Tribunal Judiciaire de Paris, 9e chambre 2e section, 3 juillet 2024, n° 23/08046

TJ Paris 3 juillet 2024

CA Paris
Infirmation 1 avril 2026

Arguments

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Signaler une erreur.

Rejeté
Non-autorisation du virement contesté
Le tribunal a constaté que l'opération a été authentifiée conformément aux exigences légales, et que Monsieur [W] n'a pas démontré qu'il n'avait pas consenti au paiement.
Accepté
Négligence grave de Monsieur [W]
Le tribunal a jugé que la négligence de Monsieur [W] a contribué à la fraude, ce qui l'empêche de demander le remboursement.
Rejeté
Résistance abusive de la banque
Le tribunal a rejeté cette demande, considérant que la banque avait des raisons légitimes de ne pas procéder au remboursement.
Rejeté
Préjudice moral subi par Monsieur [W]
Le tribunal a jugé que les circonstances ne justifiaient pas l'octroi de dommages-intérêts pour préjudice moral.

Résumé par Doctrine IA

Dans cette décision, le tribunal judiciaire de Paris est saisi d'une affaire opposant Monsieur [N] [W] à la S.A. BRED BANQUE POPULAIRE. Monsieur [W] conteste un virement de 5 500 euros effectué depuis son compte bancaire sans son autorisation. Il demande au tribunal de déclarer la banque responsable des dommages subis et de la condamner à lui verser des dommages-intérêts. La banque soutient que l'opération a été authentifiée et autorisée par Monsieur [W] et demande le rejet des demandes du demandeur. Le tribunal constate que l'opération a été réalisée depuis l'espace en ligne de Monsieur [W], mais que celui-ci n'a pas consenti au paiement litigieux. Cependant, le tribunal estime que Monsieur [W] a fait preuve de négligence grave en communiquant ses données de sécurité personnalisées à un tiers suite à une escroquerie par phishing. Par conséquent, le tribunal rejette la demande de remboursement de Monsieur [W] et le condamne aux dépens. Les demandes de dommages et intérêts sont également rejetées.

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Commentaire • 1

Augmentez la visibilité de votre blog juridique : vos commentaires d’arrêts peuvent très simplement apparaitre sur toutes les décisions concernées.

1. Preuve de l'authentification forte insuffisante : la BRED condamnée à rembourser 5 500 euros

Le Bot Avocat

Testez Doctrine gratuitement
pendant 7 jours

Démarrer

Vous avez déjà un compte ?Connexion

Sur la décision

Référence :	TJ Paris, 9e ch. 2e sect., 3 juil. 2024, n° 23/08046
Numéro(s) :	23/08046
Importance :	Inédit
Dispositif :	Déboute le ou les demandeurs de l'ensemble de leurs demandes
Date de dernière mise à jour :	6 août 2024
Lire la décision sur le site de la juridiction

Sur les parties

Avocat(s) :	Alexandre PARASTATIDISJean-Philippe GOSSETDikpeu-Eric BALE
Cabinet(s) :	BALE & KOUDOYORCABINET GOSSET
Parties :	S.A. BRED BANQUE POPULAIRE, son représentant légal

Texte intégral

TRIBUNAL

JUDICIAIRE

DE PARIS [1]

[1]

Expéditions

exécutoires

délivrées le:

■

9ème chambre 2ème section

N° RG 23/08046 -

N° Portalis 352J-W-B7H-C2AYM

N° MINUTE : 5

Assignation du :

06 Juin 2023

JUGEMENT

rendu le 03 Juillet 2024

DEMANDEUR

Monsieur [N] [W]

[Adresse 1]

Représenté par Maître Dikpeu-eric BALE de la SELARL BALE & KOUDOYOR, avocat au barreau de PARIS, vestiaire #D1635

DÉFENDERESSE

S.A. BRED BANQUE POPULAIRE prise en la personne de son représentant légal

[Adresse 2]

Représentée par Maître Jean-Philippe GOSSET de la SELEURL CABINET GOSSET, avocat au barreau de PARIS, vestiaire #B0812

COMPOSITION DU TRIBUNAL

Monsieur MALFRE, Vice-président

Monsieur BOUJEKA, Vice-Président

Monsieur PARASTATIDIS, Juge

assistés de Pierre-Louis MICHALAK, Greffier, lors des débats, et de Claudia CHRISTOPHE, Greffière, lors de la mise à disposition.

