TRIBUNAL

JUDICIAIRE

DE [Localité 5] [1]

[1]

Expéditions

délivrées le:

à

M^e HUPIN

Me [Localité 6]

■

9ème chambre 2ème section

N° RG 23/11667 – N° Portalis 352J-W-B7H-C2VXH

N° MINUTE :

Assignation du :

11 Septembre 2023

JUGEMENT

rendu le 11 Avril 2025

DEMANDEURS

Monsieur [D] [I]

[Adresse 1]

[Localité 4]

représenté par Maître Maude HUPIN, avocat au barreau de PARIS, vestiaire #G0625

Madame [T] [M] épouse [I]

[Adresse 1]

[Localité 4]

représentée par Maître Maude HUPIN, avocat au barreau de PARIS, vestiaire #G0625

DÉFENDERESSE

S.A. BNP PARIBAS

[Adresse 2]

[Localité 3]

représentée par Maître Dominique PENIN du PARTNERSHIPS MORGAN LEWIS & BOCKIUS UK LLP, avocats au barreau de PARIS, vestiaire #J011

COMPOSITION DU TRIBUNAL

Gilles MALFRE, 1er Vice-Président adjoint

Augustin BOUJEKA, Vice-Président

Alexandre PARASTATIDIS, Juge

assistés de Diane FARIN, Greffière.

Décision du 11 Avril 2025

9ème chambre 2ème section

N° RG 23/11667 – N° Portalis 352J-W-B7H-C2VXH

DÉBATS

A l’audience du 14 Février 2025 tenue en audience publique devant, Augustin BOUJEKA, juge rapporteur, qui, sans opposition des avocats, a tenu seul l’audience, et, après avoir entendu les conseils des parties, en a rendu compte au Tribunal, conformément aux dispositions de l’article 805 du Code de Procédure Civile.

JUGEMENT

Rendu publiquement par mise à disposition au greffe

Contradictoire

En premier ressort

FAITS ET PROCÉDURE

Monsieur [D] [I] et Madame [T] [M], son épouse, disposent d’un compte joint ouvert dans les livres de la société anonyme BNP Paribas (ci-après la BNP).

Monsieur [I] est en outre titulaire d’un compte personnel ouvert dans les livres du même établissement, à partir duquel a été émise une carte de paiement à laquelle est attaché un système d’authentification forte.

Après avoir reçu le 15 avril 2023 un SMS prétendument adressé par l’Agence Nationale de Traitement Automatisé des Infractions, afin de payer une amende routière, Monsieur [I] a cliqué sur le lien pour procéder à ce règlement.

Pour autant, aucun débit n’est intervenu sur le compte de Monsieur [I].

Le 24 avril 2023, une personne se faisant passer pour un préposé de la BNP, a appelé Monsieur [I] pour le prévenir de l’existence d’une opération irrégulière d’un montant de 10.000 euros sur son compte, indiquant à celui-ci la possibilité d’annuler cette opération avec le concours de son interlocuteur.

Mis en confiance et croyant être en contact avec un préposé de la BNP, Monsieur [I] a transmis à son interlocuteur un code numérique reçu par SMS après indication du prétendu préposé de la BNP.

Peu de temps après, un achat d’un montant de 9.654 euros a pu être effectué par internet sur le compte de Monsieur [I], sur initiative du prétendu préposé de la BNP qui par la suite, a adressé un message SMS à Monsieur [I] lui indiquant que son compte était bloqué jusqu’au lendemain 18h45.

Après avoir constaté qu’il avait été victime successivement d’un hameçonnage des données de sa carte bancaire et d’une usurpation de la ligne téléphonique de la BNP l’ayant conduit à subir un paiement frauduleux correspondant à ce montant, Monsieur [I] a déposé plainte pour escroquerie le 24 avril 2023, contesté le paiement frauduleux les 2, 10 et 15 mai suivants, recevant des réponses négatives de la BNP formulées respectivement les 3 et 19 mai, l’établissement bancaire considérant que Monsieur [I] avait commis une négligence grave en transmettant ses données bancaires à un tiers fraudeur, ce fait faisant obstacle au remboursement du paiement frauduleux.

