Décision du 08 Novembre 2024

9ème chambre 2ème section

N° RG 22/13467 – N° Portalis 352J-W-B7G-CX6VN

TRIBUNAL

JUDICIAIRE

DE PARIS [1]

[1]

Expéditions

exécutoires

délivrées le:

à

M^e LABBAS

M^e MARTIN

■

9ème chambre 2ème section

N° RG 22/13467 – N° Portalis 352J-W-B7G-CX6VN

N° MINUTE : 11

Assignation du :

28 Octobre 2022

JUGEMENT

rendu le 08 Novembre 2024

DEMANDEUR

Monsieur [P] [M]

[Adresse 3]

[Localité 2]

représenté par Maître Najette LABBAS de la SELEURL Cabinet Najette LABBAS, avocats au barreau de PARIS, vestiaire #B0319

DÉFENDERESSE

S.A. CCF, venant aux droits de la société HSBC CONTINENTAL EUROPE

[Adresse 1]

[Localité 4]

représentée par Maître Francis MARTIN de la SELARL CABINET SABBAH & ASSOCIES, avocats au barreau de PARIS, vestiaire #P0466

COMPOSITION DU TRIBUNAL

Monsieur MALFRE, 1er Vice-président adjoint

Monsieur BOUJEKA, Vice-Président

Monsieur PARASTATIDIS, Juge

assistés de Diane FARIN, Greffière.

DÉBATS

A l’audience du 20 Septembre 2024 tenue en audience publique devant Monsieur BOUJEKA, juge rapporteur, qui, sans opposition des avocats, a tenu seul l’audience, et, après avoir entendu les conseils des parties, en a rendu compte au Tribunal, conformément aux dispositions de l’article 805 du Code de Procédure Civile. Avis a été donné aux avocats que la décision serait rendue le 08 novembre 2024.

JUGEMENT

Rendu publiquement par mise à disposition au greffe

Contradictoire

En premier ressort

FAITS ET PROCÉDURE

Titulaire d’un compte ouvert à la société HSBC Continental Europe aux droits de laquelle vient désormais la société Crédit Commercial de France (ci-après CCF), Monsieur [P] [M] affirme avoir reçu, le 29 décembre 2021, un message SMS venant de « AMELI » l’invitant à régler la somme de 0,75 euro en paiement de l’envoi de sa carte vitale, somme effectivement honorée par lui au moyen de son espace personnel en ligne.

Le 10 janvier 2022, Monsieur [M] prétend avoir été contacté par une personne se disant préposé de la société HSBC l’informant que des tentatives de paiements frauduleux avaient eu lieu à son détriment et qu’il n’avait pas besoin de faire opposition.

Le 20 janvier 2022, le compte bancaire de Monsieur [M] a été débité de la somme de 12.647,58 euros au profit de l’entité Iparts4U située au Royaume-Uni, cette somme correspondant à la contrevaleur d’un règlement effectué en livres sterling.

Le 1er février 2022, Monsieur [M] a contesté ce paiement auprès de la société HSBC en sollicitant le remboursement de la somme correspondante.

Par réponse du 2 février 2022, la banque HSBC a rejeté la contestation de Monsieur [M], estimant que la demande de remboursement ne pouvait prospérer en raison d’une négligence grave de l’intéressé dans la conservation des données de sa carte bancaire.

Le 21 février 2022, Monsieur [M] a déposé plainte auprès du commissariat du [Localité 2] pour escroquerie, invoquant un préjudice de 12.647,58 euros.

Par lettre recommandée avec accusé de réception du 29 mars 2022 adressée à la banque HSBC, le conseil de Monsieur [M] a indiqué à cet établissement que le paiement de la somme de 12.647,58 euros n’avait pas été autorisé par son client, invoquant le manque de vigilance de l’établissement bancaire et le mettant en demeure de rembourser ladite somme sous huitaine.

Par lettre du 28 avril 2022, la société HSBC a répondu au conseil de Monsieur [M] que le paiement contesté avait été validé par Monsieur [M] aux moyens d’une authentification forte et d’un Code Paiements en ligne personnel au client, de telle sorte que le règlement était autorisé, la demande de remboursement ne pouvant qu’être rejetée.

