TRIBUNAL

JUDICIAIRE

DE [Localité 6] [1]

[1]

Expéditions

exécutoires

délivrées le :

■

9ème chambre 1ère section

N° RG 23/07256

N° Portalis 352J-W-B7H-CZYUI

N° MINUTE :

Contradictoire

Assignation du :

12 mai 2023

JUGEMENT

rendu le 04 juin 2025

DEMANDERESSE

Madame [B] [V] épouse [Z]

[Adresse 2]

[Localité 3]

représentée par Maître Dikpeu-eric BALE de la SELARL BALE & KOUDOYOR, avocat au barreau de PARIS, avocat plaidant, vestiaire #D1635

DÉFENDERESSE

Société ING BANK N.V.

[Adresse 5]

[Localité 4]

PAYS-BAS

représentée par Maître Frédéric BELLANCA de l’AARPI DARTEVELLE DUBEST BELLANCA, avocat au barreau de PARIS, avocat plaidant, vestiaire #L0015

COMPOSITION DU TRIBUNAL

Madame Anne-Cécile SOULARD, Vice-présidente,

Monsieur Patrick NAVARRI, Vice-président,

Madame Marine PARNAUDEAU, Vice-présidente,

assistés de Madame Sandrine BREARD, greffière.

Décision du 04 Juin 2025

9ème chambre 1ère section

N° RG 23/07256 – N° Portalis 352J-W-B7H-CZYUI

DÉBATS

A l’audience du 09 avril 2025 tenue en audience publique devant Madame Anne-Cécile SOULARD, juge rapporteur, qui, sans opposition des avocats, a tenu seul l’audience, et, après avoir entendu les conseils des parties, en a rendu compte au Tribunal, conformément aux dispositions de l’article 805 du Code de procédure civile.

JUGEMENT

Rendu publiquement par mise à disposition au greffe

Contradictoire

En premier ressort

EXPOSÉ DU LITIGE

Mme [Z] est titulaire d’un compte bancaire ouvert auprès de la société ING Bank NV.

Le 19 mai 2022, elle a reçu un appel de la ligne 01 57 22 54 00 correspondant au numéro de son agence ING Bank. Son interlocuteur s’est présenté comme un conseiller bancaire d’ING Bank et lui a signalé qu’une transaction frauduleuse était en cours sur son compte.

Pensant annuler cette transaction frauduleuse, Mme [Z] a exécuté les instructions de son interlocuteur pour modifier son code d’accès à son espace client.

Par la suite, Mme [Z] a contesté le paiement en ligne de 6 800 euros au profit de la société Binance.

Elle a déposé plainte pour escroquerie le 10 juin 2022.

La société ING Bank a refusé de lui rembourser ce paiement contesté.

Par acte de commissaire de justice du 12 mai 2023, Mme [Z] a fait assigner la société ING Bank NV devant le tribunal judiciaire de Paris.

Demandes et moyens de Mme [Z]

Dans ses dernières conclusions communiquées par voie électronique le 21 novembre 2024, Mme [Z] demande au tribunal de :

« DECLARER Madame [B] [V] épouse [Z] recevable et bien fondée en ses demandes ;

Débouter la société ING BANK de l’intégralité de ses demandes, fins et conclusions,

Y faisant droit,

CONDAMNER la société ING BANK N.V. à rembourser à Madame [B] [V] [Z] la somme de 6 800 euros avec intérêts au taux légal à compter de la date de l’assignation,

CONDAMNER la société ING BANK N.V. à verser à Madame [B] [V] [Z] la somme de 5 000 euros à titre de dommages-intérêts pour résistance abusive,

CONDAMNER la société ING BANK N.V. à verser à Madame [B] [V] [Z] la somme de 2 000 euros à titre de dommages-intérêts en réparation de son préjudice moral,

CONDAMNER la société ING BANK N.V. à verser à Madame [B] [V] [Z] la somme de 4 500 euros en application des dispositions de l’article 700 du Code de procédure civile,