C’est dans ce contexte que par acte du 11 septembre 2023, Monsieur et Madame [I] ont fait assigner la BNP en recherche de la responsabilité de cet établissement et par dernières écritures signifiées le 16 octobre 2024, demandent à ce tribunal, au visa des articles L133-6 et suivants du code monétaire et financier, 1240 et suivants du code civil, de :

« – DECLARER Monsieur et Madame [I] bien fondés en leurs demandes, fins et conclusions,

— DEBOUTER BNP PARIBAS de l’ensemble de ses demandes, fins et prétentions,

— CONDAMNER BNP PARIBAS à payer à Monsieur et Madame [I] la somme de 9.654 euros en remboursement des sommes détournées, outre les intérêts majorés de quinze points à compter de la contestation formée,

— ORDONNER la capitalisation des intérêts,

— CONDAMNER BNP PARIBAS à payer à Monsieur et Madame [I] la somme de 2000 euros au titre du préjudice moral,

— CONDAMNER BNP PARIBAS au paiement de la somme de 3.000 € au titre de l’article 700 du Code de procédure civile, qui seront recouvrés par M^e Maude HUPIN

— CONDAMNER BNP PARIBAS aux entiers dépens,

— ORDONNER l’exécution provisoire. »

Par dernières écritures signifiées le 12 juin 2024, la BNP demande à ce tribunal de :

« Débouter Monsieur et Madame [I] de l’intégralité de leurs demandes à toutes fins qu’elles comportent.

Les condamner à verser à BNP Paribas la somme de 3.000 € au titre de l’article 700 du Code de procédure civile ainsi qu’aux entiers dépens. »

La clôture a été prononcée le 20 décembre 2024, l’affaire étant appelée à l’audience du 14 février 2025 et mise en délibéré au 11 avril 2025.

Il est fait expressément référence aux pièces du dossier et aux écritures déposées et visées ci-dessus pour un plus ample exposé des faits de la cause et des prétentions des parties conformément aux dispositions de l’article 455 du code de procédure civile.

MOTIFS DE LA DÉCISION

1. Sur les demandes principales

Monsieur et Madame [I] se prévalent notamment des dispositions des articles L.133-18, L.133-19, L.133-23, L.133-24 et L.133-44 du code monétaire et financier pour rechercher la responsabilité de la BNP du fait des paiements non autorisés effectués sur leur compte et résultant des manœuvres d’un fraudeur. Ils indiquent avoir respecté les procédures prévues par la loi en signalant immédiatement les opérations frauduleuses effectuées sur leur compte, au moyen d’un spoofing bien organisé. Ils invoquent à leur profit l’arrêt rendu par la cour d’appel de [Localité 7] le 28 mars 2023, dont la solution a été entérinée par la Chambre commerciale de la Cour de cassation le 23 octobre 2024, dans une hypothèse similaire de spoofing où un fraudeur a usurpé l’identité de la banque en procédant à un appel émanant d’un prétendu préposé de celle-ci. Il conteste toute négligence grave de leur part, affirmant que la BNP ne démontre pas cette cause d’exonération de responsabilité qu’elle leur prête, ajoutant que l’établissement bancaire disposait des informations nécessaires devant lui permettre de détecter la fraude. Ils indiquent n’avoir communiqué la moindre information au fraudeur dans le but de faciliter la fraude, contrairement aux dires de la BNP. Ils indiquent avoir été traumatisés et trompés et avoir transmis uniquement un identifiant client qui ne permet pas une authentification forte. Ils soulignent n’avoir transmis aucune information personnelle, identifiant ou mot de passe personnel permettant l’accès à leur compte. Ils disent avoir subi des préjudices distincts du fait de la privation de leur fond. Ils réitèrent leur propos selon lequel ils ont été mis en confiance par des manœuvres particulièrement élaborées et sophistiquées, estimant que la BNP invoque leur négligence grave sans en faire la démonstration, se contentant d’une présentation générale ou d’une interprétation maladroite de la plainte pénale qu’ils ont déposée. Au sujet du SMS reçu du fraudeur, ils affirment que, dans la panique, aucune victime ne vérifie l’orthographe d’un SMS. Ils contestent la pertinence des tableaux de connexion produits par la BNP, confectionnés selon eux par l’intéressée et qui ne démontrent rien. Ils sollicitent, outre la réparation du préjudice financier de 9.654 euros, l’allocation de la somme de 2.000 euros au titre du préjudice moral.

