TRIBUNAL

JUDICIAIRE

DE PARIS [1]

[1]

Copies délivrées le 03/12/2024

A M^e GASNIER

M^e COAT

■

9ème chambre 2ème section

N° RG :

N° RG 23/11682 – N° Portalis 352J-W-B7H-C2XLM

N° MINUTE :

JUGEMENT

rendu le 03 Décembre 2024

DEMANDERESSE

Madame [K] [L]

[Adresse 6]

[Localité 4]

représentée par M^e Yann GASNIER, avocat au barreau de PARIS, avocat plaidant, vestiaire #C0470

DÉFENDERESSE

S.A. CREDIT LYONNAIS Immatriculée au RCS de Lyon : 954 509 741

[Adresse 2]

[Localité 3] / FRANCE

représentée par M^e Julian COAT, avocat au barreau de PARIS, avocat plaidant, vestiaire #A0297

Décision du 03 Décembre 2024

9ème chambre 2ème section

N° RG 23/11682 – N° Portalis 352J-W-B7H-C2XLM

COMPOSITION DU TRIBUNAL

M. Gilles MALFRE, Premier Vice-président adjoint

M. Augustin BOUJEKA, Vice-président,

M. Alexandre PARASTATIDIS, Juge

assistés de Madame Camille CHAUMONT, Greffière,

DÉBATS

A l’audience du 22 Octobre 2024 tenue en audience publique devant M. Gilles MALFRE, juge rapporteur, qui, sans opposition des avocats, a tenu seul l’audience, et, après avoir entendu les conseils des parties, en a rendu compte au Tribunal, conformément aux dispositions de l’article 805 du Code de Procédure Civile. Avis a été donné aux avocats que la décision serait rendue le 3 décembre 2024.

JUGEMENT

Rendu publiquement par mise à disposition au greffe

Contradictoire

En premier ressort

EXPOSE DU LITIGE

Mme [L] est titulaire d’un compte courant et d’un livret développement durable ouverts dans les livres du CREDIT LYONNAIS.

Elle précise que les 11, 12, 15, 18 et 20 janvier 2022, cinq virements, d’un montant total de 23 410 euros, ont été frauduleusement débités de son compte courant :

— le 11 janvier 2022, 5 990 euros au profit de « [H] [X] » ;

— le 12 janvier 2022, 2 510 euros au profit de « [C] [Y] [R] » ;

— le 17 janvier 2022, 5 660 euros au profit de « [B] [W] [B] » ;

— le 18 janvier 2022, 5 580 euros au profit de « [E] [F] » ;

— le 20 janvier 2022, 3 670 euros au profit de « [D] [S] ».

Elle ajoute que le 20 janvier 2022, un virement d’un montant de 5 000 euros a été effectué, depuis son livret développement durable de Mme [L] vers son compte courant.

Le 17 février 2022, Mme [L] a déposé plainte du chef d’escroquerie.

Le 7 juin 2022, le CREDIT LYONNAIS a indiqué à sa cliente que la tentative de retour des fonds virés en exécution des cinq virements externes n’avait pas abouti.

Le 8 septembre 2022, la banque a remboursé 50 % du montant total des opérations contestées, soit la somme de 11 705 euros, indiquant verser cette somme à titre exceptionnel, au regard de la fidélité de sa cliente.

Par acte du 25 novembre 2022, Mme [L] a fait assigner en référé le CREDIT LYONNAIS, afin notamment qu’il lui soit ordonné de rétablir son compte dans l’état où il se trouvait si les opérations de paiement non autorisées n’avaient pas eu lieu. Par ordonnance du 24 mai 2023, le juge des référés a dit n’y avoir lieu à référé, l’obligation à paiement de la banque étant sérieusement contestable.

Par acte du 12 septembre 2023, elle a fait assigner le CREDIT LYONNAIS devant la présente juridiction, afin qu’il soit condamné à lui payer, la somme en principal de 11 705 euros, avec intérêts au taux légal à compter du 18 février 2022, celle de 5 000 euros à titre de dommages-intérêts, pour résistance abusive en réparation de son préjudice moral et entend qu’il soit ordonné à la banque de rétablir son compte courant débité dans l’état où il se serait trouvé si les opérations de paiement non autorisées n’avaient pas eu lieu et ce, sous astreinte de 100 euros par jour de retard à compter de l’expiration d’un délai de huit jours suivant la signification de la décision. Elle entend par ailleurs que le CREDI LYONNAIS soit condamné à lui payer la somme de 5 000 euros en application de l’article 700 du code de procédure civile.

Par conclusions du 6 mai 2024, le CREDIT LYONNAIS demande au tribunal de débouter Mme [L] de ses demandes et de la condamner à lui payer la somme de 8 000 euros au titre de l’article 700 du code de procédure civile.

