

— débouter les consorts [C] de l’intégralité de leurs demandes, fins et conclusions à son encontre ;

— condamner in solidum les consorts [C] à lui verser la somme de 2.500 euros au titre de l’article 700 du code de procédure civile ainsi qu’aux entiers dépens ;

— écarter l’exécution provisoire de la décision à intervenir.

L’affaire a fait l’objet d’un renvoi de la première chambre civile à la deuxième chambre civile du tribunal judiciaire de Lille suivant ordonnance du 13 décembre 2023.

L’ordonnance de clôture est intervenue le 14 mars 2025, et l’audience de plaidoirie a été fixée au 3 juin 2025.

La décision a été mise en délibéré au 14 octobre 2025.

MOTIFS DE LA DÉCISION

SUR LES DEMANDES DE CONDAMNATION FORMEES PAR LES CONSORTS [C]

Les consorts [C] contestent avoir autorisé les opérations de paiement litigieuses et avoir créé de nouveaux tiers bénéficiaires, se limitant uniquement à avoir cliqué sur le lien reçu par SMS. Ils reprochent ainsi à la banque de ne pas avoir respecté la procédure d’authentification forte imposée par l’article L.133-44 du code monétaire et financier et d’avoir failli dans la protection des données confidentielles de leurs clients. Or, la charge de la preuve du respect de ces obligations lui incombe.

Ils soutiennent également que la BNP Paribas ne rapporte pas davantage la preuve qu’ils auraient commis une quelconque négligence, dont la charge pèse également sur elle, et ce d’autant plus qu’ils ont réagi immédiatement lorsqu’ils ont constaté la fraude dont ils ont été victimes.

La BNP Paribas dénie toute responsabilité aux motifs que d’une part elle a respecté l’ensemble de ses obligations relatives à la sécurisation de l’instrument de paiement et des opérations en ligne de Madame [D] [Z] [C] imposées par l’article L.133-4 du code monétaire et financier, soit la mise en place d’un système d’authentification forte, et d’autre part en ce que les consorts [C] ont fait preuve d’une négligence grave, continue et répétée. Elle leur reproche en effet d’avoir transmis les données d’accès à leur espace bancaire en ligne au tiers et les différents codes fournis par le système d’authentification forte.

En outre, la banque rappelle qu’elle avait dès avril 2022 sensibilisé ses clients sur les risques du « spoofing ».

Il résulte des articles L.133-3 et L.133-6 du code monétaire et financier qu’une opération de paiement initiée par le payeur, qui donne un ordre de paiement à son prestataire de services de paiement, est réputée autorisée uniquement si le payeur a également consenti au montant de l’opération.

Aux termes de la lecture combinée des articles L.133-18 et L.133-19 du code monétaire et financier, en cas d’opération de paiement non autorisée, réalisée au moyen d’un instrument de paiement doté de données de sécurité personnalisées, et signalée par l’utilisateur dans les conditions prévues à l’article L.133-24, le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée, sauf si la responsabilité du payeur est engagée en application de l’article L.133-19.

L’article L.133-19 II précise que la responsabilité du payeur n’est pas engagée si l’opération de paiement non autorisée a été effectuée en détournant, à l’insu du payeur, l’instrument de paiement ou les données qui lui sont liées.

A l’inverse, le payeur supporte, en application de l’article L.133-19 IV, toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L.133-16, qui l’oblige à prendre toute mesure raisonnable pour préserver la sécurité des données de sécurité personnalisées de son instrument de paiement, et L.133-17, qui l’oblige à informer sans tarder le prestataire de service de paiement de la perte, du vol, du détournement ou de toute utilisation non autorisée de son instrument de paiement ou des données qui lui sont liées.

La charge de la preuve de cette négligence, qui incombe au prestataire de services de paiement, ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés.

Aux termes de l’article L.133-23 de ce même code, lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre.

