TRIBUNAL

JUDICIAIRE

DE [Localité 6] [1]

[1]

Expéditions

délivrées le:

à

M^e HUPIN

M^e FONTANA

■

9ème chambre 2ème section

N° RG 23/12601 – N° Portalis 352J-W-B7H-C2ZYF

N° MINUTE :

Assignation du :

03 Octobre 2023

JUGEMENT

rendu le 09 Juillet 2025

DEMANDERESSE

Madame [G] [U]

[Adresse 1]

[Localité 5]

représentée par Maître Maude HUPIN, avocat au barreau de PARIS,vestiaire #G0625

DÉFENDERESSE

S.A. SOCIETE GENERALE

[Adresse 3]

[Localité 4]

représentée par Maître Dominique FONTANA de la SELARL DREYFUS FONTANA, avocats au barreau de PARIS, vestiaire #K0139

Décision du 09 Juillet 2025

9ème chambre 2ème section

N° RG 23/12601 – N° Portalis 352J-W-B7H-C2ZYF

COMPOSITION DU TRIBUNAL

Gilles MALFRE, 1er Vice-Président adjoint

Augustin BOUJEKA, Vice-Président

Alexandre PARASTATIDIS, Juge

assistés de Diane FARIN, Greffière.

DÉBATS

A l’audience du 14 Mai 2025 tenue en audience publique devant, Alexandre PARASTATIDIS, juge rapporteur, qui, sans opposition des avocats, a tenu seul l’audience, et, après avoir entendu les conseils des parties, en a rendu compte au Tribunal, conformément aux dispositions de l’article 805 du Code de Procédure Civile. Avis a été donné aux avocats que la décision serait rendue le 09 Juillet 2025.

JUGEMENT

Rendu publiquement par mise à disposition au greffe

Contradictoire

En premier ressort

FAITS ET PROCEDURE

Le 19 mars 2023, Mme [G] [U] a déposé auprès des services de police du commissariat du [Localité 2] une plainte contre X pour des faits d’escroquerie aux termes de laquelle elle déclare avoir été victime la veille d’une escroquerie au faux conseiller. Elle expose qu’un prétendu préposé de la Société générale l’a contactée par téléphone sous prétexte d’opérations frauduleuses en cours sur son compte, et l’a amenée à lui transmettre son numéro client et à remettre à un tiers qui s’est déplacé à son domicile sa carte bancaire premier et sa carte de retrait. Elle ajoute avoir pris conscience de la fraude en recevant vers une heure du matin des notifications de la banque concernant des mouvements sur ses comptes bancaires.

Le 21 mars 2023, Mme [U] a contesté auprès de la Société générale douze opérations pour un préjudice total de 15.087,47 euros.

Par lettre du 28 mars 2023, la Société générale a informé Mme [U] de son refus de rembourser les opérations contestées au motif que les pertes occasionnées par les opérations de paiement résultaient d’un manquement grave de sa part à son obligation de préserver la sécurité de ses données personnelles, de sa carte bancaire et/ou de son code secret.

C’est dans ces conditions que par exploit de commissaire de justice du 3 octobre 2023, Mme [U] a fait assigner la Société générale devant le tribunal judiciaire de Paris aux fins de voir condamner cet établissement bancaire à lui rembourser l’intégralité de son préjudice financier et l’indemniser de son préjudice moral.

Aux termes de ses dernières conclusions signifiées par voie électronique le 17 décembre 2024, aux visas des articles L.133-6 et suivants du code monétaire et financier et 1240 et suivants du code civil, Mme [U] demande au tribunal de :

«  DECLARER Madame [G] [U] bien fondée en ses demandes, fins et conclusions,

DEBOUTER SOCIETE GENERALE de l’ensemble de ses demandes, fins et prétentions,

CONDAMNER SOCIETE GENERALE à payer à Madame [G] [U] la somme de 15.087,47 euros en remboursement des sommes détournées, outre les intérêts au taux légal majorés de 15 % à compter du mois qui suit la fraude, soit à compter du 18 avril 2023,

CONDAMNER SOCIETE GENERALE à payer à Madame [G] [U] la somme de 4.000 euros au titre du préjudice moral,

CONDAMNER SOCIETE GENERALE au paiement de la somme de 3.000 € au titre de l’article 700 du Code de procédure civile,

CONDAMNER SOCIETE GENERALE aux entiers dépens,

ORDONNER l’exécution provisoire ".

