TRIBUNAL

JUDICIAIRE

DE PARIS [1]

[1]

Expéditions

exécutoires

délivrées le:

■

9ème chambre 2ème section

N° RG :

N° RG 23/05448 – N° Portalis 352J-W-B7H-CZE4T

N° MINUTE : 2

Assignation du :

24 Février 2023

JUGEMENT

rendu le 27 Mars 2024

DEMANDERESSE

Madame [L] [T] divorcée [I]

[Adresse 5]

[Localité 7]

représentée par M^e Erick ROYER, avocat au barreau de PARIS, avocat plaidant, vestiaire #C1732

DÉFENDERESSE

S.A. BNP PARIBAS

[Adresse 4]

[Localité 6]

représentée par Maître Dominique PENIN du LLP KRAMER LEVIN NAFTALIS & FRANKEL LLP, avocats au barreau de PARIS, avocat constitué, vestiaire #J0008

Décision du 27 Mars 2024

9ème chambre 2ème section

N° RG 23/05448 – N° Portalis 352J-W-B7H-CZE4T

COMPOSITION DU TRIBUNAL

Monsieur Gilles MALFRE, 1er Vice-président adjoint

Monsieur Alexandre PARASTATIDIS, Juge

Monsieur Augustin BOUJEKA, Vice-Président

assisté de Clarisse GUILLAUME, Greffière lors de l’audience, et de Pierre-Louis MICHALAK, Greffier lors de la mise à disposition,

DÉBATS

A l’audience du 24 Janvier 2024 tenue en audience publique devant Monsieur Alexandre PARASTATIDIS, juge rapporteur, qui, sans opposition des avocats, a tenu seul l’audience, et, après avoir entendu les conseils des parties, en a rendu compte au Tribunal, conformément aux dispositions de l’article 805 du Code de Procédure Civile. Avis a été donné que la décision serait rendue par mise à disposition le 27 Mars 2024.

JUGEMENT

Prononcé en audience publique

Contradictoire

en premier ressort

FAITS ET PROCÉDURE

Le 21 mars 2022, Mme [L] [T] divorcée [I] (ci-après Mme [T]), employée de la SA BNP Paribas (ci-après la BNP Paribas), a déposé plainte auprès du commissariat de [Localité 7] pour escroquerie, contestant être à l’origine de trois opérations effectuées les 3, 6 et 7 mars 2022 pour un montant total de 9.790,94 euros depuis l’espace en ligne de son compte courant ouvert dans les livres de la BNP Paribas.

Ses diverses réclamations pour obtenir le remboursement des sommes débitées sont restées infructueuses, l’établissement lui opposant le fait que les opérations litigieuses ont été validées au moyen de sa clé digitale.

C’est dans ces conditions que par exploit d’huissier de justice du 24 février 2023, Mme [T] a fait assigner la BNP Paribas devant le tribunal judiciaire de Paris en recherche de sa responsabilité.

Aux termes de ses dernières conclusions signifiées par voie électronique le 18 septembre 2023, aux visas des articles 1937 du code civil et L.133-18, L.133-19, L.133-23 et L.133-44 du code monétaire et financier, il est demandé au tribunal de :

«  – CONSTATER la négligence de la BNP PARIBAS ;

— CONDAMNER la BNP PARIBAS à rembourser à Madame [L] [I] la somme de 9.790,94 euros avec intérêt au taux légal à compter du 7 mars 20222 ;

— CONDAMNER la BNP PARIBAS à payer à Madame [L] [I] la somme de 15.000 € à titre de dommages et intérêts pour résistance abusive ;

— CONDAMNER la BNP PARIBAS à payer à Madame [L] [I] la somme de 6.000 euros au titre de 700 du code de procédure civile outre les dépens ; "

A l’appui de ses prétentions, Mme [T] expose avoir été contactée le 3 mars 2022 pendant ses vacances par une personne se présentant comme un collaborateur de la BNP Paribas, connaissant le nom de son conseiller et l’agence de domiciliation de son compte, dans le cadre d’une action d’information sur le service « Clé digitale » à laquelle elle a simplement indiqué qu’elle prendrait contact avec son interlocuteur habituel à son retour de congés. Elle ajoute avoir reçu le même jour un SMS émanant d’une adresse générique de la banque auquel elle n’a pas répondu, précisant ne pas avoir cliqué sur le lien contenu dans celui-ci, en parallèle d’un courriel envoyé sur son adresse électronique professionnelle qu’elle n’a consulté que le 7 mars suivant. Elle indique avoir pris connaissance d’un premier débit frauduleux d’un montant de 4.709 euros le 7 mars 2022 via l’application en ligne « BNP Paribas Mescomptes » qu’elle a immédiatement signalé en faisant par ailleurs opposition sur sa carte bancaire. Elle a ensuite constaté deux nouvelles opérations frauduleuses le 9 mars 2022, débitées les 6 et 7 mars, pour des montants respectifs de 3.231,94 euros et 1.850 euros.

