TRIBUNAL

JUDICIAIRE

DE PARIS [1]

[1] Copie conforme délivrée

le :

à : Maître MORAND

Copie exécutoire délivrée

le :

à : Maître PENIN

Pôle civil de proximité

■

PCP JTJ proxi fond

N° RG 23/05648 – N° Portalis 352J-W-B7H-C2XG4

N° MINUTE :

1 JTJ

JUGEMENT

rendu le jeudi 08 août 2024

DEMANDEUR

Monsieur [Z] [L],

demeurant [Adresse 4]

représenté par Maître MORAND, avocat au barreau de Nantes

DÉFENDERESSE

S.A. BNP PARIBAS,

dont le siège social est sis [Adresse 5]

représentée par Maître PENIN, avocat au barreau de Paris, vestiaire #J0008

COMPOSITION DU TRIBUNAL

Anne-Sophie STORELV, Vice-présidente, statuant en juge unique

assistée de Laura JOBERT, Greffier,

DATE DES DÉBATS

Audience publique du 03 juin 2024

JUGEMENT

contradictoire, en premier ressort, prononcé par mise à disposition le 08 août 2024 par Anne-Sophie STORELV, Vice-présidente assistée de Laura JOBERT, Greffier

Décision du 08 août 2024

PCP JTJ proxi fond – N° RG 23/05648 – N° Portalis 352J-W-B7H-C2XG4

EXPOSE DU LITIGE

Par acte du huissier en date du 6 juillet 2023 M. [Z] [L] a fait citer par devant ce tribunal la société BNP PARIBAS aux fins de voir:

— condamner la BNP PARIBAS à payer à M. [Z] [L] la somme de 8140€ frauduleusement débitée sur son compte bancaire n° [XXXXXXXXXX01], majorée des pénalités prévues à l’article L133-18 du Code monétaire et financier, à compter du 11 avril 2022,

— ordonner la capitalisation des intérêts majorés dus depuis plus d’un an,

— condamner la BNP PARIBAS au paiement d’une indemnité de 5000€ sur le fondement de l’article 700 du Code de Procédure Civile,

— condamner la BNP PARIBAS en tous les dépens de l’instance.

A l’audience du 3 juin 2024, la partie demanderesse, déclare par l’intermédiaire de son conseil, maintenir l’intégralité de ses demandes.

La BNP PARIBAS en défense, demande au tribunal de prononcer la nullité de l’assignation délivrée le 6 juillet 2023 en raison de la violation du secret de la médiation prévue à l’article L612-3 du Code de la consommation, et ce dans la mesure où l’assignation contient l’avis du médiateur qui est couvert par la confidentialité, et cet avis étant versé en intégralité aux débats.

À titre subsidiaire elle demande d’écarter des débats la pièce numéro 13 de M. [L].

Elle demande en outre de débouter M. [L] de l’intégralité de ses demandes d’écarter l’exécution provisoire en faveur de celui-ci, et de le condamner à lui verser la somme de 2200€ au titre de l’article 700 du Code de Procédure Civile, et au paiement des entiers dépens.

MOTIVATION DE LA DECISION

Sur la nullité de l’assignation

La BNP PARIBAS explique à ce titre, que le secret de la médiation est prévu à l’article L612-3 du Code de la consommation et que la référence à l’avis du médiateur de la banque est susceptible d’affecter la neutralité du débat soumis au juge, et qu’elle affecte de ce fait, la validité de l’acte lui-même.

En réplique M. [L] estime qu’il s’agit d’une nullité de forme, et qui est couverte si celui qui l’invoque a, postérieurement à l’acte critiqué, fait valoir des défenses au fond ou opposé une fin de non-recevoir sans soulever la nullité.

La BNP PARIBAS qui a effectivement conclu au fond en faisant état au manquement à la confidentialité de la médiation, mais sans soulever la nullité de l’assignation, et ce dans ses conclusions numéro un de l’audience du 6 octobre 2023 n’est donc plus recevable à soulever la nullité de l’assignation à la présente audience.

