Décision du 13 Décembre 2024

9ème chambre 2ème section

N° RG 23/11939 – N° Portalis 352J-W-B7H-C2YLL

TRIBUNAL

JUDICIAIRE

DE PARIS [1]

[1]

Expéditions

exécutoires

délivrées le:

à

M^e ADAM

M^e FONTANA

■

9ème chambre 2ème section

N° RG 23/11939 – N° Portalis 352J-W-B7H-C2YLL

N° MINUTE : 6

Assignation du :

18 Septembre 2023

JUGEMENT

rendu le 13 Décembre 2024

DEMANDERESSE

Madame [M] [U]

[Adresse 4]

[Localité 6]

représentée par Maître Pascal ADAM, avocat au barreau de PARIS, vestiaire #A0642

DÉFENDERESSE

S.A. SOCIETE GENERALE

[Adresse 3]

[Localité 5]

représentée par Maître Dominique FONTANA de la SELARL DREYFUS FONTANA, avocats au barreau de PARIS, vestiaire #K0139

COMPOSITION DU TRIBUNAL

Gilles MALFRE, 1er Vice-Président adjoint

Augustin BOUJEKA, Vice-Président

Alexandre PARASTATIDIS, Juge

assistés de Diane FARIN, Greffière,

DÉBATS

A l’audience du 29 Novembre 2024 tenue en audience publique devant Augustin BOUJEKA, juge rapporteur, qui, sans opposition des avocats, a tenu seul l’audience, et, après avoir entendu les conseils des parties, en a rendu compte au Tribunal, conformément aux dispositions de l’article 805 du Code de Procédure Civile. Avis a été donné aux avocats que la décision serait rendue le 13 décembre 2024.

JUGEMENT

Rendu publiquement par mise à disposition au greffe

Contradictoire

En premier ressort

FAITS ET PROCÉDURE

Titulaire d’un compte ouvert dans les livres de la Société Générale, Madame [U] a reçu un appel téléphonique le 28 août 2022 à 17h25, émanant d’un interlocuteur s’étant présenté comme un préposé de la Société Générale œuvrant dans le centre d’opposition de cet établissement.

L’interlocuteur de Madame [U] lui a indiqué que l’établissement bancaire avait décelé des tentatives de fraude au paiement par carte bancaire qu’il convenait de déjouer.

Le numéro de téléphone affiché était celui de la Société Générale.

Madame [U] indique s’être assurée, par vérification sur internet, que le numéro de téléphone correspondait bien à celui du centre d’opposition de l’établissement bancaire.

Le même jour et à la suite d’un nouvel appel émanant de cet interlocuteur, Madame [U] a validé un code reçu par SMS de son correspondant et devant permettre l’annulation des opérations frauduleuses en cours.

Par la suite, Madame [U] a constaté que son compte avait été débité de la somme de 11.000 euros correspondant à un paiement frauduleux.

Elle a alors contesté ce paiement et formé opposition à sa carte de paiement le 30 août 2022.

Par lettre du 1er septembre 2022, la Société Générale a rejeté la contestation formée par Madame [U] en indiquant que celle-ci avait validé les opérations ayant donné lieu au débit de la somme contestée.

Suivant procès-verbal en date du 12 janvier 2023, Madame [U] a formalisé le dépôt d’une plainte au commissariat de police du [Localité 6].

Par lettres recommandées avec accusé de réception de son conseil des 21 février 2023, 25 avril 2023 et 9 mai 2023, Madame [U] a mis en demeure la Société Générale de lui rembourser la somme de 11.000 euros correspondant au détournement dont elle se dit être la victime.

Par lettre du 19 mai 2023, la Société Générale a maintenu sa position, laquelle a été de nouveau contestée par le conseil de Madame [U] par lettre recommandée avec accusé de réception du 9 mai 2023, en vain.