Contestant avoir fourni à un tiers la moindre information sur ses données bancaires ayant permis les opérations contestées, elle fait valoir qu’il incombe à la banque de rapporter la preuve que son client soit a autorisé le paiement contesté, soit a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence grave à ses obligations de préservation de ses données personnelles sécurisées. Elle expose qu’en l’espèce, la BNP Paribas se contente d’alléguer que les opérations ont été réalisées au moyen d’une authentification forte sans pour autant le démontrer ni rapporter la preuve qu’elles n’ont pas été affectées d’une déficience technique ou autre, relevant que l’adresse IP depuis laquelle les opérations litigieuses ont été ordonnées n’est pas la sienne et que son numéro de téléphone mobile, nécessaire comme outil d’authentification forte, a été substitué dans son application sans qu’elle n’en soit informée. Elle soutient dès lors que la banque ne démontre pas avoir mis en œuvre une authentification forte au sens de l’article L.133-44 du code monétaire et financier.

Mme [T] fait également valoir un manquement de la banque à l’obligation légale de vigilance énoncée à l’article L.561-6 du même code, et ce alors que les opérations frauduleuses présentaient des anomalies apparentes au regard de leurs montants, du paiement dans une devise étrangère (USD) et de leurs libellés (« CRO », sigle pour cryptomonnaie ; « Malte »).

Enfin, en réponse à l’affirmation de la banque qu’elle aurait communiqué ses identifiants lors de l’appel du 3 mars 2022, Mme [T] conteste toute négligence grave de sa part, rappelant qu’il revient à la banque de rapporter la preuve de ses dires et précisant que cette dernière est taisante sur l’origine des informations détenues par la personne qui l’a contactée téléphoniquement, sur les failles de sécurité de son système qui sont, selon elle, notoirement connues, et sur son inertie qui a permis le débit des deux dernières opérations malgré son alerte du 7 mars.

Mme [T] fait dès lors valoir un préjudice financier de 9.790,94 euros dont elle demande la réparation intégrale ainsi qu’un préjudice de 15.000 euros au titre de la résistance abusive de la banque qui lui a occasionné un manque de trésorerie alors qu’elle est mère isolée avec deux enfants à charge.

Aux termes de ses dernières conclusions communiquées par voie électronique le 19 juin 2023, la BNP Paribas demande au tribunal de débouter Mme [T] de l’intégralité de ses demandes et de condamner cette dernière à lui payer la somme de 2.500 euros sur le fondement de l’article 700 du code de procédure civile.

A l’appui de ses prétentions, la BNP Paribas fait valoir que les virements contestés n’ont été rendus possibles que du fait de Mme [T] qui, bien que supposée connaître les règles de sécurité en matière de prévention de ce type d’escroqueries mises pourtant en avant dans les médias, a nécessairement divulgué, probablement par phishing, ses accès confidentiels à son espace en ligne à son interlocuteur du 3 mars 2022, ce dernier ayant ensuite fait depuis cet espace une demande d’enrôlement de la clé digitale sur le téléphone portable [XXXXXXXX02] qui a été validée par l’utilisation d’un lien adressé par SMS sur le téléphone mobile de la demanderesse ([XXXXXXXX01]) qui reconnaît l’avoir reçu. Elle ajoute qu’un courriel de confirmation du succès de l’opération a été envoyé sur la messagerie électronique de Mme [T] l’informant que si elle n’était pas à l’origine de l’action, elle devait contacter sa banque, ce qu’elle n’a pas fait immédiatement. Elle expose que le fraudeur disposait ainsi le 3 mars 2022 des identifiant et code d’accès permettant de se connecter à l’espace en ligne de Mme [T] pour authentifier les opérations bancaires, modifier le plafond de sa carte bancaire et valider à partir de son propre téléphone mobile des achats.

