TRIBUNAL

JUDICIAIRE

DE [Localité 5] [1]

[1]

Expéditions

délivrées le:

à

M^e BALE

M^e DREYFUS

■

9ème chambre 2ème section

N° RG 24/02342 – N° Portalis 352J-W-B7I-C35S7

N° MINUTE :

Assignation du :

29 Janvier 2024

JUGEMENT

rendu le 14 Mai 2025

DEMANDEUR

Monsieur [Y] [T]

[Adresse 4]

[Localité 2]

représenté par Maître Dikpeu-Eric BALE de la SELARL BALE & KOUDOYOR, avocats au barreau de PARIS, vestiaire #D1635

DÉFENDERESSE

S.A. LA BANQUE POSTALE

[Adresse 1]

[Localité 3]

représentée par Maître Lucas DREYFUS de la SELARL DREYFUS FONTANA, avocats au barreau de PARIS, vestiaire #K0139

COMPOSITION DU TRIBUNAL

Gilles MALFRE, 1er Vice-Président adjoint

Augustin BOUJEKA, Vice-Président

Alexandre PARASTATIDIS, Juge

assistés de Diane FARIN, Greffière.

DÉBATS

A l’audience du 05 Mars 2025 tenue en audience publique devant, Alexandre PARASTATIDIS, juge rapporteur, qui, sans opposition des avocats, a tenu seul l’audience, et, après avoir entendu les conseils des parties, en a rendu compte au Tribunal, conformément aux dispositions de l’article 805 du Code de Procédure Civile. Avis a été donné aux avocats que la décision serait rendue le 14 mai 2025.

Décision du 14 Mai 2025

9ème chambre 2ème section

N° RG 24/02342 – N° Portalis 352J-W-B7I-C35S7

JUGEMENT

Rendu publiquement par mise à disposition au greffe

Contradictoire

En premier ressort

FAITS ET PROCEDURE

Par réclamation du 16 septembre 2023, M. [Y] [T] a contesté avoir effectué avec sa carte bancaire n°XXX154, toujours en sa possession et liée au compte n°93F022 ouvert dans les livres de la SA La Banque postale et dont il est cotitulaire avec Mme [I] [B], un paiement de 1.000 euros le 7 septembre 2023.

Par réclamation du 19 septembre 2023, M. [T] a également contesté avoir effectué avec sa carte bancaire n°XXX571, toujours en sa possession et liée au compte n°XXX080P029 ouvert dans les livres de la SA La Banque postale et dont il est seul titulaire, huit paiements de 1.000 euros chacun passés les 7, 10 et 15 septembre 2023.

L’ensemble de ces transactions a été effectué au profit du compte en ligne « Kard ».

Le 21 septembre 2023, M. [T] a fait un signalement en ligne à la gendarmerie nationale concernant ces opérations.

Par lettres des 2 et 4 octobre 2023, La Banque postale a notifié à M. [T] son refus de procéder au remboursement des opérations au motif que ces dernières ont été validées par authentification forte.

Par courriel du 9 octobre 2023 et lettre du 23 octobre 2023, M. [T] a contesté la position de la banque, laquelle a confirmé sa position par lettre du 7 novembre 2023.

C’est dans ce contexte que, par exploit de commissaire de justice du 29 janvier 2024, M. [T] a fait assigner La Banque postale devant le tribunal judiciaire de Paris en recherche de la responsabilité de cet établissement.

