Minute n° 25/138

TRIBUNAL JUDICIAIRE DE METZ

1ère CHAMBRE CIVILE

N° de RG : 2023/00468

N° Portalis DBZJ-W-B7H-J5LX

JUGEMENT DU 20 FEVRIER 2025

I PARTIES

DEMANDEUR :

Monsieur [V] [X], né le [Date naissance 4] 1956 à [Localité 9], demeurant [Adresse 3]

représenté par Maître Thomas HELLENBRAND de la SCP HELLENBRAND ET MARTIN, avocat au barreau de METZ, vestiaire : B302

DÉFENDERESSE :

LA S.A. CAISSE D’EPARGNE ET DE PREVOYANCE GRAND EST EUROPE, Caisse d’épargne et de prévoyance à forme coopérative, prise en la personne de son représentant légal, dont le siège social est sis [Adresse 1]

représentée par Maître Frédéric RICHARD-MAUPILLIER de la SCP VORMS-RICHARD-MAUPILLIER, avocat au barreau de METZ, vestiaire : C201

II COMPOSITION DU TRIBUNAL

Président : Michel ALBAGLY, Premier Vice-Président, statuant à Juge Unique sans opposition des avocats

Greffier : Caroline LOMONT

Après audition le 05 décembre 2024 des avocats des parties

III EXPOSE DES FAITS ET DE LA PROCEDURE

Par application des dispositions de l’article 455 du Code de procédure civile, « Le jugement doit exposer succinctement les prétentions respectives des parties et leurs moyens. Cet exposé peut revêtir la forme d’un visa des conclusions des parties avec l’indication de leur date. Le jugement doit être motivé. Il énonce la décision sous forme de dispositif. » Selon les dispositions de l’article 768 alinéa 3 « Les parties doivent reprendre dans leurs dernières conclusions les prétentions et moyens présentés ou invoqués dans leurs conclusions antérieures. A défaut, elles sont réputées les avoir abandonnés et le tribunal ne statue que sur les dernières conclusions déposées. »

1°) LES FAITS CONSTANTS

M. [V] [X] est titulaire d’un compte courant ouvert dans les livres de la SA CAISSE D’EPARGNE ET DE PREVOYANCE GRAND EST EUROPE.

Le 12 juin 2022, il recevait un SMS de sa banque l’informant de l’ajout d’un bénéficiaire via internet. Un ordre de virement de 3500 € était exécuté le même jour au profit d’une personne dénommée [B]. M. [X] informait sa banque de l’existence d’une escroquerie dont il était victime et sollicitait la mise sous protection de son compte.

Le 13 juin 2022, un nouveau bénéficiaire dénommé [N] devait obtenir l’exécution d’un ordre de virement d’un montant de 3800 €.

Le même jour, M. [X] recevait un sms de la banque de l’ajout d’un troisième bénéficiaire soit M. [K] lequel devait passer un premier ordre de virement de 5000 € qui était refusé puis un second de 3500 € qui était exécuté.

Le 13 juin 2022 à 19h34 M. [X] adressait un courrier électronique à la CAISSE D’EPARGNE pour contester ces virements.

M. [X] réclamait à la banque la restitution de l’intégralité des sommes transférées représentant 10.800 €. Seul le virement au nom de « [K] » de 3500 € était remboursé.

La banque refusait d’autres remboursements.

Dans ces conditions, M. [X] a entendu saisir le tribunal judiciaire de METZ pour obtenir le remboursement des deux retraits frauduleux représentant un montant total de 7300 € et des frais engagés.

2°) LA PROCEDURE

Par acte de commissaire de justice signifié le 08 février 2023, déposé au greffe de la juridiction par voie électronique le 16 février 2023, M. [V] [X] a constitué avocat et a assigné la SA CAISSE D’EPARGNE ET DE PREVOYANCE GRAND EST EUROPE prise en la personne de son représentant légal devant la Première chambre civile du Tribunal judiciaire de METZ.

La SA CAISSE D’EPARGNE ET DE PREVOYANCE GRAND EST EUROPE prise en la personne de son représentant légal a constitué avocat par voie de conclusions notifiées par RPVA le 04 septembre 2023.

La présente décision est contradictoire.

L’ordonnance de clôture a été rendue le 05 novembre 2024.

L’affaire a été appelée à l’audience du 05 décembre 2024 lors de laquelle elle a été mise en délibéré au 20 février 2025 par mise à disposition au greffe.

