TRIBUNAL

JUDICIAIRE

DE [Localité 7]

■

9ème chambre 1ère section

N° RG 23/07679

N° Portalis 352J-W-B7H-CZ7CT

N° MINUTE :

Contradictoire

Assignation du :

31 mai 2023

JUGEMENT

rendu le 09 avril 2025

DEMANDEUR

Monsieur [G] [K]

[Adresse 3]

[Localité 5]

représenté par Maître Bernard CHEYSSON de la SELARL CHEYSSON MARCHADIER & ASSOCIES, avocat au barreau de PARIS, avocat plaidant, vestiaire #K0043

DÉFENDERESSE

S.A. BNP PARIBAS

[Adresse 2]

[Localité 4]

représentée par Maître Philippe METAIS du PARTNERSHIPS BRYAN CAVE LEIGHTON PAISNER (France) LLP, avocat au barreau de PARIS, avocat plaidant, vestiaire #R030

COMPOSITION DU TRIBUNAL

Madame Anne-Cécile SOULARD, Vice-présidente

Monsieur Patrick NAVARRI, Vice-président

Madame Marine PARNAUDEAU, Vice-présidente

assistés de Madame Sandrine BREARD, Greffière.

DÉBATS

A l’audience du 05 mars 2025 tenue en audience publique devant Madame Anne-Cécile SOULARD, juge rapporteur, qui, sans opposition des avocats, a tenu seule l’audience, et, après avoir entendu les conseils des parties, en a rendu compte au Tribunal, conformément aux dispositions de l’article 805 du Code de procédure civile.

Décision du 09 Avril 2025

9ème chambre 1ère section

N° RG 23/07679 – N° Portalis 352J-W-B7H-CZ7CT

JUGEMENT

Rendu publiquement par mise à disposition au greffe

Contradictoire

En premier ressort

EXPOSÉ DU LITIGE

M. [G] [K] est titulaire d’un compte courant ouvert dans les livres de la BNP Paribas.

Les 8 et 9 août 2022, cinq virements de 10 000 euros ont été débités du compte bancaire de M. [G] [K] qui a contesté ces opérations et en a demandé le remboursement à sa banque.

A la suite d’une procédure de recall, une somme de 10 000 euros a été recréditée sur le compte de M. [K].

Considérant être victime d’agissements frauduleux M. [G] [K] a adressé une réclamation à la BNP le 9 aout 2022 et a déposé plainte auprès du CSP du [Localité 1] le 23 aout 2022.

Par courriers des 6 septembre et 18 octobre 2022, la BNP Paribas a refusé le remboursement des sommes précitées.

C’est dans ces circonstances que M. [G] [K] a, par acte de commissaire de justice en date du 31 mai 2023, fait assigner la BNP Paribas devant le tribunal judiciaire de Paris.

Demandes et moyens de M. [G] [K]

Dans ses dernières conclusions communiquées par voie électronique le 19 novembre 2024, M. [K] demande au tribunal de :

« – Débouter la BNP de l’intégralité de ses demandes, fins et conclusions à l’encontre de M. [G] [K] ;

— Juger M. [G] [K] recevable et bien fondé en ses demandes ;

— Condamner la BNP à rembourser la somme de 40 000 euros à titre de réparation du préjudice subi, majoré des intérêts de retard au taux légal à compter de la mise en demeure adressée à la Banque le 20 septembre 2022, avec capitalisation des intérêts ;

— Condamner la BNP à payer à M. [G] [K] la somme de 4 000 euros au titre de l’article 700 du code de procédure civile ;

— Condamner la BNP aux entiers dépens de l’instance. »

M. [K] indique avoir été contacté sur son téléphone portable par un interlocuteur se présentant comme un intervenant du service sécurité de la BNP qui l’aurait informé que des opérations frauduleuses étaient en cours sur son compte bancaire et devait ainsi réaliser différentes opérations pour neutraliser les prétendus mouvements frauduleux.

