TRIBUNAL

JUDICIAIRE

DE PARIS [1]

[1]

Expéditions délivrées le 14/01/2025

A M^e IBARA

M^e FONTANA

■

9ème chambre 2ème section

N° RG :

N° RG 23/13952 – N° Portalis 352J-W-B7H-C2MC3

N° MINUTE :

JUGEMENT

rendu le 14 Janvier 2025

DEMANDEUR

Monsieur [G] [N]

[Adresse 3]

[Localité 5]

représenté par M^e Laurent IBARA, avocat au barreau de PARIS, avocat plaidant, vestiaire #C2068

DÉFENDERESSE

S.A. SOCIETE GENERALE

[Adresse 2]

[Localité 4]

représentée par Maître Dominique FONTANA de la SELARL DREYFUS FONTANA, avocat au barreau de PARIS, avocat plaidant, vestiaire #K0139

Décision du 14 Janvier 2025

9ème chambre 2ème section

N° RG 23/13952 – N° Portalis 352J-W-B7H-C2MC3

COMPOSITION DU TRIBUNAL

M. Gilles MALFRE, Premier Vice-président adjoint

Monsieur Augustin BOUJEKA, Vice-Président

Monsieur Alexandre PARASTATIDIS, Juge

assisté de Madame Camille CHAUMONT, Greffière,

DÉBATS

A l’audience du 12 Novembre 2024 tenue en audience publique devant M. Gilles MALFRE, juge rapporteur, qui, sans opposition des avocats, a tenu seul l’audience, et, après avoir entendu les conseils des parties, en a rendu compte au Tribunal, conformément aux dispositions de l’article 805 du Code de Procédure Civile. Avis a été donné aux avocats que la décision serait rendue le 14 janvier 2025.

JUGEMENT

Rendu publiquement par mise à disposition au greffe

Contradictoire

En premier ressort

EXPOSE DU LITIGE

M. [N] était titulaire d’un compte dans les livres de la SOCIETE GENERALE et détenait avec son épouse un compte joint.

Il a déposé plainte le 6 juin 2023, pour des faits d’escroquerie survenus le 5 juin 2023. Il précise dans sa plainte que le matin du lundi 5 juin 2023, il a reçu un SMS lui indiquant qu’il devait régler une somme de 3,99 euros afin de recevoir un colis. Comme il attendait effectivement un colis, il précise avoir entré ses coordonnées bancaires et avoir validé le paiement avec sa carte AMERICAN EXPRESS. Il ajoute qu’à la suite de cette opération, il a reçu un appel dans l’après-midi d’une personne se disant être du service fraude de la SOCIETE GENERALE et lui signalant que plusieurs opérations frauduleuses étaient en cours sur son compte bancaire et qu’il devait lui donner son identifiant et son code d’accès afin qu’il puisse y faire opposition, ce qu’il a fait. Il ajoute que son interlocuteur lui a ensuite indiqué qu’un coursier allait récupérer sa carte bancaire pour la détruire, précisant avoir remis sa carte à ce courtier. Il souligne que par la suite, il a constaté plusieurs opérations frauduleuses effectuées avec sa carte bancaire, ainsi que plusieurs virements réalisés depuis son compte vers des comptes bancaires inconnus, évaluant alors son préjudice à la somme totale de 9 779,51 euros.

Dans sa déclaration auprès de sa banque, M. [N] a donné la liste des opérations litigieuses, datées du 5 juin 2023, et qui sont constituées de sept achats et sept retraits au distributeur automatique de billets :

— LEROY MERLIN FR, 683,05 euros,

— LEROY MERLIN FR. 470,42 euros,

— LPCARS, 4 050 euros,

— LA POSTE, 7,48 euros,

— MANOMANO, 422,90 euros,

— AIRBNB, 2 041,92 euros,

— AIRBNB, 318,81 euros.

