TRIBUNAL

JUDICIAIRE

DE [Localité 5] [1]

[1] Copie conforme délivrée

le : 17/04/2025

à : M^e Pierre NICOLET

Copie exécutoire délivrée

le : 17/04/2025

à : M^e Katia DEBAY

Pôle civil de proximité

■

PCP JTJ proxi fond

N° RG 24/03327 – N° Portalis 352J-W-B7I-C5DS3

N° MINUTE :

2/2025

JUGEMENT

rendu le jeudi 17 avril 2025

DEMANDEUR

Monsieur [L] [E] [H], demeurant [Adresse 3]

comparant en personne assisté de M^e Katia DEBAY, avocat au barreau de VERSAILLES,

La Société BNP PARIBAS, dont le siège social est sis [Adresse 2]

représentée par M^e Pierre NICOLET, avocat au barreau de PARIS, vestiaire : #J0008

COMPOSITION DU TRIBUNAL

Françoise THUBERT, Vice-présidente, statuant en juge unique

assistée de Florian PARISI, Greffier,

DATE DES DÉBATS

Audience publique du 13 février 2025

JUGEMENT

contradictoire, en premier ressort, prononcé par mise à disposition le 17 avril 2025 par Françoise THUBERT, Vice-présidente assistée de Florian PARISI, Greffier

Décision du 17 avril 2025

PCP JTJ proxi fond – N° RG 24/03327 – N° Portalis 352J-W-B7I-C5DS3

M. [J] [L] est titulaire d’un compte auprès de la SA BNP PARIBAS n° [Numéro identifiant 1], avec carte bancaire associée .

M. [J] [L] a sollicité le 21/09/2022 remboursement auprès de la SA BNP PARIBAS de la somme de 4203.99 euros, pour 7 opérations sur son compte effectuées avec sa carte bancaire , sans son autorisation.

Il a déposé plainte le 23/09/2022 auprès du commissariat de police d’ [Localité 4] .

Le 05/10/2022 , la SA BNP PARIBAS a refusé de rembourser les opérations contestées pour un total de 4203.99 euros en invoquant une utilisation de la carte bancaire, avec saisie du code confidentiel de M. [J] [L] .

M. [J] [L] a saisi le directeur général de la SA BNP PARIBAS de sa réclamation le 07/01/2023. Il n’a pas obtenu de remboursement via l’assurance de sa carte bancaire.

Le médiateur de la banque a proposé un remboursement de 800 euros le 20/12/2023 que M. [J] [L] a refusé en exposant ses motifs le 01/02/2024.

Le 01/02/2024 , la SA BNP PARIBAS a confirmé s’opposer au remboursement de tous les paiements et retraits contestés pour un total de 8722.99 euros entre le 11 et le 13/09/2022.

Par acte de commissaire de justice du 17/04/2024 , M. [J] [L] a assigné la SA BNP PARIBAS devant le TJ sur le fondement des articles L13318, L133-19 et L133-23 du code monétaire et financier, aux fins de :

— Voir condamner la SA BNP PARIBAS à payer à M. [J] [L] la somme de 8722.97 euros avec intérêts légaux à compter de l’assignation

— Voir condamner la SA BNP PARIBAS à payer à M. [J] [L] la somme de 1000 euros au titre de son préjudice moral

— Voir la SA BNP PARIBAS à payer à M. [J] [L] la somme de 2500 euros en application de l’article 700 du code de procédure civile , ainsi qu’aux dépens.

— Voir dire n’y avoir lieu d’écarter l’exécution provisoire

L’affaire a été retenue le 13/02/2025 après renvois .

M. [J] [L] soutient oralement ses conclusions récapitulatives auxquelles il convient de se référer en application de l’article 455 du CPC et sollicite sur le fondement des articles L133-6 et suivants du code monétaire et financier , du code civil de :

— Voir condamner la SA BNP PARIBAS à payer à M. [J] [L] la somme de 8722.97 euros avec intérêts légaux à compter de l’assignation

— Voir condamner la SA BNP PARIBAS à payer à M. [J] [L] la somme de 1000 euros au titre de son préjudice moral

— Voir la SA BNP PARIBAS à payer à M. [J] [L] la somme de 2500 euros en application de l’article 700 du code de procédure civile , ainsi qu’aux dépens.

