TRIBUNAL

JUDICIAIRE

DE [Localité 6] [1]

[1]

Expéditions

délivrées le:

à

M^e ADDUARD

M^e BOUSCATEL

■

9ème chambre 2ème section

N° RG 24/02975 – N° Portalis 352J-W-B7I-C3UJA

N° MINUTE :

Assignation du :

16 Février 2024

JUGEMENT

rendu le 23 Mai 2025

DEMANDERESSE

Madame [R] [X] épouse [Y]

[Adresse 3]

[Localité 5]

représentée par Maître Eléonore ADDUARD, avocat au barreau de PARIS, vestiaire #P0399

DÉFENDERESSE

CAISSE D’EPARGNE ILE DE FRANCE

[Adresse 2]

[Localité 4]

représentée par Maître Claire BOUSCATEL de l’ASSOCIATION BIARD BOUSCATEL, avocats au barreau de PARIS, vestiaire #R0146

COMPOSITION DU TRIBUNAL

Gilles MALFRE, 1er Vice-Président adjoint

Augustin BOUJEKA, Vice-Président

Alexandre PARASTATIDIS, Juge

assistés de Diane FARIN, Greffière.

DÉBATS

A l’audience du 21 Mars 2025 tenue en audience publique devant, Augustin BOUJEKA, juge rapporteur, qui, sans opposition des avocats, a tenu seul l’audience, et, après avoir entendu les conseils des parties, en a rendu compte au Tribunal, conformément aux dispositions de l’article 805 du Code de Procédure Civile. Avis a été donné aux avocats que la décision serait rendue le 23 mai 2025.

Décision du 23 Mai 2025

9ème chambre 2ème section

N° RG 24/02975 – N° Portalis 352J-W-B7I-C3UJA

JUGEMENT

Rendu publiquement par mise à disposition au greffe

Contradictoire

En premier ressort

FAITS ET PROCÉDURE

Madame [R] [X], épouse [Y] (ci-après Madame [Y]), a déposé le 28 mars 2023 une plainte au commissariat de police de [Localité 7] dans le procès-verbal de laquelle elle relate notamment les faits suivants :

« Le 27/03/2023, vers 14h00, j’ai reçu un appel sur mon portable du [XXXXXXXX01].

C’est mon ami qui a décroché.

La personne s’est fait passer pour un agent de la Caisse d’Epargne.

Elle lui a dit que suite à l’opposition de ma carte il y avait eu des opérations frauduleuses et que pour être remboursé il fallait qu’il lui donne les codes inscrits dans les SMS que nous allons recevoir.

J’ai reçu un certain nombre de SMS et mon ami a donné les codes.

Puis la personne a raccroché en prétextant que c’était réglé.

2/3 heures après, je me suis rendu compte que j’avais un mail de ma banque m’informant que mon ordre de virement de 14 998 euros avait été effectué.

Je suis allée à ma banque pour obtenir mon relevé de compte, je vous en remets une copie. »

Par lettre recommandée avec accusé de réception du 14 juin 2023, le conseil de Madame [Y] a sollicité auprès de la Caisse d’Epargne et de Prévoyance Ile-de-France (ci-après la CEIDF) le remboursement de la somme de 14.998 euros, correspondant au virement considéré comme frauduleux par l’utilisatrice du service bancaire, en invoquant les dispositions des articles L.133-18 et L.133-19 du code monétaire et financier.

Par courrier électronique du 19 juin 2023, la CEIDF a rejeté la demande de Madame [Y] au motif que le virement en cause avait fait l’objet d’une authentification forte, le rappel des fonds auprès de la banque réceptionnaire n’ayant donné lieu qu’à une restitution de 11 euros.