— RETRAIT 173553 [Localité 7], 300 euros,

— RETRAIT 173636 [Localité 7], 300 euros,

— RETRAIT 173713 [Localité 7], 100 euros,

— RETRAIT 173942 [Localité 6], 700 euros,

— RETRAIT 174155 [Localité 6], 2 000 euros,

— RETRAIT 174238 [Localité 6], 2 000 euros,

— RETRAIT 174321 [Localité 6], 1 000 euros.

Ces quatorze opérations représentent la somme totale de 14 394,58 euros.

M. [N] a également contesté le même jour des virements effectués au débit du compte de son épouse, au profit du compte joint, puis vers son compte, pour un montant de 15 900 euros, ainsi qu’un virement de 154 euros de son compte livret sur le compte joint, puis sur son compte, soit 16 054 euros au total.

La SOCIETE GENERALE a procédé au remboursement du montant des quatorze opérations contestées, tout en rappelant dans sa lettre du 12 juin 2023 qu’elle se réservait le droit de contre-passer ce remboursement s’il était établi qu’il avait été effectué à tort.

Ce remboursement a été annulé par la banque, qui a considéré que les opérations de paiement résultaient d’un manquement grave du client à son obligation de préserver la sécurité des données personnelles, de la carte bancaire et/ou du code secret.

C’est dans ces conditions que par acte du 11 août 2023, M. [N] a fait assigner la SOCIETE GENERALE devant la présente juridiction, afin qu’elle soit condamnée à lui payer la somme de 15 000 euros en réparation de ses préjudices économiques, outre une somme identique au titre de son préjudice moral. Il entend par ailleurs que la banque soit condamnée à lui restituer tous les frais et pénalités engendrés par les faits du 5 juin 2023 et à prendre toutes les mesures nécessaires afin d’éviter que lui et son épouse subissent des sanctions des banques et de la Banque de France. Il demande que la SOCIETE GENERALE soit condamnée à lui payer la somme de 5 000 euros au titre des frais irrépétibles.

Par conclusions du 14 juin 2024, M. [N] maintient ses demandes, tout en sollicitant désormais la somme de 12 779,51 euros au titre des préjudices économiques et, au titre des frais et pénalités engendrés par les faits du 5 juin 2023, ceux réclamés par le commissaire de justice AXE LEGAL.

Par conclusions du 22 août 2024, la SOCIETE GENERALE demande au tribunal, à titre principal, de débouter M. [N] de ses demandes et de le condamner à lui payer la somme de 3 000 euros au titre de l’article 700 du code de procédure civile. Subsidiairement, elle sollicite la suspension de l’exécution provisoire de la décision à intervenir.

L’ordonnance de clôture a été rendue le 1er octobre 2024.

SUR CE

Sur la demande principale :

M. [N] fait valoir que la jurisprudence que lui oppose la SOCIETE GENERALE ne concerne pas le type d’escroquerie dont il a été victime, à savoir la fraude au faux conseiller bancaire.

Il estime que la banque ne prouve pas sa négligence grave, alors qu’il lui appartient de démontrer que le client aurait pu sortir de l’étreinte du faux conseiller bancaire, ce qu’elle ne fait pas.

Il évalue désormais son préjudice économique à la somme totale de 12 779,51 euros, soit cinq retraits (1 000 euros, 300 euros (deux fois), 700 euros et 100 euros), cinq achats (7,48 euros, 318,81 euros, 4 050 euros, 2 041,92 euros, 683,05 euros, 470,42 euros et 422,90 euros), outre « 3 000 euros disponibles raflés par le faux conseiller bancaire ».

Sur son préjudice moral, il fait valoir que le 12 juillet 2023, la SOCIETE GENERALE a résilié unilatéralement le contrat relatif au compte bancaire et l’a menacé d’une interdiction bancaire s’il ne créditait pas ce compte au plus tard le 10 septembre 2023, menace qui a été exécutée. Il ajoute avoir été harcelé par les huissiers AXE LEGAL de la SOCIETE GENERALE qui, nonobstant une procédure en cours dont ils sont informés, lui réclament paiement de la somme de 12 486,09 euros. Il souligne en outre que M. [W], son gestionnaire qu’il souhaitait rencontrer, a tenu des propos vexatoires, tout comme la police.