3°) LES PRETENTIONS ET MOYENS DES PARTIES

Selon les termes de ses conclusions récapitulatives N°2 notifiées par RPVA le 14 août 2024, qui sont ses dernières conclusions, selon les moyens de fait et de droit exposés, M. [V] [X] demande au tribunal au visa des articles L. 133-17 et suivants du code monétaire et financier de :

— RECEVOIR l’intégralité des moyens et prétentions de M. [V] [X] ;

— CONDAMNER la CAISSE D’EPARGNE à rembourser à M. [V] [X] la somme de 7300 € avec intérêts au taux légal à compter de la signification de la présente assignation ;

— CONDAMNER la CAISSE D’EPARGNE à payer à M. [V] [X] la somme de 5000 € à titre de dommages intérêts en réparation de son préjudice moral ;

— CONDAMNER la CAISSE D’EPARGNE à payer à M. [V] [X] la somme de 7500 € au titre des dispositions de l’article 700 du code de procédure civile ;

— RAPPELER que l’exécution provisoire de la décision à intervenir est de droit ;

— CONDAMNER la CAISSE D’EPARGNE aux entiers frais et dépens.

Au soutien de ses demandes, M. [V] [X] fait valoir, en substance, sur le fondement des articles L. 133-17, L. 133-18, L. 133-24 du code monétaire et financier, qu’il a immédiatement informé sa banque du caractère frauduleux des ajouts de bénéficiaires et des virements correspondants et qu’il est fondé à se prévaloir de la responsabilité de plein droit du banquier teneur de compte en cas d’exécution d’un ordre donné par une personne non habilitée relevant que le banquier ne saurait invoquer son absence de faute pour échapper à sa responsabilité.

M. [X] conteste l’argumentation de la banque selon laquelle il s’agirait en l’espèce d’une escroquerie à la carte bancaire alors que les trois montants de 3500 €, 3800 € et 3500 € frauduleux ne correspondent ni à une utilisation des numéros et codes de la carte bancaire qu’il possède ni par une validation « Sécur’Pass » qui n’était pas en vigueur à la date des virements litigieux. Il explique qu’il s’agit en réalité de trois virements de compte à compte s’effectuant nécessairement après un accès au compte courant puis par la création des bénéficiaires. M. [X] en conclut que l’accès à son compte bancaire n’était à l’évidence pas sécurisé. Il ajoute que sa demande de communication des logs de connexion et adresse IP à son nom n’a pas donné lieu à une réponse de la CAISSE D’EPARGNE de sorte qu’il appartient à cette dernière de procéder à cette communication dans la présente instance.

M. [X] relève ensuite, à partir des messages de la banque, que l’ajout d’un nouveau compte externe vers l’Allemagne est intervenu le dimanche 12 juin 2022 à 14h03'10'' et l’ordre de virement de 3500 € honoré le même jour à 14h04'49'', soit dans un très court délai d’exécution. Il estime justifier de ce qu’à cette date, aucune mesure de sécurité n’était applicable aux transferts bancaires ni non plus le respect d’un écoulement de 72 heures avant l’exécution de l’ordre ni non plus la validation par Sécur’Pass, la banque ayant depuis lors corrigé cette lacune. Par ailleurs, M. [X] a ainsi estimé rapporter la preuve d’une défaillance du système informatique de la banque en ce que les éléments produits aux débats (screenshots) contredisent la sécurité forte revendiquée par la CAISSE D’EPARGNE. Il apparaît à son sens que, dans la liste des SMS arrivés sur le téléphone du titulaire du compte, aucun SMS en date des 12 et 13 juin 2022 ne mentionne de code pour valider les créations de bénéficiaires alors, à l’inverse, que figurent les SMS précisant l’ajout de ces derniers. M. [X] a relevé un seconde défaillance du système informatique de la banque en ce que la banque, nonobstant un plafond maximum autorisé de 2400 € sur 30 jours glissants, a autorisé des paiements à hauteur de 10.800 € en douze heures. Il en conclut que la CAISSE D’EPARGNE est entièrement responsable de son dommage en raison de manquements tenant au défaut de mise en place de mesures de protection et de non respect du plafond contractuel carte bancaire.

M. [X] ajoute que si la CAISSE D’EPARGNE allègue qu’à l’époque des retraits de la cause un autre système que Sécur’Pass était en application (OTP SMS), c’est qu’elle reconnaît implicitement que le système Sécur’Pass n’existait pas. M. [X] estime à nouveau que la banque ne rapporte pas la preuve d’un prétendu SMS que le demandeur aurait reçu lors de la création des trois bénéficiaires alors qu’il fournit la preuve par des copies d’écran portable que les SMS reçus après la création des bénéficiaires mentionnaient une opération de création échue sans validation par aucun code.

S’agissant du virement au profit de M. [K], désormais remboursé, M. [X] conteste la position de la banque selon laquelle l’ordre considéré aurait fait l’objet d’un rejet. En effet il soutient que ce virement a été honoré et ensuite recrédité de sorte qu’il a supporté à tort des frais d’un montant total de 32 €.