La BNP Paribas soutient que le défaut de vigilance et l’extrême imprudence de Mme [T] qui s’est laissée abuser par un fraudeur se faisant passer pour l’un de ses collaborateurs et son absence de contrôle et de surveillance des opérations caractérisent dès lors une négligence de sa part dans la préservation de ses données personnelles sécurisées au sens de l’article L.133-19 du code monétaire et financier, excluant la prise en charge de sa part des conséquences financières, aucune défaillance de son système informatique et de sécurité digitale n’étant intervenue.

Elle conclut également au rejet de la demande de dommages et intérêts au titre d’une résistance abusive de sa part qui n’est démontrée, selon elle, par aucun élément probant.

Conformément aux dispositions de l’article 455 du code de procédure civile, il est renvoyé aux dernières écritures des parties pour l’exposé des moyens et arguments venant au soutien de leurs demandes.

L’ordonnance de clôture de l’instruction de l’affaire a été rendue le 29 novembre 2023 et l’affaire a été fixée pour être plaidée à l’audience tenue en juge rapporteur du 24 janvier 2024 à laquelle elle a été évoquée et mise en délibéré au 27 mars 2024.

A la demande du tribunal, le conseil de la demanderesse a transmis par voie électronique l’intégralité de la plainte déposée le 21 mars 2022.

1 – Sur la responsabilité de la BNP Paribas

Il résulte de la combinaison notamment des articles L.133-4, L.133-15, L.133-18 et L.133-23 du code monétaire et financier qu’un dispositif de paiement sécurisé se définit comme tout moyen technique affecté par un prestataire de services de paiement à un utilisateur client et communiqué pour l’utilisation et le fonctionnement tant des instruments de paiement que le fonctionnement même du compte. Ce dispositif, dont le prestataire de services de paiement doit s’assurer qu’il n’est pas accessible à d’autres personnes que l’utilisateur client, est placé sous la garde de ce dernier qui l’authentifie lui-même avec un identifiant unique, constitué d’une combinaison de lettres/chiffres/symboles. Pour procéder à la gestion des opérations sur son compte, l’utilisateur client crée des codes personnels qui lui sont demandés à l’occasion des opérations qu’il souhaite effectuer sur son compte bancaire. Lors du fonctionnement du compte avec l’identifiant unique et les codes personnels, la banque envoie à son client un SMS ou un mail pour l’informer des opérations sur son compte. Dès qu’il reçoit un instrument de paiement, l’utilisateur de services de paiement se doit de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés.

En cas d’opération de paiement non autorisée signalée par l’utilisateur dans les délais prévus par l’article L.133-24 du même code, le prestataire de services de paiement du payeur rembourse à ce dernier le montant de l’opération non autorisée sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement.

Dans cette hypothèse, il incombe au prestataire de paiement de prouver que l’opération litigieuse a été effectuée après une authentification forte, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre, l’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement, à savoir l’utilisation des identifiants du client et l’absence de déficience technique ou autre, notamment par le biais de la production d’un relevé de ses connexions, ne suffisant pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur.

L’article L.133-4 (f) du code précité précise qu’une authentification forte s’entend d’une authentification reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories « connaissance » (quelque chose que seul l’utilisateur connaît telle qu’un mot de passe, un code secret, une question secrète, etc…), « possession » (quelque chose que seul l’utilisateur possède telle qu’un téléphone portable, une montre connectée, une clé USB etc…) et « inhérence » (quelque chose que l’utilisateur est telle que la reconnaissance faciale ou vocale, la reconnaissance par empreinte digitale, etc…) et indépendants en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d’authentification. L’authentification forte repose donc sur l’utilisation de deux de ces éléments, voire plus.

Par ailleurs, la responsabilité du payeur n’est pas engagée si l’opération de paiement non autorisée a été effectuée en détournant, à son insu, l’instrument de paiement ou les données qui lui sont liées. Cependant, il supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’agissements frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L.133-16 et L.133-17 du code précité.

Ainsi, pour échapper au remboursement de l’opération contestée, le prestataire de services de paiement doit démontrer, soit que l’ordre émanait bel et bien du client dûment authentifié dans son espace personnel, soit que le vol des identifiants de connexion (ou d’autres données) n’est que la conséquence d’une faute grave de sa part consistant à ne pas avoir satisfait intentionnellement aux obligations lui incombant en la matière ou à les avoir gravement négligées.