Par conclusions du 23 mai 2024, Mme [L] maintient ses demandes.

L’ordonnance de clôture a été rendue le 2 juillet 2024.

SUR CE

Sur la demande principale :

Mme [L] fonde sa demande sur les dispositions de l’article L. 133-18 du code monétaire et financier, dans sa version alors en vigueur, qui obligent la banque à lui rembourser les opérations contestées non autorisées. Elle estime que c’est à tort que le CREDIT LYONNAIS lui oppose les dispositions de l’article L. 133-19 du même code quant à sa supposée négligence grave, alors que cet article ne vise que l’usage des moyens de paiement perdus ou volés.

Elle fait valoir que la banque ne justifie pas que l’accès au compte bancaire par un tiers résulterait d’une négligence grave, rappelant que chaque opération d’ajout d’un bénéficiaire aurait dû générer l’envoi d’une demande de validation par SMS contenant un code de validation, outre qu’il s’agit d’un dispositif de protection secondaire qui ne peut être confondu avec le défaut de préservation par le titulaire du compte des codes et mots de passe permettant l’accès au compte bancaire par voie électronique.

Si le CREDIT LYONNAIS relève qu’elle aurait validé le 4 janvier 2022 une connexion avec un nouvel appareil, à la suite d’une demande adressée par une personne dont elle ne pouvait imaginer qu’il s’agissait d’un fraudeur et dont elle observe qu’il disposait déjà de ses identifiants et de son code secret, données indispensables pour enrôler un nouveau téléphone, elle souligne que dans ce cas, un contact avec la banque est indispensable pour valider cet enrôlement.

Mme [L] conteste avoir communiqué ses identifiants et son code confidentiel, indispensables pour autoriser un nouveau téléphone, estimant que cette divulgation résulte d’une défaillance du système de sécurité de la banque.

Elle considère que la seule validation d’un nouveau téléphone est insuffisante pour permettre la fraude puisqu’il faut également que le changement de numéro de téléphone soit validé. Or, elle soutient que cette validation s’est faite à son insu, mais avec la participation du CREDIT LYONNAIS. Au surplus, elle note que la banque ne produit pas les informations relatives à l’identification du possesseur de cet autre téléphone et de ses informations d’appel.

Elle rappelle n’avoir reçu par la suite aucune autre demande de validation par SMS, manifestement adressée à un autre téléphone, de sorte qu’elle conteste avoir validé l’augmentation de son plafond d’autorisation pour des opérations sur son compte courant.

Par ailleurs, la requérante relève qu’à la lecture de la pièce adverse n°9, le CREDIT LYONNAIS a désactivé l’appareil de confiance le 20 janvier 2022, plus de 8 jours après le début des détournements mais sans en informer sa cliente. Elle souligne dans tous les cas que cette pièce ne prouve pas qu’elle aurait validé les virements frauduleux à partir de son application mobile depuis son téléphone.

En réplique, le CREDIT LYONNAIS expose que le 4 janvier 2022, à 15h09, plus de sept jours avant les virements contestés, il a été enregistré une connexion pour enrôler un appareil de confiance dans le dispositif d’authentification forte, grâce aux données de sécurité personnelles de Mme [L] (identifiant, code personnel d’accès et code à usage unique reçu par SMS sur son téléphone portable). Au même moment, la requérante a reçu un premier SMS d’authentification sur son portable ([XXXXXXXX01]) contenant un code confidentiel à usage unique pour autoriser l’enregistrement de cet appareil.

Il ajoute qu’à 15h11, ce code a été renseigné et l’appareil enregistré et qu’à 15h12, il a été enregistré une deuxième connexion à l’espace en ligne depuis l’adresse IP [Numéro identifiant 5] de la cliente, soulignant qu’à cette occasion, Mme [L] a reçu un deuxième SMS d’authentification au [XXXXXXXX01], contenant un deuxième code confidentiel à usage unique à saisir pour se connecter à l’espace en ligne LCL. Il précise que le 11 janvier 2022, le plafond de virement a été modifié par authentification forte, au moyen de l’identifiant, du code personnel d’accès et de l’appareil de confiance enregistré sept jours plus tôt.

La banque rappelle que le régime général de responsabilité prévu à l’article L. 133-18 du code monétaire et financier est écarté lorsque l’opération est réalisée au moyen d’un « instrument de paiement doté de données de sécurité personnalisées » au profit d’un régime spécial prévu aux articles L. 133-19 et L. 133-20 du même code.

Or, en l’espèce, elle relève que les opérations ont été dûment authentifiées, enregistrées et n’ont été affectées d’aucune déficience technique, outre que le préjudice procède des négligences graves de Mme [L].