C’est dans ce contexte que par acte du 28 octobre 2022, Monsieur [M] a fait assigner la banque HSBC, aux droits desquels vient désormais le CCF, en recherche de la responsabilité de cet établissement et, aux termes de ses dernières écritures signifiées le 14 mars 2024, demande à ce tribunal, au visa des articles L. 133-6 I, L. 133-7, L.133-15, L. 133-17, L.133-18 du Code Monétaire et Financier, 1231-1 du Code Civil, 695 et 700 du Code de Procédure Civile, de :

— LE DÉCLARER recevable et bien fondé en toutes ses demandes,

Par conséquent,

— ORDONNER à la banque HSBC Continental Europe le remboursement intégral de la somme de 12.647,58 euros.

— CONSTATER que la société HSBC Continental Europe a manqué à son obligation de contrôle et de vigilance,

— ORDONNER à la banque HSBC Continental Europe de verser la somme de 3.000 euros à titre de dommages et intérêts découlant du manquement à son obligation de contrôle et de vigilance.

En tout état de cause,

— CONDAMNER la société HSBC Continental Europe à lui payer une indemnité de 2.500 € en vertu des dispositions de l’article 700 du Code de Procédure Civile

— ORDONNER l’exécution provisoire du jugement à intervenir.

Par dernières écritures signifiées le 22 mai 2024, le CCF demande à ce tribunal, au visa des articles L.133-4, L.133-6, L.133-7, L.133-8-I, L.133-16, L.133-17-I, L.133-18, L.133-19-IV du Code Monétaire et Financier, de :

— RECEVOIR la Société CCF, venant aux droits de la Société HSBC Continental Europe, en ses demandes et l’y déclarer bien fondée.

En conséquence,

— DÉBOUTER Monsieur [P] [M] de toutes ses demandes, fins et prétentions formulées à l’encontre de la Société HSBC Continental Europe, aux droits de laquelle vient la Société CCF.

— CONDAMNER Monsieur [P] [M] à payer à la Société CCF la somme de 2.500 euros au titre de l’article 700 du Code de Procédure Civile, ainsi qu’aux entiers dépens, lesquels pourront être recouvrés par la SELARL Cabinet Sabbah & Associes, représentée par Maître Francis Martin, en application des dispositions de l’article 699 du Code de Procédure Civile.

La clôture a été prononcée le 5 juillet 2024, l’affaire étant appelée à l’audience du 20 septembre 2024 et mise en délibéré au 8 novembre 2024.

Il est fait expressément référence aux pièces du dossier et aux écritures déposées et visées ci-dessus pour un plus ample exposé des faits de la cause et des prétentions des parties conformément aux dispositions de l’article 455 du Code de Procédure Civile.

MOTIFS DE LA DÉCISION

Sur la demande principale

A titre liminaire, le CCF, venant aux droits de la société HSBC Continental Europe, sera reçu en sa demande d’intervention volontaire.

Ceci étant précisé, Monsieur [M] soutient tout d’abord n’avoir pas autorisé le paiement litigieux, en application des articles L.133-3, L.133-5, L.133-6, I, L.133-7 et L.133-4 f du Code Monétaire et Financier et sollicite dès lors le remboursement de la somme payée, au montant de 12.647,58 euros, en application de l’article L.133-18 du même code. Il conteste l’allégation contraire de la banque, en ce que le paiement qu’il a validé à l’aide de la procédure d’authentification forte, correspondait à la somme de 0.75 euros, faisant suite à un message reçu de la plateforme ameli en règlement de l’envoi de la carte vitale du concluant, affirmant en outre que le détournement des fonds dont il a été victime est assimilable à un vol (Cass. com., 30 novembre 2022, n°21-17.614). Il prétend n’avoir pas reçu le message d’alerte par SMS dont se prévaut la banque dans la mesure où il n’aurait jamais validé un paiement semblable, de surcroît libellé en monnaie anglaise, d’un montant aussi élevé. Il rappelle que la banque prestataire de services de paiement doit rapporter la preuve non seulement de la négligence grave d’un client contestant l’ordre de paiement argué de fraude, mais également qu’il a mis en œuvre une authentification forte, laquelle, même démontrée, n’est exonératoire qu’en présence d’une négligence grave du client, le Crédit Commercial de France échouant dans cette double démonstration. Il souligne avoir été victime d’un hameçonnage à l’origine de la transaction litigieuse en date du 20 janvier 2022, l’opposition étant intervenue immédiatement, ainsi que la contestation de l’opération faite le 1er février 2022, avec dépôt en parallèle d’une plainte. Il conteste la pièce produite par la banque pour justifier l’existence d’une authentification forte en ce que le code IP y figurant ne correspond pas à son appareil téléphonique de type iPhone, cette pièce étant par ailleurs interne à la banque et ne prouvant rien, observant en outre que l’établissement ne démontre pas l’inviolabilité de son système de paiement en ligne.