A l’appui de ses prétentions, Mme [U] expose qu’elle a été victime d’une escroquerie de type spoofing, l’appel du fraudeur depuis le n° 09 69 39 77 77 qui s’est affiché lorsqu’elle a appuyé sur l’intitulé de l’appel « opposition carte » ayant été doublé d’un SMS confirmant la qualité de son interlocuteur avec le message " société générale : vous avez été mis en relation avec [Y] [H] en charge de votre dossier F120737X « . Elle ajoute avoir été méfiante dans un premier temps et avoir demandé au prétendu conseiller de lui donner les informations de sa carte bancaire (numéro, date de validité et cryptogramme), ce que l’individu a été en mesure de faire. Elle admet avoir finalement été manipulée jusqu’à lui donner son numéro client et avoir été destinataire d’un second SMS avec le message » société générale : voici votre nouveau mot de passe d’accès à 6 chiffres : 110636, veuillez le faire attribuer via l’application SG et ne le communiquer à personne « , dont elle a confirmé la bonne réception à son interlocuteur. Elle indique que ce dernier, qui l’a recontactée depuis une ligne de téléphone portable suite à une coupure de l’appel, lui a demandé de confirmer son adresse postale à laquelle il a envoyé un coursier récupérer ses cartes bancaires qu’elle avait mises à sa demande sous enveloppe. Elle reconnaît également avoir fourni les informations sur un compte bancaire » Lydia ".

Mme [U] soutient le caractère non autorisé des opérations qu’elle conteste et qui résulte de ses protestations appuyées de sa plainte, rappelant que l’utilisation de l’instrument de paiement telle qu’enregistrée ne suffit pas à prouver que l’opération a été autorisée au sens de l’article L.133-6 du code monétaire et financier et que c’est à la banque de rapporter la preuve de ce que l’utilisateur a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence grave à ses obligations, ce qu’elle ne fait pas au cas particulier, la production d’un tableau établi par elle-même ne pouvant démontrer l’envoi et le contenu des SMS qu’elle aurait adressés à sa cliente à laquelle elle ne peut faire le reproche de ne pas communiquer des éléments qu’il lui revenait de conserver et qui démontrent la réalité de connexions et de la sécurité de son système.

Elle expose qu’au cas particulier, elle a averti la banque dans le délai imposé par la loi, et ce dès qu’elle a eu connaissance des opérations frauduleuses. Elle ajoute n’avoir commis aucune négligence n’ayant transmis aucune informations personnelles (identifiant ou code personnel d’accès à ses comptes), rappelant au surplus que la chambre commerciale de la Cour de cassation a, dans un arrêt du 23 octobre 2024 (n° pourvoi 23-16.267), retenu l’absence de négligence du client dans le cas d’une situation de spoofing téléphonique similaire au présent cas.

Elle fait enfin valoir que la remise physique d’une carte bancaire n’est pas constitutive en elle-même d’une négligence grave s’agissant d’un simple support en plastique ne pouvant servir à une opération de paiement sans authentification par un code.

Mme [U] conclut à une défaillance du système de la Société générale dont elle demande la condamnation à l’indemniser intégralement de son préjudice financier en lui remboursant la somme de 15.087,47 euros correspondant aux opérations suivantes :

— Six virements :

18.03.2023 à 18 heures 33 : 1.000 euros,

18.03.2023 à 18 heures 41 : 1.000 euros,

18.03.2023 à 18 heures 58 : 1.700 euros,

20.03.2023 : 800 euros,

20.03.2023 : 4.000 euros,

20.03.2023 : 6.000 euros.

— Cinq retraits par carte bancaire :

18.03.2023 à 18 heures 06 : 1.000 euros,

18.03.2023 à 18 heures 04 : 1.000 euros,

18.03.2023 à 18 heures 05 : 2.000 euros,

19.03.2023 à 00 heure 28 : 2.500 euros,

19.03.2023 à 00 heure 29 : 2.500 euros.

