TRIBUNAL

JUDICIAIRE

DE [Localité 4] [1]

[1] Copie conforme délivrée

le :

à : Maître GHIDINI

Copie exécutoire délivrée

le :

à : Maître FONTANA

Pôle civil de proximité

■

PCP JTJ proxi fond

N° RG 24/00687 – N° Portalis 352J-W-B7I-C34SK

N° MINUTE :

2 JTJ

JUGEMENT

rendu le mercredi 27 novembre 2024

DEMANDERESSE

Madame [C] [X],

demeurant [Adresse 2]

représentée par Maître GHIDINI, avocat au barreau du Val-de-Marne

DÉFENDERESSE

S.A. SOCIETE GENERALE,

dont le siège social est sis [Adresse 1]

représentée par FONTANA, avocat au barreau de Paris, vestiaire #K139

COMPOSITION DU TRIBUNAL

Anne-Sophie STORELV, Vice-présidente, statuant en juge unique

assistée de Laura JOBERT, Greffier,

DATE DES DÉBATS

Audience publique du 07 octobre 2024

JUGEMENT

contradictoire, en dernier ressort, prononcé par mise à disposition le 27 novembre 2024 par Anne-Sophie STORELV, Vice-présidente assistée de Laura JOBERT, Greffier

Décision du 27 novembre 2024

PCP JTJ proxi fond – N° RG 24/00687 – N° Portalis 352J-W-B7I-C34SK

EXPOSE DE LITIGE

Par acte du huissier en date du 6 décembre 2023, Mme [C] [X] a fait citer la SOCIÉTÉ GÉNÉRALE par devant le Pôle de Proximité du Tribunal Judiciaire de PARIS, aux fins de voir:

— condamner la SOCIÉTÉ GÉNÉRALE au paiement de la somme de 2487,99€, majorée des intérêts au taux légal à compter du 10 octobre 2023,

— condamner la SOCIÉTÉ GÉNÉRALE au paiement de la somme de 1500€ en application des dispositions de l’article 700 du Code de Procédure Civile, ainsi qu’aux entiers dépens.

Mme [X] fait valoir essentiellement à l’appui de ses demandes:

— qu’elle est titulaire d’un compte de dépôt ouvert dans les livres de l’agence SOCIÉTÉ GÉNÉRALE de [Localité 3] ROULE, et qu’elle dispose d’une carte de crédit Visa premier associé à ce compte de dépôt,

— qu’elle a pu constater que 5 opérations frauduleuses avaient été débitées de son compte bancaire entre le 13 juillet et le 17 juillet 2023,

— que dès qu’elle a constaté ces opérations elle a pris attache avec son conseiller bancaire, et fait parvenir le 20 juillet 2023 le Kit Fraude mis au point par la banque pour signaler les opérations frauduleuses, à savoir:

— le 13 juillet 2023 pour un montant de 205,47€

— le 13 juillet 2023 pour un montant de 616,40€

— le 13 juillet 2023 pour un montant de 627,83€

— le 17 juillet 2023 pour un montant de 415,32€

— le 17 juillet 2023 pour un montant de 622,97€

soit un total de 2487,99 €

— que le 19 juillet 2023 elle a demandé la mise en opposition de sa carte Visa,

— qu’après de nombreuses démarches infructueuses auprès des services bancaires, elle a fait intervenir son conseil qui a mis en demeure la SOCIÉTÉ GÉNÉRALE de lui rembourser cette somme,

— qu’elle déclare sur l’honneur n’avoir jamais effectué ou n’avoir jamais autorisé quiconque à effectuer avec sa carte bancaire les opérations litigieuses, et que la SOCIÉTÉ GÉNÉRALE ne lui a jamais transmis d’éléments qui seraient de nature à démontrer que lesdites opérations auraient été authentifiées par elle,

— qu’en conséquence elle s’estime fondée à solliciter la condamnation de la banque à lui rembourser la somme de 2487,99€ et ce au visa des dispositions de l’article L 132-23 du Code Monétaire et Financier.

À l’audience du 7 octobre 2024, la partie demanderesse, a déclaré par l’intermédiaire de son conseil, maintenir l’intégralité de ses demandes. Elle a fait valoir en outre que les opérations litigieuses ont été faites dans des lieux différents dans le monde ( ce que permet de révéler les adresses IP utilisées et dont la banque avait connaissance) , dans un même laps de temps et que dès lors il y a nécessairement eu une faille dans la sécurité venant de la banque. Elle a expliqué également ne pas avoir reçu de notifications de la banque concernant les opérations litigieuses.

En défense la SOCIÉTÉ GÉNÉRALE a estimé mal fondées les demandes de Mme [X] et en a sollicité le débouté.

