TRIBUNAL

JUDICIAIRE

DE PARIS [1]

[1]

Expéditions

exécutoires

délivrées le:

■

9ème chambre

2ème section

N° RG 23/07196 -

N° Portalis 352J-W-B7H-CZ6GC

N° MINUTE : 12

Assignation du :

25 Mai 2023

JUGEMENT

rendu le 05 Juillet 2024

DEMANDERESSE

Madame [E] [V]

[Adresse 2]

[Localité 3]

représentée par Maître Denis HUBERT de l’AARPI KADRAN AVOCATS, avocat au barreau de PARIS, vestiaire #K0154

DÉFENDERESSE

S.A. BNP PARIBAS

[Adresse 1]

[Localité 4]

représentée par Maître Dominique PENIN du LLP KRAMER LEVIN NAFTALIS & FRANKEL LLP, avocat au barreau de PARIS, vestiaire #J0008

Décision du 05 Juillet 2024

9ème chambre 2ème section

N° RG 23/07196 – N° Portalis 352J-W-B7H-CZ6GC

COMPOSITION DU TRIBUNAL

Gilles MALFRE, Premier Vice-Président adjoint

Augustin BOUJEKA, Vice-Président

Alexandre PARASTATIDIS, Juge

assistés de Alise CONDAMINE-DUCREUX, Greffière

DÉBATS

À l’audience du 07 Juin 2024 tenue en audience publique devant Monsieur BOUJEKA, juge rapporteur, qui, sans opposition des avocats, a tenu seul l’audience, et, après avoir entendu les conseils des parties, en a rendu compte au Tribunal, conformément aux dispositions de l’article 805 du Code de Procédure Civile. Avis a été donné aux conseils des parties que la décision serait rendue par mise à disposition au greffe le 05 Juillet 2024.

JUGEMENT

Rendu publiquement par mise à disposition au greffe

Contradictoire

En premier ressort

___________________

FAITS ET PROCÉDURE

Madame [E] [V] est titulaire d’un compte ouvert dans les livres de la société anonyme BNP Paribas (ci-après la BNP).

Le 28 octobre 2022, Madame [V] a été contactée par téléphone par une personne se faisant passer pour un membre du service anti-fraude de la BNP qui lui a fait valider, au prétexte de pister des fraudeurs, quatre achats par carte bancaire aux montants respectifs de 3.400 euros pour le premier et 3.470 euros pour les trois autres, ces derniers étant effectués après que le contact téléphonique de Madame [V] a fait passer le plafond de dépense prévu pour sa carte de 4.500 euros à 15.000 euros.

Estimant avoir été victime d’une fraude, Madame [V] a fait opposition à ces paiements et contesté auprès de la BNP, par courrier du 31 octobre 2022, ces opérations en sollicitant le remboursement des sommes correspondantes, au montant de 13.810 euros. Par ailleurs, Madame [V] a déposé plainte le 1er novembre 2022.

Par réponse du 3 novembre 2022, la BNP a rejeté la demande de remboursement des opérations de paiement contestées par Madame [V], au motif que celle-ci les avait validées par le dispositif d’authentification forte approprié, au moyen d’une clé digitale.

Par courrier du 29 novembre 2022, la MAIF, assureur de protection juridique de Madame [V], a mis en demeure la BNP de restituer à sa sociétaire la même somme, sinon celle excédant le plafond de 4.500 euros, soit la somme de 9.310 euros, dans la mesure où ce plafond a été modifié sans autorisation, information ou authentification forte à la charge de la BNP.

Le 26 avril 2023, le médiateur de la Fédération bancaire française a retenu un partage de responsabilité entre la BNP et Madame [V], recommandant une indemnisation partielle de celle-ci par celle-là.

C’est dans ce contexte que par acte du 25 mai 2023, Madame [V] a fait assigner la BNP en recherche de la responsabilité de cet établissement et, aux termes de ses dernières écritures signifiées le 12 février 2024, demande à ce tribunal, au visa des articles L.133-16, L.133-17, L.133-19 et L.133-23 du code monétaire et financier, 1240 du code civil, 514 du code de procédure civile, de :

— la déclarer recevable et bien fondée en l’ensemble de ses demandes ;

Et, y faisant droit :

— À titre principal, condamner la société BNP Paribas à lui restituer la somme de 13.810 euros ;

— À titre subsidiaire, condamner la société BNP Paribas à lui restituer la somme de 9.310 euros ;

En tout état de cause,

— condamner la société BNP Paribas à lui verser la somme de 2.000 euros à titre de dommages et intérêts pour résistance abusive ;

— condamner la société BNP Paribas aux entiers dépens ainsi qu’à lui verser la somme de 3.000 euros au titre de l’article 700 du code de procédure civile ;

— rappeler que l’exécution provisoire est de droit.