De surcroît elle est d’autant moins fondée à se prévaloir d’une telle nullité qu’elle s’est elle-même prévalue de l’avis de la médiatrice dans ses propres conclusions.

En tout état de cause, le non-respect de l’article L.612-3 du Code de la consommation dans l’acte introductif d’instance n’est pas de nature à entraîner d’office la nullité de cet acte de procédure.

Il en résulte que les pièces révélant le contenu d’une médiation doivent seulement être écartées des débats, et les deux parties à la présente instance, ont elle-mêmes déjà décidé chacune de supprimer toute référence à l’avis de la médiatrice et M. [L] de retirer de son dossier les pièces n° 13 et 14 qui s’y rapportent.

Sur le fond

Il résulte des articles L133-16, L133-7, L133-19 du code monétaire et financier qu’il appartient à l’utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées et d’informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l’instrument paiement ou des données qui lui sont liées et que c’est à ce prestataire qu’il incombe, de rapporter la preuve que l’utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence grave à ses obligations. Cette preuve ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés.

M. [L] explique et fait valoir au soutien de ses demandes:

* qu’il était titulaire d’un compte courant n° [XXXXXXXXXX02] dans les livres de l’agence de VILLEJUIF de la BNP PARIBAS, et que le 10 mars 2022 il a reçu un SMS de sa chargée d’affaire lui indiquant qu’elle n’arrivait pas à le joindre au [XXXXXXXX03] et qu’il a immédiatement répondu que ce numéro n’était pas le sien et lui a rappelé celui qu’il utilisait pour toutes ses opérations bancaires,

* que cette “anomalie”aurait dû alerter sa conseillère, et l’inciter à vérifier les opérations en cours avec ce numéro de téléphone qui n’était pas celui du titulaire du compte,

* qu’il a néanmoins constaté le 11 mars 2022 au matin pour le premier, puis quelques jours plus tard pour le second, que son compte avait été débité de 2 paiements par carte qu’il n’avait pas initiés, ni autorisés d’un montant respectif de 2740€ et de 5400€, soit au total pour un montant de 8140€,

* qu’il a immédiatement informé son agence et régularisé 2 plaintes sur le site du ministère de l’intérieur les 11 et 30 mars 2022,

* qu’il a ainsi été victime d’une fraude sans qu’il ne soit démontré de négligence grave de sa part dans la protection de ses données confidentielles,

* que ces deux débits frauduleux ont mis son compte en position négative, ce qui fait qu’il a dû prendre des dispositions en urgence pour le créditer d’une somme de 8000 € le 1er avril 2022,

* que si la banque s’était conformée à son obligation légale d’exiger une certification forte, il n’aurait subi aucun préjudice,

* que la banque pour refuser de rembourser au payeur le montant de l’opération non autorisée doit fournir des éléments afin de prouver la négligence grave à ses obligations de prudence et de sécurité, commise par l’utilisateur de service de paiement, et que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée, et qu’elle n’a pas été affectée par une déficience technique ou autre, et cette preuve ne pouvant se déduire du seul fait que l’instrument de paiement ou données personnelles qui lui sont liées ont été effectivement utilisées,

*que la BNP PARIBAS justifie son refus d’indemnisation en raison d’une négligence grave de sa part qui résulterait du fait que les deux opérations litigieuses ont été validées par l’activation de sa clé digitale et que cette activation ne pouvait se faire qu’avec l’utilisation de ses codes d’accès personnels dont il se doit de conserver la confidentialité, mais n’en rapporte pas la preuve,

*que bien au contraire la BNP PARIBAS a reconnu que les deux opérations litigieuses ont été réalisées avec utilisation d’un téléphone mobile qui n’était pas celui de M. [L] et ce sans exiger une authentification forte, puisque le SMS d’authentification a été envoyé sur le portable du fraudeur, ce qui aurait du générer une alerte, et un blocage de l’opération de paiement,

* que les 2 paiements litigieux ont de plus été effectués alors même que le solde du compte de M. [L] ne permettait pas de les honorer, et que la banque avait dès lors l’obligation de refuser une opération de paiement que les fonds disponibles ne permettaient pas,

* qu’il démontre ainsi qu’il n’a pas failli à ses obligations de prudence, d’information et de signalement mis à sa charge par les articles du Code monétaire et financier, ce qui fonde sa demande de remboursement.