En réponse, la SOCIETE GENERALE relève que M. [N] a diminué sa demande principale à la somme de 9 779,51 euros, outre un virement d’un montant de 3 000 euros qui représenterait le solde créditeur du compte avant la fraude, conservée ou utilisée par le fraudeur, sans préciser de quelle façon cette somme aurait été débitée, ajoutant sur ce point qu’il n’y a pas eu de virement vers un compte inconnu, que ce soit depuis ses comptes ou depuis celui de son épouse, contrairement à ce qu’il prétend. Elle ajoute que dans son assignation, M. [N] n’a pas détaillé les opérations contestées, se contentant de chiffrer son préjudice économique à la somme de 15.000 euros. Elle note que dans ses conclusions, le demandeur a, sans explication, actualisé à la baisse ce préjudice, le fixant désormais à la somme de 12 779,51 euros.

La banque relève que l’analyse de l’accès « Banque à distance » de M. [N] démontre que son numéro de téléphone de sécurité [XXXXXXXX01] n’a pas été modifié depuis son enregistrement le 10 décembre 2019. Elle note que le jour de la fraude, un Pass Sécurité nommé « Apple IPHONE 7 », qui permet de valider des opérations sensibles au moyen d’une authentification forte, a été activé sur le contrat « Banque à distance », cette validation nécessitant la connaissance du code client « Banque à distance », du code secret « Banque à distance » et du code d’activation à usage unique (CSUU) envoyé sur le numéro de téléphone de sécurité. Elle rappelle qu’un SMS de notification a été envoyé sur le numéro de téléphone enregistré pour informer M. [N] de l’activation de ce Pass Sécurité, outre qu’une notification a été générée sur son espace client.

Elle ajoute qu’à la suite de l’activation de ce nouveau Pass Sécurité, un délai de trois jours s’écoule avant de pouvoir l’utiliser mais que les paiements électroniques peuvent être effectués au moyen d’un code « OPEN ID », le client recevant des SMS à usage unique contenant un code secret aléatoire, sur le numéro de téléphone de sécurité, à saisir dans la « Banque à distance », afin de valider les opérations par carte. Elle estime que ce code a nécessairement été communiqué, vu la date des opérations contestées.

La banque souligne que le 5 juin 2023 à 17 heures 19, au moyen du Pass Sécurité enrôlé, le code secret de la carte a pu être consulté sur l’espace « Banque à distance » et qu’ainsi, dès récupération de la carte via un coursier, les fraudeurs étaient à même d’en disposer. Elle précise que le même jour, le plafond de paiement de la carte a été augmenté, ces opérations ayant généré de nouvelles notifications sur l’espace client de M. [N].

Au total la SOCIETE GENERALE rappelle avoir enregistré sept retraits effectués dans des DAB, un paiement validé par lecture de puce et saisie du code d’un montant de 4 050 euros, outre des transactions validées via OPEN ID sur l’espace personnel de M. [N].

Sur la négligence grave, la banque reproche à son client, lors d’un appel téléphonique censé provenir d’un service de la banque mais depuis un numéro sans lien avec la banque, d’avoir donné son identifiant et son code d’accès à la « Banque à distance » puis tous les codes reçus sur son téléphone mobile. Elle relève de plus que M. [N] a remis sa carte bancaire à un inconnu qui a pu procéder à plusieurs retraits d’espèces et des achats, après avoir modifié le plafond de la carte et consulté le code confidentiel.

Ceci étant exposé.

A titre liminaire, il est rappelé que dès lors que la responsabilité d’un prestataire de services de paiement est recherchée en raison d’une opération de paiement non autorisée ou mal exécutée, seul est applicable le régime de responsabilité défini aux articles L. 133-18 à L. 133-24 du code monétaire et financier qui transposent les articles 58, 59 et 60, § 1, de la directive 2007/64/CE, tout autre régime alternatif de responsabilité résultant du droit national devant être écarté.

