TRIBUNAL

JUDICIAIRE

DE PARIS [1]

[1]

Copies délivrées le: 15/01/2025

M^e BALE (certifiée conforme)

M^e METAIS (exécutoire)

■

9ème chambre 2ème section

N° RG :

N° RG 24/02338 – N° Portalis 352J-W-B7I-C35TD

N° MINUTE : 14

Assignation du :

29 Janvier 2024

JUGEMENT

rendu le 15 Janvier 2025

DEMANDEUR

Monsieur [L] [G]

[Adresse 4]

[Localité 5]

représenté par Maître Dikpeu-Eric BALE de la SELARL BALE & KOUDOYOR, avocats au barreau de PARIS, vestiaire #D1635

DÉFENDERESSE

S.A. BNP PARIBAS

[Adresse 2]

[Localité 3]

représentée par Maître Philippe METAIS du PARTNERSHIPS BRYAN CAVE LEIGHTON PAISNER (France) LLP, avocats au barreau de PARIS, avocats plaidant, vestiaire #R030

COMPOSITION DU TRIBUNAL

Monsieur Gilles MALFRE, Premier Vice-président adjoint,

Monsieur Augustin BOUJEKA, Vice-Président

Monsieur Alexandre PARASTATIDIS, Juge,

assistés de Madame Alice LEFAUCONNIER, Greffière.

DÉBATS

A l’audience du 30 Octobre 2024 tenue en audience publique devant Monsieur PARASTATIDIS, juge rapporteur, qui, sans opposition des avocats, a tenu seul l’audience, et, après avoir entendu les conseils des parties, en a rendu compte au Tribunal, conformément aux dispositions de l’article 805 du Code de Procédure Civile. Avis a été donné aux avocats que la décision serait rendue le 15 Janvier 2025.

JUGEMENT

Rendu publiquement par mise à disposition au greffe

Contradictoire

En premier ressort

FAITS ET PROCEDURE

M. [L] [G] conteste avoir autorisé un achat au moyen de sa carte bancaire liée à son compte courant ouvert dans les livres de la BNP Paribas et validé par Clé Digitale pour un montant de 9.490 euros le 9 janvier 2023.

Ses démarches auprès de la banque pour obtenir le remboursement de cette opération sont demeurées infructueuses.

Il a déposé plainte auprès de la gendarmerie nationale de [Localité 5] le 21 mars 2023.

C’est dans ce contexte que par exploit de commissaire de justice du 29 janvier 2024, constituant ses seules écritures, aux visas des articles 10, 1231-1 et 1231-6 alinéa 3 du code civil, et L.133-4, L.133-18 et L.133-44 du code monétaire et financier, M. [G] a fait assigner la BNP Paribas devant le tribunal judiciaire de Paris auquel il est demandé de :

« Déclarer Monsieur [L] [G] recevable et bien fondé en ses demandes,

Constater la sommation de communiquer signifiée à la BNP PARIBAS, et d’en tirer toutes les conséquences de droit en cas de carence de cette dernière

Y faisant droit,

Déclarer la BNP PARIBAS responsable des dommages subis par Monsieur [L] [G],

En conséquence,

Condamner la BNP PARIBAS à rembourser Monsieur [L] [G] la somme totale de 9 490 euros à titre de dommages-intérêts en réparation de son préjudice financier, avec intérêts au taux légal à compter de la date de l’assignation,

Voir majorer le taux légal des intérêts de quinze points en application de l’article L133-18 alinéa 3 du code monétaire et financier,

Condamner la BNP PARlBAS à verser à Monsieur [L] [G] la somme de 3 000 euros à titre de dommages-intérêts pour résistance abusive,

Condamner la BNP PARIBAS à verser à Monsieur [L] [G] la somme de 5 000 euros au titre de l’article 700 du Code de procédure civile,

Condamner la BNP PARIBAS aux entiers de l’instance, dont distraction au profit de Maître BALE, qui en fait la demande, en application des dispositions de l’article 699 du Code de procédure civile,

