TRIBUNAL

JUDICIAIRE

DE PARIS [1]

[1]

Expéditions

exécutoires

délivrées le:

■

9ème chambre 2ème section

N° RG :

N° RG 23/02417 – N° Portalis 352J-W-B7H-CZC4F

N° MINUTE : 4

Assignation du :

20 Février 2023

JUGEMENT

rendu le 15 Mai 2024

DEMANDEUR

Monsieur [P] [Y]

[Adresse 2]

[Localité 4]

représenté par Maître Eric CANCHEL, avocat au barreau de PARIS, avocat postulant, vestiaire #D0937, et Maître Olivier FONTIBUS, avocat au barreau de VERSAILLES, avocat plaidant

DÉFENDERESSE

S.A BNP PARIBAS

[Adresse 1]

[Localité 3]

représentée par Maître Philippe METAIS du PARTNERSHIPS BRYAN CAVE LEIGHTON PAISNER (France) LLP, avocats au barreau de PARIS, avocat plaidant, vestiaire #R030

Décision du 15 Mai 2024

9ème chambre 2ème section

N° RG 23/02417 – N° Portalis 352J-W-B7H-CZC4F

COMPOSITION DU TRIBUNAL

Monsieur Gilles MALFRE, 1er Vice-président adjoint

Monsieur Augustin BOUJEKA, Vice-Président

Monsieur Alexandre PARASTATIDIS, Juge

assisté de Alise CONDAMINE-DUCREUX, Greffière lors de l’audience, et de Pierre-Louis MICHALAK, Greffier lors de la mise à disposition,

DÉBATS

A l’audience du 28 Février 2024 tenue en audience publique devant Monsieur Alexandre PARASTATIDIS, juge rapporteur, qui, sans opposition des avocats, a tenu seul l’audience, et, après avoir entendu les conseils des parties, en a rendu compte au Tribunal, conformément aux dispositions de l’article 805 du Code de Procédure Civile. Avis a été donné que la décision serait rendue par mise à disposition au greffe le 15 Mai 2024.

JUGEMENT

Prononcé en audience publique

Contradictoire

en premier ressort

FAITS ET PROCÉDURE

M. [P] [Y] est titulaire d’un compte courant ouvert dans les livres de la SA BNP Paribas auquel est associée une carte bancaire Visa Premier dont il a formé opposition le 22 juillet 2022, contestant trois paiements du 8 juillet 2022 à 00h29, 01h54 et 02h05 pour les montants de 422,39 euros et deux fois 427,74 euros, tous au bénéfice de « Like Card », un paiement du 9 juillet 2022 à 01h19 pour un montant de 9.500 euros au bénéfice de « Maier » et un paiement du 13 juillet 2022 à 14h52 pour un montant de 515,40 euros au bénéfice de « Weblogy Offshore » (Apaym Premium).

Le même jour, il a effectué un signalement en ligne aux services de la gendarmerie nationale.

Le 23 juillet 2022, M. [Y] a contesté deux autres paiements effectués le 19 juillet 2022 à 19h28 et 20h09 pour un montant de 309,60 euros chacun, puis le 26 juillet 2022, un dernier paiement effectué le 20 juillet 2022 à 13h14 pour un montant de 824,10 euros, toutes les opérations étant au bénéfice de « Weblogy Offshore » (Apaym Premium).

Par lettres des 25, 26 et 27 juillet 2022, la BNP Paribas a refusé de rembourser les sommes, position qu’elle a maintenue dans des correspondances du 9 août, 14 septembre et 9 novembre 2022 en réponse aux réclamations et mises en demeure adressées par M. [Y] et son assureur de protection juridique.

C’est dans ces conditions que par exploit de commissaire de justice du 20 février 2023, M. [Y] a fait assigner l’établissement bancaire devant le tribunal judiciaire de Paris aux fins de voir condamné ce dernier à l’indemniser. Aux termes de ses dernières conclusions signifiées par voie électronique le 16 octobre 2023, il est demandé au tribunal de :

«  Déclarer la demande de Monsieur [P] [Y] recevable et bien fondée, et en conséquence :

Condamner BNP PARIBAS à lui payer la somme de 12 936,27 euros en principal, assortie des intérêts au taux légal à compter du jour de la demande de la mise en demeure du 22 août 2022.