CONDAMNER la société ING BANK N.V. aux entiers de l’instance, dont distraction au profit de Maître BALE, qui en fait la demande, conformément à l’article 699 du Code de procédure civile,

Rappeler qu’en application de l’article 514 du Code de procédure civile, les décisions de première instance sont de droit exécutoires à titre provisoire, »

Mme [Z] fait valoir qu’elle a été mise en confiance par la réception d’un appel utilisant la ligne de son agence bancaire et par le fait que le soi-disant conseiller disposait de ses coordonnées. Elle affirme n’avoir commis aucune négligence grave contrairement à la société ING Bank qui a failli à préserver la sécurité de ses données personnelles et n’a pas pris les dispositions utiles pour éviter l’utilisation par des tiers de son numéro de téléphone. Mme [Z] considère que la société ING Bank ne démontre pas la mise en œuvre d’une authentification forte préalablement au paiement litigieux.

Demandes et moyens de la société ING Bank

Dans ses dernières conclusions communiquées par voie électronique le 21 janvier 2025, la société ING Bank NV demande au tribunal de :

« – DEBOUTER Madame [B] [V], épouse [Z], de sa demande de remboursement de l’opération réalisée au moyen de sa carte bancaire n°535611XXXXXX2024, le 19 mai 2022, pour un montant total de 6.800 euros, dans la mesure où il est établi que cette opération de paiement par carte bancaire a été autorisée par celle-ci et, en tout état de cause, qu’elle n’a pu être réalisée qu’en raison de ses négligences graves,

— DEBOUTER Madame [B] [V], épouse [Z], de sa demande de condamnation d’ING Bank N.V. au paiement d’une somme de 5.000 euros de dommages et intérêts au titre d’une prétendue résistance abusive d’ING Bank N.V.,

— DEBOUTER Madame [B] [V], épouse [Z], de sa demande de condamnation d’ING Bank N.V. au paiement d’une somme de 2.000 euros de dommages et intérêts au titre d’un prétendu préjudice moral,

— DEBOUTER Madame [B] [V], épouse [Z], de toutes ses autres demandes, fins et conclusions ;

— CONDAMNER Madame [B] [V], épouse [Z], au paiement de la somme de 3.500 euros au profit de la société ING BANK N.V., au titre des dispositions de l’article 700 du Code de procédure civile ;

— CONDAMNER la même aux entiers dépens de l’instance. »

La société ING Bank NV expose que l’opération contestée a été autorisée par Mme [Z] conformément aux dispositions légales et contractuelles applicables. Elle relève que le paiement de 6 800 euros a été validé au moyen du code de sécurité envoyé sur le téléphone portable de Mme [Z]. Elle souligne que ce paiement a été effectué au moyen d’une authentification forte.

La société ING Bank NV considère que Mme [Z] a manqué à son obligation de préserver la sécurité de ses données dès lors qu’elle a transmis le code d’accès à son espace en ligne puis le code de sécurité envoyé sur son téléphone portable pour effectuer le paiement de 6 800 euros.

La société ING Bank NV dénie toute responsabilité dans l’utilisation frauduleuse de son numéro de téléphone et estime que le contrôle des numéros revient à l’opérateur téléphonique par lequel transite l’appel frauduleux.

* * *

Conformément aux dispositions de l’article 455 du code de procédure civile, il sera renvoyé aux dernières écritures des parties pour un plus ample exposé des moyens et arguments venant au soutien de leurs demandes et de leurs défenses.

Le juge de la mise en état a clôturé l’instruction de l’affaire par ordonnance du 22 janvier 2025 et fixé l’affaire pour être plaidée à l’audience tenue en juge rapporteur du 9 avril 2025.

MOTIFS DE LA DÉCISION

1. Sur les paiements non autorisés

Une opération de paiement n’est autorisée au sens des articles L.133-3 et L.133-6 du code monétaire et financier que si le payeur l’a initiée et a consenti au montant de l’opération.

