TRIBUNAL

JUDICIAIRE

DE [Localité 3] [1]

[1] Copie conforme délivrée

le : 17/04/2025

à : M^e Katia DEBAY

Copie exécutoire délivrée

le : 17/04/2025

à : M^e Dominique FONTANA

Pôle civil de proximité

■

PCP JTJ proxi fond

N° RG 24/03394 – N° Portalis 352J-W-B7I-C5E6G

N° MINUTE :

6/2025

JUGEMENT

rendu le jeudi 17 avril 2025

DEMANDEUR

Monsieur [J] [E], demeurant [Adresse 1]

représenté par M^e Katia DEBAY, avocat au barreau de VERSAILLES,

DÉFENDERESSE

LA SOCIETE GENERALE, dont le siège social est sis [Adresse 2]

représentée par M^e Dominique FONTANA, avocat au barreau de PARIS, vestiaire : #K0139

COMPOSITION DU TRIBUNAL

Françoise THUBERT, Vice-présidente, statuant en juge unique

assistée de Florian PARISI, Greffier,

DATE DES DÉBATS

Audience publique du 13 février 2025

JUGEMENT

contradictoire, en premier ressort, prononcé par mise à disposition le 17 avril 2025 par Françoise THUBERT, Vice-présidente assistée de Florian PARISI, Greffier

Décision du 17 avril 2025

PCP JTJ proxi fond – N° RG 24/03394 – N° Portalis 352J-W-B7I-C5E6G

M. [E] [J] est titulaire d’un compte auprès de la SA SOCIETE GENERALE n° 50843425, avec carte bancaire associée.

Il a déposé plainte le 04/05/2023 auprès de la gendarmerie des [Localité 5] pour escroquerie du 01/05/2023 , après contact téléphonique d’une personne appelant du n° 01.42.14.58.58 et qui lui a demandé ses n° de carte bleue . Il faisait part d’ un paiement de commerce électronique par sa carte bancaire pour une somme de 6465.44 euros. Il y indiquait que le 15/04/2023 il avait reçu un SMS pour payer une amende de stationnement par un numéro en 07…, et qu’il avait reçu cet appel frauduleux après.

Il a adressé des mails le 25/05/2023 et 18/07/2023 pour contester cette opération qu’il n’avait pas autorisée, en précisant les circonstances des faits et son appel au 01.42.14.42.14 pour faire opposition à 12h53.

Le 10/08/23 , la SA SOCIETE GENERALE a refusé de rembourser l’opération contestée en invoquant une validation de l’opération par authentification forte avec le code de sécurité ( Open ID) saisi dans la Banque à distance , cette opération n’étant entachée d’aucune défaillance technique constatée .

Le conseil de M. [E] [J] a adressé le 15/11/2023 à la SA SOCIETE GENERALE une mise en demeure de rembourser la somme de 6465.44 euros pour cette opération non autorisée.

La SA SOCIETE GENERALE a réitéré son refus le 19/12/2023 .

Le médiateur de la banque n’a pas été saisi .

Par acte de commissaire de justice du 18/04/2024 , M. [E] [J] a assigné la SA SOCIETE GENERALE devant le Tribunal Judiciaire sur le fondement des articles L133-18, L133-19 et L133-23 du code monétaire et financier, aux fins de :

— Voir condamner la SA SOCIETE GENERALE à payer à M. [E] [J] la somme de 6465.44 euros avec intérêts légaux à compter de l’assignation

— Voir condamner la SA BNP PARIBAS à payer à M. [E] [J] la somme de 3500 euros au titre de son préjudice moral

— Voir la SA BNP PARIBAS à payer à M. [E] [J] la somme de 2500 euros en application de l’article 700 du code de procédure civile , ainsi qu’aux dépens.

— Voir dire n’y avoir lieu d’écarter l’exécution provisoire

L’affaire a été retenue le 13/02/2025 après renvois .

