TRIBUNAL

JUDICIAIRE

DE [Localité 6] [1]

[1] Expéditions

exécutoires

délivrées le :

à

M^e LANCESSEUR

Me [Localité 7]

■

9ème chambre 1ère section

N° RG 23/07696

N° Portalis 352J-W-B7H-CZ4ZR

N° MINUTE : 1

Assignation du :

30 Mai 2023

JUGEMENT

rendu le 02 Juillet 2025

DEMANDEUR

Monsieur [A] [B]

[Adresse 1]

[Localité 3]

représenté par Maître Audrey LANCESSEUR, avocat au barreau de PARIS, vestiaire #B0521

DÉFENDERESSE

S.A. BNP PARIBAS

[Adresse 2]

[Localité 4]

représentée par Maître Dominique PENIN du PARTNERSHIPS MORGAN LEWIS & BOCKIUS UK LLP, avocats au barreau de PARIS, vestiaire #J008

Décision du 02 Juillet 2025

9ème chambre 1ère section

N° RG 23/07696 – N° Portalis 352J-W-B7H-CZ4ZR

COMPOSITION DU TRIBUNAL

Anne-Cécile SOULARD, Vice-présidente

Marine PARNAUDEAU, Vice-présidente

Patrick NAVARRI, Vice-président

assistés de Chloé DOS SANTOS, Greffière.

DEBATS

A l’audience du 05 Mai 2025 tenue en audience publique, avis a été donné que la décision serait rendue le 02 Juillet 2025.

JUGEMENT

Rendu publiquement par mise à disposition au greffe

Contradictoire

En premier ressort

EXPOSÉ DU LITIGE

M. [A] [B] détient un compte bancaire ouvert auprès de la BNP Paribas.

Le lundi 19 décembre 2022 à 21h30, M. [B] a reçu un appel du numéro 01 40 14 10 10, numéro figurant au dos de sa carte bancaire BNP Paribas.

Son interlocuteur lui a indiqué que deux virements suspects seraient en cours et l’a invité à ouvrir son application BNP Paribas pour interrompre ces virements suspects.

Le lendemain, 20 décembre 2022 à 22h28, M. [B] a de nouveau reçu un appel provenant du même numéro. Son interlocuteur l’a de nouveau invité à suivre ses recommandations pour empêcher deux virements suspects.

Le 21 décembre 2022, M. [B] a rappelé le numéro 01 40 14 10 10 et a été informé qu’un virement de 49 950 euros était en attente de validation.

Le 22 décembre 2022, M. [B] a été informé que ce virement, à destination de la Lituanie, avait été débité de son compte.

Un second virement de 43 908 euros a été émis à destination de Singapour puis recrédité sur son compte.

M. [B] a déposé plainte à la gendarmerie de [Localité 5] le 23 décembre 2022.

Il a sollicité le remboursement du virement de 49 950 euros auprès de sa banque, ce que cette dernière a refusé.

Par acte de commissaire de justice du 30 mai 2023, M. [A] [B] a fait assigner la société anonyme BNP Paribas devant le tribunal judiciaire de Paris.

Demandes et moyens de M. [A] [B]

Dans ses dernières conclusions communiquées par voie électronique le 25 octobre 2024, M. [A] [B] demande au tribunal de :

« Déclarer la BANQUE BNP PARIBAS SA entièrement responsable du préjudice subi par Monsieur [A] [B] à raison des fautes qu’elle a commises à son égard.

La condamner en conséquence à verser à Monsieur [A] [B] la somme de 49 950€ majorée des intérêts au taux légal à compter de la mise en demeure du 15 mars 2023, en réparation de son préjudice financier.

La condamner en outre à lui verser une somme de 5000€ en réparation de son préjudice moral et une somme de 4000€ au titre de l’article 700 du CPC.

La condamner enfin aux dépens. »

M. [B] reproche à la BNP Paribas de ne pas avoir pris les mesures suffisantes pour empêcher l’usurpation de son numéro de téléphone. Il fait valoir que l’utilisation du numéro de sa banque et les informations dont disposait son interlocuteur sur son compte l’ont mis en confiance. Il fait part de son état de fatigue lors de ces appels dans la mesure où il suivait alors un traitement de radiothérapie.

Il expose que son interlocuteur téléphonique des 19 et 20 décembre avait accès à son compte bancaire et considère que la BNP Paribas n’a pas sécurisé l’accès à son compte bancaire. Il conteste que le paiement de 0,752 euros effectué le 13 décembre 2022 en réponse à un SMS de l’assurance maladie pour renouveler sa carte vitale soit à l’origine de la fraude.