Condamner BNP PARIBAS à lui payer la somme de 5 000,00 euros à titre de dommages et intérêts ;

Condamner BNP PARIBAS à payer la somme de 5 000,00 euros en application de l’article 700 du Code de procédure civile ;

Condamner BNP PARIBAS aux entiers dépens ;

Ordonner l’exécution provisoire de la décision à intervenir ; "

A l’appui de ses prétentions, M. [Y] expose avoir été destinataire le 6 juillet 2022 d’un premier SMS à 13h26 à l’entête de la BNP Paribas l’informant de la nécessité d’activer sa nouvelle clé digitale puis, à 12h21 (sic), d’un second SMS d’un prétendu conseiller de la banque qui a pris attache téléphoniquement avec lui le lendemain pour l’assister dans l’activation de la clé, ce qu’il a pensé faire en cliquant sur un lien reçu par un SMS alors qu’ils étaient en conversation, précisant n’avoir cependant délivré aucune information confidentielle à son interlocuteur. Il ajoute n’avoir découvert les opérations frauduleuses que le 22 juillet suivant en se connectant à son espace en ligne.

Il fait valoir tout d’abord qu’en application des dispositions des articles L.133-16, L.133-17, L.133-19 et L.133-23 du code monétaire et financier, il incombe au prestataire de services de paiement de rapporter la preuve que l’utilisateur qui conteste avoir autorisé une opération de paiement, a agi frauduleusement ou n’a pas satisfait intentionnellement ou par sa négligence grave, à ses obligations notamment de préservation de ses données de sécurité personnelles, précisant que l’utilisation de l’instrument de paiement y compris avec un dispositif d’authentification forte tel le 3Dsecure ne permet pas à elle seule de rapporter la preuve de la négligence de l’utilisateur. Il soutient qu’en l’espèce, il n’a transmis aucune information confidentielle à des tiers, reconnaissant seulement avoir cliqué sur le lien contenu dans le SMS reçu le 7 juillet 2022 qui provenait bien en apparence de la banque, un message similaire lui ayant été adressé le 29 septembre 2022 pour désactiver la clé digitale utilisée par le fraudeur. Il conteste donc toute participation active de sa part et notamment avoir transmis au fraudeur les données confidentielles de sa carte bancaire, les identifiant et mot de passe de son espace en ligne, le code contenu dans le SMS nécessaire à l’enrôlement de la clé digitale, ainsi que le code unique de validation envoyé par la BNP Paribas sur son adresse mail le 8 juillet 2022 à 2h05, ce que ne démontre d’ailleurs pas la banque sur laquelle pèse la charge de la preuve. Il estime qu’en conséquence, l’établissement a l’obligation de lui rembourser les sommes débitées.

M. [Y] soutient également que la banque, tenue à une obligation générale de vigilance et d’alerte ainsi qu’à une obligation spéciale renforcée dans le cadre de la lutte contre le blanchiment des capitaux et le financement du terrorisme (ci-après dispositif LCB-FT), aurait dû relever le caractère anormal des opérations frauduleuses au regard de la nature des achats réalisés, de leurs montants, de leurs destinations (Arabie Saoudite et Côte d’Ivoire) et de leurs dénominations (« Like Card », « Weblogy Offshore »). Il estime ainsi que la banque a commis une faute dans l’exécution de ses obligations ayant contribué à la réalisation du dommage et a donc engagé sa responsabilité contractuelle.

M. [Y] sollicite en conséquence la condamnation de la banque à lui payer la somme de 12.936,27 euros en réparation de son préjudice financier outre la somme de 5.000 euros à titre de dommages et intérêts pour résistance abusive.

Aux termes de ses dernières conclusions signifiées par voie électronique le 28 novembre 2023, aux visas des articles L.133-4, L.133-16 et suivants, et L.133-44 du code monétaire et financier, 1231-1 et suivants du code civil, et 696 et 700 du code de procédure civile, la BNP Paribas demande au tribunal de :

« - Juger que les transactions litigieuses ont été dûment authentifiées et que BNP Paribas a parfaitement respecté ses obligations en matière de sécurisation des instruments de paiement de Monsieur [Y] ;

— Juger que BNP Paribas n’a commis aucune inexécution contractuelle;

— Juger que Monsieur [Y] a commis une négligence grave au sens de l’article L. 133-19 IV du Code monétaire et financier ;

En conséquence :

— Débouter Monsieur [Y] de l’intégralité de ses demandes, fins et conclusions à l’encontre de BNP Paribas ;

— Condamner Monsieur [Y] à verser à BNP Paribas la somme de 2.500 euros au titre de l’article 700 du Code de procédure civile ainsi qu’aux entiers dépens ;

— Juger que l’exécution provisoire n’est pas compatible avec la nature de l’affaire ; "

A l’appui de ses prétentions, la BNP Paribas expose à titre liminaire que la clé digitale est un système d’authentification forte pour les opérations en ligne basé sur le fait que le client possède son smartphone et est le seul à connaître son code secret. Elle ajoute que ce système permet ainsi lors de chaque paiement de s’assurer que le client en est à l’initiative. Ainsi, lorsqu’un paiement est réalisé, le client reçoit sur son téléphone portable via l’application mobile « M^es Comptes » une notification « vous avez une opération en attente de validation » avec les détails de l’opération (nature de l’opération, site marchand, carte utilisée, montant, numéro client et date de l’opération). Le client a alors la possibilité de refuser l’opération en cliquant sur « refuser » ou de valider celle-ci en cliquant sur « valider » et en renseignant son code confidentiel de connexion à son application mobile.