Par dernières écritures signifiées le 29 novembre 2023, la BNP demande à ce tribunal de :

— débouter Madame [V] de l’intégralité de ses demandes à toutes fins qu’elles comportent ;

— condamner Madame [V] à lui verser la somme de 2.000 euros au titre de l’article 700 du code de procédure civile ainsi qu’aux entiers dépens.

La clôture a été prononcée le 3 mai 2024, l’affaire étant appelée à l’audience du 7 juin 2024 et mise en délibéré au 5 juillet 2024.

Il est fait expressément référence aux pièces du dossier et aux écritures déposées et visées ci-dessus pour un plus ample exposé des faits de la cause et des prétentions des parties, conformément aux dispositions de l’article 455 du code de procédure civile.

MOTIFS DE LA DÉCISION

Sur la demande principale

Madame [V] se prévaut des dispositions des articles L.133-19 et L.133-24 du code monétaire et financier, ainsi que d’un arrêt de la cour d’appel de Douai du 5 janvier 2023, pour affirmer avoir été certes victime d’un « vishing », mais n’avoir pas communiqué le moindre mot de passe au fraudeur, exprimant sa surprise que la banque n’ait pas bloqué sa carte au regard des mouvements inhabituels sur son compte, consistant dans quatre opérations répétitives en quelques heures et destinées en outre à des sociétés étrangères, plus encore l’augmentation du plafond de la carte à 15.000 euros, soit plus de trois fois le plafond initial. Elle souligne n’avoir jamais été prévenue de l’augmentation de ce plafond, quoi qu’ayant validé les opérations sur les demandes transmises par le fraudeur, convaincue que ces demandes émanaient de la banque. Elle affirme plus encore n’avoir reçu ni alerte, ni autorisation spéciale, ni authentification du plafond, ce qui aurait permis de limiter le préjudice et d’éviter la multiplicité des paiements. Elle soutient n’avoir commis aucune négligence grave, en sorte que son préjudice, de 13.810 euros, correspondant aux sommes détournées, doit être réparé, de même que la résistance abusive de la BNP à opérer le remboursement qu’elle a sollicité.