L’article L.133-18 du code monétaire et financier pose le principe du remboursement par la banque des opérations de paiement non autorisées : « En cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L. 133-24, le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement et s’il communique ces raisons par écrit à la Banque de France. Le cas échéant, le prestataire de services de paiement du payeur rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu. »

Par dérogation à ce principe, l’article L.133-19 IV prévoit que le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L.133-16 et L.133-17, lesquels lui font obligation notamment de préserver la sécurité de ses données.

L’article L.133-23 du code monétaire et financier fixe les règles de preuve applicables lorsque l’utilisateur conteste avoir donné son autorisation au paiement : « En application de l’article L.133-23 du code monétaire et financier, lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre.

L’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière. Le prestataire de services de paiement, y compris, le cas échéant, le prestataire de services de paiement fournissant un service d’initiation de paiement, fournit des éléments afin de prouver la fraude ou la négligence grave commise par l’utilisateur de services de paiement. »

La négligence grave de l’utilisateur ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été utilisés. L’établissement bancaire qui refuse de procéder au remboursement supporte la charge de la preuve de la négligence grave imputée à son client.

Enfin, en application de l’article L.133-19 V du code monétaire et financier, sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si l’opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement du payeur n’exige une authentification forte du payeur.

Mme [Z] considère que le paiement litigieux de 6 800 euros a été réalisé sans mise en œuvre d’une authentification forte.

L’article L. 133-4 (f) du même code précise qu’une authentification forte s’entend d’une authentification reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories « connaissance » (quelque chose que seul l’utilisateur connaît telle qu’un mot de passe, un code secret, une question secrète, etc…), « possession » (quelque chose que seul l’utilisateur possède telle qu’un téléphone portable, une montre connectée, une clé USB etc…) et « inhérence » (quelque chose que l’utilisateur est, telle que la reconnaissance faciale ou vocale, la reconnaissance par empreinte digitale, etc…) et indépendants en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d’authentification. L’authentification forte repose donc sur l’utilisation de deux de ces éléments, voire plus.

Il n’est pas contesté que le paiement de 6 800 euros a été effectué depuis l’espace bancaire en ligne de Mme [Z] ce qui suppose d’avoir accès aux identifiants et code de Mme [Z] (élément de connaissance). A cet égard, Mme [Z] reconnaît dans sa plainte en date du 10 juin 2022 qu’elle a communiqué le code d’accès à son espace client à un soi-disant robot lors de l’appel téléphonique du 19 mai 2022 : « A la date du jeudi 19 mai 2022 j’ai été contacté par le 0157255400. Un homme s’est présenté comme travaillant pour ING, banque dont je suis cliente. Il m’annonce qu’une transaction qui semble frauduleuse serait en cours, il m’annonce de quoi il s’agit et je confirme que je n’en suis pas à l’origine. Il m’informe donc que nous allons procéder ensemble à des manipulations pour annuler cette transaction. Ensuite, il me dit qu’il faut modifier le code d’accès à mon espace client. Je devais communiquer l’ancien ainsi que le nouveau code à un soi-disant robot toujours au téléphone. Après avoir fait cela, nous avons fait une demande de nouvelle carte que recevrais dans 4-5 jours.»

Il ressort de l’extrait des logs informatiques fourni par la société ING Bank que le paiement de 6 800 euros a été validé au moyen d’un code envoyé le 19 mai 2022 à 10h49 sur le numéro de téléphone de Mme [Z] (élément de possession). L’utilisation de ce code a permis de valider le paiement de 6 800 euros, ainsi que l’indique la mention « success delivered ».

Par conséquent, le paiement litigieux a été réalisé au moyen d’une authentification forte.

Il convient dès lors de rechercher si Mme [Z] a manqué à son obligation de préserver la confidentialité de ses données personnelles.

Il ressort du relevé d’appel extrait du téléphone de Mme [Z] que le 19 mai 2022, elle a reçu 3 appels émanant du [XXXXXXXX01] à 10h24, 10H40 et 10h46. Il n’est pas contesté que ce numéro est celui de l’agence ING Bank de Mme [Z].

