TRIBUNAL

JUDICIAIRE

DE [Localité 5] [1]

[1] Copie conforme délivrée

le : 10/04/2025

à : M^e Maude HUPIN

Copie exécutoire délivrée

le : 10/04/2025

à : M^e Christophe PHAM VAN DOAN

Pôle civil de proximité

■

PCP JTJ proxi fond

N° RG 24/00669 – N° Portalis 352J-W-B7I-C34P2

N° MINUTE :

1/2025

JUGEMENT

rendu le jeudi 10 avril 2025

DEMANDERESSE

Madame [Z] [N], demeurant [Adresse 3],

représentée par M^e Maude HUPIN, avocat au barreau de PARIS, vestiaire : #G0625

DÉFENDERESSES

La Société CCF, dont le siège social est sis [Adresse 1]

représentée par M^e Christophe PHAM VAN DOAN, avocat au barreau de PARIS, vestiaire : #P0466

La Société HSBC CONTINENTAL EUROPE, dont le siège social est sis [Adresse 2]

représentée par M^e Christophe PHAM VAN DOAN, avocat au barreau de PARIS, vestiaire : #P0466

COMPOSITION DU TRIBUNAL

Anne TOULEMONT, Vice-présidente, statuant en juge unique

assistée de Florian PARISI, Greffier,

DATE DES DÉBATS

Audience publique du 10 février 2025

JUGEMENT

contradictoire, en premier ressort, prononcé par mise à disposition le 10 avril 2025 par Anne TOULEMONT, Vice-présidente assistée de Florian PARISI, Greffier

Décision du 10 avril 2025

PCP JTJ proxi fond – N° RG 24/00669 – N° Portalis 352J-W-B7I-C34P2

EXPOSE DU LITIGE

Madame [Z] [N] dispose, auprès de la société HSBC CONTINENTAL EUROPE d’un compte de dépôt et dispose d’une carte bancaire.

Par assignation du 4 janvier 2024, Madame [N] [Z] a saisi le juge du tribunal judiciaire de Paris, afin de voir condamner la banque HSBC CONTINENTAL EUROPE, dont la société CCF vient au droit depuis le 1er janvier 2024, à lui rembourser la somme de 3096 euros outre les intérêts à compter de la contestation, ordonner la capitalisation des intérêts, à lui payer la somme de 2000 euros au titre du préjudice moral, 3000 euros au titre des frais irrépétibles, et aux entiers dépens.

Madame [N], représentée par son avocat, à l’audience du 10 février 2025, dépose des écritures, sous le bénéfice de l’exécution provisoire, maintenant ses demandes, ajoutant néanmoins, les intérêts au taux légal majoré de 15 points le mois qui suit la fraude soit le 30 mai 2023. Elle dénonce avoir été la victime de plusieurs opérations frauduleuses sur son compte courant, pour un montant global de 3096 euros.

Elle fait valoir, sur le fondement des articles L.133-4, L.133-6, L.133-16, L.133-17, L.133-18, L.133-19, L.133-23, L.133-44 du code monétaire et financier, que la responsabilité de la banque est engagée, soutenant qu’il appartient à cette dernière de rapporter la preuve de la fraude ou de la négligence grave de la partie demanderesse pour justifier du refus de remboursement des opérations litigieuses. Elle ajoute avoir averti la banque des opérations frauduleuses sur son compte, soit 8 opérations pour un montant de 387 euros chacune, le 30 avril 2023, dans le délai imposé par la loi, soit le 4 mai 2023. Elle précise avoir été contacté par l’hôtel auprès duquel elle a effectué une réservation, par téléphone et par mail. Elle explique avoir reçu un formulaire à remplir avec les éléments bancaires, pour assurer sa réservation et qu’elle a ainsi été victime d’une opération de spoofing. Elle conteste le fait d’avoir donné ses informations bancaires par retour de mail. Elle fait valoir que l’adresse IP utilisée provient des USA et soutient qu’elle n’a jamais donné ses codes client et valider l’opération. Elle remarque que la banque ne fournit pas les SMS envoyés pour authentifier l’opération, en entrant les 6 chiffres reçus, échouant à prouver qu’un process de sécurité avec identification forte a été mis en œuvre lors de la réalisation des opérations frauduleuses. En réponse à la banque, elle ne dispose pas du mail et ne l’a pas retourné. Elle précise avoir été victime non pas de faux conseiller mais d’une pratique de hameçonnage.

La société CCF, représentée par son conseil, sollicite, sur observations orales et, pour le surplus, par référence à ses écritures visées à l’audience :

— Le rejet de l’ensemble des demandes de Madame [N] [Z]  ;

— enjoindre la demanderesse de remettre le courriel d’hameçonnage du 30 avril 2023

— La condamnation de Madame [N] [Z] à lui payer la somme de 2000 euros en application de l’article 700 du code de procédure civile.