M. [X] fait grief à la CAISSE D’EPARGNE dans le cadre du processus KYC de ne pas communiquer, malgré sa demande, les informations recueillies lors de l’ouverture de compte de M. [K] ni de confirmer si ce compte est un compte permanent ou un compte relais. D’autre part, M. [X] conteste que le compte de M. [K] n’ait pas été ouvert à la CAISSE D’EPARGNE ce qui est contredit par un mail du 13 juin 2022 et une copie d’écran de son espace bancaire personnel établissant la preuve inverse. M. [X] fait reproche à la banque de ne pas justifier d’une mise sous surveillance du compte de M. [K] ouvert dans ses livres.

Si la banque invoque le fait pour le demandeur de ne pas avoir composé le « numéro d’appel prévu en cas d’urgence », ce qui est inexact, il est ressorti qu’un tel numéro était, selon son interlocutrice, destiné au cas de perte ou de vol de cartes bancaires, toutes circonstances étrangères aux faits de l’espèce.

M. [X] fait valoir que les pièces produites par la CAISSE D’EPARGNE et ses explications sont inopérantes s’agissant des circonstances de l’espèce.

Si la CAISSE D’EPARGNE affirme que « les virements effectués ne constituent en rien des virements atypiques », M. [X], en rappelant le nombre d’ajouts de bénéficiaire et de virements, le montant de 10.800 € et la durée des faits (11 heures 41), conteste totalement cette analyse.

Si la CAISSE D’EPARGNE a communiqué les conditions générales prévoyant les plafonds applicables en cas d’utilisation du service de Banque à Distance, la limite étant fixée à 5000 € de virement journalier SEPA hors France, M. [X] constate qu’en 11 heures 41 c’est une somme de 7300 € qui a été virée de son compte courant vers deux comptes allemands, le prétendu plafond de sécurité n’ayant donc pas été respecté, étant relevé que ce dernier ne figure nulle part sur son espace personnel.

M. [X] ajoute que, bien que la banque se livre dans ses écritures à la citation de longs extraits des spécificités des fonctionnalités du service de banque à distance, force est de constater que la neutralisation de l’accès audit service n’a pas été mise en œuvre au cas présent ce qui caractérise un élément fondamental de la fraude.

Pour répondre à la banque en ce qu’aucune anomalie apparente ne peut être retenue si l’ordre de paiement a bien été donné par le titulaire du compte et que le compte était suffisamment provisionné, M. [X] fait valoir que l’identité du donneur d’ordre n’était pas le sienne et que la banque ne l’a jamais vérifiée.

Nonobstant les développements à laquelle la CAISSE D’EPARGNE s’est livrée dans ses conclusions, M. [X] soutient que l’authentification forte telle que définie à l’alinéa f de l’article L. 133-4 du code monétaire et financier n’est pas démontrée.

M. [X] fait mention de la production des deux plaintes qu’il a déposés et qu’il avait remises en copie au conseiller bancaire.

Il conteste les allégations de la CAISSE D’EPARGNE selon lesquelles il aurait décelé dans le mail réceptionné « Mon Securpass. [Courriel 10] » plusieurs fautes d’orthographes et anomalies dans le corps du texte.

En définitive,pour s’en tenir à l’essentiel de son argumentation, M. [X] estime pouvoir démontrer que c’est une erreur technique qui est la cause des fraudes dont il a été victime et que la banque, manquant à son devoir général de vigilance et de vérification, lequel incombe au banquier, n’établit pas la régularité des opérations qu’il n’a pas autorisées. Il estime, au regard d’un faisceau d’éléments qui aurait dû permettre à l’établissement de déceler les anomalies, que la banque, en ne réagissant pas (notamment en l’absence de l’envoi de codes permettant de valider les virements litigieux et l’usage de codes uniques), a pleinement engagé sa responsabilité.

Dans ces conditions, en application des articles L. 133-16 et L. 133-19 II du code monétaire et financier, compte tenu d’une faille du système opérationnel de la banque, du défaut de mise en œuvre d’un système de sécurisation forte et de l’absence de négligence ou d’imprudence du client, M. [X] s’estime être fondé à réclamer du tribunal condamnation de la CAISSE D’EPARGNE à lui rembourser les montants des virements litigieux non soldés outre une somme de 5000 € à titre de dommages et intérêts en réparation du préjudice moral qu’il a subi pour avoir été préoccupé par le détournement de la somme totale de plus de 10.000 € sur ses comptes et les démarches rendues nécessaires compte tenu de la résistance de la défenderesse.

Par des conclusions, notifiées au RPVA le 10 octobre 2024, qui sont ses dernières conclusions, selon les moyens de fait et de droit, la SA CAISSE D’EPARGNE ET DE PREVOYANCE GRAND EST EUROPE prise en la personne de son représentant légal demande au tribunal au visa des articles L. 133-16, L. 133-18 et L. 133-19 IV du code monétaire et financier, de l’article 700 du code de procédure civile de :

— DIRE ET JUGER M. [V] [X] mal fondé en ses demandes, fins et prétentions à l’égard de la SA CAISSE D’EPARGNE ET DE PREVOYANCE GRAND EST EUROPE,

EN CONSEQUENCE,

— DEBOUTER M. [V] [X] de l’intégralité de ses demandes ;

— CONDAMNER M. [V] [X] à payer à la SA CAISSE D’EPARGNE ET DE PREVOYANCE GRAND EST EUROPE la somme de 1000 € au titre de l’article 700 du code de procédure civile ;

— CONDAMNER M. [V] [X] aux entiers frais et dépens.

