TRIBUNAL

JUDICIAIRE

DE PARIS [1]

[1]

Expéditions

délivrées le:

M^e ICHOUA

M^e FONTANA

■

9ème chambre 2ème section:

N° RG 23/15392 – N° Portalis 352J-W-B7H-C3KIS

N° MINUTE :

Assignation du :

29 Novembre 2023

JUGEMENT

rendu le 17 Septembre 2025

DEMANDEURS

Monsieur [I] [Z]

[Adresse 4]

[Localité 7]

représenté par Maître Rébecca ICHOUA, avocat au barreau de PARIS, vestiaire #D0738

Madame [O] [N] épouse [Z]

[Adresse 4]

[Localité 7]

représentée par Maître Rébecca ICHOUA, avocat au barreau de PARIS, vestiaire #D0738

DÉFENDERESSE

SOCIETE GENERALE

[Adresse 3]

[Localité 6]

représentée par Maître Dominique FONTANA de la SELARL DREYFUS FONTANA, avocats au barreau de PARIS, vestiaire #K0139

Décision du 17 Septembre 2025

9ème chambre 2ème section

N° RG 23/15392 – N° Portalis 352J-W-B7H-C3KIS

COMPOSITION DU TRIBUNAL

Gilles MALFRE, Premier vice-président adjoint

Augustin BOUJEKA, Vice-Président

Alexandre PARASTATIDIS, Juge

assistés de Diane FARIN, Greffière.

DÉBATS

A l’audience du 04 Juin 2025 tenue en audience publique devant, Alexandre PARASTATIDIS, juge rapporteur, qui, sans opposition des avocats, a tenu seul l’audience, et, après avoir entendu les conseils des parties, en a rendu compte au Tribunal, conformément aux dispositions de l’article 805 du Code de Procédure Civile. Avis a été donné aux avocats que la décision serait rendue le 17 septembre 2025.

JUGEMENT

Rendu publiquement par mise à disposition au greffe

Contradictoire

En premier ressort

FAITS ET PROCEDURE

M. [I] [Z] et son épouse, Mme [O] [N], sont titulaires dans les livres de la SA Société générale d’un compte de particuliers joint n° [XXXXXXXXXX05]. M. [Z] est également titulaire d’un compte Livret A n° [XXXXXXXXXX02].

Le 17 avril 2023, M. [Z] a déposé auprès du commissariat de police de [Localité 7] (92) une plainte contre X aux termes de laquelle il exposait avoir cliqué sur le lien contenu dans un SMS ayant pour expéditeur apparent l’Agence Nationale de Traitement Automatisé des Infractions (ci-après ANTAI) et complété les renseignements demandés pour le prétendu règlement d’une amende. Il indiquait avoir reçu quelques jours plus tard, le 13 avril 2023, un appel, tout d’abord depuis un poste fixe puis d’une ligne mobile, d’une personne se présentant comme un collègue de son conseiller clientèle auprès de la Société générale dont il citait le nom, l’informant de l’exécution en cours d’opérations frauduleuses et lui proposant d’envoyer un coursier récupérer sa carte bancaire. Il reconnaissait avoir ainsi restitué sa carte le jour même en fin d’après-midi à un individu s’étant présenté en bas de son immeuble. Il ajoutait que quelques heures plus tard, le service fraude de la banque lui avait confirmé le blocage de son compte. Il faisait état d’un préjudice de 10.000 euros correspondant à six retraits effectués dans des distributeurs automatiques de billets (ci-après DAB) entre le 13 avril à 18h59 et le 14 avril à 00h03 pour des montants compris entre 1.000 et 2.000 euros chacun, précisant que les fraudeurs avaient procédé à un virement interne depuis son livret A vers le compte commun du ménage.

Par lettre de son conseil du 17 mai 2023, M. [Z] a adressé à la SA Société générale une mise en demeure de lui rembourser la somme de 10.000 euros qui est demeurée infructueuse.