Rappeler qu’en application de l’article 514 du Code de procédure civile, les décisions de première instance sont de droit exécutoires à titre provisoire »

A l’appui de ses prétentions, M. [G] expose dans ses écritures avoir reçu le 15 janvier 2023 aux alentours de 15 heures l’appel d’un prétendu préposé de la BNP Paribas qui pour le mettre en confiance lui a communiqué le nom de sa conseillère bancaire ainsi que la dernière transaction effectuée sur son compte, et lui a signalé une opération frauduleuse d’un montant de 11.000 euros sur son compte passée au Sénégal. Il indique avoir cependant douté de son interlocuteur lorsque ce dernier lui a demandé la communication du code secret à quatre chiffres de sa carte bancaire pour procéder au remboursement et qu’il lui a alors communiqué un faux code puis raccroché au nez lors d’un second appel. Il ajoute avoir fait immédiatement opposition à sa carte bancaire à partir de son téléphone mobile, contacté sa banque pour exposer les faits et effectué le 18 janvier 2023 au commissariat de son domicile un signalement de fraude relative à cet instrument de paiement. Il explique avoir constaté quelques jours plus tard, en se connectant à son espace en ligne, que le numéro de téléphone rattaché à sa clé digitale avait été modifié et qu’une somme de 9.490 euros avait été prélevée sur son compte avec le libellé « Paiement CB BUC*DIGITEA (Belgique) du 09/01 ».

M. [G] recherche dès lors, sur le fondement de l’article L.133-18 du code monétaire et financier, la responsabilité de la banque qui a refusé de lui rembourser le paiement frauduleux qu’il n’a pas autorisé, alors qu’elle ne rapporte pas la preuve de sa validation au moyen de sa clé digitale depuis son téléphone mobile et alors que sa carte bancaire était en sa possession, précisant que le tribunal devra tirer les conséquences du refus de la banque de donner suite à la sommation faite dans son assignation de communiquer une copie du SMS qui lui aurait été adressé le 9 janvier 2023 comprenant un lien permettant le transfert de la clé digitale sur un autre téléphone, une copie du courriel avec pour objet « nouvel enrôlement de la clé digitale », et l’adresse électronique utilisée et le numéro de téléphone sur lequel a été transférée la clé digitale. Il sollicite en conséquence la condamnation de la banque à lui payer la somme de 9.490 euros avec intérêts au taux légal majoré de quinze points.

M. [G] sollicite par ailleurs la condamnation de la banque à lui payer la somme de 3.000 euros à titre de dommages et intérêts pour résistance abusive, la défenderesse ne pouvant ignorer l’obligation de remboursement lui incombant.

Aux termes de ses dernières conclusions signifiées par voie électronique le 27 juin 2024, aux visas des articles L.133-4, L.133-16 et suivants et L.133-44 du code monétaire et financier, 1231-1 et suivants du code civil, et 696 et 700 du code de procédure civile, la BNP Paribas demande au tribunal de :

« Sur la demande formée par Monsieur [G] tendant au remboursement de l’opération litigieuse

— Juger que la transaction litigieuse a été dûment authentifiée et que BNP Paribas a parfaitement respecté ses obligations en matière de sécurisation de l’instrument de paiement de Monsieur [G] ;

— Juger que Monsieur [G] a commis une négligence grave au sens de l’article L.133-19, IV. du Code monétaire et financier ;

En conséquence,

— Débouter Monsieur [G] de sa demande de remboursement des opérations litigieuses à hauteur de 9.490,00 euros assortie des intérêts au taux légal majoré ;

Sur la demande formée par Monsieur [G] tendant au paiement de dommages et intérêts

— Juger que le régime de responsabilité des prestataires de services de paiement tel qu’issu de la Directive 2007/64/CE fait l’objet d’une application exclusive et autonome ;

— Juger que BNP Paribas n’a commis aucune inexécution contractuelle ;