— Voir dire n’y avoir lieu d’écarter l’exécution provisoire

La SA BNP PARIBAS soutient oralement ses conclusions récapitulatives auxquelles il convient de se référer en application de l’article 455 du CPC et sollicite sur le fondement des articles L133-4, L133-16 et L133-44 du code monétaire et financier , 1231-1 et suivants du code civil de :

— Voir juger M. [J] [L] forclos en son action à l’encontre de la SA BNP PARIBAS

— Voir débouter M. [J] [L] de l’ensemble de ses demandes , à toutes fins qu’elles comportent

— Voir écarter l’exécution provisoire de droit

— Voir condamner M. [J] [L] à lui payer la somme de 1500 euros en application de l’article 700 du code de procédure civile , ainsi qu’ aux dépens

DISCUSSION :

Sur la recevabilité de la demande de M. [J] [L] :

En application de l’article L133-24 du CMF :

L’utilisateur de services de paiement signale, sans tarder, à son prestataire de services de paiement une opération de paiement non autorisée ou mal exécutée et au plus tard dans les treize mois suivant la date de débit sous peine de forclusion à moins que le prestataire de services de paiement ne lui ait pas fourni ou n’ait pas mis à sa disposition les informations relatives à cette opération de paiement conformément au chapitre IV du titre 1er du livre III.

Sauf dans les cas où l’utilisateur est une personne physique agissant pour des besoins non professionnels, les parties peuvent convenir d’un délai distinct de celui prévu au présent article.

Les dispositions du présent article s’appliquent, indifféremment de l’intervention d’un prestataire de services de paiement fournissant un service d’initiation de paiement dans l’opération de paiement.

La SA BNP PARIBAS fait valoir que M. [J] [L] est forclos à agir dans la mesure où il n’a introduit son action que le 17/04/2024 , alors qu’il n’a pas respecté ce délai de 13 mois .Elle expose que la CJUE a par décision du 02/09/2021 a considéré que le législateur de l’Union a fait le choix univoque de ne pas permettre à cet utilisateur d’intenter une action en responsabilité dudit prestataire en vas d’opération non autorisée, à l’expiration de ce délai.

M. [J] [L] soutient que cette décision précise le régime de responsabilité , sans que l’article L133-24 du code de la consommation n’impose de forclusion de l’action intentée plus de 13 mois après les opérations contestées, en rappelant que la banque a été informée de la contestation le 05/10/2022 , que le médiateur a été saisi , la proposition étant refusée le 16/01/2024.

Il a été jugé sur le fondement de l’article 58 et 60 de la Directive 2007/64 , dans l’arrêt CJUE du C337/20 du 02/09/2021que ces article doivent être interprétés en ce sens « qu’ils s’opposent à ce qu’un utilisateur de service de paiement puisse engager la responsabilité du prestaire de ces servies sur le fondement d’un régime autre que celui prévu par ces dispositions lorsque cet utilisateur a manqué à son obligation de notification prévu audit article 58 » .

Le délai maximal au cours duquel la notification doit être effectuée est de 13 mois selon l’article L133-24 du CMF , si bien que si ce délai est dépassé , le client qui conteste une opération non autorisée ne peut pas engager la responsabilité du prestataire , y compris sur le fondement du droit commun .

Cet arrêt a été rendu sur le point de savoir si un autre fondement que les dispositions spéciales du CMF pouvait servir à l’action en responsabilité, quand notamment ce délai de 13 mois n’avait pas été respecté. Il y a été répondu par la négative. Mais , il n’ a pas eu pour objet de dire que l’action en justice de la personne qui a effectué une telle notification dans le délai prévu de 13 mois, serait forclose en son action si l’action elle-même n’avait pas été engagée dans ce délai.

Ainsi de même la forclusion de l’action en paiement a été relevée pour une absence de contestation dans les 13 mois d’opérations qualifiées d’opération de paiement faites entre 2007 et 2011 (Com 02/05/2024 , n° 22-18.074) .

Il convient de constater que M. [J] [L] a contesté les opérations effectuées le 11, 12 et 13/09/2022, par un courrier que la banque a indiqué daté du 21/09/2022 et dont elle a en tout état de cause accusé réception le 05/10/2022. Il a donc effectué la notification exigée dans le délai de 13 mois , si bien que son action est recevable .