M. [B] observe qu’aucune validation téléphonique ne lui a été demandée pour réaliser les virements de 49 950 euros et 43 908 euros alors même qu’il s’agissait de virements inhabituels dans leurs montants et leur destination. Il affirme qu’il a simplement validé deux virements vers le bénéficiaire « [A] [B] » pour annuler les deux virements suspects, sur les indications de son interlocuteur.

Il estime que le service fraude de la banque aurait dû empêcher le débit du virement de 49 950 euros dès qu’il a été avisé de son caractère frauduleux et considère que la banque a manqué à son devoir de vigilance.

M. [B] souligne qu’il dispose des services « banque privée » qui auraient dû lui assurer un meilleur suivi de ses comptes et qu’il a signé une convention « BNP PARIBAS SECURITE » avec sa banque lui accordant des garanties spécifiques au titre de l’utilisation frauduleuse des moyens de paiement.

Demandes et moyens de la BNP Paribas

Dans ses dernières conclusions communiquées par voie électronique le 22 novembre 2024, la BNP Paribas demande au tribunal de :

« Débouter Monsieur [A] [B] de l’intégralité de ses demandes à toutes fins qu’elles comportent.

Condamner Monsieur [A] [B] à verser à BNP Paribas la somme de 3.000 € sur le fondement de l’article 700 du Code de procédure civile ainsi qu’aux entiers dépens.

Ecarter l’exécution provisoire en faveur de Monsieur [A] [B] et subsidiairement ordonner la constitution par Monsieur [A] [B] d’une garantie réelle ou personnelle, suffisante pour répondre de toutes restitutions ou réparations. »

La BNP Paribas remarque que, dans son dépôt de plainte, M. [B] précise avoir reçu un SMS l’invitant à cliquer sur un lien pour renouveler sa carte vitale et payer la somme de 0,752 euros, ce qu’il a fait. Elle souligne que cette pratique, qualifiée d’hameçonnage, permet de récupérer les coordonnées bancaires de l’intéressé et d’avoir ainsi accès à son espace bancaire en ligne.

La BNP Paribas souligne que l’escroc a demandé des manipulations atypiques à M. [B] en lui demandant de télécharger deux applications de cryptomonnaie pour soi-disant bloquer les virements suspects puis de s’y connecter avec des identifiant et mot de passe qu’il lui a transmis et enfin d’y enregistrer son passeport et sa photo avant de lui demander de supprimer les applications et de lui transmettre une copie de facture justifiant de son domicile à une adresse « gmail ».

La BNP Paribas fait valoir que les deux virements litigieux ont fait l’objet d’une authentification forte au moyen de la Clé Digitale qui suppose qu’il valide l’opération qui lui est notifiée sur son téléphone portable puis qu’il entre son code secret qu’il a lui-même créé et qu’il est seul à connaître.

La BNP Paribas reproche à M. [B] d’avoir commis une série de négligences graves qui a permis les virements frauduleux :

— s’être connecté au faux site Ameli et y avoir communiqué ses données personnelles,

— avoir suivi les instructions de son interlocuteur lors des appels téléphoniques des 19 et 20 décembre 2022 malgré leur caractère invraisemblable : communication d’un nouveau mot de passe, ouverture de compte sur des sites de cryptomonnaie, envoi d’un justificatif de domicile et de son passeport, utilisation d’une adresse gmail,

— avoir validé l’ajout de 3 bénéficiaires puis les virements.

La BNP Paribas expose qu’elle subit l’usurpation de son identité et n’a pas les moyens de contrôler l’usage de son numéro, ce contrôle revenant aux opérateurs téléphoniques.

Elle relève qu’elle a mis en place une procédure de retour des fonds pour les deux virements, procédure dite de recall, et que celle-ci a été fructueuse pour le deuxième virement qui a pu être recrédité sur le compte de M. [B].

* * *

Conformément aux dispositions de l’article 455 du code de procédure civile, il sera renvoyé aux dernières écritures des parties pour un plus ample exposé des moyens et arguments venant au soutien de leurs demandes et de leurs défenses.

Par message RPVA du 27 juin 2024, le conseil de M. [A] [B] a sollicité la tenue d’une audience collégiale.

Le juge de la mise en état a clôturé l’instruction de l’affaire par ordonnance du 22 janvier 2025 et fixé l’affaire pour être plaidée à l’audience collégiale du 5 mai 2025.