En conséquence,

— Débouter Monsieur [G] de sa demande tendant au paiement de la somme de 3.000,00 euros à titre de dommages et intérêts ;

En tout état de cause

— Débouter Monsieur [G] de l’intégralité de ses demandes, fins et conclusions à l’encontre de BNP Paribas ;

— Condamner Monsieur [G] à verser à BNP Paribas la somme de 2.500,00 euros au titre de l’article 700 du Code de procédure civile ainsi qu’aux entiers dépens ;

— Ecarter l’exécution provisoire de la décision à intervenir. »

Pour sa défense, la banque expose que M. [G] dispose d’un espace en ligne BNP Paribas auquel lui seul peut accéder au moyen de données personnelles et confidentielles, qu’il est utilisateur d’un système d’authentification forte sous la forme d’une clé digitale installée sur son appareil mobile auquel est associée la ligne téléphonique [XXXXXXXX01] depuis le 6 juin 2022 et qu’il est par ailleurs détenteur d’une carte bancaire dotée du système « Cryptogramme Visuel Dynamique ». Elle ajoute que le 9 janvier 2023 à compter de 14h50, plusieurs connexions sont intervenues sur l’espace en ligne de M. [G] depuis une adresse IP (185.109.254.137) différente de celle habituellement utilisée par ce dernier (92.184.123.140) et en déduit que M. [G] a communiqué à son insu ses données de sécurité personnelles préalablement à ces connexions, et ce probablement dans le cadre d’une escroquerie de type « phishing » croyant renseigner ces informations confidentielles sur un site de la BNP Paribas alors qu’il s’agissait en réalité d’un site frauduleux usurpant l’identité de cet établissement. Elle explique que fort de ces éléments, le fraudeur a pu ainsi se connecter et prendre connaissance notamment de l’identité du conseiller en charge du compte de M. [G] et des dernières opérations effectuées par ce dernier, éléments dont il s’est servi pour gagner la confiance du demandeur en se faisant passer pour un conseiller lors d’un appel téléphonique passé le 9 janvier 2023 et obtenir de lui la communication du lien contenu dans le SMS qui lui a été adressé sur son mobile pour finaliser l’enrôlement d’un nouvel appareil initié depuis l’espace en ligne et qui a servi par la suite à réaliser le paiement litigieux. Elle soutient que seul M. [G] est en mesure de produire ce SMS généré automatiquement et envoyé au client dès que la demande de transfert de clé digitale est initiée depuis l’espace en ligne tout comme le courriel qui lui a été envoyé sur son adresse électronique ([Courriel 8]) l’informant de l’enrôlement de sa clé digitale.

Elle ajoute que l’achat frauduleux qui a été effectué au moyen de sa carte bancaire et validé par sa clé digitale, comme en atteste le relevé de traces informatiques, n’a été possible que par la communication par le demandeur du numéro de sa carte bancaire et de sa date d’expiration à l’occasion du phishing et, nécessairement par la transmission au cours de la conversation téléphonique avec le fraudeur du cryptogramme dynamique qui change régulièrement et qui doit donc être donné en temps réel au moment du paiement, relevant que l’enrôlement de la clé digitale (14h58) et l’achat frauduleux (15h01) coïncident justement avec l’appel du fraudeur que M. [G] situe aux alentours de 15 heures.

Elle souligne le rôle particulièrement actif du demandeur dans la réalisation de la fraude qui en suivant les instructions du fraudeur a mis en échec le système d’authentification forte mis en place par ses soins en divulguant ses données de sécurité personnelles permettant d’accéder à son espace en ligne, les données relatives à sa carte bancaire ainsi que le code contenu dans le SMS reçu sur sa ligne téléphonique permettant l’enrôlement de la clé digitale, et ainsi dûment authentifié la transaction.

Elle conclut en conséquence à la négligence grave de M. [G] l’exonérant de son obligation de procéder au remboursement de l’opération et la mise hors de cause de son système informatique.