En réplique, la BNP fait valoir que Monsieur [I] a manqué de discernement en ne réagissant pas aux propos d’un inconnu évoquant une opposition sur carte de paiement et l’annulation d’opérations supposément frauduleuses et en concourant à la fraude dont il se dit victime, commettant par là une négligence grave, certes à la suite d’un hameçonnage par envoi d’un faux SMS mais en transmettant à l’escroc un mot de passe à usage temporaire communiqué par SMS par la concluante, l’escroc s’en étant servi pour se connecter à l’espace en ligne de Monsieur [I]. Elle se prévaut de la plainte déposée par Monsieur [I] pour soutenir que celui-ci reconnaît avoir communiqué à l’escroc le numéro parvenu sur son téléphone par SMS pour établir la connexion sur l’espace en ligne, mais encore la lettre de l’intéressé du 10 mai 2024 par laquelle celui-ci reconnaît avoir communiqué sa clé digitale à l’escroc, ce qui a permis à celui-ci de substituer ses coordonnées téléphoniques à celles de Monsieur [I] pour procéder au paiement frauduleux contesté. Elle reconnaît certes que Monsieur [I] a été victime d’une usurpation d’identité (spoofing) de la concluante en ce qu’un tiers a détourné le numéro de téléphone de la banque, mais affirme néanmoins que Monsieur [I] ne s’est pas conformé aux dispositions des articles L.133-23 et L.133-16 du code monétaire et financier en communiquant des données liées à ses moyens de paiement à un tiers, commettant par là une négligence grave faisant obstacle à sa demande de réparation. Dans cette perspective, elle précise que grâce aux données communiquées par Monsieur [I], l’escroc a pu effectuer les paiements frauduleux en usant de la clé digitale du client pour procéder à l’authentification forte de ces opérations. Elle souligne que grâce à la communication de sa clé digitale par Monsieur [I] à l’escroc, celui-ci a pu, le 24 avril 2023 à 18h30, modifier le numéro de téléphone attaché au compte bancaire pour valider les paiements contestés, celui de Monsieur [I] pour lui substituer le sien propre. Elle note plus particulièrement que cette modification a provoqué l’envoi à Monsieur [I] d’un SMS, sur la ligne téléphonique de celui-ci, pour signaler le changement, sans réaction de Monsieur [I] pourtant invité par le message à prendre attache avec la banque s’il n’était pas à l’origine de ce changement. Elle considère que c’est le défaut d’attention et de réaction de Monsieur [I] qui a permis l’enrôlement de la clé digitale sur le téléphone de l’escroc pour permettre à celui-ci de valider par authentification forte des opérations litigieuses. Elle estime que son système informatique et de sécurité digitale n’a pas concouru à la fraude déployée alors que la partie adverse s’est montrée gravement négligente, ce qui doit conduire au rejet de sa demande.

A propos de l’obligation générale de vigilance dont le manquement est retenu par le demandeur, la BNP indique avoir agi en simple teneur de compte, en exécutant les paiements initiés à partir de la carte bancaire de Monsieur et Madame [I] et authentifiés à l’aide de la clé digitale. Elle souligne être tenue en vertu du devoir de non-ingérence que tempère l’obligation générale de vigilance, de ne pas effectuer un contrôle scrupuleux de chaque paiement initié par ses clients, pas davantage de contrôle de l’opportunité des opérations sous-jacentes, sauf anomalie apparente non-démontrée par le demandeur en l’espèce.