Aux termes de ses dernières conclusions signifiées par voie électronique le 3 décembre 2024, aux visas des articles 1231-1 et 1231-6 code civil, L.133-4, 133-18, 133-19 et L.133-44 du code monétaire et financier, il est demandé au tribunal de :

«  Déclarer Monsieur [Y] [T] recevable et bien fondé en ses demandes,

Débouter LA BANQUE POSTALE de l’intégralité de ses demandes, fins et conclusions,

Y faisant droit,

Déclarer LA BANQUE POSTALE responsable des dommages subis par Monsieur [Y] [T],

En conséquence,

Condamner LA BANQUE POSTALE à rembourser Monsieur [Y] [T] la somme totale de 9 000 euros à titre de dommages-intérêts en réparation de son préjudice financier, avec intérêts au taux légal à compter de la date de l’assignation,

Voir majorer le taux légal des intérêts de quinze points en application de l’article L133-18 alinéa 3 du Code monétaire et financier,

Condamner LA BANQUE POSTALE à verser à Monsieur [Y] [T] la somme de 3 000 euros à titre de dommages-intérêts pour résistance abusive,

Condamner LA BANQUE POSTALE à verser à Monsieur [Y] [T] la somme de 5 000 euros au titre de l’article 700 du Code de procédure civile,

Condamner LA BANQUE POSTALE aux entiers de l’instance, dont distraction au profit de Maître BALE, qui en fait la demande, en application des dispositions de l’article 699 du Code de procédure civile,

Rappeler qu’en application de l’article 514 du Code de procédure civile, les décisions de première instance sont de droit exécutoires à titre provisoire, "

A l’appui de ses prétentions, M. [T] expose avoir été destinataire le 15 septembre 2023 à 19h26 d’un SMS de La Banque postale l’alertant de l’activation d’un « Certicode Plus » sur un appareil modèle Iphone 12 ne lui appartenant pas et avoir à 20h00 signalé par courriel à son conseiller bancaire des virements depuis son livret A en date des 7 et 14 septembre 2023 dont il n’était pas à l’origine. Il ajoute avoir contacté le lendemain matin son agence et avoir fait opposition à ses cartes bancaires après qu’une conseillère lui a révélé qu’il avait été victime d’une fraude.

M. [T] fait valoir que la banque ne conteste pas aux termes de ses écritures que le numéro et le téléphone mobile (Iphone 12) qui ont permis la validation des opérations litigieuses ne sont pas ceux qu’il avait préalablement enregistrés dans son espace en ligne. Il ajoute que le certificat d’authentification produit par la banque ne rapporte la preuve que de l’authentification du client et non de la mise en œuvre d’une authentification forte au sens de l’article L.133-44 du code monétaire et financier par un élément que seul lui possédait, aucun SMS aux fins de validation des opérations ne lui ayant été adressé sur l’un de ses appareils, réfutant l’explication selon laquelle l’authentification forte a été réalisée par l’envoi d’une notification sur l’appareil sur lequel était installé le « Certicode Plus ». Il affirme que La Banque postale qui, bien que ne contestant pas la réception de son courriel du 15 septembre 2023 à 20h, ne fournit aucune explication et a fortiori ne rapporte pas la preuve des mesures mises en place à réception de ce courriel pour empêcher l’activation du « Certicode Plus » sur l’appareil du fraudeur et la réalisation des opérations litigieuses, a engagé sa responsabilité.

Il conteste également le grief qui lui est fait d’avoir signalé tardivement l’usage frauduleux de la carte pour les achats à distance et de ses données personnelles de sécurité au regard de la chronologie des faits, rappelant avoir adressé le 15 septembre 2023 à 20 heures un courriel à son conseiller, avoir contacté l’agence dès le lendemain matin et avoir fait opposition à ses cartes bancaires. Il relève par ailleurs que les opérations ont été réalisées avant la réception du SMS l’informant de l’activation du « Certicode plus ».

Il fait également valoir que pour réaliser les paiements litigieux, les fraudeurs ont préalablement effectué à son insu les 7, 10 et 12 septembre 2023, depuis son livret A vers son compte courant, et ce via son espace personnel en ligne, trois virements pour un montant total de 9.900 euros, et que la banque ne démontre pas que ces opérations, qui ont été réalisées depuis un téléphone Iphone 12 ne lui appartenant pas, ont été autorisées par lui-même et qu’elle l’en a informé par courriel.