Il résulte ainsi des articles L.133-19 IV et L.133-23 que s’il entend faire supporter à l’utilisateur d’un instrument de paiement doté d’un dispositif de sécurité personnalisé les pertes occasionnées par une opération de paiement non autorisée rendue possible par un manquement de cet utilisateur, intentionnel ou par négligence grave, le prestataire de services de paiement doit au préalable prouver que l’opération en cause a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre.

I. Sur la responsabilité de la banque :

Sur le caractère autorisé ou non des paiements litigieux :

A titre liminaire, le tribunal rappelle que la qualification de la nature de l’opération litigieuse (autorisée ou non-autorisée) pose uniquement la question du régime applicable (responsabilité contractuelle de droit commun ou régime de responsabilité de plein droit des articles L.133-18 à L.133-24 du code monétaire et financier), et non pas celle du comportement des payeurs dans l’utilisation de leurs données personnelles et du système de sécurité mis en place par la banque.

En l’espèce, il n’est discuté par aucune des parties que les consorts [C] ont été victimes d’une escroquerie communément appelée « spoofing ».

Ils ont en effet reçu le 18 février 2023 un appel téléphonique dont le numéro appelant correspond au numéro de l’agence bancaire BNP Paribas de [Localité 5] qui s’est avère frauduleux.

Ils ont également reçu dans le même laps de temps un SMS et un courriel de la banque relatifs à l’activation de la clé digitale.

Par la suite, les consorts [C] ont constaté différents mouvements :

— quatre mouvements pour un montant total de 10.810 euros de leur LDD vers leurs comptes chèques,

— puis quatre virements de 3.000 euros chacun les 18, 19 et 20 février 2023 du compte chèques de Monsieur [A] [C] vers les bénéficiaires « [G] [V] [H] », « [O] [U] » et « [P] »,

— ainsi que trois virements de 3.000 euros chacun les 19 et 20 février 2023 du compte chèques de Madame [D] [Z] [C] également vers les bénéficiaires « [G] [V] [H] », « [O] [U] » et « [P] ».

Les consorts [C] ont dès lors averti leur banque de la fraude, ce qui lui a permis d’intercepter le dernier virement de 3.000 euros, et ont déposé plainte dès le 21 février 2023 auprès des services de police, ce qui démontre qu’ils n’ont ni consenti aux montants de ces opérations litigieuses, ni à leurs bénéficiaires.

Le consentement des consorts [C], victimes d’un stratagème, a donc été vicié par des manœuvres frauduleuses.

Il s’agit en conséquence d’une opération non-autorisée au sens du code monétaire et financier, ce que ne conteste pas davantage la BNP Paribas qui sollicite elle-même dans ses écritures l’application des articles L.133-18 à L.133-24.

Ce régime de responsabilité relatif aux opérations non-autorisées entraîne donc la responsabilité de plein droit de la BNP Paribas dans les conditions de l’article L.133-18 du code monétaire et financier, sauf preuve de la négligence grave du titulaire du compte dont la charge incombe à l’organisme bancaire.

Sur l’existence d’une négligence grave :

A titre liminaire, le tribunal rappelle que le respect de ses obligations de sécurisation des instruments de paiement et des opérations en ligne dans les conditions de l’article L.133-4 du code monétaire et financier ont vocation à exonérer la banque de toute responsabilité qu’en cas de négligence grave ou de manquement intentionnel de l’utilisateur.

En l’espèce, il ressort des écritures de la BNP Paribas que « la clé digitale de Madame [D] [Z] [C] a été transférée sur l’appareil mobile du fraudeur », ce qui lui a ensuite permis de prendre intégralement la main sur ses comptes et de procéder aux enregistrements de nouveaux bénéficiaires puis d’effectuer les six opérations litigieuses, sans avoir besoin que la titulaire des comptes valide lesdites opérations depuis son téléphone.

A la lecture de la pièce n°2 de la banque, il apparaît que cet « enrôlement clé digitale » vers le téléphone du fraudeur a eu lieu le 18 février 2023 à 12h25, soit 5 minutes après que Madame [D] [Z] [C] ait reçu de sa banque un SMS afin d’activer la clé digitale. Elle a alors immédiatement reçu courriel de sa banque à 12h25 pour confirmer l’activation de la clé digitale vers son appareil SM-A715F.