— Un achat Apple store d’un montant de 1.543 euros.

Elle sollicite également l’indemnisation de son préjudice moral, qui résulte de la situation anormale dans laquelle la banque l’a placée et du refus injustifié de cette dernière de la rembourser, qu’elle évalue à la somme de 4.000 euros.

Aux termes de ses dernières conclusions signifiées par voie électronique le 12 février 2025, la Société générale demande au tribunal de :

«  DECLARER Madame [G] [U] mal fondée en ses demandes.

En conséquence,

L’EN DEBOUTER.

CONDAMNER Madame [G] [U] à payer à SOCIETE GENERALE la somme de 3.000 € au titre de l’article 700 du C.P.C.

CONDAMNER Madame [G] [U] en tous les dépens en application de l’article 696 du C.P.C.

Subsidiairement,

ORDONNER la suspension de l’exécution provisoire de la décision à intervenir. "

A titre liminaire, la Société générale conteste le nombre d’opérations frauduleuses, faisant valoir qu’il y a eu quatre retraits et non cinq pour un montant total de 8.000 euros, l’examen du relevé de compte de Mme [U] faisant apparaître un seul retrait de 1.000 euros.

S’agissant des virements, elle soutient que les trois opérations du 20 mars 2023 pour un montant total de 10.800 euros constituent des virements internes qui sont venus créditer le compte de dépôt de la demanderesse sans engendrer pour celle-ci de préjudice financier.

Elle ajoute que les trois autres virements instantanés du 18 mars 2023 ont été émis depuis l’application « banque à distance », au moyen d’une authentification, au bénéfice d’un compte n°00009142918 ouvert au nom de la demanderesse dans les livres de la banque Treezor et enregistré comme compte bénéficiaire depuis le 29 juin 2022 vers lequel de précédents virements ont été effectués depuis le 30 juin 2022 sans jamais faire l’objet de contestations.

Sur le caractère authentique de ces opérations, elle expose qu’il ressort de l’analyse de l’accès « Banque à distance » de la demanderesse que le numéro de téléphone de sécurité de cette dernière, qui reçoit tous les messages destinés au client, n’a pas été modifié depuis son enregistrement le 13 juin 2017 et qu’il n’est allégué aucun dysfonctionnement de ce dernier. Elle soutient qu’il ressort des différents relevés techniques qu’elle verse aux débats la chronologie suivante :

— Le 18 mars 2023 à 17 heures 03, Mme [U] a opéré depuis son terminal habituel la modification du code secret permettant ainsi l’accès à sa banque en ligne en enregistrant le code transmis par SMS par le fraudeur, concomitamment à leur échange téléphonique, permettant ainsi à ce dernier de se connecter à son espace « Banque à distance », rappelant que l’accès à ce service se fait au moyen d’un code client et d’un code à six chiffres ;

A 17 heures 06, un Pass Sécurité dénommé « Pass » a été activé sur le contrat « Banque à distance » de Mme [U] au moyen des mêmes code client et code secret outre un code d’activation envoyé par la banque sur le numéro de téléphone de sécurité précité ; la banque en déduit que Mme [U] a communiqué ce code d’activation en plus des autres codes au fraudeur qui a ainsi disposé de la signature électronique nécessaire à la réalisation des opérations ;

— Une notification de l’activation du Pass sécurité a été envoyée par la banque sur le téléphone de sécurité de Mme [U] (SMS) et sur son espace client, sans susciter de réaction de cette dernière ;

— A 17 heures 33 et 17h37, le code [Localité 7] d’une carte bancaire a été consulté après une authentification forte via le Pass sécurité ;

— A 17h52 puis 17h55, les plafonds de retrait de la Carte « Visa premier » puis de la carte de retrait de Mme [U] ont fait l’objet d’une augmentation depuis le Pass sécurité à 5.000 euros pour la première et 2.100 euros pour la seconde ; le 19 mars 2023 à 00h27, une nouvelle validation d’augmentation de plafond de retrait a été opérée pour la carte « Visa premier » ; l’ensemble de ces opérations ont généré des notifications automatiques sur l’espace client de Mme [U], doublées de notifications pour informer la cliente d’opérations par carte à risques.