S’agissant de la demande indemnitaire sur le fondement de la résistance abusive, la BNP Paribas fait valoir le caractère exclusif du régime de responsabilité défini aux articles L.133-18 à L.133-24 du code monétaire et financier issus de la transposition des articles 58, 59 et 60 de la directive 2007/64/CE, à l’exclusion de tout régime alternatif de responsabilité résultant du droit national en matière d’opérations de paiement non autorisées ou mal exécutées. Elle conclut en conséquence au rejet de ce moyen fondé sur le régime de responsabilité contractuelle découlant de l’article 1217 du code civil. En tout état de cause, elle conclut au rejet de la demande faisant valoir, d’une part, qu’aucune inexécution contractuelle, fautive ou par négligence, ne peut lui être reprochée et, d’autre part, que le préjudice allégué n’est démontré ni dans son principe ni dans son quantum.

Conformément aux dispositions de l’article 455 du code de procédure civile, il est renvoyé aux dernières écritures des parties pour l’exposé des moyens et arguments venant au soutien de leurs demandes.

La clôture de l’instruction a été prononcée le 25 septembre 2024. L’affaire a été évoquée à l’audience tenue en juge rapporteur du 30 octobre 2024 et mise en délibéré au 15 janvier 2025.

MOTIFS DE LA DÉCISION

Il est rappelé, à titre liminaire, qu’il n’y a pas lieu de statuer sur les demandes de « dire/juger » qui ne constituent pas des prétentions susceptibles d’entraîner des conséquences juridiques au sens de l’article 4 du code de procédure civile, mais uniquement la reprise des moyens développés dans le corps des conclusions, et qui ne doivent pas, à ce titre, figurer dans le dispositif des écritures des parties.

MOTIFS DE LA DÉCISION

Une opération de paiement n’est autorisée au sens des articles L.133-3 et L.133-6 du code monétaire et financier que si le payeur l’a initiée et a consenti au montant de l’opération.

Dès lors que la responsabilité d’un prestataire de services de paiement est recherchée en raison d’une opération de paiement non autorisée ou mal exécutée, seul est applicable le régime de responsabilité défini aux articles L. 133-18 à L. 133-24 du code monétaire et financier qui transposent les articles 58, 59 et 60, § 1, de la directive 2007/64/CE, tout autre régime alternatif de responsabilité résultant du droit national devant être écarté.

Ainsi, en cas d’opération de paiement non autorisée signalée par l’utilisateur dans les délais prévus par l’article L.133-24 du même code, le prestataire de services de paiement du payeur rembourse à ce dernier le montant de l’opération non autorisée sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement.

Dans cette hypothèse, il incombe au prestataire de paiement de prouver que l’opération litigieuse a été effectuée après une authentification forte, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre, l’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement, à savoir l’utilisation des identifiants du client et l’absence de déficience technique ou autre, notamment par le biais de la production d’un relevé de ses connexions, ne suffisant pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur.

L’article L.133-4 (f) du code précité précise qu’une authentification forte s’entend d’une authentification reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories « connaissance » (quelque chose que seul l’utilisateur connaît telle qu’un mot de passe, un code secret, une question secrète, etc…), « possession » (quelque chose que seul l’utilisateur possède telle qu’un téléphone portable, une montre connectée, une clé USB etc…) et « inhérence » (quelque chose que l’utilisateur est telle que la reconnaissance faciale ou vocale, la reconnaissance par empreinte digitale, etc…) et indépendants en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d’authentification. L’authentification forte repose donc sur l’utilisation de deux de ces éléments, voire plus.

Par ailleurs, la responsabilité du payeur n’est pas engagée si l’opération de paiement non autorisée a été effectuée en détournant, à son insu, l’instrument de paiement ou les données qui lui sont liées. Cependant, il supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’agissements frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L.133-16 et L.133-17 du code précité.

Ainsi, pour échapper au remboursement de l’opération contestée, le prestataire de services de paiement doit démontrer, soit que l’ordre émanait bel et bien du client dûment authentifié dans son espace personnel, soit que le vol des identifiants de connexion (ou d’autres données) n’est que la conséquence d’une faute grave de sa part consistant à ne pas avoir satisfait intentionnellement aux obligations lui incombant en la matière ou à les avoir gravement négligées.