Elle soutient qu’au cas particulier l’ensemble des paiements contestés ont été validés au moyen de la clé digitale et qu’ils n’ont donc été possibles que par la communication par M. [Y], soit sur un site internet frauduleux, soit directement au fraudeur lors de leur conversation téléphonique du 7 juillet 2022, des informations confidentielles de son espace en ligne, des codes à usage unique reçus par SMS et des données de sa carte bancaire et notamment le cryptogramme inscrit au dos de celle-ci, précisant qu’aucun paiement en ligne par authentification forte n’aurait pu être effectué avec la carte bancaire sans ces informations.

La BNP Paribas fait valoir que la concernant, elle a parfaitement respecté ses obligations de sécurisation de l’ensemble des outils mis à la dispositions de M. [Y] au sens de l’article L.133-4 du code monétaire et financier. Elle ajoute que les opérations frauduleuses ont été dûment authentifiées et n’ont été rendues possibles qu’avec le concours de son client qui a mis en défaut le système d’authentification mis en place par ses soins en :

— Communiquant l’intégralité de ses informations bancaires confidentielles sur un site internet frauduleux ouvrant ainsi un accès à son espace en ligne, permettant au fraudeur de se connecter à celui-ci et d’augmenter le plafond de sa carte bancaire ;

— Communiquant au fraudeur le code confidentiel reçu sur son téléphone mobile pour valider l’enrôlement de sa clé digitale sur le téléphone portable du fraudeur, permettant à ce dernier de valider par authentification forte les opérations frauduleuses ;

— Communiquant, par l’intermédiaire d’un site internet frauduleux ou directement au fraudeur les codes confidentiels de sa carte bancaire, en ce compris le cryptogramme inscrit au dos de celle-ci permettant d’initier les achats en ligne ;

— Communiquant au fraudeur le code confidentiel, reçu sur son adresse mail personnelle, permettant la modification du numéro de téléphone renseigné sur son espace en ligne ;

— Tardant à former opposition à sa carte bancaire, celle-ci n’étant intervenue que deux semaines après la réalisation des premières opérations frauduleuses.

La BNP Paribas soutient dès lors que, malgré les alertes et outils de prévention contre les escroqueries qu’elle a mis en place, M. [Y] a commis plusieurs négligences particulièrement graves sans notamment s’interroger sur la nature de l’appel et la démarche du fraudeur, et sans tenir compte de l’instruction de ne jamais communiquer le code confidentiel rappelé dans le SMS du 7 juillet 2022 qui a permis d’activer la clé digitale et partant la réalisation des opérations frauduleuses et son préjudice qui a été aggravé par le long délai de réaction du demandeur. Elle conclut en conséquence au rejet de la demande de paiement au titre des opérations que M. [Y] a lui-même permises.

La banque conteste également tout manquement à son devoir de vigilance soutenant qu’elle n’avait pas à procéder aux vérifications d’une quelconque anomalie en présence de paiements réguliers et dûment authentifiés, l’ensemble des opérations ne comportant en tout état de cause aucune irrégularité apparente.

Enfin, la BNP Paribas soutient que sa responsabilité contractuelle ne peut être engagée faute de démonstration de l’inexécution de l’une de ses obligations, d’un dommage ou d’un lien de causalité au sens des articles L.133-18 et L.133-24 du code monétaire et financier qui trouvent à s’appliquer de manière exclusive dans le cadre d’un différend concernant les relations entre un prestataire de services de paiement et l’utilisateur de ces services et qui excluent dès lors l’engagement de sa responsabilité sur le fondement de tout autre régime tiré du droit commun.

Conformément aux dispositions de l’article 455 du code de procédure civile, il est renvoyé aux dernières écritures des parties pour l’exposé des moyens et arguments venant au soutien de leurs demandes.

La clôture de l’instruction du dossier a été prononcée le 31 janvier 2024 et l’affaire a été fixée pour être plaidée à l’audience tenue en juge rapporteur du 28 février 2024 à laquelle elle a été évoquée et mise en délibéré au 15 mai 2024.