La banque expose qu’en parallèle, les virements, non générateurs de préjudice financier, ont été réalisés depuis l’espace en ligne de la « Banque à distance ».

Elle fait par ailleurs valoir que les opérations de retrait et d’achat par carte bancaire ont fait l’objet d’une authentification forte puisque le payeur a été identifié au moyen de deux critères distincts : la possession de la carte bancaire présentée dans le DAB et dans le terminal de paiement du commerçant, ainsi que la connaissance du code secret.

Elle conclut en conséquence au caractère autorisé des opérations litigieuses et donc à l’exclusion de tout droit au remboursement pour Mme [U] qui, par ailleurs, a fait preuve de négligences graves à différents stades de la fraude en enregistrant un nouveau code d’accès à son espace en ligne transmis par le fraudeur, en communiquant le code à usage unique permettant l’enrôlement du Pass sécurité, en ne réagissant pas immédiatement aux notifications l’alertant des manipulations authentifiées sur son compte et en remettant à un tiers sa carte bancaire et le code qui lui est associé, en contravention des stipulations liant les parties et des communications faites sur son site internet sur les risques de fraudes et notamment les escroqueries de type spoofing.

Elle ajoute que les éléments techniques qu’elle verse au débats doivent être regardés comme un début de preuve que la demanderesse peut contester, relevant que cette dernière entretient volontairement le flou autour de sa responsabilité en produisant des messages tronqués et en ne versant pas aux débats les SMS reçus de la banque. Elle ajoute que Mme [U] ne produit aucun élément à l’appui de ses allégations selon lesquelles son système informatique aurait été défaillant.

Elle entend par ailleurs préciser que sa responsabilité ne saurait être engagée du fait de l’usurpation par un tiers de sa ligne dans le cadre d’un spoofing téléphonique qui n’exclut pas la négligence grave du client de la banque qui peut rechercher la responsabilité de l’opérateur téléphonique, ce dernier étant depuis le 25 juillet 2023 tenu de mettre en place un mécanisme d’authentification des numéros d’appel.

La banque conclut en conséquence au rejet de la demande de remboursement ainsi que de la demande fondée sur un préjudice moral qui n’est pas démontré et qui ne peut être imputé qu’à l’auteur de la fraude.

Conformément aux dispositions de l’article 455 du code de procédure civile, il est renvoyé aux dernières écritures des parties pour l’exposé des moyens et arguments venant au soutien de leurs demandes.

La clôture de l’instruction a été prononcée le 26 mars 2025. L’affaire a été évoquée à l’audience de plaidoiries tenue en juge rapporteur du 14 mai 2025 et mise en délibéré au 9 juillet 2024.

MOTIFS DE LA DÉCISION

1 – Sur l’obligation de remboursement de la banque

En cas d’opération de paiement non autorisée signalée par l’utilisateur dans les délais prévus par l’article L. 133-24 du même code, le prestataire de services de paiement du payeur rembourse à ce dernier le montant de l’opération non autorisée, sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement.

Dans cette hypothèse, il incombe au prestataire de paiement de prouver que l’opération litigieuse a été effectuée après une authentification forte, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre, l’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement, à savoir l’utilisation des identifiants du client et l’absence de déficience technique ou autre, notamment par le biais de la production d’un relevé de ses connexions, ne suffisant pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur.

Par ailleurs, la responsabilité du payeur n’est pas engagée si l’opération de paiement non autorisée a été effectuée en détournant, à son insu, l’instrument de paiement ou les données qui lui sont liées. Cependant, il supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’agissements frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L.133-16 et L.133-17 du code précité.

Ainsi, pour échapper au remboursement de l’opération contestée, le prestataire de services de paiement doit démontrer, soit que l’ordre émanait bel et bien du client dûment authentifié dans son espace personnel, soit que le vol des identifiants de connexion (ou d’autres données) n’est que la conséquence d’une faute grave de sa part consistant à ne pas avoir satisfait intentionnellement aux obligations lui incombant en la matière ou à les avoir gravement négligées.