En l’espèce, il convient tout d’abord de préciser que si M. [G] indique dans ses écritures et sa plainte avoir reçu l’appel frauduleux le 15 janvier 2023 durant son trajet de retour vers [Localité 5], il ressort de la date d’opposition à sa carte bancaire (*7353), qu’il indique avoir effectuée immédiatement après la réception de l’appel frauduleux, de sa réponse à une lettre de la banque en date du 14 février 2023 ainsi que de sa lettre en date du 20 mars 2023 à son assureur de protection juridique, qu’il a en réalité été destinataire de cet appel le 9 janvier 2023, cette chronologie étant confirmée par le relevé de compte qu’il produit et dont il ressort que le 9 janvier 2023, il a utilisé une carte bancaire (*0901) à [Localité 7] puis à l’aéroport [6], et à compter du 11 janvier 2023 à [Localité 5].

La banque ne remet pas en question la qualité de victime d’une fraude de M. [G]. Ce dernier, quant à lui, ne conteste pas que l’opération litigieuse a été passée selon une procédure d’authentification forte au sens des textes précités, ce qu’attestent les traces informatiques de l’espace en ligne produites par la banque, nonobstant l’absence de production individualisée des messages envoyés à M. [G], ce dernier soutenant seulement que le paiement n’a pas été validé au moyen de sa clé digitale depuis son téléphone mobile et qu’il n’est pas à l’origine de la fuite de ses données personnelles sécurisées qui ont été utilisées par le fraudeur.

Il résulte de ces éléments que le paiement contesté, bien que passé régulièrement selon la procédure d’authentification forte mise en place par la banque, ne peut être considéré comme ayant été autorisé par le demandeur. Il convient dès lors de rechercher si ce dernier peut se voir reprocher une négligence grave au sens des articles L.133-16, L.133-17 et L.133-19 IV et suivants du code monétaire et financier faisant obstacle à son indemnisation.

Or, il ressort des traces informatiques précitées la chronologie suivante pour la journée du 9 janvier 2023 :

14h45 : connexion à l’espace sécurisé de M. [G] depuis l’adresse IP habituellement utilisée par ce dernier (IP 92.184.123.140) ;14h50 : connexion à ce même espace depuis cette fois l’adresse IP 185.109.254.137 qui sera utilisée pour l’enrôlement de la Clé Digitale ;14h51 : modification du plafond de la carte bancaire qui est porté à 15.000 euros contre 8.000 euros précédemment ;14h52 à 14h58 : activation de la Clé Digitale sur un appareil IPhone ;15h01 : validation du paiement par carte bancaire contesté ;15h14 : opposition de M. [G] à sa carte bancaire.

S’il affirme ne pas avoir communiqué des données confidentielles dont celles de sa carte bancaire et avoir seulement répondu à l’appel d’un prétendu conseiller de la BNP Paribas auquel il affirme avoir donné un code erroné concernant sa carte bancaire, le tribunal relève que les manœuvres frauduleuses préparatoires à l’exécution du paiement litigieux ont été effectuées, au regard de la chronologie relatée ci-avant, alors que le fraudeur était en ligne avec M. [G] qui a manifestement été victime d’une escroquerie au moyen de la technique dite de « vishing » consistant à amener la victime au cours d’un appel téléphonique à divulguer des données confidentielles ou à valider une opération frauduleuse. L’appel du fraudeur ne trouve d’ailleurs sa justification que dans la nécessité d’obtenir des éléments que seule détient la victime et sans lesquels il ne peut mener à bien son projet délictueux.