M. [T] conclut à l’existence d’une faute caractérisée de La Banque postale qui présente un lien direct avec son préjudice sans que la défenderesse puisse se prévaloir d’une fraude ou d’une négligence grave pouvant lui être imputée et l’exonérant de sa responsabilité, réfutant notamment tout caractère probant à la note interne produite par la banque qui constitue, selon lui, une preuve faite pour elle-même et dont il conteste le contenu, précisant que le fait qu’il ait mis des biens en vente en ligne ne constitue ni une négligence grave ni un agissement frauduleux de sa part.

En conséquence, M. [T] sollicite la condamnation de la banque à lui rembourser la somme de 9.000 euros, en application de l’article L.133-18 du code monétaire et financier, augmentée du taux d’intérêts majoré de quinze points.

Enfin, soutenant que la banque ne pouvait se méprendre sur son obligation de remboursement, il forme une demande de dommages-intérêts pour résistance abusive à hauteur de 3.000 euros.

Aux termes de ses dernières conclusions signifiées par voie électronique le 17 décembre 2024, La Banque postale demande au tribunal de :

«  DECLARER Monsieur [Y] [T] mal fondé en ses demandes, fins et conclusions.

En conséquence,

L’EN DEBOUTER.

CONDAMNER Monsieur [Y] [T] à payer à LA BANQUE POSTALE, la somme de 2.000 € au titre de l’article 700 du C.P.C.

CONDAMNER Monsieur [Y] [T] aux entiers dépens, en application de l’article 696 du C.P.C.

Subsidiairement,

ECARTER l’exécution provisoire du jugement à intervenir. "

Pour sa défense, la banque expose en complément de la chronologie relatée par M. [T] que ce dernier a pris attache le 14 septembre 2023 à 16h41 avec son conseiller bancaire afin de l’informer de l’existence d’un virement d’un montant de 3.500 euros qu’il contestait avoir ordonné et lui expliquait avoir été contacté par un acquéreur potentiel d’un bien qu’il avait mis en vente sur le site Marketplace pour un montant de 350 euros qui prétendait avoir effectué par erreur deux virements sur son compte d’un montant de 3.500 euros au lieu de 350 euros. Elle explique que le conseiller a alors alerté M. [T] du risque de fraude et qu’après avoir procédé à une première vérification au niveau de ses accès à sa banque en ligne, il l’a enjoint à contacter instamment le service Clients pour confirmer l’absence de fraude. Elle ajoute que lorsque le demandeur a rappelé son agence le lendemain après s’être rendu compte qu’il ne pouvait plus accéder à son espace client en ligne, un second conseiller lui a de nouveau donné pour instructions de contacter le service Clients en insistant sur la nécessité de bloquer ses instruments de paiement. Précisant que ces évènements se sont déroulés au cours d’un week-end, elle indique que M. [T] a fait le choix de faire opposition sur une seule de ses cartes afin de pouvoir utiliser la seconde.

Elle expose par ailleurs fournir à sa clientèle un système d’authentification forte respectant la condition de double authentification prévue par la directive DSP2, transposée aux articles L.133-4 et suivants du code monétaire et financier, sous la forme de l’application smartphone « Certicode Plus » qui nécessite tout d’abord sa création par l’utilisateur via son espace en ligne, sécurisé par un accès au moyen d’un identifiant à 10 chiffres et d’un code secret à 6 chiffres connu de lui seul, et sur lequel il doit renseigner un code d’activation à 5 chiffres valant signature reçu sur le numéro de téléphone de sécurité enregistré sur le contrat « Banque à distance » lié à l’espace en ligne. Elle ajoute qu’en outre, l’utilisateur doit être détenteur d’un Smartphone iPhone ou Android ou d’une tablette et qu’il ait installé la dernière version de l’application mobile.

Elle soutient qu’en l’espèce, les neuf opérations contestées ont été validées après composition d’un code personnel et unique à cinq chiffres dans l’application mobile installée sur le téléphone mobile sur lequel l’option « Certicode Plus » a été activée, et ce après une notification push et non l’envoi d’un SMS de validation, ce qui explique que M. [T] n’a pas reçu ce type de message.