En l’espèce, la banque verse aux débats l’intégralité des relevés des opérations au cours de la période litigieuse, étant relevé que Mme [U] n’a pas déclaré la perte ou le vol de son téléphone portable enregistré par la banque comme son numéro de téléphone de sécurité.

Ces copies d’écran, issues du système informatique de la Société générale, doivent être regardées comme un commencement de preuve dès lors que, d’une part, la partie adverse dispose de toute latitude pour en contester les termes et que, d’autre part, il s’agit des seuls documents justificatifs dont peut valablement disposer l’établissement bancaire. Dénier toute valeur probante, même relative, aux pièces fournies par l’établissement bancaire reviendrait, de fait, à priver ce dernier de toute possibilité de prouver l’authentification et l’enregistrement des opérations litigieuses.

Il ressort tout d’abord de ces document et plus particulièrement des pièces n°20 à 22 que le 29 juin 2022 Mme [U] a enregistré comme bénéficiaire un compte n°00009142918 ouvert dans les livres de l’établissement bancaire Treezor vers lequel elle a effectué les 30 juin, 5 juillet, 3 octobre et 26 novembre 2022 des virements avec l’intitulé " POUR [G] [U] « . Or, comme le relève la banque, les trois autres virements instantanés du 18 mars 2023 ont été émis depuis l’application » banque à distance ", au moyen d’une authentification, au bénéfice du même compte, ce qui n’est pas utilement discuté par la demanderesse qui ne rapporte pas la preuve que lesdits fonds auraient été ensuite appréhendés par le fraudeur sur le compte détenu dans un autre établissement bancaire. La responsabilité de la Société générale ne saurait dès lors être recherchée s’agissant de ces opérations.

Concernant les autres opérations, il résulte des déclarations de Mme [U] et des éléments techniques produits par la banque que les opérations litigieuses ont été réalisées en suivant la procédure d’authentification forte, à savoir, pour le paiement et les retraits par carte bancaire, l’utilisation physique, supposant sa possession, de la carte bancaire présentée dans le DAB et dans le terminal de paiement du commerçant, ainsi que la connaissance du code secret et, pour les virements, l’initiation de ces opérations au moyen d’un Pass sécurité enrôlé depuis l’espace en ligne de Mme [U] qui, si elle conteste avoir communiqué des informations personnelles et confidentielles à son interlocuteur, admet avoir suivi les instructions de ce dernier et substitué le code secret reçu par SMS au code initial, permettant ainsi au fraudeur d’enregistrer le Pass sécurité et d’initier lui-même les opérations litigieuses notamment en relevant les plafonds de paiement et en consultant le code secret des cartes de paiement et de retrait.

Il s’en déduit que le système de sécurisation de l’espace en ligne n’était pas affecté d’une déficience technique, sauf à ce que la demanderesse rapporte la preuve contraire, ce qu’elle ne fait pas au cas particulier.

Cependant, il ne peut se déduire du seul fait que l’instrument de paiement et/ou les données personnelles qui lui sont liées ont été effectivement utilisés qu’en l’espèce, Mme [U] a autorisé les opérations contestées.

Au cas particulier, la banque ne conteste pas la qualité de victime de Mme [U] et ne discute pas le fait qu’elle n’est pas à l’origine des paiements et retrait pas cartes qu’elle a remises à un tiers.

De plus, s’agissant des trois virements du 20 mars 2023 qui sont venus alimenter le compte de Mme [U], il n’est pas discuté par la banque que ceux-ci sont intervenus dans le contexte d’escroquerie dénoncé et qu’ils ont été initiés par le fraudeur, la défenderesse soulevant uniquement l’absence de préjudice en résultant.

Mme [U] n’ayant consenti ni aux montants ni aux bénéficiaires des opérations litigieuses, ces dernières ne peuvent être considérés comme autorisées au sens des articles L.133-3 et L.133-6 du code monétaire et financier.