En défense, la BNP PARIBAS fait valoir que M. [L] a été gravement négligent et que le préjudice dont il fait état résulte de son seul fait.

Elle précise en effet que les modifications techniques opérées sur l’espace client de M. [L] ont supposé sa participation, dans la mesure où les recherches effectuées par ses services ont permis de déterminer que les achats initiés en ligne avaient été validés à l’aide de la clé digitale, du dispositif de sécurité et d’authentification forte.

Elle conteste dans ces conditions, la thèse de M. [L] selon laquelle il n’aurait été contacté par quiconque, et n’aurait communiqué aucune donnée confidentielle, puisque c’est un changement de numéro de téléphone qui a permis de réaliser deux achats par carte bancaire au débit de son compte le 9 mars 2022 et pour un montant total de 8140€.

SUR CE

Il y a lieu de préciser que pour enrôler ( enregistrer ) la clé digitale sur un nouveau téléphone, le client de BNP PARIBAS doit installer l’application mobile sur son téléphone, ce qui rend nécessaire de se connecter à son espace digital ( sur Internet ou sur son application ) en saisissant ses identifiants et mot de passe, informations strictement confidentielles, étant précisé que pour cela l’authentification forte n’est pas systématiquement requise puisque l’article 10 du Règlement délégué n° 2018/389 de la Commission a autorisé une dérogation dès lors que ladite authentification forte a été utilisée moins de 90 jours auparavant.

De plus, ces données de connexion étant personnelles, seule leur communication volontaire peut permettre au fraudeur de se connecter à l’espace bancaire du client, et ce d’une façon ou d’une autre, ce qui n’aurait pas pu se faire le 8 mars 2022, dans le cas contraire.

En l’espèce on peut donc considérer que les opérations contestées par le requérant sont 2 paiements irrévocables en ligne validés nécessairement par l’escroc à l’aide du mécanisme d’authentification forte via l’usage de la “clé digitale”.

Le fonctionnement du système de la “clé digitale” étant la mise en place de l’authentification forte d’une opération en ligne basée sur le fait que le client possède son Smartphone et est seul à connaître son code secret.

Il faut ainsi que le client dans un premier temps, télécharge l’application de la banque sur son téléphone mobile, et qu’ avec l’aide de son identifiant et de son mot de passe il se connecte à son espace personnel de l’application où il pourra ensuite activer sa clé digitale, après avoir reçu un SMS sur son téléphone ou après avoir cliqué sur un lien contenu dans un message.

Une fois cette manipulation réalisée, la “clé digitale” est enrôlée et le client est assuré de pouvoir bénéficier et utiliser “l’authentification forte”.

Un escroc doit donc trouver un moyen de convaincre le client de lui communiquer le code contenu dans le SMS afin de reconstituer le lien dans son téléphone.

En l’espèce il résulte des pièces produites par la BNP PARIBAS, à savoir des traces informatiques du système de BNP PARIBAS que:

— l’escroc s’est connecté à l’espèce client de M. [L] le 8 mars 2022 à partir de 15h38,

— la clé digitale a été enrôlée à 15h44 sur un nouveau téléphone portable,

— l’escroc a enregistré son numéro de téléphone comme nouveau support de clé digitale à 15h47,

— entre ces deux étapes cet enrôlement a généré à 15h43 l’envoi sous le numéro de téléphone de M. [L] d’un SMS contenant un code nécessaire à la finalisation de cet enrôlement sur le téléphone de l’escroc que celui-ci lui a communiqué, puisque l’enrôlement de la clé digitale sur le téléphone de l’escroc à fonctionné à 15h44, ainsi qu’en attestent les relevés informatiques,

