TRIBUNAL

JUDICIAIRE

DE [Localité 5] [1]

[1]

Expéditions

exécutoires

délivrées le :

■

9ème chambre 1ère section

N° RG 23/11081

N° Portalis 352J-W-B7H-C2TLC

N° MINUTE :

Contradictoire

Assignation du :

21 août 2023

JUGEMENT

rendu le 04 Juin 2025

DEMANDEUR

Monsieur [O] [N]

[Adresse 2]

[Localité 4]

représenté par Maître Guillaume DAUCHEL de la SELARL CABINET SEVELLEC DAUCHEL, avocat au barreau de PARIS, avocat plaidant, vestiaire #W0009

DÉFENDERESSE

S.A. BNP PARIBAS

[Adresse 1]

[Localité 3]

représentée par Maître Philippe METAIS du PARTNERSHIPS BRYAN CAVE LEIGHTON PAISNER (France) LLP, avocat au barreau de PARIS, avocat plaidant, vestiaire #R030

COMPOSITION DU TRIBUNAL

Madame Anne-Cécile SOULARD, Vice-présidente,

Monsieur Patrick NAVARRI,Vice-président,

Madame Marine PARNAUDEAU, Vice-présidente,

assistés de Madame Sandrine BREARD, greffière.

DÉBATS

A l’audience du 09 avril 2025 tenue en audience publique devant Madame Anne-Cécile SOULARD, juge rapporteur, qui, sans opposition des avocats, a tenu seule l’audience, et, après avoir entendu les conseils des parties, en a rendu compte au Tribunal, conformément aux dispositions de l’article 805 du Code de procédure civile.

Décision du 04 Juin 2025

9ème chambre 1ère section

N° RG 23/11081 – N° Portalis 352J-W-B7H-C2TLC

JUGEMENT

Rendu publiquement par mise à disposition au greffe

Contradictoire

En premier ressort

EXPOSÉ DU LITIGE

M. [N] est titulaire d’un compte ouvert auprès de la BNP Paribas.

Le 25 juillet 2022, M. [N] a reçu deux SMS qu’il pensait provenir de la BNP Paribas lui demandant de réactiver sa clé digitale.

Le 26 juillet 2022, M. [N] a reçu un appel d’une personne disant travailler pour la BNP Paribas qui avait connaissance des dernières opérations réalisées sur son compte bancaire. Sur les recommandations de son interlocuteur, M. [N] a cliqué sur le lien envoyé la veille par SMS.

Le 27 juillet 2022, M. [N] a reçu un nouveau SMS de la BNP Paribas l’informant d’une suspicion de fraude. Il a fait opposition sur sa carte bancaire en appelant sa banque le jour même.

Le 28 juillet 2022, M. [N] a contesté 5 débits réalisés les 26 et 27 juillet 2022 sur son compte bancaire pour un montant de 22 629,38 euros :

— un paiement de 8 790 euros le 26 juillet 2022 au bénéfice de “Prada Retail France”,

— un paiement de 3 120 euros le 26 juillet 2022 au bénéfice de “NTK”,

— un paiement de 5 200 euros le 27 juillet 2022 au bénéfice de “Xceed”,

— un paiement de 2 600 euros le 27 juillet 2022 au bénéfice de “Xceed”,

— un paiement de 2 947,13 euros le 27 juillet 2022 au bénéfice de “Airbnb”.

M. [N] a demandé le remboursement de ces paiements à la BNP Paribas, ce que celle-ci a refusé.

Par acte de commissaire de justice du 21 août 2023, M. [N] a fait assigner la société anonyme BNP Paribas devant le tribunal judiciaire de Paris.

Demandes et moyens de M. [N]

Dans ses dernières conclusions communiquées par voie électronique le 25 novembre 2024, M. [N] demande au tribunal de :

«  – JUGER que M. [N] n’a commis aucune négligence grave au sens de l’article L.133-19 du Code Monétaire et Financier ;

— JUGER que BNP ne démontre pas que les opérations litigieuses ne sont affectées d’aucune défaillance technique ;

— JUGER que la résistance abusive de BNP caractérise une faute distincte engageant sa responsabilité civile à l’égard de M. [N].