Elle fait valoir qu’en application de l’article 9 du code de procédure civile, il appartient à Madame [N] [Z] de démontrer l’utilisation frauduleuse de ses moyens de paiement le 30 avril 2023. La banque indique que la demanderesse a en fait donné les éléments de sa carte bancaire par retour de mail, comme elle le dit dans son courrier, même si elle le conteste au cours de l’audience, et que les opérations contestées ont été authentifiées par une authentification forte qui consiste en la saisie du code de paiement en ligne et du code d’usage unique envoyé par SMS au numéro de portable renseigné

L’affaire est mise en délibéré au 10 avril 2025 par mise à disposition au greffe du tribunal.

MOTIFS DE LA DECISION

Il y a lieu de recevoir l’intervention volontaire de la société CCF venant aux droits de la société HSBC CONTINENTAL EUROPE, conformément aux dispositions de l‘article 325 du code de procédure civile, la société HSBC CONTINENTAL EUROPE n’ayant plus qualité à agir au vu des articles 32 et 122 du code de procédure civile, aucune contestation n’étant relevée sur ce point précis.

Sur les demandes principales

Il est constant que les parties sont liées contractuellement par une convention de compte et que les dispositions des articles L.133-15 et suivantes du code monétaire et financier excipées par Madame [N] [Z] sont relatives à la mise en cause de la responsabilité contractuelle. C’est bien, sur le fondement d’une telle responsabilité contractuelle que répond la banque qui conteste sa mise en cause.

En matière d’instruments de paiement, en application des articles L.133-16 et L.133-17 du code monétaire et financier, l’utilisateur de services de paiement, dès qu’il reçoit un instrument de paiement, doit prendre toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées ; lorsqu’il a connaissance de la perte, du vol, du détournement ou de toute utilisation non autorisée de son instrument de paiement ou des données qui lui sont liées, l’utilisateur de services de paiement en informe sans tarder, aux fins de blocage de l’instrument, son prestataire ou l’entité désignée par celui-ci.

Cependant, conformément aux articles L.133-18, L.133-19 et L.133-20 du code monétaire et financier, la responsabilité du payeur n’est pas engagée si l’opération de paiement non autorisée a été effectuée en détournant, à l’insu du payeur, l’instrument de paiement ou les données qui lui sont liées. Elle n’est pas engagée non plus en cas de contrefaçon de l’instrument de paiement si, au moment de l’opération de paiement non autorisée, le payeur était en possession de son instrument.

Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L.311-16 et L. 133-17.

Sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si l’opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement du payeur n’exige une authentification forte du payeur prévue à l’article L.133-44, laquelle est exigée lorsque le client accède à son compte de paiement en ligne, initie une opération de paiement électronique ou exécute une opération par le biais d’un moyen de communication à distance, susceptible de comporter un risque de fraude en matière de paiement ou de toute autre utilisation frauduleuse.

En cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L. 133-24, le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement et s’il communique ces raisons par écrit à la Banque de France. Le cas échéant, le prestataire de services de paiement du payeur rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu.

Pour examiner cette mise en jeu de la responsabilité de la banque, encore faut-il examiner la question de la charge de la preuve entre l’utilisateur du moyen de paiement, ici Madame [N] [Z] et la banque, prestataire du service de paiement, la société CCF venant aux droits de la société HSBC. En application de l’article 9 du code de procédure civile, il incombe à chaque partie de prouver conformément à la loi les faits nécessaires au succès de sa prétention.

L’article L.133-23 du code monétaire et financier prévoit, à cet égard, que lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre. L’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière. Le prestataire de services de paiement, y compris, le cas échéant, le prestataire de services de paiement fournissant un service d’initiation de paiement, fournit des éléments afin de prouver la fraude ou la négligence grave commise par l’utilisateur de services de paiement.

Il résulte de ces dispositions que si le client n’a pas à prouver la fraude dont il dit avoir été victime, il doit justifier les faits l’amenant à demander le bénéfice de la loi, sous peine d’obtenir indûment le remboursement de sommes dont il aurait lui-même bénéficié (notamment pour des paiements qu’il aurait en réalité autorisés), à charge, pour la banque de rapporter la preuve que l’opération a été authentifiée, dûment enregistrée, comptabilisée sans déficience technique, puis, pour refuser le remboursement, de démontrer la fraude ou la négligence grave de l’utilisateur de la carte.

En l’espèce, Madame [N] [Z] dénonce 8 paiements effectués le 30 avril 2023 pour des montants de 387 euros chacun.

Madame [N] [Z] a bien porté à la connaissance de la banque la contestation de ces transactions, puisqu’elle indique en date du 4 mai 2023 en exposant les faits : « le 30 avril 2023, j’ai été contactée par téléphone et par mail par l’hôtel City Hôtel [Localité 4] que j’ai réservé par Booking pour un séjour du 6 au 8 mai. Ils m’ont envoyé un formulaire de vérification pour confirmer mon séjour à l’hôtel pour entrer mon numéro de carte bancaire, date d’expiration, CVV. Si je ne fournissais pas les numéros de ma carte bancaire, ma réservation serait annulée. A aucun moment je n’ai donné mon code de paiement en ligne qui m’a été envoyée par lettre par HSBC. J’ai appelé l’hôtel à [Localité 4] qui me dit que le paiement se fait normalement sur place et pas en ligne et qu’ils ne reconnaissaient pas la demande que j’ai reçue par email et par téléphone ».

