TRIBUNAL

JUDICIAIRE

DE PARIS [1]

[1] Copie conforme délivrée

le : 09/08/2024

à : M^e LALLEMAND

Copie exécutoire délivrée

le : 09/08/2024

à : M^e Karène BIJAOUI-CATTAN

Pôle civil de proximité

■

PCP JTJ proxi fond

N° RG 22/03617 – N° Portalis 352J-W-B7G-CXA63

N° MINUTE : 3/2024

JUGEMENT

rendu le vendredi 09 août 2024

DEMANDEURS

Madame [F] [W] épouse [G], demeurant [Adresse 2]

représentée par M^e Karène BIJAOUI-CATTAN, avocat au barreau de PARIS, vestiaire : #B0613

Monsieur [I] [G], demeurant [Adresse 2]

représenté par M^e Karène BIJAOUI-CATTAN, avocat au barreau de PARIS, vestiaire : #B0613

DÉFENDERESSE

LA BANQUE POSTALE, dont le siège social est sis [Adresse 1]

représentée par M^e LALLEMAND, avocat au barreau de , vestiaire : D 1172

COMPOSITION DU TRIBUNAL

Pascal CHASLONS, Vice-président, statuant en juge unique

assisté de Florian PARISI, Greffier,

DATE DES DÉBATS

Audience publique du 15 janvier 2024

JUGEMENT

contradictoire, en dernier ressort, mis en délibéré à la date initiale du 22 mars 2024 puis finalement prorogé et prononcé par mise à disposition le 09 août 2024 par Pascal CHASLONS, Vice-président assisté de Florian PARISI, Greffier

Décision du 09 août 2024

PCP JTJ proxi fond – N° RG 22/03617 – N° Portalis 352J-W-B7G-CXA63

EXPOSÉ DU LITIGE

Par acte du 17/05/2022, Monsieur [I] [G] et Madame [F] [W] épouse [G] ont assigné LA BANQUE POSTALE devant le tribunal judiciaire de PARIS (pôle civil de proximité) aux fins de la voir condamnée au paiement de la somme de 3054,86 € (3000 € au titre des opérations frauduleuses et 54,86 € au titre de frais bancaires).

Les époux [G] ont réclamé en outre une indemnité de 500 € à titre de dommages-intérêts, une indemnité de 1000 € en application de l’article 700 du code de procédure civile et le maintien de l’exécution provisoire de la décision à intervenir.

Préalablement à leur assignation, les époux [G] avaient saisi le conciliateur de justice auprès du tribunal judiciaire de Paris qui avait constaté l’échec de la conciliation.

Les époux [G] ont exposé que titulaires d’un compte bancaire auprès de LA BANQUE POSTALE, ils avaient découvert le 12/01/2021 un découvert anormal lié à un virement de 3000 € effectué quelques jours plus tôt à leur insu. Au vu du compte bénéficiaire situé en Belgique, il apparaissait que ce virement résultait d’une fraude bancaire.

Les époux [G] ont indiqué qu’ils avaient déposé plainte et avaient demandé le remboursement des fonds détournés. Il leur avait été opposé un refus alors qu’ils n’avaient jamais autorisé l’ajout d’un bénéficiaire et qu’ils n’avaient jamais authentifié ni validé le virement litigieux.

Les époux [G] ont rappelé que le prestataire de paiement était responsable des opérations non autorisées, signalées par le payeur, et qui résulteraient d’un détournement de l’instrument de paiement, la déclaration du payeur étant suffisante à caractériser une telle situation. Cette responsabilité résultait des articles L133-18, L133-19, L133-20 et L133-22 du code monétaire et financier.

Les époux [G] ont estimé au demeurant que le caractère manifestement frauduleux du virement ne pouvait échapper à la BANQUE POSTALE. Au surplus, la seule affirmation de cette dernière de l’utilisation concomitante de l’identifiant, du mot de passe et du code de validation ne pouvait suffire pour imputer au titulaire du compte l’opération litigieuse. En effet, selon l’article L133-23 du code monétaire et financier, il incombe au prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre.

En conséquence, des éléments précis et détaillés quant à une prétendue validation de la transaction litigieuse devait être apportée par la banque. De plus, cette dernière devait établir la négligence grave de son client.

Les époux [G] ont fait valoir qu’il ne contestaient pas avoir reçu un SMS pour l’ajout d’un bénéficiaire quant aux virements mais qu’ils n’avaient jamais été personnellement à l’origine de la validation de celui-ci. Il en était de même pour le SMS adressé pour valider le virement de 3000 €.