C’est dans ce contexte que par exploit de commissaire de justice du 29 novembre 2023, les époux [Z] ont fait assigner la SA Société générale en recherche de sa responsabilité devant le tribunal judiciaire de Paris auquel, aux termes de leurs dernières conclusions signifiées le 19 novembre 2024, aux visas de l’article 1231-1 du code civil et de l’article L.221-5 du code monétaire et financier, il est demandé de :

«  RECEVOIR Monsieur et Madame [Z] en leurs demandes et les déclarer bien fondés,

CONDAMNER la Société Générale à verser à Monsieur et Madame [Z] la somme de 10.000 euros en réparation de leur préjudice financier, avec intérêts au taux légal à compter du 8 juin 2023 et capitalisation des intérêts,

CONDAMNER la Société Générale à verser à Monsieur et Madame [Z] la somme de 10.000 euros en réparation de leur préjudice moral,

CONDAMNER la Société Générale à verser Monsieur et Madame [Z] la somme de 5.000 euros an application de l’article 700 du code de procédure civile ainsi que les entiers dépens de l’instance. "

Aux termes de ses dernières conclusions signifiées le 17 décembre 2024, aux visas des articles L.133-16, L.133-17, L.133-19 IV du code monétaire et financier, la SA Société générale demande au tribunal de :

«  DECLARER Monsieur et Madame [Z] mal fondés en leurs demandes.

LES EN DEBOUTER.

CONDAMNER solidairement Monsieur et Madame [Z] à payer à SOCIETE GENERALE la somme de 3.000 € au titre de l’article 700 du C.P.C., ainsi que les entiers dépens.

Subsidiairement,

ORDONNER la suspension de l’exécution provisoire de la décision à intervenir. "

Conformément aux dispositions de l’article 455 du code de procédure civile, il est renvoyé aux dernières écritures des parties pour l’exposé des moyens et arguments venant au soutien de leurs demandes.

La clôture de l’instruction a été prononcée le 26 mars 2025. L’affaire a été évoquée à l’audience de plaidoiries tenue en juge rapporteur du 04 juin 2025 et mise en délibéré au 17 septembre 2025.

MOTIFS DE LA DÉCISION

1 – Sur la demande de remboursement

Invoquant à la fois le devoir général de vigilance du banquier et les articles L.133-18 et L.133-19 du code monétaire et financier, les époux [Z] font grief à la banque d’un défaut de vigilance en ce qu’elle a permis le retrait de sommes dépassant le plafond journalier stipulé dans la convention de compte, et ce y compris postérieurement à l’appel téléphonique du service fraude leur confirmant que la carte bancaire de M. [Z] avait été bloquée, précisant par ailleurs que celui-ci n’a jamais remis aux fraudeurs de données personnelles sécurisées ni autorisé les opérations contestées. Rappelant que la preuve du consentement à l’opération par l’utilisateur ne peut se déduire de la seule utilisation de l’instrument de paiement, ni de la seule authentification ou sécurisation de l’opération, ni même de l’utilisation des identifiants du client, les époux [Z] dénient aux relevés de traces informatiques produits par la banque une valeur probante suffisante pour décharger de sa responsabilité la défenderesse qui, selon eux, est défaillante dans la démonstration d’une négligence grave de leur part. Ils concluent en revanche à un manquement de la banque dans la mise en œuvre d’un système d’authentification forte s’agissant des virements internes réalisés depuis le livret A de M. [Z] qui ont alimenté le compte joint et ainsi permis les retraits litigieux dont ils soulignent le caractère inhabituel qui aurait dû alerter la banque, laquelle ne justifie pas avoir déposé plainte contre X pour l’usurpation de sa qualité et de son identité par les fraudeurs dont il n’est pas exclut que ces derniers se soient introduits dans le système de la banque.

Les époux [Z] sollicitent en conséquence la condamnation de la SA Société générale à leur payer la somme de 10.000 euros en réparation de leur préjudice matériel avec intérêts au taux légal à compter du 8 juin 2023 et capitalisation des intérêts. Ils réclament également une somme d’un même montant au titre de leur préjudice moral faisant valoir que, particulièrement âgés, ils ont été affectés par l’absence de réponse et d’action de la défenderesse.

En réplique, la SA Société générale fait tout d’abord valoir que les demandeurs sont mal fondés à rechercher sa responsabilité contractuelle sur le fondement d’un manquement à son devoir général de vigilance dès lors que les opérations litigieuses revêtent un caractère non autorisé et relèvent du régime de responsabilité défini aux articles L.133-18 à L.133-20 du code monétaire et financier à l’exclusion de tout autre régime alternatif de responsabilité.