Sur ce dernier point, la banque observe que les opérations contestées ont été réalisées après l’enrôlement d’un appareil, au moyen des données de sécurité personnelles de Mme [L], le numéro de téléphone auquel le code confidentiel à usage unique a été envoyé par SMS, pour l’authentification forte, étant celui déclaré par Mme [L] dans sa plainte.

Elle note que Mme [L] communique l’intégralité des SMS reçus de sa banque le 4 janvier 2022, dont le premier SMS de sécurité contenant le code confidentiel à usage unique ayant servi à enrôler un autre appareil de confiance.

Comme l’a justement relevé le juge des référés, le CREDIT LYONNAIS souligne que sa cliente s’est également connectée à son espace en ligne, via l’adresse IP [Numéro identifiant 5], au même moment que l’enregistrement de l’appareil de confiance, et qu’elle a reçu instantanément un deuxième SMS d’authentification sur son téléphone portable, contenant un deuxième code confidentiel à usage unique pour se connecter à son espace en ligne LCL.

Par ailleurs, la banque indique que les virements contestés, au vu de l’historique des opérations sur l’espace en ligne, ont fait l’objet d’une authentification forte, comme le montre la mention apposée sur les relevés, via un facteur de connaissance (le code personnel d’accès de Mme [L]) et un facteur de possession (l’appareil de confiance).

La banque en conclut que Mme [L] n’a pas pris les mesures nécessaires pour préserver la sécurité de ses données de sécurité personnelles, en ce que, d’une part la connexion d’un nouvel appareil à son espace en ligne s’est effectuée par la saisie de son identifiant et de son code personnel d’accès et, d’autre part, l’enrôlement de l’appareil de confiance s’est effectué par la saisie du code à usage unique envoyé sur son téléphone. Elle ajoute que par la suite Mme [L] s’est connectée à son espace en ligne au même moment que l’enrôlement de l’appareil de confiance, soulignant qu’il s’est écoulé plus de sept jours entre l’enrôlement litigieux de l’appareil de confiance et les virements contestés.

Par ailleurs, la défenderesse estime que c’est à tort que Mme [L] soutient que l’envoi des deux SMS de sécurité n’est qu’un dispositif de sécurité secondaire, alors que ces messages sont exigés dans le cadre du dispositif d’authentification forte pour enrôler un nouvel appareil de confiance et permettre de se connecter aux services en ligne.

Sur ce point, la banque rappelle que lors de l’utilisation d’un appareil de confiance, le client ne reçoit plus de code à usage unique lorsqu’il exécute un virement, la validation de l’opération ne nécessitant alors que la saisie de l’identifiant et du code personnel d’accès (facteur de connaissance), sur l’appareil de confiance (facteur de possession).

Enfin, le CREDIT LYONNAIS reproche à Mme [L] de ne l’avoir informé de la fraude que le 17 février 2022, soit un mois et demi après l’enrôlement de l’appareil de confiance litigieux dont elle avait été pourtant informée dès le 4 janvier 2022, ce qui constitue une violation des dispositions de l’article L. 133-17 I du code monétaire et financier et des dispositions contractuelles.

Ceci étant exposé.

En cas d’opération de paiement non autorisée signalée par l’utilisateur dans les délais prévus par l’article L. 133-24 du même code, le prestataire de services de paiement du payeur rembourse à ce dernier le montant de l’opération non autorisée sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement.

Dans cette hypothèse, il incombe au prestataire de paiement de prouver que l’opération litigieuse a été effectuée après une authentification forte, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre, l’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement, à savoir l’utilisation des identifiants du client et l’absence de déficience technique ou autre, notamment par le biais de la production d’un relevé de ses connexions, ne suffisant pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur.

L’article L. 133-4 (f) du même code précise qu’une authentification forte s’entend d’une authentification reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories « connaissance » (quelque chose que seul l’utilisateur connaît telle qu’un mot de passe, un code secret, une question secrète, etc…), « possession » (quelque chose que seul l’utilisateur possède telle qu’un téléphone portable, une montre connectée, une clé USB etc…) et « inhérence » (quelque chose que l’utilisateur est, telle que la reconnaissance faciale ou vocale, la reconnaissance par empreinte digitale, etc…) et indépendants en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d’authentification. L’authentification forte repose donc sur l’utilisation de deux de ces éléments, voire plus.

Par ailleurs, la responsabilité du payeur n’est pas engagée si l’opération de paiement non autorisée a été effectuée en détournant, à son insu, l’instrument de paiement ou les données qui lui sont liées. Cependant, il supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’agissements frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L.133-16 et L.133-17 du code précité.