Cependant, si le transfert de la clé digitale sur le téléphone IPhone du fraudeur n’a pu se faire que par l’activation sur ce même appareil du lien comprenant en suffixe le code d’activation unique envoyé sur le téléphone portable préalablement enregistré auprès de la banque, au cas particulier, la production d’un relevé de traces informatiques mentionnant l’envoi le 9 janvier 2023 à 14h52 d’un SMS sur le n° de téléphone [XXXXXXXX01] qui était celui de M. [G], sans rapporter la preuve de son contenu, est insuffisante à démontrer que le demandeur a nécessairement communiqué d’une manière ou d’une autre un code d’activation à usage unique permettant l’enrôlement d’un nouvel appareil.

En revanche, M. [G] ne conteste pas que sa carte bancaire était dotée d’un système de cryptage dynamique visuel qui implique que la série de 3 chiffres au verso de la carte qui constituent le code de sécurité associé à l’instrument de paiement, qui ne peut être consulté sur l’espace en ligne, change régulièrement et automatiquement de manière aléatoire, et ne pouvait être connu que du seul détenteur de la carte physique au moment de la validation de l’achat. Il s’en déduit que seul M. [G], qui a toujours été en possession de sa carte, a pu avoir connaissance du code de sécurité et a nécessairement transmis ce dernier au fraudeur qui a pu valider l’achat avec la clé digitale enrôlée sur son propre appareil, ce qui explique que le demandeur a fait opposition à sa carte dans les minutes qui ont suivi la transaction bien qu’il affirme avoir communiqué un code erroné au fraudeur, une telle démarche ne présentant aucun intérêt si la confidentialité de son instrument de paiement n’avait pas été compromise.

M. [G] a dès lors manqué à son obligation de préservation de la sécurité de ses données de sécurité personnalisées, comprenant nécessairement la préservation de la confidentialité du code de sécurité indiqué au dos de sa carte bancaire, dont il est notoirement connu et contractuellement stipulé qu’elles ne doivent être communiquées à quiconque et qu’elles ne peuvent être demandées par un préposé de l’établissement bancaire. Ce manquement caractérise une négligence grave en ce qu’il a permis le paiement contesté et par là-même contribué au contournement du système de sécurisation des services de paiement, l’hypothèse d’une déficience technique du système de sécurisation de la banque devant dès lors être écartée sauf à ce que le demandeur rapporte la preuve contraire, ce qu’il ne fait pas au cas particulier.

Il doit donc être considéré que M. [G] n’a pas satisfait aux obligations mises à sa charge par les articles L.133-16 et L.133-17 du code monétaire et financier et qu’il a ainsi commis une négligence grave au sens de l’article L.133-19 IV du même code qui le prive de la possibilité de faire supporter par la banque les pertes occasionnées par l’opération de paiement non autorisée.

En conséquence, la demande d’indemnisation est rejetée.

2 – Sur la demande de dommages et intérêts pour résistance abusive

Au regard de l’issue donnée au litige, la résistance abusive de la banque n’est pas caractérisée.

3 – Sur les demandes accessoires

3.1 – Sur les frais du procès

M. [G] qui succombe est condamné aux dépens.

Il est également condamné au paiement à la BNP Paribas d’une somme de 1.500 euros sur le fondement de l’article 700 du code de procédure civile.

3.2 – Sur l’exécution provisoire

La présente décision est revêtue de droit de l’exécution provisoire conformément aux dispositions de l’article 514 du code de procédure civile dans sa version applicable en l’espèce, l’instance ayant été introduite postérieurement au 31 décembre 2019.

Cependant, l’issue donnée au litige nécessite d’écarter l’exécution provisoire.

PAR CES MOTIFS

Le tribunal statuant publiquement par jugement contradictoire, en premier ressort et par mise à disposition au greffe :

DEBOUTE M. [L] [G] de ses demandes ;

CONDAMNE M. [L] [G] aux dépens ;

CONDAMNE M. [L] [G] à payer à la SA BNP Paribas la somme de 1.500 euros sur le fondement de l’article 700 du code de procédure civile ;

ECARTE l’exécution provisoire de droit.

Fait et jugé à Paris le 15 Janvier 2025

La Greffière Le Président