M. [E] [J] soutient oralement ses conclusions récapitulatives auxquelles il convient de se référer en application de l’article 455 du CPC et sollicite sur le fondement des articles L133-6 et suivants du code monétaire et financier , du code civil de :

— Voir condamner la SA BNP PARIBAS à payer à M. [E] [J] la somme de 6465.44 euros avec intérêts légaux à compter de l’assignation

— Voir condamner la SA BNP PARIBAS à payer à M. [E] [J] la somme de 3500 euros au titre de son préjudice moral

— Voir la SA BNP PARIBAS à payer à M. [E] [J] la somme de 2500 euros en application de l’article 700 du code de procédure civile , ainsi qu’aux dépens.

— Voir dire n’y avoir lieu d’écarter l’exécution provisoire

La SA SOCIETE GENERALE soutient oralement ses conclusions récapitulatives auxquelles il convient de se référer en application de l’article 455 du CPC et sollicite sur le fondement des articles L133-4, L133-16 et L133-44 du code monétaire et financier , 1231-1 et suivants du code civil de :

— Voir dire M. [E] [J] mal fondé en ses demandes

— Voir débouter M. [E] [J] de l’ensemble de ses demandes

— Voir condamner M. [E] [J] à lui payer la somme de 2500 euros en application de l’article 700 du code de procédure civile , ainsi qu’ aux dépens .

— Subsidiairement voir écarter l’exécution provisoire de la décision à intervenir

DISCUSSION :

Sur la demande de remboursement de M. [E] [J] :

L’article L133-16 du code monétaire et financier dispose que l’utilisateur de service de paiement prend toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées .Il utilise l’instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation qui doivent être objectives , non discriminatoires et proportionnées.

En vertu de l’article L133-17 du même code , en cas de perte , vol , détournement ou de toute utilisation non autorisée de son instrument de paiement ou des données qui lui sont liées , l’utilisateur de services de paiement en informe sans tarder, aux fins de blocage de l’instrument, son prestataire ou l’entité désignée par celui-ci.

En application de l’article L133-18 et L133-24 du code monétaire et financier, s’il est signalé une opération de paiement non autorisée par un client dans les 13 mois de son débit, celui-ci doit lui être immédiatement remboursé et le compte doit être re-crédité.

Selon l’alinéa 1er de l’article L133-23 du code monétaire et financier, lorsqu’ un client nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération n’a pas été exécutée correctement, il appartient à la Banque de prouver que cette opération a été authentifiée, dûment enregistrée et comptabilisée, et qu’elle n’a pas été affectée par une déficience technique ou autre.

L’alinéa 2 dispose : L’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière. Le prestataire de services de paiement, y compris, le cas échéant, le prestataire de services de paiement fournissant un service d’initiation de paiement, fournit des éléments afin de prouver la fraude ou la négligence grave commise par l’utilisateur de services de paiement.

En effet l’article L133-6 du code monétaire et financier dispose que l’opération de paiement doit être autorisée, et qu’elle l’est, lorsque le payeur a donné son consentement à son exécution.

Ce respect de la forme dudit consentement est condition de validité de l’opération.

M. [E] [J] explique qu’il a été victime d’une fraude , par une personne se présentant comme conseillère bancaire au téléphone le 01/05/2023 , laquelle a fait état d’une fraude sur son compte en train de se commettre en Afrique et qui lui a demandé le même jour d’annuler ces opérations selon des instructions qu’il a suivies. Il précise avoir à 12h54 adressé une demande d’opposition à sa carte bancaire en ayant appelé sa banque qui lui a confirmé qu’il avait été victime d’une escroquerie , et avoir été informé alors qu’aucune opération non autorisée n’avait été effectuée à ce moment . Il ajoute avoir constaté le débit de l’opération contestée sur son compte le 02/05/2023.

M. [E] [J] expose qu’il avait été amené à payer une amende de stationnement selon un SMS indiqué provenir d’ANTAI le 15/04/2023 selon un n° débutant en 07 … mais sans divulguer ses données de carte bancaire ou de banque en ligne.

Il soutient qu’ à son insu son instrument de paiement et les données liées ont été utilisés , que sa responsabilité n’est pas engagée , en l’absence de négligence grave de sa part .