C’est dans ce contexte que par acte du 16 février 2024, Madame [Y] a fait assigner la CEIDF en recherche de la responsabilité de cet établissement et aux termes de ses dernières écritures signifiées le 5 février 2025, demande à ce tribunal, au visa des articles L.133-16, L.133-24, L.133-15, L.133-19 et L.133-23 du code monétaire et financier, de :

« ➢ RECEVOIR Madame [R] [X] épouse [Y] en ses demandes et la déclarer bien fondée ;

➢ CONDAMNER la CAISSE D’EPARGNE [Localité 6] ILE DE FRANCE à verser à Madame [R] [X] épouse [Y] la somme 14.998 euros avec intérêt au taux légal à compter du 14 juin 2023, date de la mise en demeure ;

➢ CONDAMNER la CAISSE D’EPARGNE [Localité 6] ILE DE FRANCE à verser à Madame [R] [X] épouse [Y] la somme de 1.000 euros à titre de dommages et intérêts ;

➢ CONDAMNER la CAISSE D’EPARGNE [Localité 6] ILE DE FRANCE à verser à Madame [R] [X] épouse [Y] la somme de 2.500 euros sur le fondement de l’article 700 du Code de procédure civile, outre aux entiers dépens. »

Par dernières écritures signifiées le 30 janvier 2025, la CEIDF demande à ce tribunal, au visa des articles L.133-16 et L.133-23 du code monétaire et financier, de :

« – DEBOUTER Madame [X] épouse [Y] de l’intégralité des demandes, fins et prétentions formulées à l’encontre de la CAISSE D’EPARGNE ILE-DE-FRANCE ;

— CONDAMNER Madame [X] épouse [Y] au paiement de la somme de 2.500 euros à la CAISSE D’EPARGNE ILE-DE-FRANCE au titre de l’article 700 du Code de procédure civile ainsi qu’aux entiers dépens ;

A titre subsidiaire, si le Tribunal devait faire droit à tout ou partie des demandes de Madame [X] épouse [Y]

— ECARTER l’exécution provisoire de la décision à intervenir. »

La clôture a été prononcée le 6 février 2025, l’affaire étant appelée à l’audience du 21 mars 2025 et mise en délibéré au 23 mai 2025.

Il est fait expressément référence aux pièces du dossier et aux écritures déposées et visées ci-dessus pour un plus ample exposé des faits de la cause et des prétentions des parties conformément aux dispositions de l’article 455 du code de procédure civile.

MOTIFS DE LA DÉCISION

1.Sur les demandes principales

Madame [Y] se prévaut des dispositions des articles L.133-16, L.133-24, L.133-15, L.133-19, L.133-18 et L.133-23 du code monétaire et financier pour rechercher la responsabilité de la Caisse d’Epargne. Elle souligne qu’il incombe à cet établissement de prouver que l’utilisateur de services de paiement a commis une fraude ou a fait montre d’une faute intentionnelle ou d’une négligence grave eu égard aux opérations en cause, même quand l’instrument de paiement et les données qui lui sont liées ont été effectivement utilisés. Elle précise que la banque, contrairement à ses dires, n’a mis en place aucun système d’authentification forte, la concluante ayant été victime d’un phishing et fait opposition dès qu’elle s’en est aperçu en se rendant à son agence. Elle affirme n’avoir jamais renseigné son code secret ni utilisé la fonction biométrique de son appareil et si la Caisse d’Epargne lui reproche d’avoir communiqué le code reçu par SMS en manquant gravement de vigilance, elle rappelle n’avoir commis aucune fraude lors que la banque n’a mis en place aucun système d’authentification forte. Elle considère comme inopérante la production par la banque de documents venant de son propre système d’exploitation, ajoutant qu’elle ne s’est pas connectée à son espace de paiement en ligne et sollicite le remboursement de la somme de 14.988 euros. Elle indique être cliente de la banque depuis plusieurs années, être âgée de 78 ans alors que la Caisse d’Epargne a manqué de vigilance eu égard aux montants de l’escroquerie ne correspondant pas aux habitudes de paiement de la concluante.