En défense, la SA CAISSE D’EPARGNE ET DE PREVOYANCE GRAND EST EUROPE, réplique que les opérations litigieuses ont bien été validées par M. [X] via le service de banque à distance.

Après avoir reproduit les articles des conditions générales relatifs à l’utilisation d’un tel service (pages 5 à 13 de ses conclusions), la CAISSE D’EPARGNE soutient que les opérations en cause ont été authentifiées via le mécanisme SECUR’PASS (authentification forte au sens de l’article L. 133-4 f du code monétaire et financier) qui a reçu la certification ANSSI-CSPN. Au visa de l’article L. 133-44 du même code, elle considère que, contrairement aux allégations du demandeur, la DSP2 a été respectée et que le demandeur a souscrit au système d’authentification permettant de valider ses opérations de banque à distance de façon sécurisée. Elle estime pouvoir en rapporter la preuve par la production des rapports informatiques.

La CAISSE D’EPARGNE fait grief à M. [X] d’entretenir une confusion entre plusieurs systèmes d’authentification forte alors que le système utilisé au cas présent est SECUR’PASS.

S’agissant du moment où les virements ont été effectués, la banque a répondu au demandeur qu’ils peuvent être effectués à tout moment par les clients indépendamment des heures d’ouverture de l’agence. Elle a ajouté que seul le délai de 72 heures est prévu lors de l’enrôlement au système SECUR’PASS.

La CAISSE D’EPARGNE relève ensuite qu’au regard du SMS du 11 février 2023, M. [X] a utilisé un autre mode d’authentification forte (OTP SMS).

Si M. [X] invoque l’existence d’un plafond de 3500 € glissant par semaine, lequel aurait dû limiter les opérations, la CAISSE D’EPARGNE fait valoir qu’il s’agit d’un plafond d’opérations effectuées par carte bancaire et non d’un plafonds concernant les virements. Si le demandeur maintient que les virements portant sur un total de 7300 €, effectués le même jour, dépassaient le plafond journalier autorisé, il s’avère que les plafonds journaliers sont chacun de 5000 € (SEPA en France ou hors France) de sorte qu’ils ont été respectés puisque le virement de 3500 € a été effectué vers l’Allemagne et celui de 3800 € vers un compte domicilié en France.

La banque a contesté le fait que les virements litigieux auraient été atypiques. Elle fait valoir qu’ils n’étaient pas en eux-mêmes constitutifs d’anomalies dès lors que le compte était resté créditeur et que le libellé des virements ne faisait aucunement apparaître qu’ils étaient destinés à des opérations spéculatives. Elle a relevé, à partir des extraits de compte du demandeur, que ce même compte était créditeur de plus de 13.000 € avant les faits, début juin 2022.

Considérant que M. [X] ne justifie d’aucun dysfonctionnement bancaire, que les opérations ont été authentifiées et qu’elle a bien exigé pour ces opérations, une authentification forte, la CAISSE D’EPARGNE a conclu au débouté.

La CAISSE D’EPARGNE a opposé au demandeur sa négligence fautive grave pour avoir reçu un mail frauduleux le 09 juin 2022 à 3h01 de Mon Sécur’Pass au sujet duquel le demandeur aurait pu constater que l’adresse ne correspondait pas du à celle de la CAISSE D’EPARGNE. Contrairement à ce qu’avance M. [X], cette dernière conteste avoir reçu le mail renvoyé par le client à M. [E], le conseiller d’agence.

La CAISSE D’EPARGNE fait valoir ainsi que le demandeur aurait pu déceler plusieurs fautes d’orthographe ou anomalies dans le corps du texte et un bouton « EFFECTUER MAINTENANT » inhabituel pour un mail provenant d’un banque. Elle prétend que M. [X] a visiblement cliqué sur ce mail, permettant ainsi au fraudeur de récupérer ses données personnelles puis de s’enrôler à SECUR’PASS avec son propre appareil après que le client ait communiqué le code SMS reçu. Elle considère que ledit code confidentiel, reçu par SMS, n’a pu être fourni que par M. [X] au regard des pièces produites aux débats (fichiers sms-logs-simplifiés ; détails des opérations financières).

La CAISSE D’EPARGNE estime que la négligence de M. [X] est démontrée, ce qui ressort en réalité de la lecture de ses écritures. Elle lui a ainsi fait reproche de ne pas avoir pris toutes les mesures propres à assurer la sécurité de sa carte, du code et plus généralement de toutes données de sécurité personnelle et notamment le code d’authentification.