Monsieur [M] invoque ensuite le manquement par la banque à l’obligation de vigilance lui incombant au sens de l’article L.561-5 du Code Monétaire et Financier et à l’obligation de mise en garde, justifiant l’allocation de la somme de 3.000 euros à titre de dommages et intérêts.

En réplique, le CCF fait valoir que la demande de Monsieur [M] doit être rejetée, en ce que le paiement litigieux a été autorisé par l’intéressé, conformément aux dispositions des articles L.133-6, L.133-7 et L.133-8 du Code Monétaire et Financier, à l’aide de l’authentification forte prévue à l’article L.133-4 f du même code, au moyen des données personnelles sécurisées de Monsieur [M]. Il souligne à cet effet que le paiement contesté a été validé par saisie du code confidentiel de Monsieur [M] et du code à usage unique propre à Monsieur [M], la demande d’authentification ayant été transmise par SMS au numéro de téléphone donné par Monsieur [M]. Elle souligne que c’est en vain que Monsieur [M] prétend avoir validé un paiement de 0,75 euros après réception d’un SMS reçu de la plateforme amelie le 29 décembre 2021, alors que le SMS reçu pour finaliser la transaction litigieuse comporte une alerte avertissant le destinataire de la nécessité de ne pas partager le code d’authentification et de l’utiliser pour valider le paiement querellé libellé en livre sterling et Monsieur [M], qui a validé cette opération, l’a nécessairement autorisée. Il relève que par l’argument tiré de la non-conformité du code IP de l’appareil utilisé, Monsieur [M] cherche à créer une confusion entre le périphérique recevant le code permettant l’authentification, soit le téléphone portable de Monsieur [M] lui-même et le périphérique au moyen duquel la transaction est réalisée in fine, de telle sorte que la demande doit être rejetée sur ce point.

Subsidiairement, le CCF se prévaut de la négligence grave commise par Monsieur [M], en application de l’article L.133-19, IV, L.133-16, L.133-4 et L.133-17 du Code Monétaire et Financier. Il souligne que ni la carte bancaire, ni le téléphone de Monsieur [M] n’ont été volés, pas davantage que la carte SIM de son téléphone a fait l’objet d’une fraude, Monsieur [M] ayant cependant commis plusieurs négligences, tout d’abord en ne tenant pas compte du message d’alerte envoyé en même temps que le code de finalisation de l’opération précisant le montant de la transaction et s’il n’a pas utilisé lui-même ce code, il l’a nécessairement communiqué à un tiers, en ne s’étonnant pas du montant de l’opération, du bénéficiaire qui n’était pas ameli et du montant dérisoire de la somme nécessaire à l’envoi de la prétendue carte vitale, devant être relevé l’incohérence des dates mentionnées par Monsieur [M], dix jours s’étant écoulés entre l’appel du fraudeur et la fraude qui, en réalité, ont dû être concomitants. Le CCF affirme en outre n’avoir commis aucune faute, aucun manquement technique n’étant démontré, pas plus qu’une irrégularité formelle ou intellectuelle de l’opération de paiement, la carte Infinite permettant en effet un paiement pouvant s’élever à un maximum de 20.000 euros, de telle sorte que Monsieur [M] doit être débouté de l’ensemble de ses demandes.