MOTIFS DE LA DÉCISION

1. Sur les opérations non autorisées

Une opération de paiement n’est autorisée au sens des articles L.133-3 et L.133-6 du code monétaire et financier que si le payeur l’a initiée et a consenti au montant de l’opération.

L’article L.133-18 du code monétaire et financier pose le principe du remboursement par la banque des opérations de paiement non autorisées : « En cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L. 133-24, le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement et s’il communique ces raisons par écrit à la Banque de France. Le cas échéant, le prestataire de services de paiement du payeur rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu. »

Par dérogation à ce principe, l’article L.133-19 IV prévoit que le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L.133-16 et L.133-17, lesquels lui font obligation notamment de préserver la sécurité de ses données.

L’article L.133-23 du code monétaire et financier fixe les règles de preuve applicables lorsque l’utilisateur conteste avoir donné son autorisation au paiement : « En application de l’article L.133-23 du code monétaire et financier, lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre.

L’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière. Le prestataire de services de paiement, y compris, le cas échéant, le prestataire de services de paiement fournissant un service d’initiation de paiement, fournit des éléments afin de prouver la fraude ou la négligence grave commise par l’utilisateur de services de paiement. »

L’établissement bancaire qui refuse de procéder au remboursement supporte la charge de la preuve de la négligence grave imputée à son client.

Enfin, en application de l’article L.133-19 V du code monétaire et financier, sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si l’opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement du payeur n’exige une authentification forte du payeur.

L’article L. 133-4 (f) du même code précise qu’une authentification forte s’entend d’une authentification reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories « connaissance » (quelque chose que seul l’utilisateur connaît telle qu’un mot de passe, un code secret, une question secrète, etc…), « possession » (quelque chose que seul l’utilisateur possède telle qu’un téléphone portable, une montre connectée, une clé USB etc…) et « inhérence » (quelque chose que l’utilisateur est, telle que la reconnaissance faciale ou vocale, la reconnaissance par empreinte digitale, etc…) et indépendants en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d’authentification.

M. [B] effectue des opérations bancaires en ligne au moyen de la Clé Digitale enrôlée sur son téléphone portable depuis 2019. Il ressort des traces informatiques produites par la banque que les deux virements frauduleux ont été réalisés après enregistrement des bénéficiaires sur l’espace en ligne de M. [B], validé par la Clé Digitale de M. [B] en entrant son code secret et que les virements frauduleux ont été exécutés selon le même mode opératoire.

Il en résulte que les virements de 49 950 euros et 43 908 euros ont bien été réalisées au moyen d’une authentification forte. Aucune défaillance technique n’est en outre alléguée.

M. [B] soutient que ces opérations ont été réalisées à son insu au cours d’une conversation téléphonique avec un interlocuteur se faisant passer pour un conseiller du service fraude de sa banque. La BNP Paribas ne remet pas en cause les circonstances de cet appel frauduleux.

Il résulte de ces éléments que les virements litigieux, bien que passés régulièrement selon la procédure d’authentification forte mise en place par la banque, ne peuvent être considérés comme ayant été autorisés par le demandeur. Il convient dès lors de rechercher si ce dernier peut se voir reprocher une négligence grave au sens des articles L.133-16, L.133-17 et L.133-19 IV et suivants du code monétaire et financier faisant obstacle à son indemnisation.

Dans sa plainte, M. [B] précise qu’il a reçu un SMS de l’assurance maladie l’invitant à cliquer sur un lien pour recevoir une nouvelle carte vitale. Il indique qu’il a rempli plusieurs étapes de renseignements puis « la dernière page me demandait de payer 0,752 euros par carte bleue et j’ai donné mes coordonnées de carte bancaire ».

Lors de son appel au service fraude le 22 décembre 2022, M. [B] confirme avoir cliqué sur un lien vers un site Ameli et avoir donné ses coordonnées de carte bancaire pour les frais d’expédition. Il conteste toutefois avoir divulgué ses identifiant et code secret involontairement.

Cependant, le paiement de 0,752 euros n’apparaît pas sur le relevé de compte de M. [B], ce qui atteste du caractère frauduleux de cette opération.

Le 19 décembre 2022, M. [B] est appelé à 21h30 par un numéro attribué à BNP Paribas et reste en ligne avec son interlocuteur pendant 1h31, soit jusqu’à 23h, ainsi qu’en atteste la capture d’écran de son téléphone portable.