La CAISSE D’EPARGNE, au vu de la jurisprudence visée dans ses conclusions, conclut que la responsabilité de la banque ne peut être recherchée lorsque les clients ont authentifié les paiements par l’apposition du code et l’utilisation du téléphone de confiance.

Par ailleurs, la CAISSE D’EPARGNE a conclu au rejet de la demande de dommages-intérêts pour préjudice moral présentée par M. [X] en ce qu’une telle demande de réparation n’était pas prévue en la matière (Cassation commerciale 27 mars 2024 n°22-21.200).

Chacune des parties a formé une demande au titre de l’article 700 du code de procédure civile.

IV MOTIVATION DU JUGEMENT

1°) SUR LA DEMANDE DE REMBOURSEMENT DU MONTANT DES OPERATIONS FRAUDULEUSES

a) Sur le caractère autorisé des opérations réalisées

Vu les articles L. 133-3, L. 133-6 et L. 133-18 du code monétaire et financier, dans leur rédaction issue d’une ordonnance n°2017-1252 du 09 août 2017 ;

Il résulte des deux premiers de ces textes qu’une opération de paiement initiée par le payeur, qui donne un ordre de paiement à son prestataire de service de paiement, est réputée autorisée uniquement si le payeur a également consenti à son bénéficiaire.

Aux termes du dernier, en cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L. 133-24 du code monétaire et financier, le prestataire de services de paiement du payeur rembourse immédiatement au payeur le montant de l’opération non autorisée et, le cas échéant, rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu, sauf, dans le cas d’une opération réalisée au moyen d’un instrument de paiement doté de données de sécurité personnalisées, si la responsabilité du payeur est engagée en application de l’article L. 133-19 du même code.

Selon l’article L. 133-23 du même code, « Lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre.

L’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière. »

En application de ces textes, le teneur de compte est tenu de rapporter la preuve d’une négligence grave dans la conservation des données de sécurité par le titulaire du compte pour s’exonérer de cette responsabilité de plein droit.

De telles dispositions, en cas de caractère non autorisé de l’opération, ne nécessitent pas de la part du demandeur, victime de la fraude, de rapporter la preuve de la faute de l’établissement bancaire.

En l’espèce, M. [V] [X], directeur qualité, est titulaire d’un compte courant N° [XXXXXXXXXX05] à la CAISSE D’EPARGNE, agence de [Localité 11].

Il ressort tant de son audition par la gendarmerie du 19 août 2022 faisant suite aux courriers de plainte du 15 juin 2022, qu’il a adressés au procureur de la République de METZ, que des éléments développés par la banque dans ses conclusions, que les opérations litigieuses consistent en des virements effectués sur le compte courant du demandeur à destination de bénéficiaires pour un montant de 7300 € .

Il résulte en effet des rapports informatiques produits par la banque qu’à la suite d’une demande de service SECUR’PASS du 28 mai 2022, concernant le compte de M. [X], ce dernier a été activé par la CAISSE D’EPARGNE le 09 juin 2022.

Il apparaît que le 09 juin 2022 à 10h58 un SMS a été envoyé par la banque sur le téléphone portable de M. [X] pour l’informer de l’activation de SECUR’PASS et lui communiquer le code [Numéro identifiant 2] à saisir par le titulaire du compte sur son mobile « [X] [V] ».

Dans un courrier électronique qu’il a adressé au conseiller de la CAISSE D’EPARGNE, M. [E], M. [X] confirme d’ailleurs la réception de plusieurs sms de la banque relatifs au SECUR’PASS et le dernier du 09 juin 2022 à 10h59 l’informant de ce que le SECUR’PASS serait actif dans 71 heures.

Il est donc établi par la concordances des sms de la banque et des dires du demandeur que le compte courant, dont disposait M. [X], bénéficiait du de l’outil SECUR’PASS (nom commercial du système Cloudcard) et que l’activation a été effective une fois le délai écoulé.

En souscrivant au SECUR’PASS, le titulaire du compte ne pouvait l’actionner qu’en ayant recours à son smartphone enregistré dans les systèmes informatiques de la CAISSE D’EPARGNE dont le numéro a été déclaré par le demandeur comme téléphone se sécurité, un tel outil lui promettant de valider ses opérations de banque à distance en passant nécessairement par une authentification forte.

Il ressort encore des rapports informatiques produits par la banque :

— que le 12 juin 2022 à 14h03'10 '' un compte externe « [XXXXXXXXXX06] » a été ajouté via « INTERNET MOBILE ET UNE AUTHENTIFICATION PAR SECUR’PASS » et le même jour à 14h94'49'' un ordre de virement d’un montant de 3500 € créé de « DE15…0215 » vers « [XXXXXXXXXX07] » au bénéfice de Mme [D] [B], la saisie s’étant faite « VIA INTERNET MOBILE AVEC AUTHENTIFICATION » ;

— que le 13 juin 2022 à 1h45'03'' un compte externe « [XXXXXXXXXX08] » a été ajouté via « INTERNET MOBILE ET UNE AUTHENTIFICATION PAR SECUR’PASS » et un ordre de virement d’un montant de 3800 € créé le même jour à 1h45 ''29'' au bénéfice de M. [C] [N], la saisie s’étant faite « VIA INTERNET MOBILE AVEC AUTHENTIFICATION ».

