TRIBUNAL JUDICIAIRE DE MARSEILLE

Pôle de Proximité

JUGEMENT DU : 12 Juin 2025

Président : Madame Christine ZARB, Vice-Présidente

Greffier : Madame Anaïs ALI, Greffier

Débats en audience publique le : 13 Mars 2025

GROSSE :

Le 12 Juin 2025

à M^e Gilles MARTHA

Le ……………………………………………

à Me ………………………………………..

Le ……………………………………………

à Me ………………………………………..

EXPEDITION :

Le 12 Juin 2025

à Mr [Z]

Le ………………………………………………….

à Me ………………………………………………

Le …………………………………………………..

à Me ………………………………………………

N° RG 24/01964 – N° Portalis DBW3-W-B7I-4XWD

PARTIES :

DEMANDEUR

Monsieur [S] [Z]

né le 01 Septembre 1993 à [Localité 2], demeurant [Adresse 1]

comparant en personne

DEFENDERESSE

S.A. CAISSE D’EPARGNE, dont le siège social est sis [Adresse 3], prise en la personne de son représentant légal,

représentée par M^e Gilles MARTHA, avocat au barreau de MARSEILLE

EXPOSE DU LITIGE

Monsieur [S] [Z] est titulaire d’un compte de dépôt auprès de la société CAISSE D’EPARGNE CEPAC ;

Alléguant une constatation de fraude sur son compte bancaire soit un virement de 1890 euros le 23 novembre 2023, Monsieur [S] [Z] a contesté cette opération sur son compte par courrier recommandé du 12 décembre 2023 en mettant en demeure sa banque de lui rembourser la somme litigieuse ;

Par courrier du 30 novembre 2023, la société CAISSE D’EPARGNE CEPAC a rejeté sa demande de remboursement;

Après une tentative de conciliation infructueuse, par requête en date du 13 février 2024, reçue au greffe le 27 mars 2024, Monsieur [S] [Z] a saisi le pôle de proximité du tribunal judiciaire de Marseille aux fins d’obtenir la condamnation de la société CAISSE D’EPARGNE CEPAC à lui rembourser la somme de 1890 euros outre celle de 219,90 euros de frais de procédure ;

Monsieur [Z] fait valoir qu’il a dû subir un piratage car sans validation de sa part, il s’est aperçu après consultation de son compte qu’un virement de 1890 euros a été fait sans son accord ;

Les parties ont été convoqués à l’audience du 12 septembre 2024 et après un renvoi, a été retenue à l’audience du 13 mars 2025 ;

A l’audience du 13 mars 2025, Monsieur [S] [Z] a comparu en personne et a maintenu ses demandes ; il soutient que le virement de 1890 euros est frauduleux et a été effectué à son insu via l’application bancaire et validé par le système Secur’Pass ; il conteste avoir initié et autorisé ce virement et explique que sa plainte n’a pas été prise en compte au motif que le virement a été effectué vers une plateforme de cryptomonnaie souvent utilisée par des cybercriminels rendant l’identification de l’auteur des faits et la récupération des fonds quasiment impossible ; il envisage l’hypothèse d’une faille de sécurité bancaire par plusieurs éléments :usurpation d’identité biométrique ou manipulation logicielle permettant de contourner Face ID, utilisation de deepfakes ou d’attaques avancées pour tromper la reconnaissance faciale, vulnérabilité de l’application bancaire à une attaque extérieure exploitant une faille non corrigée, hypothèse d’une attaque via un malware ; il envisage également l’infection de son téléphone mobile par un malware permettant l’exécution d’une transaction frauduleuse et ajoute qu’aucune expertise indépendante de son téléphone n’a été effectuée démontrant que son téléphone était exempt de toute compromission ;

Monsieur [Z] fait valoir que le montant de la transaction et le bénéficiaire auraient dû déclencher une alerte de sécurité et une vérification complémentaire par sa banque et un signalement à son client avant l’exécution du virement; il soutient que la défenderesse ne peut se retrancher derrière l’authentification forte sans démontrer que des vérifications complémentaires ont été effectuées ;