Il ressort des traces informatiques produites par la BNP Paribas que :

— à 21h32, M. [B] s’est connecté à son espace en ligne avec l’adresse IP qu’il utilise habituellement,

— à 21h36, une autre connexion à l’espace en ligne a lieu depuis une autre adresse IP,

— entre 21h30 et 23h05, il existe une alternance de connexion entre l’adresse IP de M. [B] et celle du fraudeur,

— à 21h38 le code secret est modifié depuis l’adresse IP du fraudeur,

— à 21h38 2 virements de 30 000 et 50 000 euros sont enregistrés depuis cette adresse IP, (ces virements correspondent aux indications de M. [B] dans sa plainte selon lequel le fraudeur l’a appelé pour lui faire annuler deux virements en attente),

— trois RIB sont ajoutés depuis l’adresse IP du fraudeur à 22h32, 22h36 et 22h54,

— ces ajouts font l’objet concomitamment d’une validation par clé digitale depuis l’adresse IP de M. [B],

— le virement de 49 950 euros est exécuté le 19 décembre 2022 à 22h56 après validation du mode de passe depuis l’adresse IP de M. [B].

Il en résulte que le virement n’a pu être réalisé que par l’activation du mot de passe par M. [B] lui-même depuis sa clé digitale.

En agissant ainsi, M. [B] a validé des ajouts de bénéficiaires et un virement alors qu’il n’avait pas lui-même initié ces opérations.

Le lendemain, 20 décembre 2022, M. [B] est appelé par le même numéro à 22H58 et l’appel dure 25 minutes, ainsi qu’en atteste la capture d’écran de son téléphone portable. Il ressort des traces informatiques produites par la banque qu’au cours de cet appel, un virement de 43 380 euros est exécuté. Par la suite, l’exécution de ce virement a pu être interrompue après que M. [B] a signalé la fraude à sa banque.

Il ressort de la plainte de M. [B] que son interlocuteur lui a également demandé de télécharger les applications de deux sites d’achat de cryptomonnaie en prétendant que cela servirait à annuler les virements frauduleux en attente. M. [B] admet avoir ensuite suivi les indications de son interlocuteur : « Il m’a demandé de m’y connecter avec des identifiants et mot de passe qu’il m’a dictés. Il m’a demandé d’enregistrer mon passeport et ma photo pour que les sites puissent contrôler que mes demandes d’annulation étaient légitimes. Il a pris la main et m’a dit avoir tout annulé. Il m’a demandé de supprimer ces applications de mon téléphone puis m’a demandé de lui transmettre une copie de facture justifiant mon domicile pour compléter le dossier ». M. [B] précise avoir envoyé cette facture à une adresse fournie par son interlocuteur se terminant par « gmail.com ».

M. [B] justifie qu’il suivait à la date de ces appels un traitement médical ayant entraîné un état de fatigue. Il ressort de l’attestation de la compagne de M. [B], présente lors des appels, que M. [B] a informé son interlocuteur de son état de fatigue demandant à reporter l’appel mais que son interlocuteur a insisté sur l’urgence de la situation.

M. [B] se prévaut de décisions juridictionnelles ayant conclu à l’absence de négligence grave de l’utilisateur dans le cas où sa vigilance a été diminuée par la réception d’un appel téléphonique émanant d’un numéro de la banque.

M. [B] a bien été appelé par un numéro figurant au dos de sa carte bancaire, à un moment où il présentait un état de fatigue en lien avec un traitement médical. Cette situation a pu diminuer sa vigilance.

Cependant, l’heure tardive de l’appel, l’insistance du conseiller malgré sa demande de reporter l’appel, les demandes de validation d’enregistrement de trois nouveaux bénéficiaires, les demandes invraisemblables de télécharger des applications de cryptomonnaie puis de les supprimer après y avoir enregistré son passeport et sa photo ainsi que l’envoi d’un justificatif de domicile à une adresse se terminant par « gmail.com » ne pouvant être une adresse utilisée par un agent de la banque, constituent des éléments qui auraient du alerter M. [B] sur le caractère frauduleux de l’appel, et ce d’autant plus que la BNP Paribas justifie des campagnes d’informations menées auprès de ses clients pour les aviser de fraudes similaires à celles dont M. [B] a été victime.

En validant au cours de cet appel d’apparence suspecte des opérations qu’il n’avait pas lui-même initiées (ajouts de nouveaux bénéficiaires et virement), M. [B] a manqué à son obligation de préserver la sécurité de ses données de sécurité personnalisées. Il a ainsi commis une négligence grave qui le prive de la possibilité de faire supporter par la banque les pertes occasionnées par l’opération de paiement non autorisée.