Il relève que son plafond de paiement a été porté de 3400 euros à 6000 euros sans qu’il y ait consenti, le paiement contesté étant effectué en Allemagne.

M. [E] [J] conteste avoir reçu les SMS invoqués par la SA SOCIETE GENERALE pour permettre de relever son plafond de paiement ou autoriser un paiement. Il estime qu’un tiers a réussi à s’introduire via son téléphone dans son système de banque à distance et l’a trompé en lui faisant part de données confidentielles . Il soutient que la personne qui est victime ainsi d’ un faux conseiller bancaire ne peut être considérée comme étant responsable de négligence grave, ajoute que la banque n’avait pas mis en garde ses clients sur ces pratiques.

La SA SOCIETE GENERALE fait valoir une négligence grave en raison de communication d’informations qui ont permis les opérations contestées , pourtant authentifiée. Elle indique que le n° de téléphone utilisé par la personne se présentant comme son employé n’était pas un numéro de la banque , que cet appel le 01/05/2023 devait susciter la prudence, que M. [E] [J] a été négligent en payant une amende sur la demande faite par un SMS d’un téléphone en 07…, ce qui a permis de récupérer ses coordonnées bancaires , alors que le client doit assurer la sécurité de ses moyens de paiement .

Sur l’authentification des opérations, elle relève que les relevés télématiques démontrent une augmentation de plafond qui a été effectuée avec un Pass Sécurité qui nécessite un n° unique pour validation sur l’application mobile, et pour lequel un code unique a été envoyé au client à 12h29 , que le plafond est relevé à 12h39, que l’achat contesté est effectué à 12h47.

Un délai de temporisation de 3 jours étant en vigueur avant l’application du nouveau Pass Sécurité, elle explique que le client doit utiliser dans ce délai un SMS à usage unique pour toute opération. Elle constate que ce SMS a été utilisé seulement pour augmenter le plafond , que M. [E] [J] a bien reçu une information de l’activation de son Pass Sécurité sur le téléphone référencé pour son compte ;

Elle explique les processus :

— Validation de paiement en ligne par authentification forte

— Nécessité de renseigner auparavant dans l’espace client sécurisé accessible par le code client et le code secret de banque à distance , un code de sécurité renforcé Open ID , lequel est envoyé par SMS sur le n° de téléphone référencé du client

Elle ajoute que depuis le 02/02/2012 aucune modification du téléphone de référence de M. [E] [J] n’a eu lieu, si bien que tous les messages sont adressés sur ce n° . Elle note qu’à 12h27 il a été effectué un Pass Sécurité pour une « opposition paiement », qui nécessite la connaissance de l’ensemble de ces éléments . Elle en déduit que le donneur d’ordre a dû connaitre le code client à 8 chiffres , son code secret à 6 chiffres et également ce code SMS divulgué nécessairement, ainsi que l’ensemble des données de la carte bancaire. Elle relève qu’à 12h39 le plafond de paiement a été relevé , et que le code Open ID a été ensuite utilisé à 12h47 pour le paiement.

La SA SOCIETE GENERALE soutient que l’authentification via ce code Open ID saisi dans l’espace client sécurisé est reconnue pour confirmer que seul le titulaire de la ligne téléphonique référencé et connaissant ses codes client et code secret, est susceptible d’accéder à cet espace client sécurisé, conformément aux dispositions de sécurité exigée à l’article L133-4 du CMF.

Elle considère donc avoir mis en place des mesures de sécurité adéquates et que M. [E] [J] ne démontre pas que le tiers qui l’a contacté tirait les informations le concernant par la banque ou son système informatique , qu’il a fait preuve de négligence grave en validant des opérations dont il n’était pas à l’origine.

— --------------------

Il appartient au prestataire en vertu des articles L133-19 et L133-23 du code monétaire et financier de rapporter la preuve que l’utilisateur a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence grave à ses obligations quand par ailleurs cette opération a été authentifiée, dûment enregistrée et comptabilisée, et qu’elle n’a pas été affectée par une déficience technique ou autre, conditions cumulatives quand le client nie avoir autorisé une opération.