Elle a sollicité également la condamnation de Mme [X] à lui payer la somme de 1500€ au titre de l’article 700 du Code de Procédure Civile, ainsi qu’au paiement des entiers dépens.

La SOCIÉTÉ GÉNÉRALE a expliqué en effet qu’elle n’a pas pu accéder à la demande de remboursement de la somme de 2487,99€ compte tenu de l’authentification forte des opérations qui n’ont été entachées d’aucune défaillance technique.

Elle a précisé que conformément aux dispositions prévues par le Code Monétaire et Financier et par la directive DSP2, la SOCIÉTÉ GÉNÉRALE a mis à disposition de ses clients et donc de Mme [X], un système d’authentification forte respectant la double authentification imposée par ces textes, à savoir le Pass Sécurité et qui a été créé en l’espèce par Mme [X] le 26 août 2018, ce qui suppose, avoir déclaré et activé son numéro de téléphone sécurité en lien avec la détention d’un Smartphone et l’application Société Générale installée sur celui-ci et l’utilisation d’un code d’activation pour sa création.

Elle a fait valoir ainsi que les transactions des 13 et 17 juillet 2023 ont été validées par l’intermédiaire du Pass Sécurité activé le 26 août 2018 par la demanderesse qui a reçu une notification sur son téléphone mobile lui permettant de refuser l’opération en cours et la bloquer si elle n’était pas l’origine de l’achat.

Elle a estimé en conséquence que Mme [X] a bien validé et donné son consentement aux opérations de paiement en ligne, désormais contestées, puisqu’elles ont été réalisées au moyen de sa carte bancaire en cours de validité, authentifiées par la signature électronique de la titulaire du compte et en l’espèce via le Pass Sécurité et la composition du code sécurité, sur le téléphone mobile détenu par elle.

Elle a invoqué enfin que si le tribunal était amené à considérer qu’il s’agissait d’opérations non autorisées, elle ne pourraient pas non plus faire l’objet d’un remboursement en raison de la négligence grave de la titulaire du compte, l’abonné étant entièrement responsable de la conservation et de l’utilisation de ses codes qui sont strictement confidentiels, et dans la mesure où la demanderesse n’explique pas de quelle manière ses données personnelles pour accéder à son espace “Banque à distance”et le code sécurité associé au Pass Sécurité, ainsi que son propre téléphone ont pu être utilisés pour valider des opérations entre le 13 et 17 juillet 2023 et que dans ces conditions elle aurait nécessairement fait preuve d’une grave négligence en ne s’assurant pas de la sécurité de ses moyens de paiement et de ses données de sécurité personnalisées, ce qui ne peut qu’engager sa responsabilité, puisque si la demanderesse n’a pas validé elle-même les opérations contestées, cela signifierait qu’un tiers a eu accès à ses identifiant, mot de passe et à son téléphone personnel.

Enfin elle a estimé enfin que l’opposition est tardive au regard des notifications “transactions risquées”opérées sur l’application mobile et l’espace en ligne, notamment celle du 13 juillet 2023 à 11h57, qui auraient dû inciter la demanderesse à la vigilance et à faire immédiatement opposition, alors qu’elle n’a pas réagi à ces notifications.

SUR CE

Attendu que Mme [X] n’apporte aucune explication quant à la circonstance que son téléphone sur lequel est enrôlé le Pass Sécurité, ses identifiant et code secret aient pu être utilisés à son insu,

Qu’elle n’indique pas avoir prêté son téléphone, ni l’avoir perdu;

Qu’elle n’indique pas non plus avoir été manipulée pour autoriser les paiements effectués;

Qu’elle indique uniquement avoir pris attache avec son conseiller bancaire dès qu’elle a constaté ces opérations;

Qu’elle a indiqué en outre dans le Kit Fraude avoir toujours été en possession de sa carte bancaire;

Attendu que la banque a produit, le justificatif d’enrôlement du Pass Sécurité ( création le 26 août 2018 à 11h36 sur un terminal iPhone), les certificats d’authentification des opérations contestées et la liste des notifications Push “transactions risquées”, ainsi que le journal de connexion “Banque à distance” du 10 au 17 juillet 2023;

Que les codes personnels sont strictement confidentiels, et l’abonné étant entièrement responsable de la conservation et de l’utilisation de ses codes, et le cas échéant des conditions de leur divulgation ou de leur utilisation par des tiers;

Attendu qu’en l’espèce Mme [X] n’explique effectivement pas de quelle manière ses données personnelles pour accéder à son espace “Banquent à distance”, à savoir un identifiant à 8 chiffres et un code secret à 6 chiffres, et le code sécurité associé au Pass Sécurité ont pu être utilisés pour valider les opérations contestées des 13 et 17 juillet 2023;