C’est dans ce contexte que par acte du 18 septembre 2023, Madame [U] a fait assigner la Société Générale en recherche de la responsabilité de cet établissement et, aux termes de ses dernières écritures signifiées le 19 septembre 2024, demande à ce tribunal, au visa des articles L133-18, L133-19 et L 133-23 du code monétaire et financier et de la directive (UE) 2015/2366 du 25 novembre 2015 concernant les services de paiement transposée en droit français par l’ordonnance du 9 août 2017, de :

Déclarer ses demandes recevables et fondées, et en conséquence ;

Ecarter des débats les pièces adverses 5 et 6 non datées et le jugement du tribunal judiciaire de Toulon du 18 avril 2024 non produit et non publié ;

Condamner la Société Générale au remboursement de la somme de 11.000 euros, avec intérêts légaux à compter de la mise en demeure du 21 février 2023 ;

Voir condamner en outre la Société Générale au paiement de la somme de 3.000 euros en application des dispositions de l’article 700 du code de procédure civile et aux entiers dépens de l’instance ;

Dire n’y avoir lieu à écarter l’exécution provisoire de la décision à intervenir.

Par écritures signifiées le 13 juin 2024, la Société Générale demande à ce tribunal de :

Déclarer Madame [M] [U] mal fondée en ses demandes.

En conséquence,

L’en débouter.

Condamner Madame [M] [U] à payer à Société Générale la somme de 2.500 € au titre de l’article 700 du code de procédure civile.

Condamner Madame [M] [U] aux entiers dépens, en application de l’article 696 du code de procédure civile.

La clôture a été prononcée le 18 octobre 2024, l’affaire étant appelée à l’audience du 29 novembre 2024 et mise en délibéré au 13 décembre 2024.

Il est fait expressément référence aux pièces du dossier et aux écritures déposées et visées ci-dessus pour un plus ample exposé des faits de la cause et des prétentions des parties conformément aux dispositions de l’article 455 du code de procédure civile.

MOTIFS DE LA DÉCISION

Sur la demande principale

Pour rechercher la responsabilité de la Société Générale, Madame [U] se prévaut des dispositions de l’article L.133-18 du code monétaire et financier pour dire que le fraudeur a usurpé le numéro de téléphone de cet établissement afin de la contacter, ce qui l’a mise en confiance, de telle sorte que la banque défenderesse est mal fondée à prétendre que la concluante a fait montre d’une négligence grave excluant son droit à réparation. Elle s’appuie sur la jurisprudence pour soutenir que c’est au prestataire de services de paiement d’apporter la preuve d’une telle négligence, laquelle ne peut se déduire de la seule utilisation de l’instrument de paiement ou des données liées. Elle invoque à son profit un arrêt de la cour d’appel de Versailles rendu le 28 mars 2023 qui retient la responsabilité d’une banque dans une situation analogue, le fraudeur ayant pris attache avec elle par téléphone et lui ayant fait croire qu’elle était en lien avec sa banque, ce qui a nécessairement abaissé son niveau de vigilance dans une situation très différente d’un contact par mail. Elle relève l’erreur d’horaire commise par la Société Générale sur les opérations effectuées sur son compte, indiquant avoir été contactée par téléphone à 17h51, soulignant n’avoir communiqué à ce fraudeur ni son code client à huit chiffres, ni son code secret à six chiffres permettant l’accès à son compte par connexion à distance, pas davantage les seize chiffres de sa carte de paiement ou la date d’expiration et le cryptogramme au verso de cet instrument. Elle affirme avoir communiqué au fraudeur le seul code d’opposition arrivé par message SMS sur son téléphone. Elle estime que les alertes dont se prévaut la Société Générale pour soutenir la négligence grave sont de 2023 et ne lui ont jamais été communiquées en 2022. Elle considère que les décisions de la Cour de cassation citées par la Société Générale portent toutes sur des situations où la victime a communiqué au fraudeur soit des données de sa carte, soit des données permettant d’accéder à son espace en ligne. Elle affirme avoir été victime, au cas particulier, d’un spoofing consistant dans une usurpation d’identité et non d’un phishing comme le soutient la Société Générale. Selon Madame [U], la Société Générale doit être dès lors condamnée à lui rembourser la somme de 11.000 euros, augmentée des intérêts au taux légal à compter de la mise en demeure du 21 février 2023.