L’utilisateur a en effet pour obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs personnalisés et informer en conséquence sans délai de toute utilisation frauduleuse ou de ses données .

M. [E] [J] a expliqué avoir payé le 15/04/2023 par erreur une amende à partir d’un SMS prétendument d’ANTAI , mais sans donner ses codes bancaires . Cependant à ce moment , les données de sa carte bancaire ont nécessairement été renseignées pour ce paiement, sans que M. [E] [J] ne décrive précisément les opérations réalisées .

M. [E] [J] a reçu un appel du numéro 01.42.14.58.58 . Il ne s’agit pas d’un numéro de son agence bancaire. Lorsqu’il a été sollicité le 01/05/2023 , il a effectué les opérations demandées pour prétendument annuler des opérations frauduleuses. Il est à relever que l’opération de 12h27 :34 sur sa BAD est intitulée « opposition paiement » et dure jusqu’à 12h39 :47 , que l’activation de Pass sécurité est à 12h28 , avec augmentation de plafond réalisée à 12h39 :52 , soit juste après cette prétendue « opposition paiement » tandis qu’à 12h47 :47 est effectué le paiement contesté.

En fait , la réelle demande d’opposition de M. [E] [J] est enregistrée à 12h55 :40.

Le paiement contesté est effectué par le processus décrit Open ID , par le code de sécurité saisi dans la BAD . Selon le journal des connexions de M. [E] [J] du 01/05/2023, tous les codes secrets sont réussis par mobile ou site web entre le 01/05 à 7h13 et le 03/05 à 12h35.

L’article L133-44 du CMF dispose au 11/09/2022 :

I. – Le prestataire de services de paiement applique l’authentification forte du client définie au f de l’article L. 133-4 lorsque le payeur :

1° Accède à son compte de paiement en ligne ;

2° Initie une opération de paiement électronique ;

3° Exécute une opération par le biais d’un moyen de communication à distance, susceptible de comporter un risque de fraude en matière de paiement ou de toute autre utilisation frauduleuse.

II. – Pour les opérations de paiement électronique à distance, l’authentification forte du client définie au f de l’article L. 133-4 comporte des éléments qui établissent un lien dynamique entre l’opération, le montant et le bénéficiaire donnés.

III. – En ce qui concerne l’obligation du I, les prestataires de services de paiement mettent en place des mesures de sécurité adéquates afin de protéger la confidentialité et l’intégrité des données de sécurité personnalisées des utilisateurs de services de paiement.

IV. – Le prestataire de services de paiement gestionnaire du compte autorise le prestataire de services de paiement fournissant un service d’initiation de paiement et le prestataire de services de paiement fournissant le service d’information sur les comptes à se fonder sur ses procédures d’authentification lorsqu’ils agissent pour l’un de leurs utilisateurs conformément aux I et III et, lorsque le prestataire de services de paiement fournissant le service d’initiation de paiement intervient, conformément aux I, II et III.

La preuve de la négligence grave ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées, ont été effectivement utilisées.

Les modes d’authentification forte sont définis à l’article L133-4 du même code et constitue une validation qui repose sur deux éléments ou plus d’authentification., qui appartiennent à deux catégories différentes de facteurs d’authentification dans trois catégories :

— Connaissance : quelque chose que seul l’utilisateur connait, tel que mot de passe , code [Localité 4], information personnelle

— Possession : quelque chose que seul l’utilisateur possède tel que téléphone, ordinateur, bracelet connecté

— Inhérence : quelque chose que l’utilisateur est , tel qu’une empreinte digitale, une reconnaissance faciale ou vocale ou rétinienne

Une dérogation est possible dans le cas des transactions à faible risque , comme la consultation de son solde sous réserve de l’existence d’un premier accès validé par une authentification forte , renouvelée tous les 90 jours , ou un paiement aux automates de transport et parking, ou des paiements de faible montant , sans contact ou à distance.