Au sujet de la demande subsidiaire des époux [I] fondée sur le dispositif de l’article 1240 du code civil, la BNP rappelle la jurisprudence établie, tant de la Cour de justice de l’Union européenne que de la Cour de cassation française, selon laquelle le régime de responsabilité du fait de paiements non-autorisés, prévu en droit de l’Union, décliné en droit français aux articles L.133-18 à L.133-24 du code monétaire et financier, exclut tout régime de réparation alternatif ou cumulatif prévu en droit interne. Il en résulte, selon la BNP, que la demande adverse qui se fonde sur les dispositions de l’article 1240 du code civil ne peut prospérer.

Sur ce,

En application des dispositions des articles L.133-18, L.133-19 IV et L.133-16 du code monétaire et financier, en cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L. 133-24, le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement et s’il communique ces raisons par écrit à la Banque de France.

Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17.

Dès qu’il reçoit un instrument de paiement, l’utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées.

Au cas particulier, Monsieur et Madame [I] produisent aux débats un message SMS reçu le 24 avril 2023 à 18h25 émanant de la BNP et reçu par Monsieur [I], indiquant notamment : « Vous allez recevoir un code SMS pour afficher le numéro client. NE COMMUNIQUEZ JAMAIS CE NUMERO NI CE CODE. En cas de doute, contactez un conseiller. Pour afficher votre numéro client, saisissez le code 110100 si vous êtes bien à l’origine de la demande. NE COMMUNIQUEZ PAS CE NUMERO A UN TIERS. »

En outre, ils produisent également le procès-verbal de la plainte déposée le même 24 avril 2023 à 21h05 qui précise : « Il m’a demandé mon numéro client, ce que je n’avais pas. Il m’a alors dit que j’allais recevoir un message contenant mon numéro client, ce qui s’est produit.

Je lui ai donc communiqué mon numéro client. »

De plus, Monsieur et Madame [I] produisent encore la lettre de réclamation envoyée le 10 mai 2023 par Monsieur [I] à la BNP, laquelle précise : « Le 24 avril 2023, j’ai été contacté par téléphone par un individu se faisant passer pour un représentant de votre banque. Ce dernier prétendait qu’une somme de 10.000 € allait être débitée de mon compte et s’est proposé de m’assister pour annuler cette opération non autorisée. Afin de renforcer sa crédibilité, l’interlocuteur m’a demandé ma clef digitale, que je ne possédais pas à ce moment-là.

Il m’a alors assuré qu’il allait m’envoyer ce numéro par SMS, ce que j’ai effectivement reçu sur mon téléphone avec le nom de votre banque, à la suite des autres messages BNP. Croyant être en contact avec un agent légitime de la banque, j’ai transmis ce numéro, ignorant les conséquences néfastes qui en découleraient.

Quelques instants plus tard, j’ai reçu un message de la BNP m’indiquant que mon compte avait été associé à un nouveau numéro de téléphone et que je n’avais plus accès à mes comptes en ligne. »

Par ailleurs, il est acquis aux débats que le 24 avril 2023, un paiement en ligne, au moyen d’une carte de paiement émise par la BNP au profit de Monsieur [I], a été effectué sur le compte bancaire du demandeur, postérieurement à la transmission au prétendu préposé de la BNP des données figurant dans le message SMS mentionné plus avant, pour un montant de 9.654 euros débité le 26 avril 2023.

Dans la mesure où Monsieur [I] reconnaît avoir transmis, préalablement à cette opération, le code correspondant à sa clé digitale à un tiers se faisant passer pour un préposé de la BNP et que de cette manière, ce tiers a pu effectuer l’opération de paiement contestée après coup, il sera retenu que cette opération a été effectuée au moyen des données liées à son espace bancaire en ligne dont Monsieur [I] s’est volontairement dessaisi.

Or en application des dispositions de l’article L.133-16 du code monétaire et financier, dès qu’il reçoit des données liées à un instrument de paiement, l’utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées.

Le manquement à cette obligation fait obstacle au droit au remboursement des paiements non autorisés par utilisation frauduleuse de l’instrument, en application des dispositions de l’article L.133-19 IV du code monétaire et financier susvisé.