La SA Société générale soutient ensuite qu’il ressort de l’analyse des traces informatiques de l’espace « Banque à distance » qu’elle verse aux débats que le 13 avril 2023 à 18h08, un Pass sécurité a été enrôlé sur le contrat de M. [Z] au moyen de son code client, son code secret et du code d’activation à usage unique envoyé sur le numéro de téléphone de sécurité que ce dernier avait enregistré le 23 juillet 2016, précisant que le demandeur ne conteste pas avoir été en possession de son téléphone au moment des faits litigieux. La SA Société générale en déduit que M. [Z] a nécessairement communiqué ces éléments aux fraudeurs et notamment le code de sécurité à usage unique envoyé sur son téléphone, relevant la concomitance de la transmission de cet élément avec les appels frauduleux reçus par le demandeur. Elle ajoute qu’il ressort également des traces informatiques que le Pass sécurité a par la suite été utilisé depuis l’espace en ligne pour relever à plusieurs reprises les plafonds de paiement et de retrait de la carte bancaire de M. [Z], chacune de ces opérations, tout comme les retraits frauduleux, ayant généré des notifications sur l’espace client du demandeur. Elle indique qu’en parallèle des virements internes, qui selon elle n’ont pas été générateurs de préjudice, ont été validés sur l’espace en ligne au moyen des identifiant et mot de passe du demandeur. Elle déduit de l’ensemble de ces éléments une absence de responsabilité de sa part.

La banque fait valoir par ailleurs que M. [Z] a fait preuve de négligence grave en manquant à ses obligations contractuelles et légales à plusieurs stades de la fraude en ce qu’il a 1) communiqué ses données bancaires dans le cadre d’une escroquerie de type « phishing » malgré les nombreuses communications faites auprès du grand public sur ce type d’infraction, 2) omis d’effectuer des vérifications auprès de sa banque sur la qualité réelle de son interlocuteur et ce alors que plusieurs heures se sont écoulées entre le premier appel et le second au cours duquel les opérations litigieuses ont pu être réalisées, 3) communiqué des données de sécurité aux fraudeurs, ce dont il se déduit de ses déclarations devant les services de police, 4) n’a pas réagi malgré les notifications reçues sur son téléphone, et 5) remis sa carte à un tiers. La banque ajoute que les demandeurs ne sauraient se prévaloir de la décision rendue par la chambre commerciale de la Cour de cassation le 23 octobre 2024 (n° pourvoi 23-16.267) considérant qu’une victime de spoofing n’avait pas fait preuve de négligence grave, les faits de l’espèce étant différents en ce que le numéro usurpé était celui du conseiller de la victime qui n’a par ailleurs pas remis sa carte bancaire à un tiers ni communiqué ses données de sécurité personnalisées. La SA Société générale fait également grief à M. [Z] d’avoir manqué à l’obligation d’informer sans tarder l’établissement bancaire de toute utilisation non autorisée de ses moyens de paiement alors qu’au cas particulier, il aurait pu faire obstacle à la fraude, trois quart d’heures s’étant écoulés entre l’activation du Pass sécurité, dont il a été informé par l’envoi d’une notification, et la première opération contestée.

Enfin, la banque conclut à l’absence de manquement de sa part, faisant valoir que soumise à un devoir de non-immixtion dans les affaires de ses clients, elle n’avait pas à s’interroger sur les opérations effectuées par M. [Z], ni à se préoccuper de leur opportunité en l’absence d’anomalies apparentes s’agissant d’opérations authentifiées et dûment enregistrées et comptabilisées, qui n’étaient pas affectées par une déficience technique ou autre, et réalisées dans la limite des plafonds autorisés depuis des comptes suffisamment approvisionnés.

Elle conclut en conséquence au rejet de l’ensemble des demandes indemnitaires.

Sur ce,

En cas d’opération de paiement non autorisée signalée par l’utilisateur dans les délais pré-vus par l’article L.133-24 du même code, le prestataire de services de paiement du payeur rembourse à ce dernier le montant de l’opération non autorisée, sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement.

Dans cette hypothèse, il incombe au prestataire de paiement de prouver que l’opération litigieuse a été effectuée après une authentification forte, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre, l’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement, à savoir l’utilisation des identifiants du client et l’absence de déficience technique ou autre, notamment par le biais de la production d’un relevé de ses connexions, ne suffisant pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur.

Par ailleurs, la responsabilité du payeur n’est pas engagée si l’opération de paiement non autorisée a été effectuée en détournant, à son insu, l’instrument de paiement ou les données qui lui sont liées. Cependant, il supporte toutes les pertes occasionnées par des opérations de paie-ment non autorisées si ces pertes résultent d’agissements frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L.133-16 et L.133-17 du code précité.