Sur la demande de remboursement de M. [J] [L] :

L’article L133-16 du code monétaire et financier dispose que l’utilisateur de service de paiement prend toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées .Il utilise l’instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation qui doivent être objectives , non discriminatoires et proportionnées.

En vertu de l’article L133-17 du même code , en cas de perte , vol , détournement ou de toute utilisation non autorisée de son instrument de paiement ou des données qui lui sont liées , l’utilisateur de services de paiement en informe sans tarder, aux fins de blocage de l’instrument, son prestataire ou l’entité désignée par celui-ci.

En application de l’article L133-18 et L133-24 du code monétaire et financier, s’il est signalé une opération de paiement non autorisée par un client dans les 13 mois de son débit, celui-ci doit lui être immédiatement remboursé et le compte doit être re-crédité.

Selon l’alinéa1er de l’ article L133-23 du code monétaire et financier, lorsqu’ un client nie avoir er autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération n’a pas été exécutée correctement, il appartient à la Banque de prouver que cette opération a été authentifiée, dûment enregistrée et comptabilisée, et qu’elle n’a pas été affectée par une déficience technique ou autre.

L’alinéa 2 dispose : L’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière. Le prestataire de services de paiement, y compris, le cas échéant, le prestataire de services de paiement fournissant un service d’initiation de paiement, fournit des éléments afin de prouver la fraude ou la négligence grave commise par l’utilisateur de services de paiement.

En effet l’article L133-6 du code monétaire et financier dispose que l’opération de paiement doit être autorisée, et qu’elle l’est, lorsque le payeur a donné son consentement à son exécution.

Ce respect de la forme dudit consentement est condition de validité de l’opération.

M. [J] [L] soutient qu’elle a été victime d’une fraude, par une personne se présentant comme personnel de la SA BNP PARIBAS, laquelle a fait état d’une fraude sur son compte en train de se commettre par des paiements sur une plateforme en Afrique et qui lui a demandé le même jour de remettre sa carte bancaire à un coursier, ce qu’il a fait .

N’ayant pas appelé sa banque le week-end , il précise qu’il a pensé que cette personne ferait opposition , qu’il a cependant fait opposition lui-même le 13/09/2022, pour les opérations contestées du 11 au 13/09/2022.

Il soutient qu’ à son insu son instrument de paiement et les données liées ont été utilisés , que sa responsabilité n’est pas engagée , car il n’a pas communiqué ses codes de carte et qu’il ignore comment les fraudeurs ont pu se les procurer.

Il ajoute que son plafond de carte était de 8000 euros et que les opérations contestées sont au-delà de ce plafond , relevé sans son consentement, qu’il n’a reçu aucune alerte de sa banque cependant.

La SA BNP PARIBAS retient une négligence grave en raison de communication d’informations qui ont permis les opérations contestées . Elle indique que le n° de téléphone utilisé par la personne se présentant comme son employé était un n° en 07…. et non un numéro de la banque , que cet appel le WE devait susciter la prudence .

Sur l’authentification des opérations, elle relève que les relevés télématiques démontrent des achats sur place et non sur Internet , et qu’ils nécessitait d’être en possession des codes de carte bancaire. Notamment elle souligne que le 13/09 la modification de plafond a pu être effectué seulement avec l’identifiant et le mot de passe exigés pour cette opération sur l’espace bancaire du client , mais que la modalité d’authentification forte n’est pas nécessaire à ce stade, puisqu’il ne s’agit pas d’opération de paiement, qu’aucune déficience technique n’a été en cause.

Elle ajoute informer ses clients de toutes les mesures de sécurité à prendre , notamment depuis la loi du 24/07/2020 votée pour lutter contre le spoofing, face à des tentatives d’hameçonnage et que M. [J] [L] devait s’interroger sur la nature de l’appel un week- end, qu’en cas de doute il devait contacter le 3477 sans délai.

Enfin elle souligne que les codes de la carte bancaire ont été nécessaires pour les opérations contestées et que M. [J] [L] a manqué à ses obligations contractuelles , ce qui constitue une négligence grave.

Il appartient au prestataire en vertu des articles L133-19 et L133-23 du code monétaire et financier de rapporter la preuve que l’utilisateur a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence grave à ses obligations quand par ailleurs cette opération a été authentifiée, dûment enregistrée et comptabilisée, et qu’elle n’a pas été affectée par une déficience technique ou autre, conditions cumulatives .