Subsidiairement, les époux [G] se sont prévalus de la responsabilité de la BANQUE POSTALE à raison de son manquement à son obligation de vigilance, telle qu’elle résulte de l’article L561-6 du code de monétaire et financier. En l’espèce, au vu de la nature de l’opération en cause et de leurs habitudes bancaires, les époux [G] ont estimé que la banque aurait dû les interroger directement sur l’opération en cause.

LA BANQUE POSTALE a conclu au débouté des demandes des époux [G] et à leur condamnation au paiement d’une indemnité de 2000 € en application de l’article 700 du code de procédure civile.

LA BANQUE POSTALE a rappelé que pour effectuer un virement, son auteur devait avoir la main sur l’espace « banque en ligne » du titulaire du compte, ce qui ne pouvait se faire qu’en utilisant l’identifiant et le mot de passe personnels de ce dernier. Cette opération s’effectuait en dehors de la sphère d’intervention de l’établissement bancaire.

Par ailleurs, pour la BANQUE POSTALE, au vu des dispositions légales comme des dispositions contractuelles, le consentement du titulaire de compte à l’exécution de l’opération valait autorisation de paiement. De plus, la banque ne pouvait être responsable du non-respect des procédures d’utilisation des services internet par le client. Aussi, toute opération passant par la saisie du code personnel Certicode Plus était présumée émaner du client, jusqu’à preuve contraire.

LA BANQUE POSTALE, plus précisément, s’est prévalue de l’envoi le 05/01/2021 et le 09/01/2021 de deux SMS qui rendaient improbable la thèse d’une opération effectuée à l’insu des époux [G].

Par ailleurs, LA BANQUE POSTALE a rappelé le principe de non immixtion de la banque dans les affaires de son client dont il exécutait les ordres sans pouvoir d’appréciation. S’agissant de l’article L561 du code monétaire et financier, il était sans lien avec l’espèce.

LA BANQUE POSTALE, en tout état de cause, à considéré que les titulaires de comptes pouvaient se voir reprocher une négligence grave qui exonérait l’établissement de toutes responsabilités. En effet, la fraude n’avait été possible que par la mise à disposition au profit du fraudeur de l’identifiant du compte et du mot de passe personnel par le client en infraction à son obligation de préserver la sécurité de ses données de sécurité personnalisées.

En dernier lieu, LA BANQUE POSTALE a considéré que les demandeurs ne démontraient ni l’existence d’une faute, ni l’existence d’un préjudice ni le lien de causalité entre fraude et préjudice.

Dans leurs dernières conclusions, les époux [G] ont fait valoir les éléments suivants :

Non seulement aucune autorisation n’avait été donnée quant à l’ajout d’un bénéficiaire et aucune authentification et validation du virement frauduleux n’avait été faites mais également, le service Certicode Plus N’avait pas été activé à l’époque des faits, ce que démontrait le message de confirmation de l’activation de ce service reçu par les époux [G] bien après les faits, soit le 15/04/2021.La fraude ne faisait aucun doute, d’autant que les époux [G] n’avaient jamais divulgué leur code d’accès, leurs coordonnées bancaires ou leur code confidentiel. Ils n’avaient pas non plus cliqué sur un lien frauduleux ni n’avaient répondu à un appel frauduleux.Les contestations des époux [G] étaient intervenues dans des délais adaptés alors que LA BANQUE POSTALE avait fait preuve de passivité et de confusion, obligeant ses clients à de multiples relances.Il était attendu du titulaire du compte de se comporter comme un utilisateur normalement attentif. S’agissant d’hameçonnage, il doit être apprécié si l’utilisateur aurait pu se douter du caractère frauduleux de l’opération. Or, l’hypothèse d’un hameçonnage et d’une négligence subséquente des titulaires du compte, telles qu’avancée par la banque, devait être démontrée. Une telle démonstration n’était en rien apporté en l’espèce.Il appartenait à LA BANQUE POSTALE de démontrer que les époux [G] avaient effectivement autorisé les opérations litigieuses, plus spécialement en ajoutant personnellement le nouveau bénéficiaire, en réalisant personnellement le virement litigieux et en validant personnellement les opérations par la communication d’un code de sécurité.Les simples SMS produit ne suffisaient pas à apporter cette preuve alors que l’adresse IP reliée aux opérations frauduleuses ne correspondait pas à l’adresse IP des époux [G].Les autres données relevées renforçaient l’idée d’une opération manifestement anormale, cette opérations en tout état de cause n’étant pas effectuée à partir de l’espace en ligne des clients. Cet espace en ligne au demeurant n’avait été activé en l’occurrence que bien plus tard. Ces derniers éléments renforçaient la faute de l’établissement dans son obligation de vigilance, de surveillance et de mise en garde. À cet égard, le devoir de non-ingérence de la banque cohabitait avec son obligation de vigilance, plus spécialement dans l’hypothèse d’une anomalie évidente.