Sur ce,

En application des dispositions des articles L.133-18, dans sa version applicable du 13 janvier 2018 au 18 août 2022 et de l’article L.133-19 IV du Code Monétaire et Financier, en cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L. 133-24, le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement et s’il communique ces raisons par écrit à la Banque de France. Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17.

Au cas particulier, Monsieur [M] reconnaît avoir réglé la somme de 0,75 euro après réception du message SMS venant de ameli en date du 29 décembre 2021, mais conteste avoir autorisé le règlement litigieux de la somme de 12.647,58 euros en date du 20 janvier 2022.

Or selon les dispositions du I de l’article L.133-6 du Code Monétaire et Financier, une opération de paiement est autorisée si le payeur a donné son consentement à son exécution.

Il résulte de ce texte que pour être considéré comme autorisé, un paiement doit recevoir le consentement du payeur non seulement dans son principe, mais également dans son quantum.

Par suite, le paiement litigieux de la somme de 12.647,58 euros doit être considéré comme n’ayant pas été autorisé par Monsieur [M] dès lors que celui-ci n’a pas expressément indiqué cette somme comme devant être l’objet de l’exécution de l’ordre de paiement querellée par les deux parties.

Etant retenu que le paiement litigieux n’a pas été autorisé par le demandeur, il convient de rechercher si Monsieur [M] a été victime d’une fraude passant outre l’exigence d’authentification forte prévue aux articles L.133-44 et L.133-4 f du Code Monétaire et Financier, le manquement à cette dernière exigence étant de nature à engager de plein droit la responsabilité du prestataire de services de paiement.

En l’espèce, la banque HSBC produit aux débats une pièce 4 portant analyse de la procédure d’authentification forte mise en œuvre le 20 janvier 2022 relativement au paiement querellé.

En l’occurrence, il en ressort qu’à 13 heure 15 minutes et 31 secondes, la banque HSBC a envoyé à Monsieur [M], au numéro de téléphone « 33 6 09 76 12 74 » donné par celui-ci pour procéder à l’authentification forte une demande de confirmation d’un paiement de la somme de 10.217,83 livres sterling, le demandeur ayant confirmé cette transaction à l’aide d’un code à usage unique prévu pour ce type de transaction.

Monsieur [M] se borne à contester la mise en œuvre par la banque HSBC de la procédure d’authentification forte, soutenant qu’il n’aurait jamais validé un paiement d’un semblable montant libellé de surcroît en livre sterling.

Cependant, le CCF produit aux débats un journal informatique de la transaction litigieuse, précisant les modalités de la procédure d’authentification forte mise en œuvre à l’occasion de l’exécution du paiement contesté, ainsi que la confirmation de la transaction au moyen d’un code unique utilisé après son envoi par SMS au numéro de téléphone donné par Monsieur [M] à l’occasion de la mise à disposition du moyen de paiement par la banque.

Monsieur [M], qui n’allègue ni ne démontre avoir été victime d’une soustraction frauduleuse de son appareil téléphonique comme du numéro de téléphone qu’il a donné à la banque pour l’envoi des SMS d’authentification des paiements, n’est pas fondé dans sa prétention selon laquelle la banque HSBC aurait été défaillante dans la mise en œuvre de l’authentification forte.

En revanche, il est acquis aux débats que le 10 janvier 2022, un tiers se faisant passer pour la banque HSBC, par usurpation du numéro de téléphone de cet établissement, a indiqué à Monsieur [M] que celui-ci était victime de tentative de paiements frauduleux par utilisation des données liées à son compte bancaire.

Si Monsieur [M] se borne à indiquer avoir été informé par la banque HSBC d’un paiement frauduleux intervenu le 20 janvier 2022 sur son compte ouvert dans les livres de cet établissement, le demandeur reconnaît, dans ses dernières écritures, avoir été victime d’un hameçonnage de ses données personnelles ayant conduit à la réalisation du paiement litigieux, sans se montrer davantage disert sur les circonstances précises de ce hameçonnage à la date du 20 janvier 2022, jour de la transaction.