L’utilisateur a pour obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs personnalisés et informer en conséquence sans délai de toute utilisation frauduleuse ou de ses données .

M. [J] [L] a reçu un appel du numéro 0756897160, qui n’est pas un numéro de la banque prestataire de paiement , le 10/09/2022 vers 14h.

Il a remis sa carte bancaire à un coursier selon les informations données , mais sans remise de code de sa carte bancaire selon ses explications. Il n’est pas contesté la remise de la carte bancaire , bien que le n° de téléphone à l’origine des opérations contestées ne soit pas celui de la banque ou d’un service de la banque.

Il sera relevé que les rapports annuels de l’Observatoire de la sécurité des moyens de paiement exposent que les travaux avec les opérateurs de téléphonie portent notamment sur la mise en place de mesures de prévention pour certifier le numéro présenté lors de la réception d’un appel téléphonique , dont le programme MAN ( Mécanisme d’Authentification des Numéros).

Mais quant au relèvement du plafond de paiement qui a permis le cumul des opérations contestées , il sera noté que sur le relevé des connexions télématiques, il est procédé le 11/09/2022 à 14h41 à une demande de modification de mot de passe, juste avant le retrait de 2000 euros effectué avec saisie de code à 16h11. Ces modifications font juste suite à la remise des cartes le 10/09/2022 vers 15h selon la plainte de M. [J] [L].

La SA BNP PARIBAS soutient que le relèvement de plafonds se fait sur l’espace personnel de M. [J] [L] , mais sans authentification forte.

L’article L133-44 du CMF dispose au 11/09/2022 :

I. – Le prestataire de services de paiement applique l’authentification forte du client définie au f de l’article L. 133-4 lorsque le payeur :

1° Accède à son compte de paiement en ligne ;

2° Initie une opération de paiement électronique ;

3° Exécute une opération par le biais d’un moyen de communication à distance, susceptible de comporter un risque de fraude en matière de paiement ou de toute autre utilisation frauduleuse.

II. – Pour les opérations de paiement électronique à distance, l’authentification forte du client définie au f de l’article L. 133-4 comporte des éléments qui établissent un lien dynamique entre l’opération, le montant et le bénéficiaire donnés.

III. – En ce qui concerne l’obligation du I, les prestataires de services de paiement mettent en place des mesures de sécurité adéquates afin de protéger la confidentialité et l’intégrité des données de sécurité personnalisées des utilisateurs de services de paiement.

IV. – Le prestataire de services de paiement gestionnaire du compte autorise le prestataire de services de paiement fournissant un service d’initiation de paiement et le prestataire de services de paiement fournissant le service d’information sur les comptes à se fonder sur ses procédures d’authentification lorsqu’ils agissent pour l’un de leurs utilisateurs conformément aux I et III et, lorsque le prestataire de services de paiement fournissant le service d’initiation de paiement intervient, conformément aux I, II et III.

Les modes d’authentification forte sont définis à l’article L133-4 du même code et constitue une validation qui repose sur deux éléments ou plus d’authentification., qui appartiennent à deux catégories différentes de facteurs d’authentification dans trois catégories :

— Connaissance : quelque chose que seul l’utilisateur connait, tel que mot de passe , code [Localité 6], information personnelle

— Possession : quelque chose que seul l’utilisateur possède tel que téléphone, ordinateur, bracelet connecté

— Inhérence : quelque chose que l’utilisateur est , tel qu’une empreinte digitale, une reconnaissance faciale ou vocale ou rétinienne

Une dérogation est possible dans le cas des transactions à faible risque , comme la consultation de son solde sous réserve de l’existence d’un premier accès validé par une authentification forte , renouvelée tous les 90 jours , ou un paiement aux automates de transport et parking, ou des paiements de faible montant , sans contact ou à distance.

Le relevé de plafonnement de 8000 à 12000 euros est fait le 13/09/2022 à 15h11

La SA BNP PARIBAS fait valoir que l’accès à l’espace personnel pour relever un plafond n’est pas soumis à authentification forte car il ne s’agit pas d’opération de paiement .

L’article précité dispose au 3° que cette authentification forte est appliquée quand le payeur : Exécute une opération par le biais d’un moyen de communication à distance, susceptible de comporter un risque de fraude en matière de paiement ou de toute autre utilisation frauduleuse.