Il convient dès lors de rechercher si la demanderesse peut se voir reprocher une négligence grave au sens des articles L.133-16 et suivants du code monétaire et financier faisant obstacle à son indemnisation, étant rappelé que le régime de responsabilité s’appliquant aux opérations non autorisées énoncé par ces articles est exclusif de tout autre régime de responsabilité, notamment sur le fondement d’un manquement à l’obligation générale de vigilance.

Au cas particulier, si Mme [U] affirme avoir été victime d’une escroquerie de type « spoofing téléphonique », elle ne verse aux débats aucune pièce rapportant la preuve du numéro de téléphone avec lequel le fraudeur l’a contactée. Mme [U] ne saurait dès lors se prévaloir de la solution adoptée par la chambre commerciale de la Cour de cassation dans un arrêt du 23 octobre 2024 dont les faits d’espèce diffèrent en ce que le client avait été contacté avec le numéro de téléphone affiché de sa conseillère clientèle, la réception de SMS du fraudeur en parallèle avec l’intitulé « Socgenerale » étant insuffisante à exonérer automatiquement la demanderesse de toute responsabilité, et ce d’autant plus au regard des instructions données par son interlocuteur quant à la remise de ses cartes de paiement et de retrait.

En effet, le fait de remettre sa carte bancaire, qui est le support nécessaire à toute opération de retrait dans un DAB ou tout paiement auprès d’un commerçant en boutique, à un coursier agissant prétendument pour le compte de la société générale constitue une négligence grave, aucune banque n’agissant de la sorte.

Le paiement ainsi que les cinq retraits par cartes bancaires ne peuvent par conséquent pas être remboursés.

S’agissant des trois virements du 18 mars 2023, la banque ne saurait s’exonérer de son obligation de remboursement au seul motif que ces opérations qui sont venues créditer le compte courant de Mme [U] n’ont pas engendré de préjudice financier dès lors que ce compte présentait un solde créditeur de seulement 925,60 euros au 13 mars 2023, augmenté avant les opérations litigieuses de la somme de 320 euros par deux opérations créditrices, en sorte que sans les virements en cause, le compte n’aurait pas été suffisamment provisionné pour permettre les autres opérations frauduleuses.

Cependant, Mme [U] reconnaît aux termes de sa plainte avoir communiqué au fraudeur son numéro de client société générale, premier élément confidentiel qui permet ensuite de solliciter en ligne le renouvellement du mot de passe à six chiffres, le fraudeur ayant manifestement convaincu Mme [U] par la suite de substituer au nouveau mot de passe provisoire envoyé par la banque celui qu’il lui a adressé par SMS (110636) et dont il avait nécessairement connaissance sans que Mme [U] lui communique.

En respectant ainsi les instructions du fraudeur, Mme [U] a permis à ce dernier d’entrer en possession du code client et du mot de passe à six chiffres donnant accès à son espace en ligne de la « banque à distance » et d’initier ainsi l’enrôlement du Pass sécurité et l’augmentation des plafonds des cartes et de consulter les codes associés aux deux cartes par la suite utilisées.

Mme [U] ne peut dès lors qu’être déboutée de ses demandes.

2 – Sur les autres demandes

2.1 – Sur les frais du procès

Mme [U] qui succombe est condamnée aux dépens.

L’équité commande de ne pas prononcer de condamnation sur le fondement de l’article 700 du code de procédure civile.

2.2 – Sur l’exécution provisoire

La présente décision est revêtue de droit de l’exécution provisoire conformément aux dispositions de l’article 514 du code de procédure civile dans sa version applicable en l’espèce, l’instance ayant été introduite postérieurement au 31 décembre 2019.

L’issue donnée au litige commande d’écarter l’exécution provisoire.

PAR CES MOTIFS

Le tribunal, statuant publiquement, contradictoirement et en premier ressort, par mise à disposition au greffe,

DEBOUTE Mme [G] [U] de ses demandes ;

CONDAMNE Mme [G] [U] aux dépens ;

DIT n’y avoir lieu à condamnation sur le fondement de l’article 700 du code de procédure civile ;

ECARTE l’l'exécution provisoire.

Fait et jugé à [Localité 6] le 09 Juillet 2025

LA GREFFIÈRE LE PRÉSIDENT