MOTIVATIONS

Selon l’article L133-18 du code monétaire et financier, en cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues par l’article L133-24, le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement et s’il communique ses raisons par écrit à la banque de France.

Par ailleurs, selon l’article L133-9 du code monétaire et financier, la responsabilité du payeur n’est pas engagée si l’opération de paiement non autorisée a été effectué en détournant, à l’insu du payeur, l’instrument de paiement ou les données qui lui sont liées.

Également, selon l’article L133-23 alinéa 2 du code monétaire et financier, l’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière. Le prestataire de services de paiement fournit les éléments afin de prouver la fraude ou la négligence grave par l’utilisateur du service de paiement.

Il résulte des textes qui précèdent que le principe est celui de l’indemnisation par l’établissement bancaire d’une opération frauduleuse sur le compte de son client, notamment par l’utilisation détournée de ses moyens de paiement.

Cette présomption ne peut être écartée et dispenser l’établissement bancaire de son obligation de remboursement que si celui-ci démontre soit une fraude de l’utilisateur du service de paiement, soit une négligence grave de l’intéressé à ses obligations dans ce cadre. La loi a spécialement tenu, à ce titre, à préciser qu’il ne pouvait résulter de la seule utilisation de l’instrument de paiement que l’opération aurait été autorisée ou qu’elle aurait été permise par une négligence grave du titulaire du compte.

Aussi, lorsque le client signale une opération sur son compte qu’il considère ne pas avoir autorisée, l’établissement bancaire ne peut se retrancher devant l’existence et la mise en œuvre théorique d’un processus sécurisé d’autorisation quant à l’opération litigieuse pour démontrer que cette autorisation a été effectivement donnée par les clients ou qu’elle aurait été donnée par un tiers à raison de leur négligence.

L’établissement bancaire doit en effet prouver de façon circonstanciée la réalité du consentement du titulaire du compte ou de façon tout aussi circonstanciée, la faute de l’intéressé qui aurait amené à la mise en œuvre l’opération.

En l’espèce, il n’est pas contesté en premier lieu que les époux [G] est signalé l’anomalie apparaissant sur leur compte de façon extrêmement rapide et conformément aux exigences légales. La rapidité de leur réaction, caractérisée par l’information de l’établissement bancaire dès le 13/01/2021 et par un dépôt de plainte le 15/01/2021, traduit leur absence d’ambiguïté vis-à-vis de l’opération considérée.

Parallèlement, les données liées à l’opération même, soit la désignation d’un compte bénéficiaire en Belgique au profit de l’un des titulaires pour un transfert unique et immédiat d’une somme importante, le caractère inhabituel de cette opération pour les époux [G] et les informations concernant la banque où se trouvait domiciliée le compte bénéficiaire du transfert, renforcent la forte présomption d’une fraude, dont rien ne permet de douter à partir de la situation des demandeurs.

Or, LA BANQUE POSTALE s’est uniquement prévalue de son système d’autorisation sécurisée dans le cadre de son espace internet pour en déduire, sans le moindre indice d’une autre preuve, que ses clients auraient consenti personnellement à l’opération ou que leur manque de prudence aurait conduit à la divulgation de leurs codes et données personnelles. Au demeurant, les éléments de description du degré de sécurisation de l’espace Internet sont inexistants, sauf des allégations d’ordre général tenant au fonctionnement général des espaces internet des banques et sauf l’envoi de deux SMS, envoi non contesté par les demandeurs, l’un pour l’ajout d’un compte bénéficiaire pour un virement, l’autre pour l’acceptation de la réalisation de ce virement.