Décision du 03 Juillet 2024

9ème chambre 2ème section

N° RG 23/08046 – N° Portalis 352J-W-B7H-C2AYM

DÉBATS

A l’audience du 22 Mai 2024 tenue en audience publique devant Alexandre PARASTATIDIS, juge rapporteur, qui, sans opposition des avocats, a tenu seul l’audience, et, après avoir entendu les conseils des parties, en a rendu compte au Tribunal, conformément aux dispositions de l’article 805 du Code de Procédure Civile.

JUGEMENT

rendu publiquement par mise à disposition

Contradictoire

en premier ressort

FAITS ET PROCEDURE

Le 18 mars 2021, M. [N] [W] a déposé plainte auprès du commissariat de [Localité 3] du chef d’usage frauduleux d’un numéro de compte bancaire, contestant avoir autorisé un virement de 5.500 euros débité de son compte ouvert dans les livres de la Bred Banque populaire (ci-après la Bred BP) le 16 mars 2021 au profit d’un dénommé « [G] [V] [F] » qu’il indiquait ne pas connaître.

Ses diverses réclamations pour obtenir le remboursement de la somme litigieuse sont restées infructueuses, l’établissement bancaire lui opposant le fait que l’opération a fait l’objet d’une authentification forte depuis son espace en ligne protégé par deux codes d’identification qui lui sont propres.

C’est dans ces conditions que par exploit de commissaire de justice du 6 juin 2023, constituant ses seules écritures, M. [W] a fait assigner la Bred BP devant le tribunal judiciaire de Paris auquel, aux visas des articles 1231-1 du code civil et L.133-4, L.133-6, L.133-18 et L.133-44 du code monétaire et financier, il est demandé de :

« Déclarer Monsieur [N] [W] recevable et bien fondé en ses demandes,

Y faisant droit,

Déclarer la BRED BANQUE POPULAIRE responsable des dommages subis par Monsieur [N] [W],

En conséquence,

Condamner la BRED BANQUE POPULAIRE à rembourser Monsieur [N] [W] une somme de 5 500 euros à titre de dommages-intérêts en réparation de son préjudice financier, avec intérêts au taux légal à compter de la date de l’assignation,

Condamner la BRED BANQUE POPULAIRE à verser à Monsieur [N] [W] la somme de 3 000 euros à titre de dommages-intérêts pour résistance abusive,

Condamner la BRED BANQUE POPULAIRE à verser à Monsieur [N] [W] la somme de 4 000 euros à titre de dommages-intérêts en réparation de son préjudice moral,

Condamner la BRED BANQUE POPULAIRE à verser à Monsieur [N] [W] la somme de 5 000 euros au titre de l’article 700 du Code de procédure civile,

Condamner la BRED BANQUE POPULAIRE aux entiers de l’instance, dont distraction au profit de Maître BALE, qui en fait la demande, en application des dispositions de l’article 699 du Code de procédure civile,

Rappeler qu’en application de l’article 514 du Code de procédure civile, les décisions de première instance sont de droit exécutoires à titre provisoire. »

A l’appui de ses prétentions, M. [W] expose avoir découvert l’opération frauduleuse seulement le 18 mars 2021 à la lecture de son relevé bancaire et n’avoir jamais reçu le moindre code d’authentification sur son téléphone de marque Sony pour approuver l’activation du service « BREDSecure » depuis un téléphone Samsung et, a fortiori, autorisé le virement contesté, précisant ne pas s’être connecté à cette période à son compte en ligne mais reconnaissant cependant avoir été destinataire de deux courriels de la Bred BP dans la soirée du 16 mars 2021 à cet effet dont il n’a pas pris connaissance en temps réel. Il ajoute que la banque ne rapporte pas la preuve de l’authentification effective par ses soins de l’opération contestée ni d’une quelconque négligence de sa part et, qu’en conséquence, celle-ci a méconnu son obligation de rembourser la somme débitée, conformément aux dispositions de l’article L.133-18 du code monétaire et financier, et doit être condamnée à lui payer la somme de 5.500 euros avec intérêts au taux légal à compter de la date de l’assignation à titre de dommages et intérêts.