En l’espèce, il résulte du relevé des traces informatiques produit par la banque que le 3 mars 2022 à 16h30, une personne s’est connectée à l’espace en ligne de Mme [T] depuis l’adresse IP 93.22.149.41 et a effectué une demande d’enrôlement « Clé digitale » sur un nouvel appareil qui a été validée à 16h34 après envoi sur le téléphone mobile de la demanderesse d’un SMS contenant le message « BNP Paribas, NE JAMAIS COMMUNIQUER CE CODE – Activez la Clé Digitale en cliquant : » mescomptes://activation/92219_0@89 – Un doute ? Contactez-nous ", permettant ensuite l’enrôlement d’un nouvel appareil mobile ([XXXXXXXX03]) qu’utilisera le fraudeur pour autoriser les opérations litigieuses à l’insu de la demanderesse au moyen de la clé digitale selon la procédure d’authentification forte mise en place par l’établissement.

La banque rapporte dès lors la preuve que les opérations litigieuses ont été réalisées en suivant la procédure d’authentification forte.

Il s’en déduit que le système de sécurisation de l’espace en ligne n’était pas affecté d’une déficience technique et que le fraudeur n’a pu accéder à l’espace personnel de Mme [T] qu’au moyen de ses identifiant et mot de passe préalablement communiqués.

En effet, si la demanderesse évoque une déficience du système informatique de la banque, selon elle notoirement connue, elle ne verse aucune pièce étayant cette affirmation.

Elle ne rapporte pas non plus la preuve que le prétendu conseiller qui l’a contactée par téléphone le 3 mars 2022 tirait ses informations la concernant directement de la défenderesse ou de son système informatique, les informations bancaires évoquées ayant pu être récoltées sur un relevé d’identité bancaire ou un courrier de Mme [T] intercepté à son insu.

Mme [T] étant la seule à connaître ses identifiant et mot de passe pour accéder à son espace personnel en ligne, il s’en déduit qu’elle seule a pu les communiquer au fraudeur qui d’ailleurs n’aurait eu aucune raison d’entrer en contact avec elle par téléphone s’il n’avait pas eu besoin d’éléments qu’elle détenait et/ou d’actions de sa part.

Enfin, si Mme [T] affirme n’avoir ni cliqué sur le lien contenu dans le SMS ni communiqué le code qu’il contenait, l’absence de toute diligence auprès de son agence pour effectuer des vérifications, alors que la réception d’un SMS qu’elle estimait frauduleux, couplé à un appel téléphonique, rendait plus que probable une tentative d’escroquerie, interroge sur la réalité de ses soupçons au moment des faits.

Il convient de retenir dès lors que d’une façon ou d’une autre, même si elle le conteste, Mme [T] a transmis ses identifiant et mot de passe pour l’accès à son espace personnel au fraudeur qui par la suite a pu depuis cet espace demander l’enrôlement d’un nouvel appareil qui a été validé au moyen des éléments contenus dans le SMS que Mme [T] ne conteste pas avoir reçu le 3 mars 2022, opération qui a nécessairement rendu inefficace le système d’authentification forte mis en place par la banque et qui explique que par la suite Mme [T] n’a plus été destinataire des demandes d’autorisation qu’elle conteste avoir validées.

Enfin, le système d’authentification forte mis en place repose sur l’information en temps réel du titulaire du compte afin que ce dernier puisse réagir sans délai en cas de tentative de fraude. En l’espèce, la banque produit le courriel adressé le 3 mars à 16h34 à Mme [T] l’informant de « l’enregistrement de l’activation de la clé digitale sur votre IPhone » et l’invitant à prendre contact rapidement si elle n’était pas à l’origine de cette action. Or, Mme [T] reconnait dans ses écritures n’avoir pris connaissance de ce courriel qu’à son retour de congés le 7 mars, n’ayant pas accès pendant ses congés à sa messagerie professionnelle qu’elle a pourtant renseignée comme l’adresse électronique servant de support à l’authentification des opérations sur son compte, se plaçant ainsi dans l’impossibilité à certaines périodes de déceler des opérations suspectes sur son compte et d’en informer sans tarder la banque, étant relevé qu’au cas particulier deux des trois opérations litigieuses ont été réalisées les 6 et 7 mars 2022, soit plus de trois jours après le détournement des données.