M. [K] fait valoir que :

— la BNP Paribas a été défaillante tant dans la sécurisation de son système de protection des données personnelles que dans la mise en place d’un processus d’authentification forte à chaque étape des opérations de paiements,

— l’appel téléphonique frauduleux qu’il a reçu était identifié sous le numéro 01.40.14.10.10, attribué au « Service Premier » de BNP,

— la personne se présentant avec les références de la BNP lors de l’appel téléphonique à 20h46, avait connaissance des flux réalisés sur le compte personnel de M. [K],

— ainsi, le système de sécurité de BNP PARIBAS a manifestement été défaillant puisqu’un tiers a été capable de connaitre, d’usurper et d’utiliser le numéro de téléphone du SERVICE PREMIER et de connaître les informations figurant sur son compte en ligne,

— la BNP Paribas est tenue d’une obligation renforcée de préservation des données de sécurité de ses clients,

— la défaillance des services de sécurité de la BNP Paribas a ainsi directement permis à un tiers de détourner les fonds de son compte bancaire.

Demandes et moyens de la BNP Paribas

Dans ses dernières conclusions communiquées par voie électronique le 20 novembre 2024, la BNP Paribas demande au tribunal de :

« Sur la demande de remboursement formée par M. [G] [K] fondée sur le régime de responsabilité des prestataires de services de paiement :

— Juger que les transactions litigieuses ont été dûment authentifiées et que la BNP a parfaitement respecté ses obligations en matière de sécurisation des instruments de paiement et des opérations en ligne de M. [G] [K] ;

— Juger que M. [G] [K] a commis une négligence grave au sens de l’article L.133-19, IV du code monétaire et financier ;

En conséquence,

— Débouter M. [G] [K] de sa demande de remboursement des opérations litigieuses à hauteur de 40 000 euros ;

Sur la demande de remboursement formée par M. [G] [K] sur le prétendu manquement de la BNP Paribas à ses obligations de vigilance et de conservation des fonds :

— Juger que le régime de responsabilité des prestataires de service de paiement tel qu’issu des Directives 2007/64/CE et 2015/366 fait l’objet d’une application exclusive et autonome ;

— Juger que la BNP n’a commis aucune inexécution contractuelle ;

En conséquence,

— Débouter M. [G] [K] de sa demande de remboursement des opérations litigieuses à hauteur de 40 000 euros ;

En tout état de cause :

— Débouter M. [G] [K] de l’intégralité de ses demandes, fins et conclusions à l’encontre de la BNP ;

— Condamner M. [G] [K] à verser à la BNP la somme de 2 500 euros au titre de l’article 700 du code de procédure civile ainsi qu’aux entiers dépens ;

— Ecarter l’exécution provisoire de la décision à intervenir. »

La BNP soutient que :

— M. [K], en tant que client de la BNP Paribas dispose d’un espace en ligne depuis lequel diverses opérations peuvent être effectuées,

— l’accès à cet espace virtuel nécessite la connaissance et la saisie de l’identifiant et du mot de passe y étant associé, étant précisé que ces données, dont la garde incombe au demandeur, sont personnelles et confidentielles,

— M. [K] est utilisateur du dispositif de sécurité mis en place par la BNP, à savoir un système d’authentification forte pour les opérations en ligne dénommé la clé digitale installée sur son appareil mobile et reliée à son numéro de téléphone renseigné sur l’espace en ligne,

— M. [K] reconnaît dans sa plainte avoir cliqué sur le lien contenu dans le SMS reçu sur son téléphone mobile le 9 juillet 2022 à 12h36, l’informant qu’une nouvelle carte vitale était disponible, et que son expédition devait être confirmée en cliquant sur un lien renvoyant vers un site internet frauduleux

— il reconnaît également avoir « fait les manipulations le 13 juillet 2022 »,

— M. [K] a donc vraisemblablement fait l’objet d’un phishing,

— les traces informatiques démontrent que, le 8 août 2022 à 20h51, une connexion à l’espace en ligne de M. [K] est intervenue depuis une adresse IP n’appartenant pas à ce dernier (à savoir l’IP n°77.204.145.184,), et qui correspond à l’adresse IP du fraudeur,