En réplique, la Caisse d’Epargne fait valoir que Madame [Y] a commis une négligence grave au sens de l’article L.133-24 du code monétaire et financier, laquelle exclut tout droit au remboursement à son profit. Elle précise que l’opération contestée a fait l’objet, de la part de Madame [Y], d’une authentification forte au sens de l’article L.133-4 du code monétaire et financier, la demanderesse ayant communiqué les numéros de ses cartes bancaires, ainsi qu’elle le reconnaît, une connexion à l’accès banque à distance ayant eu lieu grâce à un identifiant et un mot de passe connus d’elle seule, ainsi que le démontrent les logs produits, et une fois la connexion faite, une notification par un SMS délivrant au client un code unique servant à valider l’opération ainsi que le démontrent encore les logs produits, Madame [Y] (ou son ami) reconnaissant avoir transmis ce code au fraudeur, de telle sorte que l’opération a fait l’objet d’une authentification forte. Elle souligne que la seule connaissance par l’escroc des identifiant et mot de passe permettant d’accéder au compte de la demanderesse ne suffit pas à effectuer un virement, observant qu’il fallait en outre que l’intéressée ait communiqué le code unique reçu par SMS. L’argument adverse selon lequel les logs produits ne seraient pas probants pour être des documents établis unilatéralement par la concluante et provenant du système d’exploitation de la Caisse d’Epargne ne doit pas, selon la Caisse d’Epargne, emporter la conviction dès lors que les logs corroborent les affirmations de la demanderesse figurant dans sa plainte, ces logs étant au demeurant des pièces techniques démontrant le déroulé des opérations.

A propos de la négligence grave, la Caisse d’Epargne rappelle qu’il convient de tenir compte des messages d’alerte des prestataires de services de paiement à l’attention de leurs clients, prévenant ceux-ci des risques de fraude. Elle souligne qu’en l’espèce, la demanderesse, par le truchement de son ami, a communiqué au fraudeur le code unique reçu par SMS, précisant que la concluante a prévenu Madame [Y] de ce qu’elle devait contacter son agence si elle n’était pas à l’origine de la demande et l’ayant prévenue de l’exécution de l’opération de virement au profit du bénéficiaire mentionné. Elle considère que plusieurs codes ont été communiqués au fraudeur qui autrement, n’aurait pu exécuter l’opération litigieuse, aucune défaillance technique n’étant à mettre à la charge de la concluante. Elle estime dès lors qu’il y a eu négligence de Madame [Y], sa demande devant être en conséquence rejetée.

Sur ce,

En application des dispositions des articles L.133-18, L.133-19, IV et L.133-23 du code monétaire et financier, en cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L. 133-24, le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement et s’il communique ces raisons par écrit à la Banque de France.

Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17.

Lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre.

En vertu du deuxième et du troisième de ces textes, « s’il entend faire supporter à l’utilisateur d’un instrument de paiement doté d’un dispositif de sécurité personnalisé les pertes occasionnées par une opération de paiement non autorisée rendue possible par un manquement de cet utilisateur, intentionnel ou par négligence grave, aux obligations mentionnées aux articles L. 133-16 et L 133-17 de ce code, le prestataire de services de paiement doit au préalable prouver que l’opération en cause a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre. » (Cass. Com., 30 avril 2025, n°24-10.149)

Au cas particulier, Madame [Y] conteste que la CEIDF ait mis en place une procédure d’authentification forte dans l’exécution du virement en litige.

Or la CEIDF produit aux débats un journal informatique retraçant les opérations de virement intervenues sur le compte depuis lequel le virement a été exécuté.

On y lit : « Pour valider votre demande de virement de 14998,00 EUR à [M] [B], saisissez le code : 63503222 ».

Au-dessus de la ligne de cette opération, on peut lire également : « Caisse d’Epargne Ile-de-France : nous vous confirmons le virement de 14998,00 euros réalisé sur internet le 27/03/2023 à 14h25 vers le compte de [M] [B]. »

Juste au-dessus de cette autre ligne, on peut encore lire : « Pour valider votre demande de virement de 1499,00 EUR à [M] [B], saisissez le code : 15085438 ».