En conséquence,

— CONDAMNER BNP à remboursement à M. [N] de la somme de 22.629,38 € en principal, assortie d’une pénalité correspondant au taux légal majoré de 15 points ;

— CONDAMNER BNP à payer à M. [N] de la somme de 15.000 € à titre de dommages intérêts ;

— CONDAMNER BNP à payer à M. [N] de la somme de 3.500 € sur le fondement de l’article 700 du Code de procédure civile, outre les entiers dépens. "

M. [N] admet qu’il a communiqué au fraudeur le code d’activation de la clé digitale mais observe qu’il a été mis en confiance par l’appel téléphonique d’une personne se présentant comme conseiller bancaire de la BNP Paribas, laquelle avait connaissance des dernières opérations réalisées sur son compte bancaire.

En revanche, M. [N] allègue qu’il n’a communiqué ni ses identifiant et code d’accès à son espace client, ni les données de paiement de sa carte bancaire. Il soutient que les fraudeurs ont eu accès à ses données en raison d’une défaillance du système de sécurité de la BNP Paribas. En outre, M. [N] conteste avoir reçu un mail sur l’enrôlement de sa clé digitale.

Demandes et moyens de la BNP Paribas

Dans ses dernières conclusions communiquées par voie électronique le 14 janvier 2025, la BNP Paribas demande au tribunal de :

«  Sur la demande formée par Monsieur [N] tendant au remboursement des opérations litigieuses

— Juger que les transactions litigieuses ont été dûment authentifiées et que BNP Paribas a parfaitement respecté ses obligations en matière de sécurisation de l’instrument de paiement de Monsieur [N] ;

— Juger que Monsieur [N] a commis une négligence grave au sens de l’article L. 133-19 IV du Code monétaire et financier ;

En conséquence,

— Débouter Monsieur [N] de sa demande de remboursement des opérations litigieuses à hauteur de 22.629,38 euros, assorti d’une pénalité correspondant au taux légal majoré de 15 points ;

Sur la demande formée par Monsieur [N] tendant au paiement de dommages et intérêts

— Juger que le régime de responsabilité des prestataires de services de paiement tel qu’issu des articles L.133-1 et suivants du Code monétaire et financier fait l’objet d’une application exclusive et autonome ;

— Juger que BNP Paribas n’a commis aucune inexécution contractuelle ;

En conséquence,

— Débouter Monsieur [N] de sa demande tendant au paiement de la somme de 15.000,00 euros à titre de dommages et intérêts ;

En tout état de cause

— Débouter Monsieur [N] de l’intégralité de ses demandes, fins et conclusions à l’encontre de BNP Paribas ;

— Condamner Monsieur [N] à verser à BNP Paribas la somme de 2.500,00 euros au titre de l’article 700 du Code de procédure civile ainsi qu’aux entiers dépens ;

— Ecarter l’exécution provisoire de la décision à intervenir. "

La BNP Paribas fait valoir que M. [N] a reçu le 25 juillet 2022 deux SMS frauduleux au nom de BNP Paribas et comportant un lien vers un site internet usurpant l’identité visuelle de BNP Paribas. Elle soutient que ces SMS avaient pour but de capter les données confidentielles de M. [N] et notamment les codes d’accès à son espace en ligne.

La BNP Paribas considère que M. [N] a fait l’objet d’un phishing et a renseigné sur le site internet frauduleux les identifiant et mot de passe de son espace en ligne ainsi que les données confidentielles de sa carte bancaire dont son cryptogramme.

La BNP Paribas relève que M. [N] ne précise pas que le numéro affiché sur son téléphone lors de l’appel du soi-disant conseiller était un numéro de la BNP Paribas, de telle sorte que le spoofing n’est pas établi. Elle observe que M. [N] a transféré sa clé digitale vers le téléphone mobile du fraudeur en suivant ses instructions.

La BNP Paribas souligne que les 5 transactions frauduleuses des 26 et 27 juillet 2022 ont été effectuées au moyen de la carte bancaire de M. [N] et de sa clé digitale alors enrôlée sur le téléphone portable du fraudeur.

La BNP Paribas affirme qu’elle a respecté ses obligations en matière de sécurisation de l’instrument de paiement de M. [N] et remarque que chaque transaction litigieuse a été dûment authentifiée, enregistrée, comptabilisée et n’a fait l’objet d’aucune déficience technique. Elle estime que M. [N] a fait preuve de négligences graves qui sont à l’origine des paiements frauduleux.

* * *

Conformément aux dispositions de l’article 455 du code de procédure civile, il sera renvoyé aux dernières écritures des parties pour un plus ample exposé des moyens et arguments venant au soutien de leurs demandes et de leurs défenses.

Le juge de la mise en état a clôturé l’instruction de l’affaire par ordonnance du 22 janvier 2025 et fixé l’affaire pour être plaidée à l’audience tenue en juge rapporteur du 30 avril 2025.