Le requérant ajoute qu’aucun élément ne permet d’établir qu’il a autorisé l’opération litigieuse ou qu’il a commis une négligence grave ;

Suivant conclusions en défense auxquelles il est expressément renvoyé pour le détail de ses moyens, la société CAISSE D’EPARGNE CEPAC demande au tribunal de :

— Débouter Monsieur [S] [Z] de l’ensemble de ses demandes, fins et conclusions ;

— Condamner Monsieur [S] [Z] à payer à la société CAISSE D’EPARGNE CEPAC, la somme de 1500 euros au titre de l’article 700 du code de procédure civile et aux entiers dépens ;

La banque défenderesse fait valoir à titre principal que l’opération litigieuse passée au moyen d’un système d’authentification forte, a été autorisée, l’authentification forte valant consentement à l’opération ; elle indique verser aux débats l’analyse de son service fraude que les opérations ont été validées par un moyen d’authentification forte, le téléphone portable de Monsieur [Z] ; elle souligne que le numéro de téléphone de son client n’a pas été modifié avant, pendant et après la fraude, que le secur’pass n’a pas été transféré sur un autre téléphone, que ce service ne peut être activé que sur un seul téléphone à la fois, que le numéro de machine utilisé pour réaliser les opérations de Monsieur [Z] est le même tout au long de l’historique produit, que les opérations ont été réalisées depuis son téléphone portable et par validation biométrique (empreinte digitale ou face ID).

La banque défenderesse fait valoir que si en vertu de l’article L 133-23 du code monétaire et financier , la charge de la preuve pèse sur le prestataire de service de paiement lorsque l’utilisateur nie avoir autorisé une opération de paiement ; elle ajoute que si l’on ne peut déduire au vu du seul débit de l’opération au compte, un consentement de l’utilisateur, la présomption est renversée si la banque établit que l’ordre de paiement n’a pu être donné que par l’utilisateur et que c’est ce que permet l’authentification forte ; elle en conclut qu’en l’espèce le fait qu’un ordre a été transmis via le dispositif de sécurité du client avec authentification forte permet de déduire qu’il émane de son auteur, en l’absence d’anomalie manifeste ;

La société CAISSE D’EPARGNE CEPAC ajoute que Monsieur [Z] ne verse aucun élément aux débats permettant d’apporter du crédit à sa réclamation (pas de plainte pénale, aucune contextualisation de la fraude);

Subsidiairement, si le tribunal considérait que l’opération n’a pas été autorisée, la banque défenderesse fait valoir que Monsieur [Z] a commis une négligence grave et rappelle que le juge doit procéder à une analyse in concreto; elle souligne que la société CAISSE D’EPARGNE CEPAC communique constamment sur les risques de fraude bancaire et que c’est le cas à l’ouverture de l’application ; elle affirme que si l’opération n’a pas été autorisée, Monsieur [Z] l’a alors validée sur instructions d’un fraudeur ce qui ne peut que caractériser sa négligence grave compte tenu des nombreuses communications qu’il a reçues à ce propos ;

La banque défenderesse soutient que le caractère lacunaire de la requête de Monsieur [Z] prove le tribunal de la possibilité de se livrer à une analyse in concreto des faits d’espèce et nuit au principe de loyauté des débats ;

l’absence de faute et l’article L 133-19, IV du code monétaire et financier qui pose une limite à la responsabilité automatique de l’établissement bancaire lorsque des opérations non autorisées ont été rendues possibles par la négligence grave du payeur dans le maintien de la sécurité des données;

La CAISSE D’EPARGNE CEPAC souligne qu’en matière d’hameçonnage « phishing », le juge doit procéder à une analyse in concreto de la négligence grave du payeur ;

La décision a été mise en délibéré par mise à disposition au greffe le 12 juin 2025.