Dès lors, Madame [D] [Z] [C] a nécessairement communiqué le code d’activation à usage unique dont elle a été seule destinataire par SMS sur son téléphone au fraudeur, ce qui a ensuite permis l’enrôlement de l’appareil qui a servi par la suite aux opérations frauduleuses.

Pour autant, force est de constater que cette manipulation imposait au préalable que le fraudeur soit entré dans son espace client pour enregistrer son téléphone comme appareil de sécurité pour procéder aux mouvements sur les comptes. Si la banque procède par voie d’affirmation en indiquant que cela suppose que Madame [D] [Z] [C] a préalablement transmis au fraudeur ses données d’accès à l’espace bancaire en ligne, elle n’en rapporte aucunement la preuve, étant rappelé qu’elle ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés.

Par ailleurs, les consorts [C] soutiennent qu’ils ont eu conscience de l’escroquerie dont ils étaient victimes que le 20 février 2023, après avoir reçu un courriel de leur banque les informant de l’ajout d’un nouveau bénéficiaire inconnu. Ils justifient ainsi non seulement de l’appel passé à leur agence bancaire ce jour-là à 15h07, mais également du courriel évoqué. Cela démontre que si l’appareil de Madame [D] [Z] [C] n’était plus celui référencé pour valider les opérations litigieuses du fait de la modification de la clé digitale, elle continuait de recevoir les courriels l’informant de l’enregistrement de nouveaux bénéficiaires. Or, la BNP Paribas n’établit pas qu’elle l’aurait informée par courriel de l’enregistrement des autres bénéficiaires qui ont effectivement reçu les virements litigieux, ce qui aurait pu alerter les demandeurs sur la fraude dont ils étaient victimes. Il ne peut donc pas leur être reproché d’avoir attendu deux jours pour s’en rendre compte.

Aussi, la seule négligence qui aurait pu éventuellement leur être opposée est celle d’avoir transmis le 18 février 2023 le code de validation pour activer la clé digitale.

Or, il apparaît que le mode opératoire utilisé, à savoir l’usurpation du numéro de téléphone de la banque par le fraudeur, était particulièrement abouti. En effet, le numéro d’appel du fraudeur apparaissait comme le même que celui du numéro d’une agence bancaire de [Localité 5]. Ainsi, Madame [D] [Z] [C], cliente de la BNP Paribas depuis plusieurs années, pouvait légitimement penser être en relation avec sa banque, ce qui l’a mise en confiance et a diminué sa vigilance, et ce d’autant plus que le fraudeur a lui-même évoqué un possible piratage lors de l’appel. Dans ce contexte-là qui doit être pris en compte, Madame [D] [Z] [C] disposait de peu de temps pour analyser l’appel litigieux et s’apercevoir d’éventuelles anomalies révélatrices de son origine frauduleuse.

Aussi, au regard de l’ensemble de ces éléments, la BNP Paribas échoue à rapporter la preuve d’une négligence grave commise par les consorts [C], dont la vigilance a été amoindrie par ce contexte particulier de sécurité apparente.

Par ailleurs et pour rappel, les moyens développés par la banque aux termes desquels la mise en œuvre par ses soins d’un système d’authentification forte l’exonère de toute responsabilité sont inopérants. En effet, l’obligation qui pèse sur le prestataire de services de paiement de prouver que l’opération en cause a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique imposée par le code monétaire et financier ne vise à libérer la banque de toute responsabilité que lorsque les pertes occasionnées par une opération de paiement non autorisée ont été rendues possible par un manquement de cet utilisateur, intentionnel ou par négligence grave, ce qui n’est pas le cas en l’espèce, comme il vient de l’être démontré.

Dès lors, et conformément aux dispositions de l’article L.133-18 du code monétaire et financier, la BNP Paribas engage sa responsabilité de plein droit à l’égard des consorts [C].