Ainsi, pour échapper au remboursement de l’opération contestée, le prestataire de services de paiement doit démontrer, soit que l’ordre émanait bel et bien du client dûment authentifié dans son espace personnel, soit que le vol des identifiants de connexion (ou d’autres données) n’est que la conséquence d’une faute grave de sa part consistant à ne pas avoir satisfait intentionnellement aux obligations lui incombant en la matière ou à les avoir gravement négligées.

En l’espèce, Mme [L] conteste avoir procédé aux cinq virements litigieux, de sorte qu’il s’agit d’opérations non autorisées.

Il est indiqué en page 4 des conclusions en demande : «En l’espèce, le CREDIT LYONNAIS se limite à relever que Mme [L] aurait validé le 4 janvier 2022 une connexion avec un nouvel appareil. Mme [L] précise que son téléphone est de marque SAMSUNG. Mme [L] n’utilise que rarement l’application mobile pour réaliser des opérations et c’est à l’occasion de l’une d’elle que cette demande lui a été adressée et lui a donc paru normale. Elle ne pouvait imaginer qu’elle émanait en réalité de fraudeurs disposant déjà de ses identifiant et de son code secret. Elle ne recevra plus ensuite d’autres demandes de validation par SMS manifestement adressées à un autre numéro de téléphone et tout aussi manifestement validé par un préposé de la banque selon la procédure évoquée infra. Par ailleurs, Madame [L] est une cliente de longue date du CREDIT LYONNAIS qui ne pouvait en conséquence que s’interroger sur la nature des opérations inhabituelles et particulièrement suspectes réalisées par les fraudeurs. »

Il résulte de ces déclarations que le 4 janvier 2022, à l’occasion d’une opération sur l’application mobile de sa banque, Mme [L] a été destinataire d’une demande de validation par SMS, dont elle indique qu’elle émanait en réalité de fraudeurs. Ce n’est d’ailleurs qu’au vu des éléments produits par la banque sur cette validation qu’elle évoque ces faits du 4 janvier 2022 dans ses conclusions, sans les avoir mentionnés dans sa plainte du 17 février 2022.

Dans tous les cas, elle ne précise pas les circonstances exactes de cette demande de validation (appel téléphonique, courriel ou SMS reçu), pas plus qu’elle ne soutient que lors de cette demande, son interlocuteur se serait fait passer pour un représentant de sa banque, en piratant au besoin la ligne téléphonique de cette dernière.

Or, la banque justifie que le 4 janvier 2022, il a été enregistré une connexion pour enrôler un appareil de confiance dans le dispositif d’authentification forte, grâce aux données de sécurité personnelles de Mme [L] et que la requérante a reçu un SMS d’authentification sur son portable ([XXXXXXXX01]), qu’elle n’a déclaré ni perdu ni volé, contenant un code confidentiel à usage unique pour autoriser l’enregistrement de cet appareil. Le même jour, ce code a été renseigné et l’appareil enregistré. Également le 4 janvier 2022, il a été enregistré une deuxième connexion à l’espace en ligne depuis l’adresse IP [Numéro identifiant 5] de la cliente. A cette occasion, Mme [L] a reçu un deuxième SMS d’authentification sur son portable, contenant un deuxième code confidentiel à usage unique à saisir pour se connecter à l’espace en ligne LCL.

Mme [L] a commis une négligence grave, en communiquant ses données personnelles, le code confidentiel à usage unique, permettant l’enregistrement d’un nouveau téléphone portable comme appareil de confiance et, en parallèle, en se connectant sur son espace en ligne, en divulguant un autre code confidentiel également reçu par SMS, cette négligence s’opposant à la condamnation de la banque au remboursement des virements litigieux.

Il ne peut être reproché à la banque une absence d’authentification forte lorsque le fraudeur a procédé aux cinq virements contestés. En effet, il suffisait à ce dernier, pour valider ces virements, de saisir son identifiant et son code personnel d’accès sur l’appareil de confiance qu’il avait enregistré à la suite de la négligence grave commise par la cliente. Il a été procédé de même pour la modification du plafond de virement intervenue le 11 janvier 2022.

Ce processus constitue une authentification forte telle que définie à l’article L. 133-4 (f) du code monétaire et financier, puisqu’il y a eu saisie de l’identifiant et du code personnel d’accès (le facteur de connaissance) sur un appareil de confiance (le facteur de possession).

Mme [L] sera par conséquent déboutée de ses demandes.

Sur les autres demandes :

L’équité commande de ne pas prononcer de condamnation au titre des frais irrépétibles.

PAR CES MOTIFS

Le tribunal, statuant publiquement, contradictoirement et en premier ressort, par mise à disposition au greffe,

Déboute Mme [K] [L] de ses demandes ;

La condamne aux dépens ;

Dit n’y avoir lieu à condamnation au titre de l’article 700 du code de procédure civile.

Fait et jugé à Paris, le 3 décembre 2024.

La greffière le Président