En réplique, la Société Générale fait valoir que l’opération en litige a été validée par Madame [U] au moyen d’une authentification forte en usant du téléphone de celle-ci. Elle précise que Madame [U] a utilisé le code secret que lui a communiqué le fraudeur, ce qui a permis à celui-ci d’accéder au compte de la demanderesse et d’effectuer l’opération contestée. Elle affirme encore que Madame [U] a transmis au fraudeur le code à usage unique réceptionné sur son téléphone, ce qui a permis l’enrôlement, le 28 août 2022, à 18 heures 28 minutes et 34 secondes, sur un nouveau pass sécurité. Elle ajoute que Madame [U] a communiqué pareillement le code de sécurité aléatoire généré par la banque pour valider le paiement en litige, l’augmentation du plafond carte ayant été pareillement effectuée au moyen du pass sécurité. Elle conteste l’affirmation de Madame [U] prétendant que la concluante se serait trompée sur l’horaire de l’opération alors que la demanderesse évoque, dans son journal d’appel, plusieurs appels du fraudeur dont le dernier est vraisemblablement intervenu à 18h12. D’après la Société Générale, Madame [U] a contrevenu aux obligations prescrites aux articles L.133-16 et L.133-17 du code monétaire et financier en communiquant à un tiers des données liées à sa carte de paiement, de telle sorte qu’elle ne peut prétendre à la protection prévue à l’article L.133-18 du même code s’appliquant aux seuls paiements non autorisés, alors que le paiement en litige a été consenti par la demanderesse auteure, en la circonstance, d’une négligence grave excluant toute responsabilité de la banque. Elle souligne avoir alerté depuis plusieurs années Madame [U], plus précisément depuis 2020, comme tous ses clients, sur le risque de phishing. Elle relève qu’une tentative de phishing n’exclut pas la négligence grave du client, ce d’autant plus que celui-ci a communiqué des données liées à sa carte bancaire et à son compte à un tiers et validé une opération frauduleuse, ce qui justifie d’autant le rejet de la demande.

Sur ce,

En application des dispositions des articles L.133-18, L.133-19 II et IV et L.133-24 du code monétaire et financier, en cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L. 133-24, le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement et s’il communique ces raisons par écrit à la Banque de France.

La responsabilité du payeur n’est pas engagée si l’opération de paiement non autorisée a été effectuée en détournant, à l’insu du payeur, l’instrument de paiement ou les données qui lui sont liées.

Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17.

L’utilisateur de services de paiement signale, sans tarder, à son prestataire de services de paiement une opération de paiement non autorisée ou mal exécutée et au plus tard dans les treize mois suivant la date de débit sous peine de forclusion à moins que le prestataire de services de paiement ne lui ait pas fourni ou n’ait pas mis à sa disposition les informations relatives à cette opération de paiement conformément au chapitre IV du titre 1er du livre III.

Au cas particulier, il est produit aux débats un procès-verbal de la plainte déposée le 12 janvier 2023 par Madame [U] qui relate ainsi les circonstances de fait à l’origine de la fraude dont elle se dit la victime : « Le 28/08/22 à 17h00, j’ai reçu un appel du numéro [XXXXXXXX02] m’indiquant que je faisais l’objet d’une transaction frauduleuse de 11 000,00 euros.

Je lui ai demandé de me laisser vérifier sur Internet, le numéro s’avérait être celui du centre d’opposition carte de ma banque la Société Générale.

J’étais donc rassurée, il me tenait des propos rassurants, me mettait en confiance et m’expliquait que au bout de quelques minutes j’allais recevoir un code sur mon téléphone et que je devrai lui transmettre ce code pour qu’il puisse annuler la transaction frauduleuse.

Je lui ai donc communiqué le code reçu, pensant qu’il était destiné à annuler la transaction de 11.000,00 euros.

Immédiatement après, j’ai contacté le centre d’opposition qui m’a indiqué ne pas être à l’origine de l’appel et qu’ils ne pouvaient rien faire.

Mon compte a été débité de 11.000,00 euros.

Je n’ai pas communiqué mes coordonnées bancaires au préalable à cet homme ou à qui que ce soit. »

Au regard de ces propos et des dernières écritures des parties, il est acquis aux débats que Madame [U] n’a pas consenti à l’opération de paiement en litige, l’ayant contestée dès le 29 août 2022, soit le lendemain des faits constitutifs des manœuvres d’un tiers à l’origine de l’opération litigieuse.