Dès lors, il doit être considéré que Mme [T] n’a pas satisfait aux obligations mises à sa charge par les articles L.133-16 et L.133-17 du code monétaire et financier et qu’elle a ainsi commis une négligence grave au sens de l’article L.133-19 du même code qui la prive de la possibilité de faire supporter par la banque les pertes occasionnées par les opérations de paiement non autorisées.

En conséquence, la demande de remboursement est rejetée.

2 – Sur le manquement au devoir de vigilance

S’il est tenu à une obligation générale de vigilance, il est de principe que l’établissement bancaire teneur de compte est également astreint à une obligation de non-ingérence qui lui interdit de s’immiscer dans les affaires de son client. Il ne saurait dès lors procéder à des investigations particulières pour déterminer notamment l’identité du bénéficiaire ou l’objet de l’opération, ni intervenir pour empêcher son client d’effectuer un acte inopportun ou dangereux pour ses intérêts. L’établissement bancaire n’a donc pas à se préoccuper de la destination des fonds ou de l’opportunité des opérations effectuées. Il engage d’ailleurs sa responsabilité s’il n’exécute pas les virements ordonnés par son client.

Il en va différemment s’il se trouve confronté, à l’occasion d’opérations demandées par son client, à des anomalies et irrégularités manifestes qu’il doit détecter, conformément à son obligation de vigilance.

En l’espèce, les opérations ayant été réalisées au moyen de la clé digitale de Mme [T], la banque n’avait pas de raison de mettre en cause leur authenticité dès lors que le compte débité était suffisamment alimenté pour permettre les paiements et est resté créditeur, le paiement dans une devise étrangère et les libellés n’étant pas de nature à caractériser une anomalie apparente.

S’agissant des obligations spéciales de vigilance et de déclaration imposées aux organismes financiers en application des articles L.561-1 et suivants du code monétaire et financier, ces dernières ont pour seule finalité la lutte contre le blanchiment de capitaux et le financement du terrorisme et poursuivent un objectif d’intérêt général. Il se déduit de ces dispositions que la victime d’agissements frauduleux, qui par ailleurs peut rechercher la responsabilité d’un établissement bancaire sur le fondement de son obligation générale de vigilance comme il a été examiné précédemment, ne peut se prévaloir de l’inobservation des obligations de vigilance et de déclaration précitées pour réclamer des dommages-intérêts à l’organisme financier qui, par ailleurs, n’a pas le droit d’informer son client des déclarations qu’il peut être amené à faire le concernant auprès des autorités compétentes qui seules peuvent s’opposer à l’exécution de l’opération suspecte.

En conséquence, la demande d’indemnisation est rejetée.

3 – Sur la résistance abusive

L’exercice d’une action en justice ou la défense à une telle action peut constituer un abus de droit donnant lieu à l’octroi de dommages et intérêts, en cas d’intention de nuire ou de mauvaise foi.

En l’espèce, au regard de l’issue donnée au litige, la résistance abusive n’est pas caractérisée.

4 – Sur les demandes accessoires

4.1 – Sur les frais du procès

Mme [T] qui succombe supportera les dépens.

Elle est également condamnée au paiement à la BNP Paribas d’une somme de 1.500 euros sur le fondement de l’article 700 du code de procédure civile.

4.2 – Sur l’exécution provisoire

La présente décision est revêtue de droit de l’exécution provisoire conformément aux dispositions de l’article 514 du code de procédure civile dans sa version applicable en l’espèce, l’instance ayant été introduite postérieurement au 31 décembre 2019.

Cependant, l’issue donnée au litige nécessite d’écarter l’exécution provisoire.

PAR CES MOTIFS

Le tribunal statuant publiquement par jugement contradictoire, en premier ressort et par mise à disposition au greffe :

DEBOUTE Mme [L] [T] divorcée [I] de ses demandes ;

CONDAMNE Mme [L] [T] divorcée [I] aux dépens ;

CONDAMNE Mme [L] [T] divorcée [I] à payer à la SA BNP Paribas la somme de 1.500 euros sur le fondement de l’article 700 du code de procédure civile ;

ECARTE l’exécution provisoire de droit.

Fait et jugé à Paris le 27 Mars 2024

Le GreffierLe Président