A cet égard, il est constant que Monsieur [I] a reçu de la BNP un code correspondant à sa clé digitale qu’il a transmis à un tiers alors que ce message lui faisait défense d’une telle communication.

Il sera en outre relevé que Monsieur [I], dans sa lettre de contestation de l’opération en date du 10 mai 2023, précise que le code correspondant à sa clé digitale lui a été transmis à l’initiative de son interlocuteur se faisant passer pour un préposé de la BNP et, après réception de ce code, cet interlocuteur lui a demandé la communication de ce code, demande satisfaite par Monsieur [I].

Il sera relevé que Monsieur [I] ne s’est guère interrogé sur la démarche du supposé préposé de la BNP, consistant à lui adresser un code correspondant à une clé digitale, pour inviter le demandeur à le lui communiquer sitôt reçu.

Le comportement de Monsieur [I] se caractérise en l’espèce par une extrême légèreté révélatrice d’une négligence grave dans la mesure où une banque ne peut, sans susciter l’interrogation de son client, demander à celui-ci de lui communiquer des données qu’elle possède déjà après les lui avoir adressées par message SMS.

Certes, Monsieur et Madame [I] se prévalent de la solution de l’arrêt rendu par la Chambre commerciale de la Cour de cassation le 23 octobre 2024 (n°23-16.267) en matière de « spoofing » ayant donné lieu à des paiements frauduleux.

Cependant, les faits du litige réglé par la Cour de cassation avaient notamment trait à l’usurpation du numéro de téléphone d’un conseiller bancaire interlocuteur du client victime, lequel ne s’était volontairement dessaisi d’aucune donnée liée à un instrument de paiement ou à l’espace en ligne de ce client au bénéfice du tiers auteur de la fraude.

Or en l’espèce, Monsieur [I] s’est dessaisi volontairement du code correspondant à la clé digitale de son compte, ce qui a permis à ce tiers d’enrôler cette clé sur un appareil lui appartenant.

Ce faisant, Monsieur [I] a passé outre l’avertissement contenu dans le SMS du 24 avril 2023 contenant ce code et interdisant formellement au destinataire du message d’en faire communication à un tiers.

Par suite, il sera retenu que Monsieur [I], en ce qu’il a commis une négligence grave au sens de l’article L.133-19 IV du code monétaire et financier, ne peut prospérer, ainsi que son épouse, dans la demande de remboursement des sommes dont ils sollicitent le remboursement.

A propos des demandes fondées sur la responsabilité contractuelle de la BNP à raison du manquement au devoir général de vigilance et sur la responsabilité extracontractuelle prévue à l’article 1240 du code civil, il sera rappelé le principe selon lequel la responsabilité prévue aux articles L.133-18 à L.133-24 du code monétaire et financier, issue du droit de l’Union, est exclusive de tout autre régime de responsabilité, notamment ceux prévus en droit national.

Par suite, les demandes afférentes de Monsieur et Madame [I] ne peuvent prospérer sur ces chefs et seront en conséquence rejetées.

2. Sur les demandes annexes

Succombant, Monsieur [D] [I] et Madame [T] [M], épouse [I], seront condamnés aux dépens.

Conformément à l’équité, il ne sera pas fait application des dispositions de l’article 700 du code de procédure civile.

Compte tenu de la teneur de la décision, il y a lieu d’écarter l’exécution provisoire.

PAR CES MOTIFS

Le tribunal, statuant publiquement par jugement contradictoire, en premier ressort et par mise à disposition au greffe,

DÉBOUTE Monsieur [D] [I] et Madame [T] [M], épouse [I], de l’ensemble de leurs demandes ;

CONDAMNE Monsieur [D] [I] et Madame [T] [M], épouse [I], aux dépens ;

DÉCLARE n’y avoir lieu à application de l’article 700 du code de procédure civile ;

ECARTE l’exécution provisoire.

Fait et jugé à [Localité 5] le 11 Avril 2025

LA GREFFIÈRE LE PRÉSIDENT