— à l’issue de cette manipulation, l’escroc disposait de la possibilité de valider à l’aide de son propre et unique téléphone les achats réalisés avec la carte bancaire de M. [L] ,

— de même le changement du numéro de téléphone associé à l’espace client doit être validé par la clé digitale ainsi en l’espèce l’escroc ayant réussi à installer la clé digitale sur son téléphone, pouvait saisir son numéro de téléphone dans l’espace client et valider la notification de la clé digitale,

— l’escroc s’est de nouveau connecté le 9 mars 2022 à 23h09 à l’espace personnel de M. [L] pour modifier le plafond de débit de sa carte bancaire en le portant un montant de 10 000 €, et ce à 23h11,

— les achats litigieux ont été ainsi authentifiés, à l’aide de la clé digitale installée sur le téléphone portable, à savoir le 9 mars 2022 à 16h34 pour l’achat d’un montant de 5400 €et le 9 mars 2022 à 23h16 pour l’achat d’un montant de 2740 € ( le plafond de la carte ayant été relevé quelque minutes auparavant ).

La BNP PARIBAS a mentionné en outre que son système informatique a été indemne de toute défaillance, puisqu’elle est en mesure de produire des traces informatiques conformes au déroulé des événements, date et heure de connexion, adresse IP.

De plus la banque n’a pas l’obligation de déployer l’authentification forte en cas de connexion inhabituelle, c’est à dire à partir d’une adresse IP qui ne serait pas celle habituellement utilisée par le client, le propre d’une connexion mobile étant de pouvoir se loguer à partir de n’importe quel ordinateur où qu’il se trouve.

Il apparaît dès lors que le système informatique et la sécurité digitale de la BNP PARIBAS n’ont pas concouru à la fraude déplorée par M. [L] et que seul son défaut de vigilance et d’extrême prudence sont à l’origine de l’escroquerie commise au détriment du requérant.

M. [L] ne s’explique pas sur ce qui s’est préalablement passé à la réception, en réalité d’un mail de sa chargée d’affaire du 10 mars 2022 à 12h20 et se borne à contester avoir autorisé l’authentification forte.

Enfin, la banque ne pouvait pas bloquer le 10 mars 2022 des opérations irrévocables intervenues le 9 mars 2022 et récuperer les sommes débitées et il ne peut donc pas lui être fait des reproches à ce titre, et il n’est pas établi par ailleurs de faute de la banque, en l’absence de preuve de la déficience du dispositif de sécurité mis en place par celle-ci.

Sur le fondement juridique subsidiaire de la demande

Subsidiairement M. [L] fonde sa demande de remboursement en invoquant les dispositions du Code civil.

Il a été jugé cependant que le régime de responsabilité du prestataire de services de paiement à l’égard de l’utilisateur de services de paiement en cas d’opération d’un autorisée, établi par la directive CE puis EU et sa transposition codifiée en FRANCE aux articles L133-1 et suivants du code monétaire et financier, et exclusif de tout régime de responsabilité concurrent.

M. [L] sera en conséquence débouté de sa demande subsidiaire de remboursement.

Sur les demandes accessoires

L’équité commande en l’espèce de ne pas faire application des dispositions de l’article 700 du Code de Procédure Civile.

M. [L] qui succombe sera en revanche condamné aux entiers dépens de l’instance.

PAR CES MOTIFS,

Le tribunal statuant en premier ressort et par jugement contradictoire, mis à disposition des parties au greffe;

Déclare irrecevable la demande de nullité de l’assignation délivrée le 26 juillet 2023, de M. [L],

Ecarte des débats les pièces n° 13 et 14 de M. [L],

Déboute M. [Z] [L] de l’intégralité de ses demandes,

Dit n’y avoir lieu à application des dispositions de l’article 700 du Code de Procédure Civile,

Condamne M. [L] aux entiers dépens de l’instance.

Le greffier Le juge