Les opérations litigieuses constituent donc bien des opérations de paiement non autorisées, au vu des démarches effectuées tout de suite après ces opérations et dès le 4 mai 2023.

La société HSBC CONTINENTAL EUROPE se devait de procéder, pour ce type de paiement, à l’authentification forte exigée par les dispositions de l’article L.133-44 du code monétaire et financier. En l’espèce, la banque soutient que les opérations litigieuses ont été autorisées après envoi d’un SMS d’authentification sur le portable de la demanderesse et la saisie du code de paiement en ligne. Force est de relever que, certes les déclarations de la demanderesse sont contradictoires, puisque cette dernière nie, à l’audience, avoir donné le numéro de carte bancaire, avec la date d’expiration et le code CVV, et avoir retourné le mail frauduleux avec l’ensembles des données, alors qu’elle l’exprime dans le déroulé des opérations précisant qu’elle craignait de perdre sa réservation. En revanche, elle conteste avoir donné le code de paiement en ligne, à l’audience et dans le descriptif des opérations frauduleuses et reproche à la banque de ne pas fournir les SMS pour authentifier les 8 paiements litigieux.

Toutefois, la demanderesse ne fournit pas le mail de hameçonnage qu’elle dit avoir égaré.

Il résulte en l’espèce des éléments du dossier que les achats litigieux dénoncés par Madame [N] ont été réglés par utilisation de la carte bancaire de l’intéressée. Les opérations de paiement ont été certifiées à l’aide du procédé 3D Secure, soit par l’indication d’un code de confirmation, dont l’utilisateur avait été informé par envoi d’un SMS sur le téléphone dont le numéro était associé au nom de Madame [N] et à son compte bancaire, tel que le justifie la banque dans ses pièces. En l’espèce, la banque HSBC produit aux débats une pièce 5 portant analyse de la procédure d’authentification forte mise en œuvre le 30 avril 2023 relativement aux paiements querellés. La demanderesse étant restée en possession de sa carte bancaire, les opérations litigieuses n’ont pu être effectuées que par une personne en possession du numéro de la carte et des indications y figurant, cette personne ayant en outre accès au téléphone associé à cette carte.

Elle reconnaît, en outre, avoir été victime d’un hameçonnage de ses données personnelles ayant conduit à la réalisation des paiements litigieux.

Il est parfaitement acquis que c’est au prestataire de services de paiement qu’il incombe, par application des articles L. 133-19, IV, et L. 133-23 du Code monétaire et financier, de rapporter la preuve que l’utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence grave à ses obligations légales.

Or, pour une jurisprudence bien établie, cette preuve ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés.

Il ne sera fait pas obligation à la demanderesse de fournir le mail litigieux reçu, comme sollicité par la banque, cette dernière indiquant l’avoir perdu, mais d’en tirer les conséquences. En effet, il n’est pas possible de vérifier que les éléments de ce message ne sont pas de nature à éveiller le doute quant à son authenticité et qu’il ne recèle pas de faute d’orthographe ni d’incohérence ou encore d’anomalie grossière, et provient d’un expéditeur identifié tel que l’hôtel qu’évoque la demanderesse. Suivant jurisprudence de la Cour de cassation, la négligence grave doit s’apprécier in abstracto, par référence au comportement qu’aurait eu un utilisateur normalement attentif peu important qu’il soit, ou non, avisé des risques d’ hameçonnage..La banque, qui démontre l’absence de défaillance technique, n’a pas la possibilité d’évaluer la gravité de la négligence en l’absence de production du mail reçu.

De ce fait, et en raison de la carence probatoire de la demanderesse, elle sera déboutée de ses demandes.

II Sur les demandes accessoires

Madame [N], qui succombe, sera condamné aux entiers dépens.

Il n’y a pas lieu à indemnisation au titre de l’article 700 du code de procédure civile

L’exécution provisoire est donc de droit.

PAR CES MOTIFS,

Le juge du tribunal judiciaire, statuant publiquement par jugement contradictoire et en premier ressort, mis à disposition publiquement au greffe,

DEBOUTE Madame [Z] [N] de ses demandes ;

CONDAMNE Madame [Z] [N] aux dépens

DEBOUTE la société CCF de sa demande au titre de l’article 700 du code de procédure civile ;

RAPPELLE que l’exécution provisoire de la présente décision est de droit.

Ainsi jugé et prononcé par mise à disposition les jour, mois et an susdits par le président et le greffier susnommés.

Le greffier Le président