II. Sur la réparation des préjudices :

Sur le préjudice matériel :

Les consorts [C] sollicitent la condamnation de la banque à leur payer la somme de 15.000 euros en réparation de leur préjudice matériel avec intérêt au taux légal majoré de 15 points à compter du 21 mars 2023.

La BNP Paribas soutient qu’en raison de la négligence fautive qu’elle oppose à ses clients, elle n’est tenue à aucune obligation de remboursement à leur égard, si bien que les pénalités de retard prévus à l’article L.133-18 du code monétaire et financier ne lui sont pas opposables, aucun manquement ne lui étant en effet imputable.

Aux termes de cet article, en cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L. 133-24, le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé (…).

En cas de manquement du prestataire de services de paiement aux obligations prévues aux deux premiers alinéas du présent article, les pénalités suivantes s’appliquent :

1° Les sommes dues produisent intérêt au taux légal majoré de cinq points ;

2° Au-delà de sept jours de retard, les sommes dues produisent intérêt au taux légal majoré de dix points ;

3° Au-delà de trente jours de retard, les sommes dues produisent intérêt au taux légal majoré de quinze points (…).

En l’espèce, il ressort des circonstances de l’espèce que l’exécution de l’opération non-autorisée a été permise en raison notamment de l’intervention des payeurs. Aussi, la banque pouvait légitimement leur opposer une éventuelle négligence comme cause d’exonération de sa responsabilité de plein droit.

Faute pour les consorts [C] de rapporter la preuve d’un manquement du prestataire de service dans l’exécution des opérations litigieuses, il y a lieu de ne pas faire application du troisième alinéa de l’article L.133-18 du code monétaire et financier.

En conséquence, la BNP Paribas sera condamnée à payer aux consorts [C] la somme de 15.000 euros en remboursement des opérations litigieuses, et avec intérêts aux légal à compter du 5 juin 2023, première mise en demeure, jusqu’à parfait paiement.

Sur le préjudice moral :

Les consorts [C] sollicitent la somme de 4.000 euros de dommages-intérêts à ce titre.

En l’espèce, force est de constater que les consorts [C] ne produisent aucune pièce probatoire au soutien de cette demande pour établir la réalité de leur préjudice moral, si bien qu’ils en seront déboutés.

SUR LES DEMANDES ACCESSOIRES

Conformément à l’article 696 du code de procédure civile, la BNP Paribas, partie succombante, sera condamnée aux entiers frais et dépens de l’instance.

En outre, l’équité commande de condamner la BNP Paribas à payer aux consorts [C] la somme de 3.000 euros au titre de l’article 700 du code de procédure civile et de rejeter sa demande formée à ce titre.

Enfin, il n’y a pas lieu d’écarter l’exécution provisoire de la présente décision.

PAR CES MOTIFS

Le tribunal, statuant publiquement, par jugement contradictoire et en premier ressort, prononcé par mise à disposition au greffe :

Condamne la société BNP Paribas à payer à Monsieur [A] [C] et à Madame [D] [Z] [C] la somme de 15.000 euros avec intérêt au taux légal à compter du 5 juin 2023 jusqu’à parfait paiement en réparation de leur préjudice matériel ;

Déboute Monsieur [A] [C] et Madame [D] [Z] [C] de leur demande de condamnation formée à l’encontre de la société BNP Paribas au titre du préjudice moral;

Condamne la société BNP Paribas aux dépens de l’instance ;

Condamne la société BNP Paribas à payer à Monsieur [A] [C] et à Madame [D] [Z] [C] la somme de 3.000 euros en application de l’article 700 du code de procédure civile ;

Déboute la société BNP Paribas de sa demande formée au titre de l’article 700 du code de procédure civile ;

Dit n’y avoir lieu à écarter l’exécution provisoire de la présente décision.

LE GREFFIER LA PRÉSIDENTE

Stessy PERUFFEL Maureen DE [L]