En considération des éléments qui précèdent, il est établi que le virement en litige n’a pu être effectué que grâce à la saisie d’un code confidentiel adressé par le prestataire de service de paiement, la CEIDF en l’occurrence, à destination du numéro de téléphone renseigné au préalable par Madame [Y] et dont elle ne conteste pas sérieusement l’enregistrement dans le système de la CEIDF.

Certes, il n’est pas établi que Madame [Y] a elle-même entré sur son appareil téléphonique les codes reçus pour valider manuellement l’opération de paiement en litige.

Cependant, elle reconnaît dans sa plainte avoir reçu « un certain nombre de SMS » et que « mon ami a donné les codes ».

Plus encore, Monsieur [A] [T], dont les circonstances permettent d’inférer qu’il s’agit de l’ami de Madame [Y], a adressé à la CEIDF un courrier électronique en date du 1er avril 2023 affirmant avoir lu à son interlocuteur téléphonique le contenu des SMS reçus aux heures et à la date de l’opération de paiement litigieuse.

Il résulte de l’ensemble des éléments qui précèdent que le paiement litigieux n’a pu être exécuté qu’au moyen de l’authentification forte mise en place par la CEIDF.

En outre, tant le journal informatique produit que le relevé de compte de Madame [Y] montrent que le virement litigieux, de 14.998 euros, a été enregistré et comptabilisé.

Il résulte par ailleurs du journal informatique produit par la CEIDF que cette opération n’a pas été affectée d’une déficience technique.

En effet, Madame [Y] précise dans ses dernières écritures avoir fait l’objet d’un hameçonnage par message SMS l’ayant conduite à renseigner ses données bancaires auprès d’un tiers qui s’est avéré par la suite être un fraudeur.

C’est après la communication, certes involontaire de ses données par Madame [Y], que le tiers a pu être en possession des éléments d’information lui ayant permis de se faire passer pour un préposé de la CEIDF prétendant vouloir mettre en opposition la carte bancaire de Madame [Y] pour tentative de fraude.

A l’occasion de cet appel, le fraudeur a pu obtenir le code d’authentification forte des opérations affecté à Madame [Y] pour valider le paiement en litige alors que l’utilisateur ne doit communiquer aucune donnée ou code confidentiel afférent aux instruments de paiement mis à sa disposition.

Par suite, il sera retenu que l’opération litigieuse n’a pas été affectée par une déficience technique.

Par ailleurs, c’est à juste titre que la CEIDF s’oppose à la demande de paiement en raison d’une négligence grave de Madame [Y].

Celle-ci reconnaît en effet dans sa plainte pénale avoir reçu des SMS et laissé son ami donner « les codes ».

Ce fait est attesté par Monsieur [T], ami de Madame [Y], ainsi qu’il a été dit précédemment.

En conséquence, dès lors que Madame [Y] a donné son code d’authentification forte en contravention des dispositions combinées des articles L.133-16 et L.133-19, IV du code monétaire et financier, sa négligence grave est établie et sa demande sera en conséquence rejetée.

Par ailleurs, l’argument tiré du manquement à l’obligation générale de vigilance ne peut prospérer, les dispositions du code monétaire et financier régissant les paiements non autorisés étant exclusives de tout autre régime de responsabilité.

2. Sur les demandes annexes

Succombant, Madame [R] [X], épouse [Y], sera condamnée aux dépens.

L’équité commande qu’il ne soit pas fait application des dispositions de l’article 700 du code de procédure civile.

Compte tenu de la teneur de la décision, l’exécution provisoire sera écartée.

PAR CES MOTIFS

Le tribunal, statuant publiquement par jugement contradictoire, en premier ressort et par mise à disposition au greffe,

DÉBOUTE Madame [R] [X], épouse [Y], de l’ensemble de ses demandes et la condamne aux dépens ;

DÉCLARE n’y avoir lieu à application de l’article 700 du code de procédure civile ;

ECARTE l’exécution provisoire.

Fait et jugé à [Localité 6] le 23 Mai 2025

LA GREFFIÈRE LE PRÉSIDENT