En outre, le journal informatique produit par l’établissement démontre que Monsieur [M] a mis en œuvre la procédure d’authentification forte en confirmant non seulement la transaction de 12.647,58 euros dont le paiement est querellé, mais encore en confirmant ce paiement au moyen d’un code unique « Paiements en ligne » fourni par la banque HSBC à l’occasion de chaque transaction similaire.

En procédant de la sorte et dès lors qu’il reconnaît avoir été victime d’un hameçonnage à la date du 20 janvier 2022, Monsieur [M] a nécessairement et préalablement communiqué les données afférentes à l’accès en ligne sur son espace de paiement ouvert à la banque HSBC, ainsi que les données personnelles liées à sa carte de paiement sans lesquelles le paiement querellé n’aurait pu avoir lieu.

Dès lors, en transmettant ainsi à des tiers des données de paiement qui lui sont personnelles et confidentielles, Monsieur [M], tenu de conserver ces données sans pouvoir les divulguer à un tiers, fut-il un préposé du prestataire de paiement en relation contractuelle avec lui, a commis une négligence grave au sens des articles L.133-19 IV, lu en combinaison avec l’article L.133-16 du Code Monétaire et Financier.

Par suite, en ce qu’il a commis une négligence grave excluant son droit à réparation, Monsieur [M] doit être débouté de sa demande.

Par ailleurs, Monsieur [M] soutient que la fraude dont il a été victime doit être assimilée à un vol.

Ce faisant, Monsieur [M] invoque un arrêt de la Cour de cassation en date du 30 novembre 2022 (Cass. com., 30 novembre 2022, n°21-17.614).

Cependant, cette décision ne peut être transposée au cas particulier, en ce qu’elle statue sur des faits radicalement différents dans la mesure où il s’agissait d’une contestation afférente à un usage physique de la carte de paiement alors qu’au cas particulier, seules les données de la carte de paiement de Monsieur [M] sont intervenues dans le paiement contesté sans utilisation physique de l’instrument.

Au sujet du manquement à l’obligation de vigilance dont se prévaut Monsieur [M] à l’encontre de la banque HSBC, il sera rappelé que les dispositions de l’article L.561-5 du Code Monétaire et Financier, invoquées par le demandeur au soutien de cette prétention, ont pour seule finalité la lutte contre le blanchiment des capitaux et le financement du terrorisme.

Par suite, un particulier ne peut se prévaloir du manquement à pareille obligation, au demeurant non démontré au cas particulier, pour invoquer la réparation d’un préjudice à son profit.

Au sujet du manquement à l’obligation de mise en garde allégué par Monsieur [M] à l’encontre de la banque HSBC, le demandeur ne fournit aucun élément propre à établir qu’en sa qualité de consommateur, il n’aurait pas reçu de la banque HSBC une alerte l’invitant à adopter, en opportunité, une ligne de conduite déterminée à propos d’un engagement à souscrire lié à une prestation autre que celle afférente au paiement litigieux.

Par suite, la demande afférente au manquement à l’obligation de mise en garde ne peut prospérer, en ce qu’elle manque en fait.

Sur les demandes annexes

Succombant, Monsieur [P] [M] sera condamné aux dépens, dont distraction au profit de le SCP Sabbah & Associés représentée par Maître Francis Martin et à verser au CCF la somme de 1.500 euros en application de l’article 700 du Code de Procédure Civile.

Compte tenu de la teneur de la décision, il y a lieu d’écarter l’exécution provisoire.

PAR CES MOTIFS

Le tribunal, statuant publiquement par jugement contradictoire, en premier ressort et par mise à disposition au greffe,

REÇOIT la société Crédit Commercial de France en son intervention volontaire ;

DÉBOUTE Monsieur [P] [M] de l’ensemble de ses demandes ;

CONDAMNE Monsieur [P] [M] aux dépens, dont distraction au profit de la SCP Sabbah & Associés représentée par Maître Francis Martin ;

CONDAMNE Monsieur [P] [M] à verser à la société Crédit Commercial de France la somme de 1.500 euros en application de l’article 700 du Code de Procédure Civile ;

ECARTE l’exécution provisoire.

Fait et jugé à Paris le 08 Novembre 2024

LA GREFFIÈRE LE PRÉSIDENT