La SA BNP PARIBAS n’évoque pas le changement de mot de passe du titulaire du compte, qui au cas de M. [J] [L] a également été fait le 11/09/2022 à 14h41 et constitue manifestement une opération « d’entrée » du dispositif frauduleux , complété par le relèvement de plafond.

Le point 3° qui évoque « une opération susceptible de comporter un risque de fraude ou de toute autre utilisation frauduleuse » ne peut exclure ces opérations hautement importantes pour la gestion à distance d’un compte bancaire, que sont un changement de mot de passe ou un relevé de plafond . Il n’apparait pas que ces opérations ne puissent être effectuées sans authentification forte , applicable depuis la DSP2 ( directive (UE) 2015/2366) le 14/03/2019. Dans la mesure où le principe est de limiter tout risque de fraude par un tiers , le moyen de l’authentification forte pour ces opérations entre dans les prévisions de cet article du CMF, alors que la banque propose, élabore seule un système de banque en ligne auquel son client adhère. Le fait que ce type d’opération ne fasse pas intervenir de tiers bénéficiaire de paiement à ce stade ne peut avoir pour effet in abstracto de les exclure du champ des opérations comportant un risque de fraude.

La SA BNP PARIBAS en soutenant que cette authentification forte n’était pas nécessaire pour ces deux opérations ne rapporte donc pas la preuve exigée à l’article L133-44 . M. [J] [L] a d’ailleurs soulevé ce point dans un de ses courriers de contestation du 16/01/2024.

Il sera noté que l’alerte que la SA BNP PARIBAS a mis en place pour ses clients sur les différents cas de fraude par mail du 23/11/2022 est postérieure aux opérations contestées objet du litige.

Par conséquent si M. [J] [L] a pu être négligent en remettant sa carte bancaire, mais dans un contexte d’appel diminuant sa vigilance, l’absence d’authentification forte pour le changement de mot de passe puis de relèvement de plafond , avant toutes les opérations de paiement , doit conduire à considérer que la preuve de l’authentification forte exigée à l’article L133-23 du CMF n’est pas rapportée.

La SA BNP PARIBAS ne rapporte pas la preuve d’une négligence grave de M. [J] [L] , les éléments soutenus par la SA BNP PARIBAS étant hypothétiques, alors que cette preuve ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées, ont été effectivement utilisées

.

Il convient donc de condamner la SA BNP PARIBAS à rembourser à M. [J] [L] les opérations contestées , pour la somme de 8722.97 euros , avec intérêts au taux légal à compter de l’assignation.

Sur la demande de dommages et intérêts de M. [J] [L] :

M. [J] [L] fait état d’un préjudice moral pour les désagréments pendant plusieurs mois pour une somme importante et demande une somme de 1000 euros de dommages et intérêts , à laquelle s’oppose la banque en exposant ne pas avoir de responsabilité pour les opérations contestées et en rappelant les négligences graves de M. [J] [L] .

M. [J] [L] sera débouté de sa demande de dommages et intérêts , faute de preuve du préjudice moral invoqué, alors que les intérêts moratoires réparent le préjudice lié au retard de remboursement .

Sur l’exécution provisoire :

L’exécution provisoire est de droit. Il n’y a pas lieu de l’écarter , alors que M. [J] [L] n’est pas démontré être un client peu solvable par la SA BNP PARIBAS, les éléments produits pour la période considérée démontrant le contraire.

Sur les dépens et l’article 700 du code de procédure civile :

Il convient de condamner la SA BNP PARIBAS aux dépens et paiement à M. [J] [L] de la somme de 1600 euros en application de l’article 700 du code de procédure civile.

PAR CES MOTIFS :

Le tribunal judiciaire , statuant par jugement contradictoire en premier ressort, mis à disposition au greffe :

CONDAMNE la SA BNP PARIBAS à payer à M. [J] [L] la somme de 8722.97 euros , avec intérêts au taux légal à compter du 17/04/2024

DEBOUTE M. [E] [H] [L] de sa demande de dommages et intérêts

DIT n’y avoir lieu d’écarter l’exécution provisoire de droit

CONDAMNE la SA BNP PARIBAS aux dépens

CONDAMNE la SA BNP PARIBAS à payer à M. [J] [L] la somme de 1600 euros en application de l’article 700 du code de procédure civile .

Le Greffier Le Président