MOTIFS DE LA DÉCISION

Une opération de paiement n’est autorisée au sens des articles L.133-3 et L.133-6 du code monétaire et financier que si le payeur l’a initiée et a consenti au montant de l’opération.

En cas d’opération de paiement non autorisée signalée par l’utilisateur dans les délais prévus par l’article L.133-24 du même code, le prestataire de services de paiement du payeur rembourse à ce dernier le montant de l’opération non autorisée sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement.

Dans cette hypothèse, il incombe au prestataire de paiement de prouver que l’opération litigieuse a été effectuée après une authentification forte, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre, l’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement, à savoir l’utilisation des identifiants du client et l’absence de déficience technique ou autre, notamment par le biais de la production d’un relevé de ses connexions, ne suffisant pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur.

L’article L.133-4 (f) du code précité précise qu’une authentification forte s’entend d’une authentification reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories « connaissance » (quelque chose que seul l’utilisateur connaît telle qu’un mot de passe, un code secret, une question secrète, etc…), « possession » (quelque chose que seul l’utilisateur possède telle qu’un téléphone portable, une montre connectée, une clé USB etc…) et « inhérence » (quelque chose que l’utilisateur est telle que la reconnaissance faciale ou vocale, la reconnaissance par empreinte digitale, etc…) et indépendants en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d’authentification. L’authentification forte repose donc sur l’utilisation de deux de ces éléments, voire plus.

Par ailleurs, la responsabilité du payeur n’est pas engagée si l’opération de paiement non autorisée a été effectuée en détournant, à son insu, l’instrument de paiement ou les données qui lui sont liées. Cependant, il supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’agissements frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L.133-16 et L.133-17 du code précité.

Ainsi, pour échapper au remboursement de l’opération contestée, le prestataire de services de paiement doit démontrer, soit que l’ordre émanait bel et bien du client dûment authentifié dans son espace personnel, soit que le vol des identifiants de connexion (ou d’autres données) n’est que la conséquence d’une faute grave de sa part consistant à ne pas avoir satisfait intentionnellement aux obligations lui incombant en la matière ou à les avoir gravement négligées.

En l’espèce, la banque ne remet pas en question la qualité de victime d’une fraude de M. [Y]. Ce dernier, quant à lui, ne conteste pas que les opérations litigieuses ont été passées selon une procédure d’authentification forte au sens des textes précités, ce qu’ attestent les traces informatiques de l’espace en ligne ainsi que les traces informatiques des huit opérations par cartes bancaires produites par la banque, soutenant seulement qu’il n’est pas à l’origine de la fuite de ses données personnelles sécurisées qui ont permis leur réalisation.

Il résulte de ces éléments que les paiements contestés, bien que passés régulièrement selon la procédure d’authentification forte mise en place par la banque, ne peuvent être considérés comme ayant été autorisés par le demandeur. Il convient dès lors de rechercher si ce dernier peut se voir reprocher une négligence grave au sens des articles L.133-16, L.133-17 et L.133-19 IV et suivants du code monétaire et financier faisant obstacle à son indemnisation.

Or, il ressort des traces informatiques précitées que le 7 juillet 2022 à 18h32, le transfert de la clé digitale associée au compte de M. [Y] a été validé vers un nouvel appareil IPhone après envoi sur le numéro de téléphone portable du demandeur (06.XX.XX.XX.63) d’un SMS contenant le message « BNP Paribas – NE JAMAIS COMMUNIQUER CE CODE – Activez la Clé Digitale en cliquant : » mescomptes ;//activation/0&50421@30 – Un doute ? Contactez-nous ".

S’il affirme ne pas avoir communiqué des données confidentielles dont celles de sa carte bancaire et avoir seulement cliqué sur le lien reçu le 7 juillet 2022, il convient de relever que M. [Y] a été victime d’une escroquerie au moyen de la technique dite de « phishing » consistant à amener la victime au cours d’un appel téléphonique à divulguer des données confidentielles ou à valider une opération frauduleuse.

Or, le transfert de la clé digitale sur le téléphone Iphone du fraudeur n’a pu se faire que par l’activation sur ce même appareil du lien comprenant en suffixe le code d’activation unique envoyé sur le téléphone portable de M. [Y] qui reconnaît d’ailleurs l’avoir reçu et qui ne démontre, ni même allègue, avoir été victime d’un piratage de sa ligne téléphonique. Il s’en déduit que le demandeur a nécessairement communiqué d’une manière ou d’une autre le code d’activation à usage unique dont il a été seul destinataire au prétendu conseiller de la BNP Paribas et présumé fraudeur avec lequel il était en relation téléphonique à la même heure.