Elle affirme dès lors démontrer, par la production des certificats d’authentification, que les paiements litigieux ont été effectués au moyen de la carte et la composition du code personnel et unique à cinq chiffres « Certicode Plus » connu uniquement par M. [T] et valant authentification forte, et sont intervenus avant toute opposition, soit dans la forme convenu entre le payeur et son prestataire de services de paiement dont le consentement est présumé, devenant ainsi irrévocables sans raison pour la banque de s’immiscer dans les affaires de son client sauf à méconnaître son obligation de non-ingérence en l’absence d’anomalie, précisant que M. [T] utilisait régulièrement le paiement en ligne et que son compte était suffisamment créditeur.

A cet égard, elle soutient le caractère probant des éléments techniques, dont le journal de connexion, qu’elle verse aux débats, faisant valoir que dénier toute valeur probante, même relatives à ces pièces, reviendrait de fait à la priver de toute possibilité de prouver l’authentification et l’enregistrement des opérations litigieuses.

Elle ajoute par ailleurs qu’aucune défaillance technique ne peut être invoquée par le demandeur qui reconnaît avoir reçu au moins l’un des deux SMS d’activation de l’option « Certicode Plus », ce qui démontre l’efficacité de son système.

Elle conclut en conséquence au caractère autorisé des paiements et à l’inapplicabilité des dispositions des articles L.133-18 du code monétaire et financier.

A titre subsidiaire, dans l’hypothèse où le caractère non autorisé des opérations serait retenu, elle soutient que M. [T] a commis plusieurs manquements caractérisant une négligence grave de sa part l’exonérant de son obligation de remboursement. Elle expose ainsi que le demandeur a nécessairement communiqué, vraisemblablement dans le contexte de la vente d’un bien en ligne et après avoir été victime d’une escroquerie probablement de type « phishing », ses codes personnels strictement confidentiels qui ont permis la validation des opérations, l’activation du « Certicode Plus » n’ayant été possible qu’au moyen du code d’activation reçu sur son téléphone mobile dont il n’allègue ni la perte ni le vol. Elle ajoute que M. [T] n’a pas réagi avec célérité devant le risque de fraude en ce qu’il ne s’est manifesté auprès de ses services que le 15 septembre 2023 à 20h, après la réception de la notification d’une seconde tentative d’activation du « Certicode Plus », et ce par un simple courriel à son conseiller, et non en contactant le service d’opposition joignable 24h/24, alors qu’il avait reçu un SMS de notification d’une première tentative d’activation du « Certicode Plus » le matin à 10h16.

Elle fait également grief à M. [T] d’avoir signalé tardivement les opérations frauduleuses qui ont été réalisées sur une période de 7 jours entre le 7 et le 15 septembre 2023 alors que le journal de connexion démontre qu’il se connectait régulièrement à son compte sur cette période.

Elle conclut dès lors au rejet de la demande d’indemnisation de son préjudice financier.

Elle sollicite également le débouté de la demande de condamnation sur le fondement de la résistance abusive, faisant valoir que le demandeur ne démontre pas qu’elle aurait été de mauvaise foi ou qu’elle aurait commis une faute en s’opposant à la demande de remboursement.

Enfin, si elle venait à être condamnée, la banque sollicite du tribunal qu’il écarte l’exécution provisoire de droit en raison de sa solvabilité notoire, du risque de défaillance du demandeur en cas de réformation et de l’existence de moyens sérieux d’annulation ou de réformation de la décision à intervenir.

Conformément aux dispositions de l’article 455 du code de procédure civile, il est renvoyé aux dernières écritures des parties pour l’exposé des moyens et arguments venant au soutien de leurs demandes.

La clôture de l’instruction a été prononcée le 22 janvier 2025. L’affaire a été évoquée à l’audience de plaidoiries tenue en juge rapporteur du 5 mars 2025 et mise en délibéré au 14 mai 2025.