MOTIFS DE LA DÉCISION

1. Sur les opérations non autorisées

Une opération de paiement n’est autorisée au sens des articles L.133-3 et L.133-6 du code monétaire et financier que si le payeur l’a initiée et a consenti au montant de l’opération.

L’article L.133-18 du code monétaire et financier pose le principe du remboursement par la banque des opérations de paiement non autorisées : « En cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L. 133-24, le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement et s’il communique ces raisons par écrit à la Banque de France. Le cas échéant, le prestataire de services de paiement du payeur rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu. »

Par dérogation à ce principe, l’article L.133-19 IV prévoit que le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L.133-16 et L.133-17, lesquels lui font obligation notamment de préserver la sécurité de ses données.

L’article L.133-23 du code monétaire et financier fixe les règles de preuve applicables lorsque l’utilisateur conteste avoir donné son autorisation au paiement : " En application de l’article L.133-23 du code monétaire et financier, lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre.

L’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière. Le prestataire de services de paiement, y compris, le cas échéant, le prestataire de services de paiement fournissant un service d’initiation de paiement, fournit des éléments afin de prouver la fraude ou la négligence grave commise par l’utilisateur de services de paiement. "

La négligence grave de l’utilisateur ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été utilisés.

Il appartient donc à la banque de prouver la faute volontaire ou non du payeur, autrement qu’en démontrant l’utilisation de données hautement confidentielles et elle ne peut se contenter d’invoquer le probable « hameçonnage » ou « phishing » dont le client aurait été victime, c’est-à-dire un courriel ou un SMS frauduleux qui l’aurait nécessairement conduit, en réponse, à divulguer ses éléments d’identification personnels au fraudeur.

L’établissement bancaire qui refuse de procéder au remboursement supporte la charge de la preuve de la négligence grave imputée à son client.

Enfin, en application de l’article L.133-19 V du code monétaire et financier, sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si l’opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement du payeur n’exige une authentification forte du payeur.

En l’espèce, la BNP Paribas ne remet pas en question la qualité de victime d’une fraude de M. [N]. Ce dernier, quant à lui, ne conteste pas que les opérations litigieuses ont été passées selon une procédure d’authentification forte au sens des textes précités, ce qu’attestent les traces informatiques de l’espace en ligne ainsi que les traces informatiques des cinq opérations par cartes bancaires produites par la banque.

Selon l’article L.133-24 du code monétaire et financier, l’utilisateur de services de paiement signale, sans tarder, à son prestataire de services de paiement une opération de paiement non autorisée ou mal exécutée.

Ainsi le code monétaire et financier impose à l’utilisateur de paiement qui nie avoir autorisé une opération de paiement de la signaler sans tarder à son prestataire de services de paiement. Il ne lui impose pas de prendre l’attache des commerçants auprès desquels ont été effectués les paiements contestés.

Par conséquent, il ne saurait être reproché à M.[N] de ne pas avoir pris attache avec les commerçants ayant reçu les paiements litigieux. Il ressort en outre des échanges de M. [N] avec la BNP Paribas que celui-ci a signalé dès le 28 juillet 2022 les opérations non autorisées intervenues les 26 et 27 juillet 2022.

M. [N] a reçu le 25 juillet 2022 deux SMS ainsi rédigés :

— « BNP Paribas : vous informe qu’une mise a jour de votre espace client est necessaire afin de reactiver la cle digitale et d’eviter une inactivite sur vos comptes : http://digitale-bnpparibas.com »

— « BNP Paribas : vous informe qu’une mise a jour de votre espace client est necssaire afin de reactiver la cle digitale et d’eviter une inactivite sur vos comptes : http://particulier-digitale.fr ».

La BNP Paribas affirme que ces SMS sont des SMS frauduleux ne provenant pas de ses services, comme le démontrent l’absence d’accent, la formulation relative aux faits « d’éviter une inactivité sur les comptes » qui ne correspond pas à la pratique bancaire et l’existence de deux liens distincts.

Ces SMS ont été envoyés en utilisant le numéro habituellement utilisé par la BNP Paribas pour envoyer des messages à M. [N]. Le contrôle des numéros revient à l’opérateur téléphonique de telle sorte que l’usurpation du numéro ne peut être imputée à la BNP Paribas, celle-ci n’ayant pas la possibilité d’empêcher l’utilisation de son numéro de téléphone.

La BNP Paribas soutient que M. [N] aurait cliqué sur les liens contenus dans les SMS et transmis ses données confidentielles sur un site usurpant l’identité visuelle de BNP Paribas.