En cas d’opération de paiement non autorisée signalée par l’utilisateur dans les délais prévus par l’article L. 133-24 du même code, le prestataire de services de paiement du payeur rembourse à ce dernier le montant de l’opération non autorisée sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement.

Dans cette hypothèse, il incombe au prestataire de paiement de prouver que l’opération litigieuse a été effectuée après une authentification forte, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre, l’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement, à savoir l’utilisation des identifiants du client et l’absence de déficience technique ou autre, notamment par le biais de la production d’un relevé de ses connexions, ne suffisant pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur.

L’article L. 133-4 (f) du même code précise qu’une authentification forte s’entend d’une authentification reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories « connaissance » (quelque chose que seul l’utilisateur connaît telle qu’un mot de passe, un code secret, une question secrète, etc…), « possession » (quelque chose que seul l’utilisateur possède telle qu’un téléphone portable, une montre connectée, une clé USB etc…) et « inhérence » (quelque chose que l’utilisateur est, telle que la reconnaissance faciale ou vocale, la reconnaissance par empreinte digitale, etc…) et indépendants en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d’authentification. L’authentification forte repose donc sur l’utilisation de deux de ces éléments, voire plus.

Par ailleurs, la responsabilité du payeur n’est pas engagée si l’opération de paiement non autorisée a été effectuée en détournant, à son insu, l’instrument de paiement ou les données qui lui sont liées. Cependant, il supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’agissements frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L.133-16 et L.133-17 du code précité.

Ainsi, pour échapper au remboursement de l’opération contestée, le prestataire de services de paiement doit démontrer, soit que l’ordre émanait bel et bien du client dûment authentifié dans son espace personnel, soit que le vol des identifiants de connexion (ou d’autres données) n’est que la conséquence d’une faute grave de sa part consistant à ne pas avoir satisfait intentionnellement aux obligations lui incombant en la matière ou à les avoir gravement négligées.

En l’espèce, il n’est pas discuté que les opérations litigieuses sont des opérations non autorisées, M. [N] n’ayant pas entendu y procéder, et qu’elles ont fait l’objet d’une authentification forte.

Dans sa plainte, le requérant reconnaît avoir communiqué à son interlocuteur son identifiant et son code d’accès, pour pouvoir supposément annuler des opérations frauduleuses. Dans ce schéma de fraude, le fraudeur parvient fréquemment à ce que s’affiche sur le téléphone de la victime, soit le numéro du service anti-fraude de sa banque, soit celui de sa banque, soit celui de son conseiller clientèle. Dans ce cas, la négligence grave peut être difficile à caractériser, alors que le client a été mis en confiance par le numéro qui s’affiche sur son téléphone.

Tel n’est pas le cas ici puisque l’interlocuteur de M. [N] a uniquement argué qu’il travaillait au service anti-fraude de la SOCIETE GENERALE. Le requérant n’indique d’ailleurs pas avoir vérifié, juste après la conversation téléphonique, le numéro de téléphone de son interlocuteur.

En outre, alors qu’aucune banque ne demande à un coursier de venir récupérer la carte bancaire d’un client, pour quelque motif que ce soit, M. [N] reconnaît que sur instruction de son interlocuteur, il a remis sa carte à un tiers, soit-disant pour la détruire.

Il est par conséquent établi que le requérant a commis une négligence grave, en communiquant son identifiant et son code d’accès à la « Banque à distance », ainsi qu’en remettant à un inconnu sa carte bancaire, ce qui a permis d’effectuer les retraits d’espèces et achats au moyen de la carte bancaire et en utilisant le code secret qui y est associé.

M. [N] ne peut dès lors qu’être débouté de ses demandes.

Sur les autres demandes :

L’équité commande de ne pas prononcer de condamnation au titre des frais irrépétibles.

PAR CES MOTIFS

Le tribunal, statuant publiquement, contradictoirement et en premier ressort, par mise à disposition au greffe,

Déboute M. [G] [N] de ses demandes ;

Le condamne aux dépens ;

Dit n’avoir lieu à condamnation au titre de l’article 700 du code de procédure civile.

La greffière le Président