Si un autre virement de 3500 € a été exécuté à l’ordre de M. [P] [K], la demande de remboursement ne porte pas sur ce dernier dès lors que le compte de M. [X] a été re-crédité par la banque.

Il résulte des éléments d’information ou logs communiqués par la banque, qui sont probants, que les deux comptes bancaires litigieux ont été ajoutés dans l’espace Banque à distance de M. [X] grâce à un recours à une authentification forte SECUR’PASS.

La CAISSE D’EPARGNE rapporte la preuve que les virements litigieux faits au profit des nouveaux bénéficiaires ont été effectués via le dispositif SECUR’PASS.

Un tel dispositif, qui répond aux exigences de la Directive sur les Services de Paiement (DSP2) au titre de l’authentification forte, au sens de l’article L. 133-4 f et du V de l’article L. 133-9 du code monétaire et financier, nécessite pour être mis en œuvre la saisie d’un code personnel et confidentiel, dont seul dispose le titulaire du compte, une telle authentification ayant pour effet d’autoriser et donc de valider l’opération correspondante.

Il y a donc lieu de retenir que, contrairement à ce que soutient M. [X] pour reprocher à la banque une défaillance technique à l’origine de la fraude, la CAISSE D’EPARGNE a fait la démonstration que l’authentification forte prévue par la directive DSP2 a été bien exigée par le prestataire de service dès lors :

— qu’en l’espèce il résulte des logs retraçant l’historique des connexions sur l’espace Direct Ecureuil de M. [X] tant l’ajout des nouveaux bénéficiaires que les virements litigieux à leur profit ont été effectués via le dispositif SECUR’PASS, qui est le dispositif d’authentification forte mis en place par la CAISSE D’EPARGNE pour valider à distance des opérations bancaires nécessitant un niveau de sécurité élevé et auquel M. [X] a adhéré :

— que ce dispositif est détaillé aux conditions générales spécifiques du service Direct Écureuil en sa nature (« dispositif d’authentification forte ») et quant à son objet (permettre notamment au client d’accéder aux services Direct Ecureuil et à son compte de dépôt en ligne, de sécuriser l’accès et l’utilisation de certains services, de valider certaines opérations sensibles initiées depuis son espace personnel de banque à distance, tels l’ajout d’un compte de bénéficiaire afin d’effectuer un virement vers un autre compte, la réalisation de virement sur un compte du bénéficiaire enregistré au préalable, la validation des opérations de paiement réalisés en ligne (virements) et à distance par carte bancaire.

Cependant il résulte des déclarations constantes de M. [X] devant la gendarmerie que les différentes opérations de paiement litigieuses n’ont pas été matériellement réalisées pour chacune d’entre elles par l’intéressé ce qui est accrédité par les mails qu’il a envoyés à la banque pour l’alerter systématiquement sur la fraude dont il était victime.

De telles circonstances sont confirmées par la banque qui reconnaît, dans ses écritures, que son client a été victime d’un hameçonnage ou phishing, une technique frauduleuse consistant à envoyer de manière massive un message semblant légitime pour inciter la victime à cliquer sur un lien ou une pièce jointe potentiellement malveillants.

En l’espèce, il est admis que le mail frauduleux a été identifié comme étant celui reçu le 9 juin 2022 à 3h01 par M. [X] provenant de « Mon Sécur’Pass » ne provenant pas de la CAISSE D’EPARGNE mais dont la mise à jour réclamée au demandeur l’a conduit à permettre au fraudeur de récupérer ses données personnelles puis de « s’enrôler » à SECUR’PASS avec son propre appareil, cette action étant directement à l’origine de ses préjudices.

Par conséquent, il y a pas lieu de considérer que les opérations de paiement litigieuses de la cause s’analysent en des opérations autorisées au sens du code monétaire et financier.

Il sera observé que, dans ce cas, le demandeur ne peut fonder ses prétentions que sur le droit spécial des articles L. 133-18 à L. 133-24 du code monétaire et financier relatives à la responsabilité d’un prestataire de services de paiement qui sont applicables, de sorte que ses demandes ne peuvent prospérer sur le droit commun tel que le devoir de vigilance (Com. 15 janv. 2025, FS-B, n° 23-13.579, Com. 15 janv. 2025, FS-B, n° 23-15.437).

b) Sur la négligence grave

Selon l’article L. 133-19, IV, du code monétaire et financier : « le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent des agissements frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17 ».