Il sollicite également la condamnation de la Bred BP à lui payer la somme de 3.000 euros à titre de dommages et intérêts en réparation du préjudice, distinct du simple recouvrement de sa créance, découlant de la résistance abusive de la banque qui ne pouvait légitimement ignorer son obligation légale de lui rembourser la somme litigieuse.

Enfin, il fait valoir un préjudice moral résultant des « tracasseries » subies et des démarches qu’il a dû entreprendre pour faire valoir ses droits.

Aux termes de ses dernières conclusions signifiées par voie électronique le 6 février 2024, aux visas des articles 1103 du code civil et L.133-1 et suivants du code monétaire et financier, la Bred BP demande au tribunal de :

« RECEVOIR la BRED en ses conclusions, l’y déclarant bien fondée ;

JUGER que Monsieur [W] ne peut obtenir le remboursement par la BRED du virement contesté en présence d’une opération conformément authentifiée et donc autorisée et, en toute hypothèse, exécutée suite à sa négligence grave,

DEBOUTER en conséquence Monsieur [W] de l’ensemble de ses demandes, fins et prétentions à l’encontre de LA BRED,

CONDAMNER Monsieur [W] à verser à la BRED la somme de 1.000 € au titre de l’article 700 du Code de procédure civile,

CONDAMNER Monsieur [W] aux entiers dépens. »

A l’appui de ses prétentions, elle fait valoir qu’en application notamment des articles L.133-6, L.133-7, L.133-18 et L.133-19 du code monétaire et financier, un établissement bancaire n’a pas l’obligation de rembourser à ses clients les opérations de paiement en ligne contestées dès lors qu’il rapporte la preuve de ce qu’elles ont été authentifiées. Elle expose qu’en l’espèce, la preuve est rapportée conformément aux dispositions légales et aux stipulations contractuelles que le virement litigieux a été autorisé et authentifié au sens des dispositions du code précité, car passé depuis l’espace en ligne du demandeur après utilisation de l’identifiant et du mot de passe personnel que ce dernier était seul à connaître et dont l’appropriation et l’utilisation sont nécessairement intervenues en dehors de sa sphère d’intervention, et que l’opération a en conséquence été autorisée juridiquement par le titulaire du compte. Elle conclut en conséquence au rejet de la demande fondée sur les dispositions de l’article L.133-18 du code monétaire et financier.

En tout état de cause, la Bred BP fait valoir la négligence grave de M. [W], au sens de l’article L.133-19 IV du code précité, qui ne rapporte pas la preuve du caractère non autorisé de l’opération litigieuse mais, au contraire, reconnaît aux termes de sa plainte pénale avoir reçu la veille de l’opération un courriel « pirate » sur son adresse électronique dont elle déduit qu’il a été victime de faits d’ « hameçonnage par mail » (ou « phishing ») ayant conduit à la communication de ses données de sécurité personnalisées qui a par la suite permis la fraude. Elle relève également que l’attentisme du demandeur qui n’a pas réagi aux notifications qui lui ont été adressées par courriels le 16 mars 2021 pour l’informer de l’exécution d’un nouveau virement a contribué à la réalisation de son préjudice. Elle conclut en conséquence au rejet de ses prétentions.

Conformément aux dispositions de l’article 455 du code de procédure civile, il est renvoyé aux dernières écritures des parties pour l’exposé des moyens et arguments venant au soutien de leurs demandes.

La clôture de l’instruction a été prononcée le 3 avril 2024. L’affaire a été évoquée à l’audience de plaidoirie tenue en juge rapporteur du 22 mai 2024 et mise en délibéré au 3 juillet 2024.