La Société Générale fonde son refus de remboursement de la somme correspondant au montant de l’opération sur l’existence d’une authentification forte donnée par Madame [U] et la négligence grave que celle-ci aurait commise en communiquant au fraudeur tout à la fois les données permettant l’accès à son espace bancaire en ligne et à sa carte de paiement.

Ce faisant, la Société Générale produit aux débats un document qu’elle présente comme un journal de connexion afférent au compte bancaire de Madame [U] à la date du 28 août 2022, jour des faits à l’origine du paiement contesté.

Ce document fait état de dix connexions intervenues entre 18h25 et 18h47.

Il sera relevé que ne figure dans ce document aucune mention explicite de l’opération de paiement litigieuse, pas davantage le numéro de téléphone donné par Madame [U] et enregistré le 23 septembre 2010 comme devant permettre la validation des opérations en ligne.

Pas davantage n’apparaît dans ce document un quelconque message SMS adressé expressément au numéro [XXXXXXXX01] enregistré par Madame [U] pour procéder à l’authentification forte dont se prévaut l’établissement bancaire.

Par ailleurs, ce numéro de téléphone ne figure nullement sur ce journal informatique.

Certes, la première des dix connexions indiquées dans le journal informatique produit est intervenue à 18h25, la dernière à 18h47, soit postérieurement à l’appel donné à 18h12 à Madame [U] par le fraudeur depuis le numéro de téléphone prétendument dédié au centre d’opposition de la Société Générale.

Pour autant, la concomitance entre la période couverte par ce dernier appel et les connexions révélées par le journal informatique produit ne peut suffire à induire une négligence grave de Madame [U] dès lors que la preuve, nécessairement positive, d’un tel manquement incombe au prestataire de service de paiement.

La production par ce prestataire d’un journal informatique, dont la valeur probante ne doit pas être remise en cause du seul fait que le document émane de la Société Générale, échoue cependant à démontrer l’existence de la négligence grave alléguée à partir du moment où il n’y figure aucun élément établissant que Madame [U] a validé les opérations contestées.

En considération des éléments qui précèdent, il sera retenu que le numéro d’appel apparaissant sur le téléphone portable de Madame [U] s’est affiché comme étant celui du centre d’opposition de la Société Générale, laissant croire à celle-ci qu’elle était en relation avec un préposé de cet établissement et qu’elle a pensé faire annuler l’opération frauduleuse en cours en procédant à la saisie du code prétendument confidentiel communiqué par message SMS sur sa ligne téléphonique servant à l’authentification habituelle de ses paiements.

L’usurpation du numéro de téléphone du centre d’opposition de la Société Générale a, de la sorte, mis Madame [U] en confiance et a diminué sa vigilance, inférieure, face à un appel téléphonique émanant prétendument de sa banque pour lui faire part du piratage de son compte.

Par suite, la Société Générale ne démontre pas l’existence d’une négligence grave de Madame [U] à l’origine de la fraude dont celle-ci se dit avoir été la victime, abstraction faite de ce qu’aucune déficience technique, au demeurant non alléguée en l’espèce, a affecté l’opération litigieuse.

En conséquence et sans qu’il y ait lieu de statuer sur la demande de rejet des pièces sollicité par Madame [U], la Société Générale sera condamnée à rembourser à la demanderesse la somme de 11.000 euros, augmentée des intérêts au taux légal, dans les conditions prévues à l’article L.133-18 du code monétaire et financier, à compter du 21 février 2023.

Sur les demandes annexes

Succombant, la Société Générale sera condamnée aux dépens et à verser à Madame [M] [U] la somme de 2.500 euros en application de l’article 700 du code de procédure civile.

PAR CES MOTIFS

Le tribunal, statuant publiquement par jugement contradictoire, en premier ressort et par mise à disposition au greffe,

CONDAMNE la société anonyme Société Générale à payer à Madame [M] [U] la somme de 11.000 euros, augmentée des intérêts au taux légal à compter du 21 février 2023 ;

CONDAMNE la société anonyme Société Générale aux dépens ;

CONDAMNE la société anonyme Société Générale à verser à Madame [M] [U] la somme de 2.500 euros en application de l’article 700 du code de procédure civile ;

DÉBOUTE les parties de leurs demandes plus amples ou contraires.

Fait et jugé à Paris le 13 Décembre 2024

LA GREFFIÈRE LE PRÉSIDENT