Ainsi, pour échapper au remboursement de l’opération, le prestataire de services de paiement doit démontrer, soit que l’ordre émanait bel et bien du client dûment authentifié dans son espace personnel, soit que le vol des identifiants de connexion (ou d’autres données) n’est que la conséquence d’une faute grave de sa part consistant à ne pas avoir satisfait intentionnellement aux obligations lui incombant en la matière ou à les avoir gravement négligées.

En l’espèce, la banque verse aux débats les traces informatiques des opérations au cours de la période litigieuse, étant relevé que M. [Z] n’a pas déclaré la perte ou le vol de son téléphone portable enregistré par la banque comme son numéro de téléphone de sécurité.

Ces copies d’écran, issues du système informatique de la SA Société générale, doivent être regardées comme un commencement de preuve dès lors que, d’une part, la partie adverse dispose de toute latitude pour en contester les termes et que, d’autre part, il s’agit des seuls documents justificatifs dont peut valablement disposer l’établissement bancaire. Dénier toute valeur probante, même relative, aux pièces fournies par l’établissement bancaire reviendrait, de fait, à priver ce dernier de toute possibilité de prouver l’authentification et l’enregistrement des opérations litigieuses.

Il ressort tout d’abord de ces document et plus particulièrement des pièces n°13 à 21 produites par la banque que le 13 avril 2023, entre 18h08 et 18h12, au moyen d’un code de sécurité à usage unique envoyé sur le téléphone de sécurité de M. [Z] (n° [XXXXXXXX01]), un Pass sécurité a été activé sur le contrat « Banque à distance » de M. [Z], suivi de l’envoi d’un message de confirmation de l’activation sur le même numéro. Si lesdits documents ne permettent pas d’identifier l’appareil sur lequel le Pass sécurité a été enregistré, il en ressort néanmoins que cette signature électronique a par la suite été utilisée pour effectuer les opérations contestées, à savoir les virements internes et les augmentations de plafonds de la carte bancaire.

Il résulte de ces éléments que ces opérations litigieuses ont été réalisées en suivant la procédure d’authentification forte.

Par ailleurs, il n’est pas contesté que les retraits par carte bancaire ont également fait l’objet d’une authentification forte, à savoir l’utilisation physique, supposant sa possession, de la carte bancaire présentée dans les DAB ainsi que la connaissance du code secret.

Il s’en déduit que les opérations litigieuses ont été authentifiées et dûment enregistrées et comptabilisées, et n’étaient pas affectées par une déficience technique, sauf à ce que les demandeurs rapportent la preuve contraire, ce qu’ils ne font pas au cas particulier.

Cependant, il ne peut se déduire du seul fait que l’instrument de paiement et/ou les données personnelles qui lui sont liées ont été effectivement utilisés qu’en l’espèce, M. [Z] a autorisé les opérations contestées.

Au cas particulier, la banque ne conteste d’ailleurs pas la qualité de victime des demandeurs et ne discute pas le fait que ces derniers ne sont pas à l’origine des retraits réalisés avec la carte bancaire que M. [Z] reconnaît avoir remise à un tiers.

De plus, s’agissant des virements internes qui sont venus alimenter le compte joint des époux [Z], il n’est pas discuté par la banque que ceux-ci sont intervenus dans le contexte d’escroquerie dénoncée et qu’ils ont été initiés par les fraudeurs, la défenderesse soulevant uniquement l’absence de préjudice en résultant.

Ainsi, en présence d’opérations non autorisées au sens des articles L.133-3 et L.133-6 du code monétaire et financier, il convient de rechercher si les demandeurs peuvent se voir reprocher une négligence grave au sens des articles L.133-16 et suivants du code monétaire et financier faisant obstacle à leur indemnisation, étant rappelé que le régime de responsabilité s’appliquant aux opérations non autorisées énoncé par ces articles est exclusif de tout autre régime de responsabilité, notamment sur le fondement d’un manquement à l’obligation générale de vigilance.