M. [Y] a dès lors manqué à son obligation de préservation de la sécurité de ses données de sécurité personnalisées, comprenant nécessairement la préservation de la confidentialité des codes d’activation ou validation qui lui sont adressés et qui est rappelée dans chaque envoi. Ce manquement caractérise une négligence grave en ce qu’il a permis l’enrôlement de l’appareil qui a servi par la suite aux opérations frauduleuses et par là-même contribué au contournement du système de sécurisation des services de paiement, l’hypothèse d’une déficience technique du système de sécurisation de la banque devant dès lors être écartée sauf à ce que le demandeur rapporte la preuve contraire, ce qu’il ne fait pas au cas particulier.

De plus, M. [Y] peut également se voir reprocher le délai mis à alerter la banque dès lors que les paiements ont été effectués entre le 8 et le 20 juillet 2022, soit sur une période de 12 jours, et que ceux-ci n’ont été signalés qu’à compter du 22 juillet 2022 alors que le demandeur bénéficiait d’un accès à ses comptes via son espace en ligne et aurait donc pu détecter la fraude dès les premières opérations réalisées les 8 et 9 juillet.

Il doit donc être considéré que M. [Y] n’a pas satisfait aux obligations mises à sa charge par les articles L.133-16 et L.133-17 du code monétaire et financier et qu’il a ainsi commis une négligence grave au sens de l’article L.133-19 IV du même code qui le prive de la possibilité de faire supporter par la banque les pertes occasionnées par les opérations de paiement non autorisées.

Enfin, s’il est tenu à une obligation générale de vigilance, il est de principe que l’établissement bancaire teneur de compte est également astreint à une obligation de non-ingérence qui lui interdit de s’immiscer dans les affaires de son client. Il ne saurait dès lors procéder à des investigations particulières pour déterminer notamment l’identité du bénéficiaire ou l’objet de l’opération, ni intervenir pour empêcher son client d’effectuer un acte inopportun ou dangereux pour ses intérêts. L’établissement bancaire n’a donc pas à se préoccuper de la destination des fonds ou de l’opportunité des opérations effectuées. Il engage d’ailleurs sa responsabilité s’il n’exécute pas les virements ordonnés par son client.

Il en va différemment s’il se trouve confronté, à l’occasion d’opérations demandées par son client, à des anomalies et irrégularités manifestes qu’il doit détecter, conformément à son obligation de vigilance.

En l’espèce, il ne peut être fait grief à la banque d’avoir manqué à son devoir de vigilance dès lors que les opérations ont été validées par un dispositif d’authentification forte au moyen de la clé digitale du titulaire du compte dont il n’est pas soutenu, et a fortiori démontré, qu’il aurait par ailleurs été en position débitrice du fait des opérations contestées.

Tenu à un devoir de non-immixtion dans les affaires de son client, la banque n’avait dès lors pas à s’interroger sur les montants, dont le plus important s’élevait à la somme de 9.500 euros, ni sur la dénomination des bénéficiaires dont il n’est pas rapporté la preuve qu’elles constituaient un élément de suspicion, ni sur la domiciliation des comptes bancaires des bénéficiaires.

En conséquence, la demande d’indemnisation est rejetée.

2 – Sur la demande de dommages et intérêts pour résistance abusive

Au regard de l’issue donnée au litige, la résistance abusive de la banque n’est pas caractérisée.

3 – Sur les demandes accessoires

3.1 – Sur les frais du procès

M. [Y] qui succombe est condamné aux dépens.

Il est également condamné au paiement à la BNP Paribas d’une somme de 1.500 euros sur le fondement de l’article 700 du code de procédure civile.

3.2 – Sur l’exécution provisoire

La présente décision est revêtue de droit de l’exécution provisoire conformément aux dispositions de l’article 514 du code de procédure civile dans sa version applicable en l’espèce, l’instance ayant été introduite postérieurement au 31 décembre 2019.

Cependant, l’issue donnée au litige nécessite d’écarter l’exécution provisoire.

PAR CES MOTIFS

Le tribunal statuant publiquement par jugement contradictoire, en premier ressort et par mise à disposition au greffe :

DEBOUTE M. [P] [Y] de ses demandes ;

CONDAMNE M. [P] [Y] aux dépens ;

CONDAMNE M. [P] [Y] à payer à la SA BNP Paribas la somme de 1.500 euros sur le fondement de l’article 700 du code de procédure civile ;

ECARTE l’exécution provisoire de droit.

Fait et jugé à Paris le 15 Mai 2024

Le GreffierLe Président