La seule fourniture par la banque du justificatif établissant que les paiements ont été validés après authentification forte ne suffit pas à le dégager de sa responsabilité, dès lors que cet élément est, en soi, insuffisant pour caractériser le manquement intentionnel ou la négligence grave du payeur, l’affirmation selon laquelle ce dernier ne pouvait qu’avoir intentionnellement ou par négligence donné ses codes personnels étant aussi hypothétique qu’inopérante.

La CAISSE D’EPARGNE fait grief à M. [X] d’avoir répondu à un courrier électronique reçu par lui le 09 juin 2022 à 3h01 qu’il convient de reproduire :

« ACTUALISATION OBLIGATOIRE : NOUVELLES NORMES DSP2

Cher(e) Client(e),

La réglementation en vigueur, applicable à toutes les banques, a évolué afin de renforcer la protection de vos informations personnelles. Désormais, l’accès à votre Espace Client est soumis a une synchronisation renforcée tous les 90 jours. La directive sur les services de paiement (DSP2) a pour objectif de favoriser l’innovation, la concurrence et l’efficience.

Afin de prévenir l’usage non autorisé des cartes sur Internet, la Caisse d’Epargne est dotée d’un dispositif de contrôle depuis votre mobile sécurisé.

Votre synchronisation actuelle n’est plus valide et votre protection est insuffisante.

EFFECTUER MAINTENANT »

Il convient de relever que ce mail a été reçu par M. [X] dans un certain contexte.

Il est constant que le 28 mai 2022, comme cela résulte de la pièce n°16 de la banque, M. [X] avait reçu le 28 mai 2022 à 18h04 un sms de sa banque portant activation SECUR’PASS laquelle lui demandait de saisir un code dédié sur son mobile.

M. [X] produit également l’email d’inscription au SECUR’PASS que la CAISSE D’EPARGNE lui avait envoyé le 04 février 2021. Ce courrier précisait que son code à 4 chiffres lui serait demandé pour valider l’ensemble de ses opérations en ligne.

Il s’ensuit que le titulaire du compte pouvait raisonnablement concevoir que les informations de la banque relatives au SECUR’PASS pouvaient prendre la forme de mails ou de sms.

Il résulte de l’examen du mail frauduleux du 09 juin 2022, qui doit être regardé du côté de M. [X], profane, et non pas de la CAISSE D’EPARGNE, qu’il émanait de « Mon Sécur’Pass » avec objet : « Caisse d’Epargne : Mise à jour » de sorte que son récepteur pouvait considérer que, provenant de l’organisme dédié au système d’authentification, l’adresse pouvait ne pas être nécessairement celle de la banque. En outre le terme « no-reply » ressemblait à la pratique habituelle qui consiste à ne pas avoir à répondre directement à un tiers mais à effectuer les opérations réclamées.

Cette présentation comportait par conséquent des informations crédibles.

D’autre part, par le titre comminatoire « ACTUALISATION OBLIGATOIRE : NOUVELLES NORMES DSP2 », M. [X] a pu considérer sans commettre de faute, même de négligence, qu’il devait y procéder d’urgence sauf à perdre le bénéfice de la sécurisation de ses comptes.

Or, le paragraphe suivant immédiatement la demande d’actualisation rappelait avec cohérence, à travers un message court, motivé et circonstancié, s’appuyant sur un argumentaire technique et juridique, fondé sur la norme DSP2 existante, donnant l’apparence de sérieux, que, « afin de prévenir l’usage non autorisé des cartes sur Internet, la Caisse d’Epargne est dotée d’un dispositif de contrôle depuis votre mobile sécurisé » et que la « synchronisation actuelle n’est plus valide » et la « protection est insuffisante ».

Si la CAISSE D’EPARGNE relève que le texte comprend des termes ne reproduisant pas l’accent qu’ils auraient dû porter, pour autant cela n’apparaît nullement de nature à affecter le sens du texte ou à le rendre suspect.

Il sera relevé que le 09 juin 2022 à 10 h 46, même si la CAISSE D’EPARGNE indique ne pas avoir réceptionné ce courrier, M. [X] écrivait à M. [E], que « comme requis dans la demande d’actualisation ci dessous, j’ai suivi les différentes étapes de mise à jour. La dernière étape n’a pas fonctionné (par deux fois) et je n’ai pas reçu de sms avec code pour confirmer cette actualisation… ».

Il n’est pas douteux que M. [X] avait l’intention d’envoyer ce courrier et qu’il correspond à la réalité puisqu’il fait corps avec le mail litigieux, lequel n’est pas discuté.

Il ressort de sa lecture que M. [X] s’était parfaitement convaincu que la demande d’actualisation était sérieuse et émanait de sa banque ce qui démontre que, en l’absence d’indice permettant à un utilisateur normalement attentif de douter de sa provenance, il n’a pu avoir conscience de son caractère frauduleux.