MOTIFS

Sur la responsabilité de la banque

Monsieur [S] [Z] soutient que la CAISSE D’EPARGNE CEPAC est débitrice d’une obligation de remboursement à son égard en application des dispositions des articles L. 133-18, L. 133-19 et L.133-23 du code monétaire et financier.

Il conteste avoir autorisé l’ opération litigieuse, un paiement en ligne de 1890 euros et soutient avoir été victime d’une escroquerie.

Les circonstances de l’espèce ne sont pas connues, Monsieur [Z] affirmant que c’est à l’occasion de la consultation de son relevé de compte qu’il s’est aperçu de l’opération contestée ;

En droit, seule l’exécution des opérations non autorisées est susceptible d’engager la responsabilité du teneur de compte dans les conditions notamment fixées aux articles L. 133-18 et L.133-19 du code monétaire et financier .

Afin de déterminer si les opérations sont autorisées, le code monétaire et financier prévoit :

— en son article L. 133-3, que l’opération de paiement est une action indépendante de toute obligation sous-jacente en sorte que l’éventuelle illicéité de la cause sous-jacente est sans conséquence sur la validité de l’ordre,

— en ses articles L. 133-6 et L. 133-7, que le caractère autorisé de l’opération dépend du consentement du payeur lequel est donné « sous la forme convenue entre le payeur et son prestataire ».

Une des formes convenues envisagée par la loi est l’usage d’un dispositif de paiement avec données de sécurité personnalisées défini à l’article L. 133-4 du code monétaire et financier qui permettent d’authentifier son auteur : « a) Les données de sécurité personnalisées s’entendent des données personnalisées fournies à un utilisateur de services de paiement par le prestataire de services de paiement à des fins d’authentification ».

S’agissant de la démonstration du caractère autorisé d’une opération de paiement, l’article L. 133-23 du code monétaire et financier dispose que « l’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ».

À ce titre la Directive 2015/2366 /CE du 25 novembre 2015 dite DSP II distingue et définit en son article 4 la simple authentification et l’authentification forte, distinction et définition qui ont été transposées à l’article 133-4 en ses points e et f.

L’article L. 133-4, e) du code monétaire et financier définit ainsi l’authentification comme une « procédure permettant au prestataire de services de paiement de vérifier l’identité d’un utilisateur de services de paiement ou la validité de l’utilisation d’un instrument de paiement spécifique, y compris l’utilisation des données de sécurité personnalisées de l’utilisateur ».

L’article L. 133-4, f) du même code prévoit une authentification forte, encore plus sécurisée, définie comme l’authentification reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories « connaissance » (quelque chose que seul l’utilisateur connaît), « possession » (quelque chose que seul l’utilisateur possède) et « inhérence » (quelque chose que l’utilisateur est) et indépendants, en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d’authentification.

La directive DSP II tire les conséquences de cette distinction en matière de responsabilité puisqu’elle prévoit en son article 74 « Responsabilité du payeur en cas d’opérations de paiement non autorisées » : « 2 Lorsque le prestataire de services de paiement n’exige pas une authentification forte du client, le payeur ne supporte aucune perte financière éventuelle à moins qu’il n’ait agi frauduleusement… ». Le législateur européen a donc entendu donner à la procédure d’authentification forte un rôle déterminant dans l’analyse des responsabilités.

Cette disposition a été transposée à l’article L. 133-19 V du code monétaire et financier : « Sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si l’opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement du payeur n’exige une authentification forte du payeur prévue à l’article L. 133-44 ».

L’exigence et le respect d’une procédure d’authentification forte doit donc constituer l’hypothèse dans laquelle l’utilisation conforme de l’instrument de paiement détermine le caractère autorisé de l’opération.