Décision du 09 Avril 2025

9ème chambre 1ère section

N° RG 23/07679 – N° Portalis 352J-W-B7H-CZ7CT

— la connexion du fraudeur à l’espace en ligne de M. [K] n’a été possible que parce que M. [K] a renseigné ses identifiant et mot de passe sur le site internet frauduleux relatif au renouvellement de sa carte vitale,

— le fraudeur disposant des accès confidentiels en ligne de M. [K], était en mesure d’initier diverses opérations sur l’espace en ligne de celui-ci, qui devaient impérativement être validées par M. [K] lui-même via sa Clé Digitale pour devenir effectives,

— ainsi, entre 21h04 et 21h20, cinq opérations d’entrée de nouveaux bénéficiaires, initiées par le fraudeur, ont été validées via la Clé Digitale par M. [K] lui-même, comme il le reconnaît,

— pour la création de chacun de ces bénéficiaires, M. [K] a reçu un message lui indiquant le détail de validation des bénéficiaires qu’il avait opéré avec sa Clé Digitale, comprenant notamment le nom dudit bénéficiaire et l’IBAN y étant associé,

— M. [K] ne peut donc prétendre, d’une part, que la Banque n’aurait pas mis en place un système d’authentification forte dès lors que chacun des cinq virements litigieux a été validé par ses soins, au moyen de sa Clé Digitale ni, d’autre part, que les virements litigieux n’auraient pas été soumis à ladite authentification, dès lors que les traces informatiques démontrent explicitement leur validation.

* * *

Conformément aux dispositions de l’article 455 du code de procédure civile, il sera renvoyé aux dernières écritures des parties pour un plus ample exposé des moyens et arguments venant au soutien de leurs demandes et de leurs défenses.

Le juge de la mise en état a clôturé l’instruction de l’affaire par ordonnance du 27 novembre 2024 et fixé l’affaire pour être plaidée à l’audience tenue en juge rapporteur du 5 mars 2025.

MOTIFS DE LA DÉCISION

1. Sur les opérations non autorisées

L’article L.133-18 du code monétaire et financier pose le principe du remboursement par la banque des opérations de paiement non autorisées : « En cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L. 133-24, le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement et s’il communique ces raisons par écrit à la Banque de France. Le cas échéant, le prestataire de services de paiement du payeur rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu. »

Par dérogation à ce principe, l’article L.133-19 IV prévoit que le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L.133-16 et L.133-17, lesquels lui font obligation notamment de préserver la sécurité de ses données.

L’article L.133-23 du code monétaire et financier fixe les règles de preuve applicables lorsque l’utilisateur conteste avoir donné son autorisation au paiement : « En application de l’article L.133-23 du code monétaire et financier, lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre.

L’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière. Le prestataire de services de paiement, y compris, le cas échéant, le prestataire de services de paiement fournissant un service d’initiation de paiement, fournit des éléments afin de prouver la fraude ou la négligence grave commise par l’utilisateur de services de paiement. »

La négligence grave de l’utilisateur ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été utilisés.

Il appartient donc à la banque de prouver la faute volontaire ou non du payeur, autrement qu’en démontrant l’utilisation de données hautement confidentielles.

L’établissement bancaire qui refuse de procéder au remboursement supporte la charge de la preuve de la négligence grave imputée à son client.

Dans la plainte déposée auprès du CSP du 13ème [Localité 6] le 23 aout 2022, M. [K] a déclaré : « J’étais en Italie à [Localité 8], j’ai reçu un appel à 20h46 d’une personne se réclamant du service sécurité de la BNP m’informant d’une fraude en cours sur mes comptes. Cette personne a dit plus tard se dénommer [L] [B] numéro de badge Wunet. Le numéro d’appel qui s’affichait était celui du SERVICE PREMIER de la BNP : 01 40 14 10 10, numéro que cette personne m’a fait vérifier Il s’agissait bien du même numéro que sur ma carte bancaire. Il a dit que pour contrecarrer ces fraudes en train de se produire, il m’a adressé un SMS émanant de la BNP à 20H55 m’invitant à saisir le code 476073. J’ai fait les manipulations. Il m’a demandé de procéder en urgence à des opérations de virement en me demandant d’utiliser un nouveau code d’identification à six chiffres : 809080. J’ai ainsi procédé, à sa demande, à la validation par clé digitale à une série d’opérations sur mes différents comptes : courant, compte d’épargne, pour contrer les fraudes en cours. ».