Si M. [Z] conteste avoir communiqué des informations personnelles et confidentielles à son interlocuteur, il admet cependant, d’une part avoir cliqué sur le lien du SMS frauduleux l’invitant à régler une prétendue amende, ce dont il se déduit qu’il a nécessairement à cette occasion transmis à son insu ses données de sécurité personnalisées bancaires, ce qui constitue une première négligence, l’ANTAI n’envoyant jamais de SMS au particulier pour le règlement d’amende, et le caractère frauduleux de ce type de message étant régulièrement porté à la connaissance du public par les autorités. Il est par ailleurs relevé qu’aux termes de sa plainte, M. [Z] reconnaît explicitement avoir suivi les instructions du fraudeur lors du second appel reçu (« Etant mis en confiance, j’ai fait ce qu’il m’a demandé »). Si le demandeur ne précise pas les actions réalisées à la demande de son interlocuteur, le tribunal relève cependant que celles-ci ont été concomitantes à l’enregistrement du Pass sécurité et qu’il s’en déduit que M. [Z] a nécessairement communiqué le code à usage unique reçu sur ton téléphone qui a permis au fraudeur d’enregistrer le Pass sécurité et d’initier ultérieurement lui-même les opérations litigieuses notamment en relevant les plafonds de retrait, en réalisant des virements internes et en consultant le code secret de la carte bancaire.

Au cas particulier, si M. [Z] affirme avoir été victime d’une escroquerie de type « spoofing téléphonique », il ne verse aux débats aucune pièce rapportant la preuve des numéros de téléphone avec lesquels le fraudeur l’a contacté, étant relevé par ailleurs qu’il n’est pas démontré que les numéros qu’il donne dans sa plainte seraient associés d’une quelconque manière avec la SA Société générale. Les époux [Z] ne sauraient dès lors se prévaloir de la solution adoptée par la chambre commerciale de la Cour de cassation dans un arrêt du 23 octobre 2024 dont les faits d’espèce diffèrent en ce que le client avait été contacté avec le numéro de téléphone affiché de sa conseillère clientèle, la simple mention par le fraudeur du nom du conseiller habituel des demandeurs étant insuffisante à justifier le manque de vigilance de M. [Z] et à l’exonérer automatiquement de toute responsabilité, et ce d’autant plus au regard des instructions données par son interlocuteur quant à la remise de sa carte bancaire, mode opératoire qui n’est jamais proposé à leurs clients par les établissements bancaires.

En effet, le fait de remettre sa carte bancaire, qui est le support nécessaire à toute opéra-tion de retrait dans un DAB ou tout paiement auprès d’un commerçant en boutique, à un coursier agissant prétendument pour le compte de la SA Société générale constitue une négligence grave, aucune banque n’agissant de la sorte.

Les retraits par carte bancaire ne peuvent par conséquent être remboursés.

S’agissant des virements, il résulte des développements précédents qu’en communiquant ses données de sécurités personnalisées, M. [Z] a transmis aux fraudeurs les éléments ayant permis la réalisation des détournement et a ainsi commis une négligence grave en méconnaissant les obligations légales et contractuelles de confidentialité mises à sa charge. De plus, il ressort de la pièce n°22 produite par la banque, intitulée « liste des écritures comptables », que le compte joint des époux [Z] présentait un solde créditeur de 21.172,79 euros au 11 avril 2023, soit antérieurement à son approvisionnement par les virements litigieux. Il en résulte que le compte joint était suffisamment provisionné pour permettre les retraits frauduleux réalisés pour un montant total de 10.000 euros et qu’il n’est donc pas résulté de préjudice financier de ces virements.

En conséquence, les époux [Z] sont déboutés de leurs demandes d’indemnisation.

2 – Sur les autres demandes

2.1 – Sur les frais du procès

Les époux [Z] qui succombent sont condamnés aux dépens.

L’équité commande de ne pas prononcer de condamnation sur le fondement de l’article 700 du code de procédure civile.

2.2 – Sur l’exécution provisoire

La présente décision est revêtue de droit de l’exécution provisoire conformément aux dispositions de l’article 514 du code de procédure civile dans sa version applicable en l’espèce, l’instance ayant été introduite postérieurement au 31 décembre 2019.

L’issue donnée au litige commande d’écarter l’exécution provisoire.

PAR CES MOTIFS

Le tribunal, statuant publiquement, contradictoirement et en premier ressort, par mise à disposition au greffe,

DEBOUTE M. [I] [Z] et Mme [O] [N] épouse [Z] de leurs demandes ;

CONDAMNE M. [I] [Z] et Mme [O] [N] épouse [Z] aux dépens ;

DIT n’y avoir lieu à condamnation sur le fondement de l’article 700 du code de procédure civile ;

ECARTE l’exécution provisoire.

Fait et jugé à Paris le 17 Septembre 2025

LA GREFFIÈRE LE PRÉSIDENT