En réplique, la BNP fait valoir que la relation téléphonique entre le fraudeur et Madame [V] a duré près de trois heures, celle-ci ayant concouru à la prétendue invalidation des opérations dont le fraudeur soutenait auprès d’elle le caractère frauduleux. La BNP souligne que Madame [V] a répété son concours à la fraude dans quatre opérations successives échelonnées sur plusieurs heures sans aucune vérification ni opposition, faisant par là montre d’un manque de discernement. Elle affirme que le fraudeur n’a pu se connecter sur l’espace personnel de Madame [V] qu’au moyen du code confidentiel de celle-ci qu’il n’a pas changé pendant la fraude, ce qui laissait la possibilité à Madame [V] d’opérer des contrôles et faire opposition sur son espace client. Elle relève encore que Madame [V] aurait dû changer son code confidentiel dès 15 heures, horaire du premier signalement de fraude, ce qui aurait empêché l’augmentation du plafond d’opérations. Elle affirme encore que contrairement aux dires de Madame [V], l’authentification forte n’est pas systématiquement requise, l’article 10 du règlement délégué n°2018/389 de la Commission ayant autorisé une dérogation dès lors que l’authentification forte a été utilisée moins de 90 jours auparavant. Elle estime qu’aucune base légale n’impose le déploiement de l’authentification forte en présence d’une connexion inhabituelle, c’est-à-dire à partir d’une adresse IP qui ne serait pas celle usuellement employée par le client, étant observé que c’est le propre d’une connexion mobile que de pouvoir se logger à partir de n’importe quel ordinateur où qu’il se trouve. Elle considère que c’est nécessairement à l’aide du code confidentiel de la demanderesse que le fraudeur a pu se connecter, ce qui constitue une négligence fautive retenue à plusieurs reprises par les juges du fond. Elle insiste sur le fait que la demanderesse a nécessairement communiqué son identifiant et son mot de passe à l’escroc, ainsi que les données de sa carte, en particulier le cryptogramme y figurant et la demanderesse, qui soutient le contraire, devrait expliquer comment l’escroc a pu accéder à son espace personnel et connaître son plafond. Elle précise que l’authentification forte n’a pas été déployée en ce que la demanderesse s’était connectée à plusieurs reprises sur son espace personnel durant les 90 jours précédant le 28 octobre 2022. Elle souligne que pour les quatre opérations en litige, l’authentification forte a été mise en œuvre mais pas pour l’augmentation du plafond soumise à une preuve partagée entre le prestataire de paiement et le client là où l’authentification forte met la charge de la preuve sur la tête de l’établissement pour ce qui est des opérations de paiement. La BNP rappelle les mises en garde faites par les banques aux clients sur les risques de cyber-attaque et tentatives, soulignant la négligence de la demanderesse qui ne s’est pas conformée aux précautions prévues à l’article L.133-16 du code monétaire et financier. Elle rappelle que les opérations en litige ont fait l’objet d’un paiement en ligne irrévocable au moyen d’une authentification forte par recours à une clé digitale, conformément aux prévisions de l’ordonnance du 19 août 2017. Elle s’oppose par ailleurs à l’avis du médiateur, encore que cet avis revête un caractère confidentiel, en considérant que le relèvement du plafond d’opérations suppose certes une connexion en ligne sur l’espace client, mais sans recours à la clé digitale, exigeant toutefois un identifiant et un mot de passe connus du seul titulaire du compte.

À propos de l’obligation générale de vigilance, la BNP affirme s’y être conformée, s’étant bornée, en simple teneur de compte, à exécuter des achats réalisés par la demanderesse sans avoir, ainsi que l’exige le devoir de non-ingérence, à vérifier scrupuleusement chaque opération ou à contrôler les motifs de ces opérations. Elle fait observer que le préjudice moral allégué n’est en rien établi, de telle sorte que l’ensemble des demandes doit être rejeté.

Sur ce,

En application des articles L.133-44, dans sa version applicable, L.133-16, L.133-17, L.133-18, dans sa rédaction applicable et L.133-19 du code monétaire et financier, le prestataire de services de paiement applique l’authentification forte du client définie au f de l’article L.133-4 lorsque le payeur accède à son compte de paiement en ligne, initie une opération de paiement électronique ou exécute une opération par le biais d’un moyen de communication à distance, susceptible de comporter un risque de fraude en matière de paiement ou de toute autre utilisation frauduleuse.

Dès qu’il reçoit un instrument de paiement, l’utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées.

Lorsqu’il a connaissance de la perte, du vol, du détournement ou de toute utilisation non autorisée de son instrument de paiement ou des données qui lui sont liées, l’utilisateur de services de paiement en informe sans tarder, aux fins de blocage de l’instrument, son prestataire ou l’entité désignée par celui-ci.

En cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L. 133-24, le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement et s’il communique ces raisons par écrit à la Banque de France. Le cas échéant, le prestataire de services de paiement du payeur rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu.

Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L.133-16 et L. 133-17. Sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si l’opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement du payeur n’exige une authentification forte du payeur prévue à l’article L. 133-44.

Sur la nécessité de l’authentification forte pour l’accès du payeur à son compte de paiement en ligne

L’article 10 du règlement (UE) n° 2018/389 du 27 novembre 2017 de la Commission européenne, relative à l’authentification forte du client et à des normes ouvertes communes et sécurisées de communication, dispose :

« Information sur le compte de paiement

1. Les prestataires de services de paiement sont autorisés à ne pas appliquer l’authentification forte du client, sous réserve du respect des exigences définies à l’article 2 et au paragraphe 2 du présent article, lorsqu’un utilisateur de services de paiement est limité dans son accès à un ou à deux des éléments suivants en ligne sans que des données de paiement sensibles soient divulguées :

a)le solde d’un ou de plusieurs comptes de paiement désignés ;

b)les opérations de paiement exécutées durant les 90 derniers jours par l’intermédiaire d’un ou de plusieurs comptes de paiement désignés.