En effet en raison de sa présentation formelle, le mail litigieux n’avait pas vocation à conduire l’utilisateur à opérer de plus amples investigations sur l’adresse courriel qui se cachait derrière l’adresse apparente. Ce d’autant que la référence à l’urgence est en cohérence avec le message évoquant une régularisation sécuritaire immédiate du compte, message qui est au demeurant exempt de toute erreur grammaticale ou syntaxique.

Il sera relevé de manière générale que les mises à jour en matière de protection informatique se font de manière répétée et fréquente.

Il résulte de ce qui précède que le courriel ne comportait pas des indices permettant à un utilisateur normalement attentif de douter de sa provenance.

Enfin, si effectivement M. [X] divulguait toutes ses données bancaires suite au courriel d’hameçonnage du 09 juin 2022, cela est justifié par le fait qu’il pouvait raisonnablement croire que ledit mail provenait de l’organisme gérant l’authentification forte, à laquelle il adhérait, dans un but sécuritaire.

Dès lors les agissements de M. [X] ne peuvent être constitutifs d’une négligence grave.

Dans ces conditions il y a lieu de faire application des dispositions de l’article L 133-18 du code monétaire et financier M. [X] ayant rempli les obligations qui lui incombaient relativement à la sécurisation de son compte, au signalement des opérations litigieuses dans les délais requis, la fraude ou la négligence grave de sa part n’ayant pas été démontrée par la défenderesse.

La SA CAISSE D’EPARGNE ET DE PREVOYANCE GRAND EST EUROPE prise en la personne de son représentant légal sera donc condamnée en application de l’article L. 133-18 du code monétaire et financier à payer à M. [V] [X] la somme de 7300 € outre intérêts au taux légal à compter du 08 février 2023, date de signification de l’assignation.

Il y a lieu de rejeter la demande de dommages et intérêts laquelle ne saurait prospérer sur le fondement du droit spécial des articles L. 133-18 à L. 133-24 du code monétaire et financier, ces dispositions excluant de rechercher en outre la responsabilité de la banque sur le terrain d’un manquement au devoir de vigilance.

2°) SUR LES DEPENS ET L’ARTICLE 700 DU CODE DE PROCEDURE CIVILE

Selon l’article 696 du code de procédure civile, « La partie perdante est condamnée aux dépens, à moins que le juge, par décision motivée, n’en mette la totalité ou une fraction à la charge d’une autre partie. »

L’article 700 du code de procédure civile, « Le juge condamne la partie tenue aux dépens ou qui perd son procès à payer : 1° A l’autre partie la somme qu’il détermine, au titre des frais exposés et non compris dans les dépens. »

La SA CAISSE D’EPARGNE ET DE PREVOYANCE GRAND EST EUROPE prise en la personne de son représentant légal, qui succombe, sera condamnée aux dépens ainsi qu’à régler à M. [V] [X] la somme de 3000 € au titre de l’article 700 du code de procédure civile.

Compte tenu de la solution apportée au litige, il y a lieu de débouter la SA CAISSE D’EPARGNE ET DE PREVOYANCE GRAND EST EUROPE prise en la personne de son représentant légal de sa demande formée au titre de l’article 700 du code de procédure civile.

3°) SUR L’EXECUTION PROVISOIRE

Le décret n° 2019-1333 du 11 décembre 2019 réformant la procédure civile a instauré le principe de l’exécution provisoire de droit. Les dispositions du décret relatives à l’exécution provisoire de droit sont applicables aux instances introduites à compter du 1er janvier 2020. Tel est le cas pour une instance introduite le 16 février 2023.

PAR CES MOTIFS

Le Tribunal judiciaire, Première Chambre civile, après en avoir délibéré, statuant publiquement, par jugement contradictoire, en premier ressort, par mise à disposition au greffe,

CONDAMNE la SA CAISSE D’EPARGNE ET DE PREVOYANCE GRAND EST EUROPE prise en la personne de son représentant légal en application de l’article L. 133-18 du code monétaire et financier à payer à M. [V] [X] la somme de 7300 € outre intérêts au taux légal à compter du 08 février 2023 ;

DEBOUTE M. [V] [X] de sa demande de dommages-intérêts ;

CONDAMNE la SA CAISSE D’EPARGNE ET DE PREVOYANCE GRAND EST EUROPE prise en la personne de son représentant légal aux dépens ainsi qu’à régler à M. [V] [X] la somme de 3000 € au titre de l’article 700 du code de procédure civile ;

DEBOUTE la SA CAISSE D’EPARGNE ET DE PREVOYANCE GRAND EST EUROPE prise en la personne de son représentant légal de sa demande formée au titre de l’article 700 du code de procédure civile ;

RAPPELLE que l’exécution provisoire du présent jugement est de droit.

Ainsi jugé et prononcé par mise à disposition au greffe le 20 février 2025 par Monsieur Michel ALBAGLY, Premier Vice-Président, assisté de Madame Caroline LOMONT, Greffier.

Le Greffier Le Président