Qu’enfin il apparaît que l’opposition faite le 19 juillet 2023 est tardive au regard des notifications “transactions risquées” opérées sur l’application mobile et l’espace en ligne, notamment celle du 13 juillet 2023 à 11h57, qui auraient dû inciter Mme [X] à la vigilance et à faire immédiatement opposition;

Qu’à aucun moment Mme [X] n’a déposé plainte, ni déclaré d’incident concernant son téléphone mobile dont l’utilisation a permis la réalisation des transactions via le Pass Sécurité;

Qu’il y a lieu de préciser encore que le procédé d’authentification forte repose sur l’identifiant et le code d’accès à l’espace Internet des particuliers ( banque à distance ) et l’utilisation du téléphone de sécurité enregistré par la banque sur lequel est enrôlé le Pass Sécurité,

Que lors de la validation d’une opération en ligne, une notification Push générée sur le téléphone de sécurité informe le client d’une action en attente de validation, et qu’en cliquant sur cette notification, l’utilisateur est basculé sur son application bancaire où figure la nature de la transaction, sa référence, le nom du commerçant, le numéro de sa carte utilisée, la date et l’heure et le montant de la transaction, et que le client peut choisir entre accepter ou refuser le paiement,

Que pour valider le paiement l’utilisateur clique sur “Accepter”: une fenêtre s’affiche contenant un pavé numérique sur lequel il doit saisir son code de sécurité, identique à celui de connexion à son application de banque en ligne, et qu’une fois le code enregistré, il doit cliquer sur “Valider” et une nouvelle fenêtre apparaît sur l’appareil sur lequel est installé le Pass Sécurité, l’informant de la réussite de l’authentification :“ Authentification réussie. Pour finaliser votre transaction veuillez retourner sur le site commerçant”.

Qu’ensuite, la validation du paiement génère l’envoi d’une notification Push sur le téléphone mobile du détenteur du Pass sécurité, informant qu’un paiement été accepté.

Cette notification s’enregistre automatiquement dans l’application bancaire dans un journal de bord regroupant l’ensemble des actions effectuées au moyen de l’application bancaire;

Que Mme [X] a donc nécessairement reçu une notification sur son téléphone mobile lui permettant de refuser l’opération en cours et la bloquer si elle n’était pas à l’origine de l’achat;

Qu’il apparaît manifestement que les opérations de paiement en ligne ont été réalisées au moyen de sa carte bancaire en cours de validité, authentifiées ensuite par la signature électronique de la titulaire du compte, et ce via le Pass Sécurité et la composition du code sécurité sur le téléphone mobile détenu par Mme [X];

Que ladite authentification est réalisée au moyen de deux facteurs distincts :

— un élément de connaissance : code de connexion à la “Banque à distance”

— un élément de possession : le téléphone appartenant client sur lequel est enregistré le Pass Sécurité;

Que la SOCIÉTÉ GÉNÉRALE verse effectivement aux débats les certificats d’authentification des opérations contestées ce qui démontre que la validation est bien intervenue via le système d’authentification forte “Pass Sécurité”;

Qu’il n’apparaît pas qu’il y ait eu l’enrôlement frauduleux d’un nouveau Pass Sécurité, aucun changement de périphérique n’ayant été effectué depuis la création dudit Pass;

Qu’enfin aucune déficience technique n’est démontrée;

Que dès lors la banque ne peut engager sa responsabilité à ce titre;

Qu’enfin il y a lieu de rappeler que l’adresse IP du porteur de la carte qui initie la transaction n’est pas associée à l’appareil à partir duquel est opérée la validation du paiement, et que le respect de la procédure d’authentification forte convenue entre les parties suffit à qualifier les paiements d’opérations autorisées;

Que dès lors le fait que les paiements aient pu être initiés à distance depuis d’autres adresses IP, ne remet pas en cause la validation par authentification forte opérée par le titulaire du compte au moyen de son périphérique de sécurité;

Qu’en l’espèce il semble que sans la participation active de Mme [X] , les paiements litigieux n’auraient pas pu être effectués et qu’elle a également tardé à faire opposition;

Que dans ces conditions Mme [X] ne pourra qu’être débouté de l’intégralité de ses demandes.

Sur les mesures accessoires

Attendu que Mme [X] qui succombe à la présente procédure, sera condamnée aux entiers dépens d’instance.

Que l’équité commande cependant de ne pas faire application des dispositions de l’article 700 du Code de Procédure Civile.

PAR CES MOTIFS,

Le tribunal statuant contradictoirement et par jugement rendu en dernier ressort et mis à disposition des parties au greffe,

Déboute Mme [C] [X] de l’intégralité de ses demandes.

Dit n’y avoir lieu à faire application des dispositions de l’article 700 du Code de Procédure Civile .

Condamne Mme [X] aux entiers dépens de l’instance.

Le greffier Le juge