2. Aux fins du paragraphe 1, les prestataires de services de paiement ne sont pas exemptés de l’application de l’authentification forte du client lorsque l’une des conditions suivantes est remplie :

a)l’utilisateur du service de paiement accède pour la première fois en ligne aux informations visées au paragraphe 1 ;

b)plus de 90 jours se sont écoulés depuis la dernière fois que l’utilisateur de services de paiement a accédé en ligne aux informations visées au paragraphe 1, point b), et que la procédure d’authentification forte du client a été appliquée. »

Il résulte de ce texte qu’un prestataire de services de paiement est dispensé d’exiger du payeur une authentification forte si celui-ci s’est connecté en ligne sur le compte de paiement pendant les 90 jours précédant l’opération contestée, afin d’effectuer des opérations afférentes au solde de ce compte.

Au cas particulier, il est constant que le 28 octobre 2022, un tiers a eu accès au compte de paiement dont Madame [V] était titulaire à la BNP pour relever, à 15h07, de 4.500 à 15.000 euros le plafond de dépenses par carte de paiement.

Or un tel accès, en ce qu’il a modifié le solde d’un compte de paiement par relèvement du plafond de dépenses par carte, exigeait nécessairement une authentification forte, en application des dispositions, rappelées plus avant, de l’article L.133-44 du code monétaire et financier.

La BNP ne conteste pas qu’une telle authentification forte n’a pas été exigée quand le tiers auteur de la fraude aux paiements en litige a eu accès en ligne au compte de Madame [V], de telle sorte que la responsabilité de cet établissement devrait être retenue de ce fait.

Toutefois, la BNP se prévaut des dispositions de l’article 10 du règlement (UE) n°2018/389, rappelées plus avant, pour soutenir que Madame [V] ayant eu accès en ligne à son compte de paiement moins de 90 jours avant le relèvement du plafond des dépenses par carte de paiement effectué par le tiers, l’établissement était dispensé de l’exigence d’authentification forte prévue par ce texte.

Madame [V] ne conteste pas cette affirmation.

Pour autant, l’exemption d’authentification forte retenue dans l’opération de relèvement de plafond en litige ne suffit pas à exonérer la BNP de toute responsabilité concernant les paiements intervenus le 28 octobre 2022 postérieurement à cette action.

En effet, l’article L.133-23 du code monétaire et financier dispose notamment : « L’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière. Le prestataire de services de paiement, y compris, le cas échéant, le prestataire de services de paiement fournissant un service d’initiation de paiement, fournit des éléments afin de prouver la fraude ou la négligence grave commise par l’utilisateur de services de paiement. »

En l’espèce, la BNP se prévaut d’une négligence grave de Madame [V] qui a concouru à la réalisation des paiements frauduleux en facilitant au fraudeur l’accès à son compte et le relèvement du plafond de dépense ayant permis la réalisation des trois derniers paiements.

À cet égard, il sera relevé que dans le procès-verbal de la plainte qu’elle a déposée le 1er novembre 2022, Madame [V] indique avoir validé quatre opérations après avoir envoyé ses données personnelles à l’adresse de courrier électronique « [Courriel 5] ».

Il résulte de ce qui précède que Madame [V] s’est volontairement dessaisie de ses données personnelles, au profit d’un tiers, pour permettre à celui-ci d’avoir accès à son compte de paiement, ce qui a permis au fraudeur de relever le plafond de dépense par carte de paiement de 4.500 euros à 15.000 euros.

Madame [V] a agi ainsi alors qu’elle devait conserver par devers elle lesdites données, peu importe que le tiers qui lui en a réclamé communication ait prétendu être membre du service anti-fraude de la BNP.

Par suite, la demanderesse ne peut se prévaloir d’un manquement de la BNP dans le relèvement de 4.500 à 15.000 euros des dépenses par carte de paiement pour rechercher la responsabilité de celle-ci.

Sur la responsabilité de la banque

Madame [V] ne conteste pas avoir autorisé les paiements litigieux, estimant cependant avoir été victime d’un « vishing » sans pour autant avoir communiqué le moindre mot de passe au fraudeur.