MOTIFS DE LA DÉCISION

1- Sur la demande de remboursement

Une opération de paiement n’est autorisée au sens des articles L.133-3 et L.133-6 du code monétaire et financier que si le payeur l’a initiée et a consenti au montant de l’opération.

Dès lors que la responsabilité d’un prestataire de services de paiement est recherchée en raison d’une opération de paiement non autorisée ou mal exécutée, seul est applicable le régime de responsabilité défini aux articles L. 133-18 à L. 133-24 du code monétaire et financier qui transposent en droit interne les dispositions de la directive (UE) n°2015/2366 du 25 novembre 2015, tout autre régime alternatif de responsabilité résultant du droit national devant être écarté.

Ainsi, en cas d’opération de paiement non autorisée signalée par l’utilisateur dans les délais prévus par l’article L.133-24 du même code, le prestataire de services de paiement du payeur rembourse à ce dernier le montant de l’opération non autorisée sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement.

Dans cette hypothèse, il incombe au prestataire de paiement de prouver que l’opération litigieuse a été effectuée après une authentification forte, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre, l’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement, à savoir l’utilisation des identifiants du client et l’absence de déficience technique ou autre, notamment par le biais de la production d’un relevé de ses connexions, ne suffisant pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur.

L’article L.133-4 (f) du code précité précise qu’une authentification forte s’entend d’une authentification reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories « connaissance » (quelque chose que seul l’utilisateur connaît telle qu’un mot de passe, un code secret, une question secrète, etc…), « possession » (quelque chose que seul l’utilisateur possède telle qu’un téléphone portable, une montre connectée, une clé USB etc…) et « inhérence » (quelque chose que l’utilisateur est telle que la reconnaissance faciale ou vocale, la reconnaissance par empreinte digitale, etc…) et indépendants en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d’authentification. L’authentification forte repose donc sur l’utilisation de deux de ces éléments, voire plus.

Par ailleurs, la responsabilité du payeur n’est pas engagée si l’opération de paiement non autorisée a été effectuée en détournant, à son insu, l’instrument de paiement ou les données qui lui sont liées. Cependant, il supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’agissements frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L.133-16 et L.133-17 du code précité.

Ainsi, pour échapper au remboursement de l’opération contestée, le prestataire de services de paiement doit démontrer, soit que l’ordre émanait bel et bien du client dûment authentifié dans son espace personnel, soit que le vol des identifiants de connexion (ou d’autres données) n’est que la conséquence d’une faute grave de sa part consistant à ne pas avoir satisfait intentionnellement aux obligations lui incombant en la matière ou à les avoir gravement négligées.

En l’espèce, la banque produit les relevés des deux comptes liées aux cartes bancaires utilisées pour les paiements litigieux (pièces n°11 et 12), ainsi que les certificats d’authentification des opérations contestées (pièce n°13), l’historique de l’enregistrement du téléphone de sécurité de M. [T] (pièce n°14) et l’historique d’utilisation du « Certicode Plus » (pièce n°15).

Ces documents, dont le caractère probatoire ne peut être rejeté d’office au seul motif qu’il s’agit de documents internes de la banque, doivent être regardés comme un commencement de preuve, le demandeur pouvant en contester les termes et la pertinence.

Il ressort de la lecture de ces pièces que le numéro de portable de M. [T] a été enregistré comme étant son numéro de téléphone sécurisé le 13 juin 2020 et que le « Certicode Plus » a été activé le 19 septembre 2023 à 19h26 sur un nouvel appareil de type Iphone 12.8, étant précisé que le modèle de téléphone du demandeur est un Iphone SE.

Or, il ressort des relevés de compte et des historiques produits, sans que cela soit contesté par les parties, que les neufs achats par cartes bancaires litigieux ont été effectués entre le 7 septembre et le 15 septembre 2023, soit antérieurement à l’activation du « Certicode plus » sur un appareil supposé appartenir au fraudeur.

Dès lors, la discussion portant sur l’authentification des opérations litigieuses par le biais du « Certicode Plus » est sans objet.