MOTIFS DE LA DÉCISION

Une opération de paiement n’est autorisée au sens des articles L.133-3 et L.133-6 du code monétaire et financier que si le payeur l’a initiée et a consenti au montant de l’opération.

En cas d’opération de paiement non autorisée signalée par l’utilisateur dans les délais prévus par l’article L.133-24 du même code, le prestataire de services de paiement du payeur rembourse à ce dernier le montant de l’opération non autorisée sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement.

Dans cette hypothèse, il incombe au prestataire de paiement de prouver que l’opération litigieuse a été effectuée après une authentification forte, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre, l’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement, à savoir l’utilisation des identifiants du client et l’absence de déficience technique ou autre, notamment par le biais de la production d’un relevé de ses connexions, ne suffisant pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur.

L’article L.133-4 (f) du code précité précise qu’une authentification forte s’entend d’une authentification reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories « connaissance » (quelque chose que seul l’utilisateur connaît telle qu’un mot de passe, un code secret, une question secrète, etc…), « possession » (quelque chose que seul l’utilisateur possède telle qu’un téléphone portable, une montre connectée, une clé USB etc…) et « inhérence » (quelque chose que l’utilisateur est telle que la reconnaissance faciale ou vocale, la reconnaissance par empreinte digitale, etc…) et indépendants en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d’authentification. L’authentification forte repose donc sur l’utilisation de deux de ces éléments, voire plus.

Par ailleurs, la responsabilité du payeur n’est pas engagée si l’opération de paiement non autorisée a été effectuée en détournant, à son insu, l’instrument de paiement ou les données qui lui sont liées. Cependant, il supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’agissements frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L.133-16 et L.133-17 du code précité.

Ainsi, pour échapper au remboursement de l’opération contestée, le prestataire de services de paiement doit démontrer, soit que l’ordre émanait bel et bien du client dûment authentifié dans son espace personnel, soit que le vol des identifiants de connexion (ou d’autres données) n’est que la conséquence d’une faute grave de sa part consistant à ne pas avoir satisfait intentionnellement aux obligations lui incombant en la matière ou à les avoir gravement négligées.

En l’espèce, il résulte du relevé des traces informatiques produit par la banque que le 16 mars 2021 entre 22h48 et 22h49, l’ordre de virement litigieux a été passé depuis l’espace en ligne de M. [W] selon la procédure d’authentification qui suppose une connexion au moyen des identifiant et mot de passe personnel que seul l’utilisateur est censé connaître.

La banque rapporte dès lors la preuve que l’opération litigieuse a été réalisée en suivant la procédure d’authentification forte, étant relevé qu’il ne peut être fait grief à la défenderesse de ne pas avoir adressé par SMS de demande de confirmation du virement sur le téléphone portable du défendeur dès lors qu’il résulte des écritures des parties que le service « BREDSecure » n’avait pas été préalablement activé par M. [W] et que donc son numéro de téléphone n’y était pas déjà enregistré. Il s’en déduit que le système de sécurisation de l’espace en ligne n’était pas affecté d’une déficience technique sauf à ce que le demandeur rapporte la preuve contraire, ce qu’il ne fait pas au particulier.

Cependant, si l’opération a été validée depuis l’espace en ligne de M. [W], il n’est pas démontré que ce dernier a consenti au paiement litigieux dès lors qu’il déclare ne pas être à l’origine de l’authentification et que la banque, qui ne rapporte pas la preuve que la connexion a été faite depuis l’adresse IP du demandeur, ne conteste pas sa qualité de victime d’une escroquerie. Il convient dès lors de considérer que le virement n’a pas été autorisé par le demandeur et de rechercher s’il peut se voir reprocher une négligence grave au sens des articles L.133-16 et suivants du code monétaire et financier faisant obstacle à son indemnisation.