Cependant, ainsi qu’il a été retenu plus avant, Madame [V] reconnaît elle-même avoir communiqué par courrier électronique ses données personnelles au tiers auteur de la fraude, ajoutant en outre avoir validé les quatre paiements dont elle sollicite le remboursement.

Si elle reproche à la BNP de ne pas avoir bloqué les opérations litigieuses effectuées en quelques heures le même jour, il sera relevé, que selon ses propres dires et le propos de la banque, Madame [V] est restée en contact téléphonique, à tout le moins de 15h06 à 18h13, les opérations de paiement en litige étant intervenues respectivement à 15h06, 15h08, 16h20 et 18h13.

Dès lors que Madame [V] a participé activement à la réalisation de ces paiements qu’elle reconnaît expressément avoir validés, elle ne peut faire reproche à la BNP de ne les avoir pas entravés.

Au demeurant, l’établissement bancaire n’aurait pu le faire sans manquer au devoir de non-ingérence qui lui interdit de s’immiscer dans les affaires du client, même pour empêcher celui-ci d’effectuer une opération motivée par des rapports sous-jacents inopportuns ou dangereux pour lui.

De plus, la circonstance que ces paiements aient été destinés à des sociétés étrangères, situées en l’occurrence en République d’Irlande, un État membre de l’Union Européenne, ne saurait être retenue comme une faute de la BNP manquant à l’obligation de vigilance lui incombant, ce seul fait n’étant pas de nature à justifier l’intervention d’un prestataire de services de paiement pour faire obstacle à une opération de paiement dont le caractère autorisé n’est pas contesté.

Par ailleurs, la BNP produit aux débats un document en date du 16 juillet 2021 intitulé : « Sécurisez vos paiements en ligne », ce document, présenté par l’établissement bancaire comme un guide d’utilisation de validation d’un paiement, décrit précisément les modalités de règlement des transactions en ligne, au moyen d’une carte de paiement émise par la BNP, de transaction avec des commerçants.

Il s’y trouve précisé les modalités de paiement avec ou sans l’utilisation d’une clé digitale préalablement fournie par la BNP.

Madame [V] ne conteste pas avoir reçu cette documentation, se bornant à alléguer l’absence de visibilité sur son espace personnel des avertissements de sécurité dont se prévaut la BNP.

Pour autant, même en l’absence de mention des avertissements de sécurité invoqués par la BNP, Madame [V] était tenue de se conformer aux stipulations du guide d’utilisation communiqué par la BNP, sans communiquer ses données personnelles à un tiers.

Or il est constant que Madame [V] a communiqué ses données au fraudeur qui ont permis à celui-ci d’effectuer les paiements en litige.

En outre, si Madame [V] fait reproche à la BNP de n’avoir pas justifié de l’envoi des notifications par SMS des quatre opérations de paiement litigieuses, il sera cependant retenu que la BNP produit aux débats un document matérialisant les traces informatiques desdites opérations, avec indication de l’horaire d’envoi des messages afférents.

S’il incombe à l’établissement bancaire d’établir la preuve de l’envoi de semblables notifications, en revanche, il ne saurait être tenu de démontrer la réception par sa cliente de telles notifications, en l’absence de prévision légale ou contractuelle l’y contraignant.

Il résulte de l’ensemble des éléments qui précèdent que c’est par une négligence grave de Madame [V] que la fraude aux paiements dont elle se dit victime est intervenue, de telle sorte que la responsabilité de la BNP ne peut être engagée.

Par suite, Madame [V] n’est pas fondée à soutenir l’existence d’une résistance abusive à la charge de la BNP dont le refus de remboursement est justifié.

Sur les demandes annexes

Succombant, Madame [E] [V] sera condamnée aux dépens.

L’équité commande qu’il ne soit pas fait application de l’article 700 du code de procédure civile.

Compte tenu de la teneur de la décision, il y a lieu d’écarter l’exécution provisoire.

PAR CES MOTIFS

Le tribunal, statuant publiquement par jugement contradictoire, en premier ressort et par mise à disposition au greffe,

DÉBOUTE Madame [E] [V] de l’ensemble de ses demandes ;

CONDAMNE Madame [E] [V] aux dépens ;

DÉBOUTE les parties de leurs demandes fondées sur l’article 700 du code de procédure civile ;

ÉCARTE l’exécution provisoire.

Fait et jugé à Paris le 05 Juillet 2024

La Greffière Le Président