Il est de jurisprudence que s’il entend faire supporter à l’utilisateur d’un instrument de paiement doté d’un dispositif de sécurité personnalisé, les pertes occasionnées par une opération de paiement non autorisée rendue possible par un manquement de cet utilisateur, intentionnel ou par négligence grave, aux obligations mentionnées aux articles L. 133-16 et L. 133-17 de ce code, le prestataire de services de paiement doit aussi prouver que l’opération en cause a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre (Com. 12 nov. 2020, n° 19-12.112).

En l’espèce, le journal des connexions reproduit en pages 5 et 6 des conclusions de la CAISSE D’EPARGNE CEPAC établissent que l’ opération effectuée le 23 novembre 2023 contestée par Monsieur [S] [Z] ont été effectués via le dispositif Sécur’Pass, qui est le dispositif d’authentification forte mis en place par la Caisse d’épargne pour valider à distance des opérations bancaires nécessitant un niveau de sécurité élevé et auquel Monsieur [S] [Z] a adhéré le 23 juin 2022.

La banque défenderesse indique que la mise en oeuvre de ce dispositif suppose que le client possède un smartphone compatible et un numéro de téléphone mobile préalablement déclaré à la Caisse d’Epargne en tant que téléphone de confiance, et l’activation de Sécur’Pass par le client à partir de son espace personnel de banque à distance accessible depuis l’application mobile, en saisissant un code SécurPass qu’il a choisi.

Puis, la validation des opérations bancaires avec SécurPass impose la saisie du code SécurPass sur l’appareil de confiance.

En conséquence du respect de la procédure d’authentification forte par le client, l’opération bancaire sollicitée est considérée comme étant autorisée par celui-ci.

Il résulte de l’analyse du service fraude de la banque défenderesse que le numéro de téléphone portable de Monsieur [Z] n’a pas été modifié avant, pendant et après la fraude, que le dispositif SecurPass ne peut pas être enrôlé sur plusieurs téléphones en même temps, que le secur’Pass en l’espèce n’a pas été transféré sur un autre téléphone, que l’historique des connexions sur la période du 2 août 2023 au 30 janvier 2024 établit que le numéro de machine utilisé ( numéro unique pour identifier un téléphone portable ) pour réaliser les opérations est le même tout au long de l’historique, soit le numéro B72A16A5-93C3-4F17-83A0-F4FA136FE5F9 (colonne information device), que ce numéro de machine a été utilisé le 2 août 2023, le 5 août 2023, le 4 septembre 2023 et le 30 janvier 2024 , opérations qui ne sont pas contestées par Monsieur [Z] qui utilise le service Secur’pass ;

Il n’est pas contesté qu’en outre au moment de valider une opération le client reçoit un message d’avertissement sur son téléphone et que la Caisse d’épargne communique régulièrement auprès de ses clients et les sensibilise aux risques de fraude ;

Il ressort de l’historique de connexion que le 23 novembre 2023, un paiement de 1890 euros a été effectué au moyen de la carte bancaire de Monsieur [Z], sur le site BIFINITY par authentification secur’pass et validation biométrique, avec utilisation du téléphone portable identifié avec le même numéro de machine B72A16A5-93C3-4F17-83A0-F4FA136FE5F9 ;

Il est donc démontré que le dispositif d’authentification forte a été utilisé et a correctement fonctionné.

La Caisse d’épargne établit donc que les opérations litigieuses dûment authentifiées, enregistrées et comptabilisés, l’ont été sans que son dispositif de sécurité ait failli, conformément aux dispositions de l’article L.133-23 alinéa 1 du code monétaire et financier ;

La banque défenderesse a donc satisfait à ses obligations légales.