M. [B] reproche à la banque d’avoir manqué de réactivité dans la mise en œuvre de la procédure dite de recall. Cependant, la mise en œuvre de la procédure de retour des fonds a permis de recréditer le virement de 43 380 euros sur le compte de M. [B] comme en atteste le relevé de compte de l’intéressé. La BNP Paribas n’est pas tenue d’une obligation de résultat en tant que banque émettrice de l’opération finalement contestée. Dans ces conditions, l’échec de la procédure de recall pour le virement de 49 950 euros ne peut lui être reproché.

M. [B] fait également valoir que la banque a manqué à son obligation de vigilance.

Cependant, dès lors que la responsabilité d’un prestataire de services de paiement est recherchée en raison d’une opération de paiement non autorisée ou mal exécutée, seul est applicable le régime de responsabilité défini aux articles L. 133-18 à L. 133-24 du code monétaire et financier, qui transposent les articles 58, 59 et 60, § 1, de la directive 2007/64/CE du Parlement européen et du Conseil du 13 novembre 2007, à l’exclusion de tout régime alternatif de responsabilité résultant du droit national. (Cass., Com., 27 mars 2024, pourvoi n° 22-21.200)

Il en résulte que M. [B] ne peut contester les virements non autorisés sur le fondement du manquement de la banque à son obligation de vigilance.

Par ailleurs, il ne peut être reproché à la BNP Paribas d’avoir omis de préserver la sécurité de ses données en permettant l’utilisation de son numéro de téléphone alors que l’utilisation des numéros de téléphone relève de l’architecture des réseaux téléphoniques.

Décision du 02 Juillet 2025

9ème chambre 1ère section

N° RG 23/07696 – N° Portalis 352J-W-B7H-CZ4ZR

Enfin, M. [B] reproche à la banque de refuser le remboursement du virement litigieux alors qu’en tant que client « banque privée » il devrait être davantage protégé. M. [B] produit un courrier de BNP Paribas Banque Privée en date du 1er février 2023 dans lequel il est précisé : « votre Conseil en Banque Privée vous accompagne tout au long de l’année dans l’approche globale des différentes composantes de votre patrimoine et vous apporte une gestion adaptée à vos objectifs ». La BNP Paribas produit une convention de compte de dépôt datée d’avril 2022. Il ne ressort d’aucun de ces documents que le client banque privée bénéficierait d’une meilleure indemnisation en cas d’opérations de paiement non autorisées.

Il en résulte que le fait d’être client banque privée ne fait pas obstacle à l’absence de remboursement des opérations non autorisées en cas de négligence grave de l’utilisateur.

Par conséquent, les demandes de M. [B] seront rejetées.

2. Sur les frais du procès

L’article 695 du code de procédure civile énumère les frais du procès qui entrent dans la catégorie des dépens. Il est de principe que les dépens sont à la charge de la partie perdante, conformément à l’article 696 du code de procédure civile.

Partie perdante au procès, M. [B] sera condamné au paiement des entiers dépens, conformément à l’article 696 du code de procédure civile.

Il sera également condamné à payer à la BNP Paribas la somme de 2 000 euros afin de compenser les frais de justice non compris dans les dépens qu’elle a dû exposer afin d’assurer la défense judiciaire de ses intérêts, en application de l’article 700 du code de procédure civile.

3. Sur l’exécution provisoire

Les décisions de première instance sont de droit exécutoires à titre provisoire, en application de l’article 514 du code de procédure civile.

Le juge peut toutefois écarter l’exécution provisoire de droit, en tout ou partie, s’il estime qu’elle est incompatible avec la nature de l’affaire, conformément à l’article 514-1 du code de procédure civile.

S’agissant d’une décision de rejet, il n’y a pas lieu d’écarter l’exécution provisoire.

PAR CES MOTIFS

Le tribunal, statuant publiquement, par jugement contradictoire, mis à disposition au greffe et en premier ressort,

REJETTE l’ensemble des demandes de M. [A] [B] ;

CONDAMNE M. [A] [B] au paiement des entiers dépens ;

CONDAMNE M. [A] [B] à payer à la société BNP Paribas la somme de 2 000 euros au titre des dispositions de l’article 700 du code de procédure civile ;

RAPPELLE que le présent jugement est de droit exécutoire à titre provisoire.

Fait et jugé à [Localité 6] le 02 Juillet 2025.

LA GREFFIERE LA PRÉSIDENTE