Il sera noté que la preuve d’alertes générales que la SA SOCIETE GENERALE indique avoir mis en place pour ses clients sur les différents cas de fraude n’est pas rapportée avant la période de mai 2023.

Les opérations sont indiquées avoir été authentifiées par le moyen d’authentification forte mis en œuvre par la SA SOCIETE GENERALE .

Au cas présent, les éléments techniques produits par la SA SOCIETE GENERALE pour le processus de sécurisation sont bien ceux prévus au contrat de banque à distance d’une part, et ils respectent les exigences de l’article L133-4 du CMF pour chaque opération , soit de relèvement de plafond , soit de paiement.

D’autre part , ils démontrent que le processus d’authentification forte a bien fonctionné , sans déficience technique, pour ce relèvement de plafond de paiement puis pour le paiement contesté, par l’envoi du code SMS unique nécessaire à ces opérations, notamment après la mise en œuvre du Pass sécurité , adressé sur le numéro de téléphone de référence de M. [E] [J].

Si M. [E] [J] conteste ces opérations, il a reconnu avoir payé par erreur une amende dans le contexte précité, qui a eu pour effet une communication sur son compte bancaire et sa carte bancaire. Il fait valoir ensuite une technique de spoofing , et un détournement de sa ligne téléphonique.

Alors qu’il invoque ne pas avoir reçu les SMS avec les codes à usage uniques, il ne produit pas le journal des SMS de la période considérée , ou toute preuve des SMS reçus , alors que cela permettait de vérifier la réception des codes Open ID . Or la preuve que doit apporter le prestataire de paiement de l’absence de déficience technique lors de l’opération, préalable à la preuve de la négligence grave du client, en cas d’opération non autorisée repose sur ses relevés télématiques et moyens techniques , qui sont produits au cas présent . Et ils sont à apprécier en perspective et proportion des éléments de preuve sur le comportement du payeur , quand le client conteste toute négligence grave.

En l’absence d’éléments probatoires produits par M. [E] [J] sur le détournement de réception de message sur le n° de téléphone référencé par lui pour ses opérations bancaires à distance , et alors qu’il explique avoir suivi des instructions données par un tiers par téléphone , sans numéro correspondant de la banque, il en résulte qu’il a par négligence grave donné des éléments d’informations qu’ils devaient ne pas divulguer. Cette communication d’éléments a été à l’origine, avant qu’il ne fasse opposition, du relèvement de plafond et du paiement contesté, effectués par authentification forte.

M. [E] [J] sera donc débouté de sa demande de remboursement.

Sur la demande de dommages et intérêts de M. [E] [J] :

M. [E] [J] fait état d’un préjudice moral pour les désagréments pendant plusieurs mois pour une somme importante et demande une somme de 1000 euros de dommages et intérêts , à laquelle s’oppose la banque en exposant ne pas avoir de responsabilité pour les opérations contestées et en rappelant les négligences graves de M. [E] [J] .

M. [E] [J] sera débouté de sa demande de dommages et intérêts , étant débouté au principal pour les motifs précités .

Sur l’exécution provisoire :

L’exécution provisoire est de droit.

Sur les dépens et l’article 700 du code de procédure civile :

Il convient de condamner M. [E] [J] aux dépens et en équité de débouter la SA SOCIETE GENERALE de sa demande en application de l’article 700 du code de procédure civile.

PAR CES MOTIFS :

Le tribunal judiciaire , statuant par jugement contradictoire en premier ressort, mis à disposition au greffe :

DEBOUTE M. [E] [J] de sa demande de remboursement de la somme de 6465.44 euros en raison de sa négligence grave , la SA SOCIETE GENERALE justifiant des authentifications fortes afférentes aux opérations de paiement contestées, sans déficience technique

DEBOUTE M. [E] [J] de sa demande de dommages et intérêts

RAPPELLE l’exécution provisoire de droit

CONDAMNE M. [E] [J] aux dépens

DEBOUTE la SA SOCIETE GENERALE de sa demande en application de l’article 700 du code de procédure civile .

Le Greffier Le Président