Or, si le demandeur conteste avoir transmis ses données de sécurité personnalisées à un tiers, le tribunal relève néanmoins que dans sa plainte déposée le 18 mars 2021, il déclarait aux services de police « (…) Je ne sais pas si cela a quelque chose à voir avec cette escroquerie mais la veille j’ai reçu un mail d’une personne disant avoir piraté mon ordinateur il y a deux mois et avoir vu que je m’étais masturbé en visitant un site porno qu’il avait la (sic) enregistré la scène et me demandant la somme de 500 dollars en Bitcoins dans son portefeuille et ce dans un délai de 48H00 sinon il enverrait les photos à mes contacts (…) ».

Il résulte de ses propres déclarations que seulement 24 heures avant les faits, M. [W] a fait l’objet d’une escroquerie au moyen de la technique dite de « Phishing » qui a pour but de soutirer aux victimes des données personnelles telles que leur données de sécurité personnalisées en les dirigeant au moyen d’un lien vers un site qui s’avère être frauduleux et qui est destiné à permettre la récupération des identifiant et mot de passe entrés par la victime qui pense effectuer un paiement.

Le fraudeur n’a pu accéder à l’espace personnel de M. [W] qu’au moyen de ses identifiant et mot de passe préalablement communiqués et dont seul le demandeur avait connaissance. Il se déduit dès lors du silence gardé par le M. [W] sur la suite qu’il a donnée à la demande de paiement faite par l’escroc et de la temporalité des faits qu’il a nécessairement communiqué ses données de sécurité personnalisées au fraudeur en répondant favorablement à la demande de chantage alors que le contexte de la demande de paiement aurait dû l’alerter sur le risque de détournement de ses données de sécurité personnalisées et de l’usage frauduleux qui pouvaient en être fait ultérieurement.

De plus, M. [W] ne conteste pas la réception des deux courriels de la banque envoyés le 16 mars 2021 à 22h49 et 22h53 l’informant en temps réel, pour le premier, de la demande d’activation du service de paiement depuis un téléphone mobile Samsung qui n’était pas le sien et, pour le second, de l’ordre de virement passé, sans pour autant entraîner de réaction de sa part alors qu’en application de l’article L.133-17 du code monétaire et financier l’utilisateur d’un service de paiement qui a connaissance du détournement de son instrument de paiement ou des données qui lui sont liées doit en informer sans tarder son prestataire. L’absence de diligence du demandeur auprès de la banque aux fins de blocage de l’opération a nécessairement contribué à la réalisation de la fraude.

Dès lors, il doit être considéré que M. [W] n’a pas satisfait aux obligations mises à sa charge par les articles L.133-16 et L.133-17 du code monétaire et financier du fait de négligences graves qui lui sont imputables au sens de l’article L.133-19 du même code et qui le privent de la possibilité de faire supporter par la banque les pertes occasionnées par l’opération de paiement non autorisée.

En conséquence, la demande de remboursement est rejetée

2 – Sur les demandes de dommages et intérêts pour résistance abusive et préjudice moral

Compte tenu de l’issue donnée au litige, les demandes de dommages et intérêts sont rejetées.

3 – Sur les demandes accessoires

3.1 – Sur les frais du procès

M. [W] qui succombe supportera les dépens.

Il est également condamné au paiement à la Bred BP d’une somme de 1.500 euros sur le fondement de l’article 700 du code de procédure civile.

3.2 – Sur l’exécution provisoire

La présente décision est revêtue de droit de l’exécution provisoire conformément aux dispositions de l’article 514 du code de procédure civile dans sa version applicable en l’espèce, l’instance ayant été introduite postérieurement au 31 décembre 2019.

Cependant, l’issue donnée au litige nécessite d’écarter l’exécution provisoire.

PAR CES MOTIFS

Le tribunal statuant publiquement par jugement contradictoire, en premier ressort et par mise à disposition au greffe :

DEBOUTE M. [N] [W] de ses demandes ;

CONDAMNE M. [N] [W] aux dépens ;

CONDAMNE M. [N] [W] à payer à la SA Bred Banque populaire la somme de 1.500 euros sur le fondement de l’article 700 du code de procédure civile ;

ECARTE l’exécution provisoire de droit.

Fait et jugé à Paris le 03 Juillet 2024

La GreffièreLe Président