Et Monsieur [Z] ne verse aux aucun élément permettant de déterminer qu’il n’a pas matériellement réalisé l’opération litigieuse ;

En effet, Monsieur [S] [Z] ne donne aucune explication sur la survenance de l’opération qu’il conteste, et en particulier sur le contexte du détournement ou les circonstances de la fraude qu’il allègue, aucun dépôt de plainte n’est produit aux débats ; le dispositif d’authentification forte ayant été utilisé et le requérant ne soutenant, ni n’alléguant que son téléphone portable ait fait l’objet d’un vol, ou qu’il a changé de téléphone, il doit être considéré que les opérations litigieuses ont nécessairement été authentifiés par lui ;

Il y a donc être considérer dans ces circonstances que le respect de la procédure d’authentification forte convenue entre les parties suffit en l’absence de tout autre élément contraire, à qualifier le paiement de 1890 euros d’opération autorisée excluant toute responsabilité du prestataire de service de paiement ;

L’opération litigieuse étant qualifiée d’autorisée, il n’y a pas lieu de statuer formée à titre subsidiaire sur la demande formée à titre subsidiaire concernant la négligence grave de Monsieur [Z];

S’agissant de l’obligation de vigilance, Monsieur [Z] fait valoir que le montant de la transaction et le bénéficiaire auraient dû déclencher une alerte de sécurité et une vérification complémentaire par sa banque et un signalement à son client avant l’exécution de l’opération ;

Il est rappelé que le prestataire de services de paiement, tenu d’un devoir de non-immixtion dans les affaires de son client, n’a pas, en principe, à s’ingérer ni à effectuer des recherches ou à réclamer des justifications des demandes de paiement régulièrement faites aux fins de s’assurer que les opérations sollicitées ne sont pas périlleuses pour le client ou des tiers ;

S’il est exact que ce devoir de non-ingérence trouve une limite dans l’obligation de vigilance de l’établissement de crédit prestataire de services de paiement, c’est à la condition que l’opération recèle une anomalie apparente, matérielle ou intellectuelle, soit des documents qui lui sont fournis, soit de la nature elle-même de l’opération ou encore du fonctionnement du compte ;

En l’espèce, Monsieur [Z] n’établit pas par les pièces qu’il produit que l’opération litigieuse constituait une anomalie apparente, qui aurait imposé à la banque un devoir particulier de vigilance, d’autant plus qu’en présence d’un paiement autorisé, au sens du code monétaire et financier, le devoir de vigilance de la banque ne porte que sur l’authenticité de l’ordre émis par le client et non sur son objet ;

En conséquence, au vu des développements susvisés, Monsieur [S] [Z] sera débouté de sa demande en paiement ;

Sur les demandes accessoires

Monsieur [S] [Z] qui succombe principalement sera condamné aux dépens et sera déboutée de sa demande en paiement au titre de l’article 700 du Code de procédure civile ;

Il n’apparaît pas inéquitable eu égard à la position économique respective des parties de laisser à la société CAISSE D’EPARGNE CEPAC la charge des frais irrépétibles qu’elle a exposés ; la société défenderesse sera en conséquence déboutée de sa demande de ce chef ;

Les décisions de première instance sont de droit exécutoires à titre provisoire en application de l’article 514 du code de procédure civile et en l’espèce aucune circonstance ne justifie d’écarter l’exécution provisoire.

PAR CES MOTIFS

Le pôle de proximité du tribunal judiciaire de Marseille statuant après débats publics par jugement contradictoire rendu en premier ressort, par mise a disposition au greffe,

Déboute Monsieur [S] [Z] de sa demande en paiement de la somme de 1890 euros formée au titre de la responsabilité spéciale de la société CAISSE D’EPARGNE CEPAC ;

Condamne Monsieur [S] [Z] aux entiers dépens ;

Déboute Monsieur [S] [Z] de sa demande au titre des dispositions de l’article 700 du Code de procédure civile ;

Déboute la société CAISSE D’EPARGNE CEPAC de sa demande en paiement au titre de l’article 700 du Code de procédure civile ;

Dit n’y avoir lieu à écarter l’exécution provisoire ;

Rejette toutes autres demandes différentes plus amples ou contraires.

Ainsi jugé et prononcé les jour, mois et an ci-dessus indiqués.

La Greffière La Vice-Présidente