Ce-dernier a précisé dans un mail à la BNP Paribas du 28 juillet 2022 : « malgré ces 2 SMS, je n’ai rien fait. C’est le lendemain, Mardi 26/07/2022 à 18h41, qu’un Monsieur se présentant de la Bnpp m’a téléphoné pour me dire que j’avais reçu un SMS avec une demande de »mise à jour de ma clef digitale« et qu’il fallait que je fasse le nécessaire. Le SMS venant effectivement de votre établissement, j’ai naturellemnt »mis à jour la clef digitale".

M. [N] ne peut établir que le numéro utilisé par la personne l’ayant appelé le 26 juillet correspond au numéro de téléphone habituellement utilisé par la BNP Paribas et qu’il aurait été ainsi mis en confiance par l’usurpation du numéro de sa banque lors de cet appel.

Il ressort des traces informatiques que le 26 juillet 2022, la clé digitale de M. [N] a été enrôlée sur un nouveau téléphone portable. Avant ce nouvel enrôlement, un SMS a été envoyé sur le téléphone portable de M. [N] avec la phrase suivante : " BNP Paribas NE JAMAIS COMMUNIQUER CE CODE Activez la Clé Digitale en cliquant : mescomptes://activation/… En cas de doute, contactez votre conseiller ".

Le fraudeur n’a pu enrôler la clé digitale de M. [N] qu’au moyen du code contenu dans ce SMS. Il ressort des déclarations de M. [N] précitées qu’il a suivi les instructions du fraudeur qui l’invitait à « mettre à jour sa cle digitale », ce qui l’a également conduit à transmettre le code d’activation de sa clé digitale ainsi qu’il le reconnaît dans ses conclusions, nonobstant l’avertissement contenu dans le SMS lui enjoignant de ne jamais communiquer ce code.

M. [N] a dès lors manqué à son obligation de préservation de la sécurité de ses données de sécurité personnalisées, comprenant nécessairement la préservation de la confidentialité des codes d’activation ou validation qui lui sont adressés et qui est rappelée dans chaque envoi. Ce manquement caractérise une négligence grave en ce qu’il a permis l’enrôlement de l’appareil qui a servi par la suite aux opérations frauduleuses.

En outre ce manquement à l’origine des paiements frauduleux permet d’écarter l’hypothèse d’une déficience technique du système de sécurisation de la banque.

Compte tenu de la négligence grave imputable à M. [N], ses demandes de remboursement des paiements non autorisés seront rejetées.

2. Sur la résistance abusive

Au regard de l’issue donnée au litige, la résistance abusive de la banque n’est pas caractérisée. Par conséquent, la demande de dommages et intérêts de M. [N] à ce titre sera rejetée.

3. Sur les frais du procès

L’article 695 du code de procédure civile énumère les frais du procès qui entrent dans la catégorie des dépens. Il est de principe que les dépens sont à la charge de la partie perdante, conformément à l’article 696 du code de procédure civile.

Partie perdante au procès, M. [N] sera condamné au paiement des entiers dépens, conformément à l’article 696 du code de procédure civile.

Il sera également condamné à payer à la BNP Paribas la somme de 2 000 euros afin de compenser les frais de justice non compris dans les dépens qu’elle a dû exposer afin d’assurer la défense judiciaire de ses intérêts, en application de l’article 700 du code de procédure civile.

3. Sur l’exécution provisoire

Les décisions de première instance sont de droit exécutoires à titre provisoire, en application de l’article 514 du code de procédure civile.

Le juge peut toutefois écarter l’exécution provisoire de droit, en tout ou partie, s’il estime qu’elle est incompatible avec la nature de l’affaire, conformément à l’article 514-1 du code de procédure civile.

S’agissant d’un jugement de rejet, il n’y a pas lieu d’écarter l’exécution provisoire.

PAR CES MOTIFS

Le tribunal, statuant publiquement, par jugement contradictoire, mis à disposition au greffe et en premier ressort,

REJETTE l’ensemble des demandes de M. [O] [N] ;

CONDAMNE M. [O] [N] aux entiers dépens ;

CONDAMNE M. [O] [N] à payer à la société BNP Paribas la somme de 2 000 euros au titre des dispositions de l’article 700 du code de procédure civile ;

REJETTE toute autre demande plus ample ou contraire ;

RAPPELLE que le présent jugement est de droit exécutoire à titre provisoire.

Fait et jugé à [Localité 5] le 04 juin 2025.

La Greffière La Présidente