Il sera rappelé que la création d’un bénéficiaire pour la réalisation dématérialisée de virements ne relève pas du fonctionnement banal d’un compte et que la vérification de l’absence de fraude pour une telle opération, plus spécialement par la certification du caractère personnel au client de cette création, correspond à une prudence minimale exigée de l’établissement bancaire. Elle l’est d’autant plus que ce dernier ne manque pas d’être parfaitement informé de la multiplication des escroqueries par le truchement de faux virements vers des comptes douteux dans certaines banques à l’étranger.

En l’espèce, force est de relever que LA BANQUE POSTALE n’a produit à l’instance aucun document fiable attestant d’une part de la validation personnelle par les titulaires du compte de la désignation d’un compte bénéficiaire pour les virements, d’autre part de l’utilisation personnelle par ceux-ci de leur certicode.

Le document le plus individualisé et le plus lisible ne permet que d’attester d’une invitation, pour la désignation d’un autre compte bénéficiaire, à utiliser le certicode. S’agissant du fichier dont la copie est produite, il ne démontre rien à l’encontre des époux [G], si ce n’est une adresse IP totalement différente par rapport aux autres opérations, qu’elles soient antérieures ou postérieures.

D’une part, L’envoi de deux SMS demandant une validation d’une opération internet ne démontre pas que cette validation ait été faite personnellement par les destinataires de ces SMS. Ils rendent d’ailleurs improbables l’utilisation des codes par des tiers connus des demandeurs puisque ces tiers auraient dû à la fois avoir connaissance de ces codes, à la fois avoir accès au téléphone portable sur lequel les messages ont été reçus.

D’autre part, le défaut de connaissance ou de prise en compte par les titulaires du compte de deux SMS notifiant une opération douteuse sur une durée de quelques jours, n’est pas en soi constitutif d’une négligence grave.

En définitive, le mode opératoire s’agissant du virement frauduleux peut tout à fait résulter de l’infection des systèmes de sécurité de LA BANQUE POSTALE elle-même. À cet égard, le mail de cette dernière, en date du 13/04/2021, produit à l’instance et sur lequel l’établissement bancaire ne donne aucune explication, ne peut qu’accréditer une telle hypothèse puisque le message confirmait l’activation du service Certicode Plus à l’égard des époux [G] seulement à cette date.

Il peut donc être interrogé l’existence dans le cadre du fonctionnement du compte des demandeurs du système de sécurité Certicode Plus en janvier 2021.

Au vu de l’ensemble des éléments qui précèdent, le droit des époux [G] au remboursement de la somme correspondant au virement non autorisé, majoré des frais, est totalement fondé. Il conviendra en conséquence de condamner LA BANQUE POSTALE au remboursement de la somme de 3054,86 €.

L’absence de remboursement, à la limite de la mauvaise foi au vu des circonstances de l’espèce, n’a pu que susciter un préjudice pour les époux [G], à la fois dans la confiance contractuelle nécessaire à l’utilisation d’un compte bancaire et aux garanties apportées par la banque, à la fois dans les errements de cette dernière dans les réponses apportées, dont la formulation d’un refus aux motivations totalement stéréotypées.

Il conviendra en conséquence de condamner LA BANQUE POSTALE au paiement d’une indemnité de 300 € à titre de dommages-intérêts.

Il serait inéquitable de laisser à la charge des époux [G] les frais irrépétibles de l’instance.

Au vu de la date de l’assignation, le présent jugement est assorti de l’exécution provisoire de plein droit.

PAR CES MOTIFS

Statuant publiquement, contradictoirement et en dernier ressort, le juge du tribunal judiciaire :

Condamne la société LA BANQUE POSTALE à payer à Madame [F] [G] et à Monsieur [I] [G], pris conjointement, la somme de 3054,86 € au titre du virement frauduleux et accessoires dont ils ont été victimes.

Condamne la société LA BANQUE POSTALE à payer à Madame [F] [G] et à Monsieur [I] [G], pris conjointement, la somme de 300 € à titre de dommages intérêts.

Condamne la société LA BANQUE POSTALE à payer à Madame [F] [G] et à Monsieur [I] [G], pris conjointement, la somme de 1000 € en application de l’article 700 du code de procédure civile.

Déboute les parties du surplus de leur demandes.

Condamne la société LA BANQUE POSTALE aux dépens.

Rappelle que le présent jugement est assorti de l’exécution provisoire de plein droit.

LE GREFFIER LE PRESIDENT

Décision du 09 août 2024

PCP JTJ proxi fond – N° RG 22/03617 – N° Portalis 352J-W-B7G-CXA63

Fait et jugé à Paris le 09 août 2024

le greffier le Président