Mme [Z] reproche à la société ING Bank d’avoir permis cette usurpation de numéro par une défaillance de ces systèmes de sécurité. Cependant, le contrôle des numéros revient à l’opérateur téléphonique de telle sorte que l’usurpation du numéro ne peut être imputée à la banque, celle-ci n’ayant pas la possibilité d’empêcher l’utilisation de son numéro de téléphone.

L’usurpation du numéro de téléphone de la banque a pu mettre en confiance Mme [Z] qui a cru avoir affaire à un conseiller de la société ING Bank.

Cependant, il ressort de l’extrait des logs informatiques que la société ING Bank a envoyé à Mme [Z] le SMS suivant le 19 mai 2022 à 10h49 : « Veuillez saisir le code 96847818 pour authentifier votre achat de 6 800 euros sur le site wwwbinancecom ». La réception de ce SMS est concomitante à la conversation téléphonique de Mme [Z] avec le soi-disant conseiller de sa banque et le code contenu dans ce message a été utilisé pour valider le paiement de 6 800 euros. Il s’en déduit que Mme [Z] a nécessairement communiqué ce code au fraudeur.

Elle a pu être mise en confiance par l’usurpation du numéro de téléphone et croire à la nécessité d’empêcher une opération frauduleuse. Cependant, le message reçu mentionne expressément un paiement de 6 800 euros que le code doit permettre d’authentifier. Ces mentions sont contradictoires avec le discours du soi-disant conseiller évoquant l’annulation d’une transaction frauduleuse et auraient dû alerter Mme [Z].

En transmettant son code d’accès à son espace en ligne, puis le code d’authentification d’un paiement qu’elle n’avait pas initié, Mme [Z] a manqué à son obligation de préserver la sécurité de ses données personnelles et a commis une négligence grave.

Par conséquent, sa demande de remboursement sera rejetée.

2. Sur les demandes au titre de la résistance abusive et du préjudice moral

Au regard de l’issue donnée au litige, la résistance abusive de la banque n’est pas caractérisée et elle ne peut être considérée comme responsable de l’éventuel préjudice moral de Mme [Z]. Par conséquent, les demandes de dommages et intérêts de Mme [Z] à ces titres seront rejetées.

3. Sur les frais du procès

L’article 695 du code de procédure civile énumère les frais du procès qui entrent dans la catégorie des dépens. Il est de principe que les dépens sont à la charge de la partie perdante, conformément à l’article 696 du code de procédure civile.

Partie perdante au procès, Mme [Z] sera condamnée au paiement des entiers dépens, conformément à l’article 696 du code de procédure civile.

Elle sera également condamnée à payer à la société ING Bank la somme de 1 500 euros afin de compenser les frais de justice non compris dans les dépens qu’elle a dû exposer afin d’assurer la défense judiciaire de ses intérêts, en application de l’article 700 du code de procédure civile.

4. Sur l’exécution provisoire

Les décisions de première instance sont de droit exécutoires à titre provisoire, en application de l’article 514 du code de procédure civile.

Le juge peut toutefois écarter l’exécution provisoire de droit, en tout ou partie, s’il estime qu’elle est incompatible avec la nature de l’affaire, conformément à l’article 514-1 du code de procédure civile.

S’agissant d’un jugement de rejet, il n’y a pas lieu d’écarter l’exécution provisoire.

PAR CES MOTIFS

Le tribunal, statuant publiquement, par jugement contradictoire, mis à disposition au greffe et en premier ressort,

REJETTE l’ensemble des demandes de Mme [B] [V] épouse [Z] ;

CONDAMNE Mme [B] [V] épouse [Z] aux entiers dépens;

CONDAMNE Mme [B] [V] épouse [Z] à payer à la société ING Bank NV la somme de 1 500 euros au titre de l’article 700 du code de procédure civile ;

REJETTE toute autre demande plus ample ou contraire ;

RAPPELLE que le présent jugement est de droit exécutoire à titre provisoire.

Fait et jugé à [Localité 6] le 04 juin 2025.

La Greffière La Présidente