Il apparaît que les opérations ont en réalité fait l’objet d’un paiement en ligne 3D-secure et ont donc été authentifiées par l’envoi sur le téléphone de sécurité enregistré d’un code de sécurité à usage unique que le payeur doit composer pour valider l’opération, suivi de la composition du mot de passe de connexion à l’espace en ligne du titulaire de l’instrument de paiement.

Or, il résulte de la pièce n°15 de la défenderesse que les paiements ont été réalisés au moyen d’un Iphone SE, soit celui de M. [T], dont ce dernier ne prétend pas ne pas en avoir été le possesseur pendant la période en cause.

Cependant, le tribunal observe que si le relevé des authentifications mentionne pour chaque opération l’envoi de deux messages (A et C), le contenu de ces derniers n’est pas produit par la banque qui ne rapporte dès lors pas la preuve de l’envoi d’un code de sécurité à usage unique à M. [T], qui en conteste par ailleurs la réception, et donc de la mise en œuvre d’une authentification forte.

Ce seul motif suffit à considérer que les opérations en cause ne répondent pas aux exigences d’authentification posées par le code monétaire et financier et doivent donc être qualifiées de non autorisées. La responsabilité de La Banque postale ne peut dès lors être recherchée que sur le fondement du régime de responsabilité défini aux articles L.133-18 à L.133-24 du code monétaire et financier.

En application de ces textes, la banque est tenue à une obligation de remboursement sauf à démontrer une cause d’exonération qui, au cas particulier, est prévue par l’article L.133-19 V du code précité qui dispose que « Sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si l’opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement du payeur n’exige une authentification forte du payeur prévue à l’article L. 133-44. ».

La banque ne peut dès lors s’exonérer de son obligation de remboursement en soutenant la seule négligence grave de M. [T] que caractériseraient la communication de ses données personnelles de sécurité et/ou un manque de célérité dans le signalement des opérations litigieuses.

Par ailleurs, la banque ne soutient pas et, a fortiori, ne démontre pas que M. [T] aurait commis des agissements frauduleux, agissements qui ne ressortent par ailleurs d’aucun des documents produits par les parties.

En conséquence, La Banque postale, tenue à une obligation de remboursement, est condamnée à payer à M. [T] la somme de 9.000 euros augmentée des intérêts au taux légal dans les conditions énoncées à l’article L.133-18 du code monétaire et financier à compter du 19 octobre 2023.

2- Sur la résistance abusive

Ainsi que le soutient la banque, le régime de responsabilité prévu aux articles L.133-18 et suivants du code monétaire et financier, issu du droit de l’Union européenne et applicable aux paiements non autorisés au sens de ces textes, est exclusif de l’application de tout autre régime de responsabilité prévu en droit national.

En conséquence, le moyen dont se prévaut M. [T] pour soutenir sa demande de réparation pour résistance abusive est inopérant et donc rejeté.

3- Sur les demandes annexes

Succombant, La Banque postale est condamnée aux dépens et à verser à M. [T] la somme de 2.000 euros en application de l’article 700 du code de procédure civile.

Par ailleurs, il n’apparaît pas opportun de suivre la défenderesse dans sa demande tendant à ce que l’exécution provisoire soit écartée.

PAR CES MOTIFS

Le tribunal, statuant publiquement par jugement contradictoire, en premier ressort et par mise à disposition au greffe,

CONDAMNE la SA La Banque postale à payer à M. [Y] [T] la somme de 9.000 euros augmentée des intérêts au taux légal, dans les conditions énoncées à l’article L.133-18 du code monétaire et financier, à compter du 19 octobre 2023 ;

DEBOUTE les parties de toute demande plus ample ou contraire ;

CONDAMNE la SA La Banque postale aux dépens ;

CONDAMNE la SA La Banque postale à verser à M. [Y] [T] la somme de 2.000 euros en application de l’article 700 du code de procédure civile.

Fait et jugé à [Localité 5] le 14 Mai 2025

LA GREFFIÈRE LE PRÉSIDENT