M. [K] explique également avoir reçu en date du 9 juillet 2022, un SMS sur son portable, l’informant qu’une nouvelle carte vitale était disponible et reconnaît qu’il a procédé aux manipulations le 13 juillet 2022.

La BNP Paribas produit aux débats un document intitulé « Trace des opérations de virements du compte de M. [G] [K] » lequel reprend l’ensemble des opérations intervenues au moment de la conversation téléphonique entre M. [K] et le fraudeur.

Il est établi par les traces des opérations sur le compte de M. [K] et par les déclarations de M. [K] que le fraudeur a pu accéder à l’espace en ligne de M. [K] grâce à la communication par ce dernier du code 476073 qui lui a été envoyé par SMS. Il ressort également de ces éléments que par la suite, le fraudeur a saisi cinq nouveaux IBAN pour créer de nouveaux bénéficiaires et que M. [K] a validé ces opérations en activant sa Clé Digitale.

L’enregistrement de ces données a permis au fraudeur de procéder à un virement de 10 000 euros vers chacun des bénéficiaires nouvellement enregistrés et M. [K] a validé les virements en activant sa Clé Digitale, c’est-à-dire en utilisant le code confidentiel envoyé sur son téléphone.

Il en résulte que les opérations litigieuses ont bien été validées par un système d’authentification forte.

Il n’est pas contesté que le fraudeur a utilisé le numéro de ligne téléphonique de la banque et a mis en confiance M. [K] en lui montrant qu’il avait accès au nom de sa conseillère et aux dernières opérations réalisées sur son compte bancaire.

Ce procédé a pu amoindrir la vigilance de M. [K]. Cependant, ce-dernier aurait dû être alerté par la demande de communication d’un code confidentiel pour accéder à ses comptes, ce procédé n’étant pas conforme aux demandes habituelles d’un conseiller bancaire et par la multiplicité de création de nouveaux bénéficiaires et de virements effectués.

Malgré ces signaux d’alerte, M. [K] a communiqué le code secret envoyé par la banque et a validé la création des nouveaux bénéficiaires puis les virements en activant sa Clé Digitale.

En communiquant des données confidentielles à un tiers, M. [K] a commis une négligence grave.

Par conséquent, sa demande de remboursement sera rejetée.

2. Sur l’obligation de vigilance de la banque

M. [K] fait valoir à titre subsidiaire que la banque a manqué à son obligation de vigilance.

Cependant, dès lors que la responsabilité d’un prestataire de services de paiement est recherchée en raison d’une opération de paiement non autorisée ou mal exécutée, seul est applicable le régime de responsabilité défini aux articles L. 133-18 à L. 133-24 du code monétaire et financier, qui transposent les articles 58, 59 et 60, § 1, de la directive 2007/64/CE du Parlement européen et du Conseil du 13 novembre 2007, à l’exclusion de tout régime alternatif de responsabilité résultant du droit national. (Com., 27 mars 2024, pourvoi n° 22-21.200)

Il en résulte que M. [K] ne peut contester les virements non autorisés sur le fondement du manquement de la banque à son obligation de vigilance.

3. Sur les frais du procès

L’article 695 du code de procédure civile énumère les frais du procès qui entrent dans la catégorie des dépens. Il est de principe que les dépens sont à la charge de la partie perdante, conformément à l’article 696 du code de procédure civile.

Partie perdante au procès, M. [K] sera condamné au paiement des entiers dépens, conformément à l’article 696 du code de procédure civile. Pour la même raison, sa demande au titre de l’article 700 du code de procédure civile sera rejetée.

L’équité ne commande pas de faire droit à la demande de la BNP Paribas au titre de l’article 700 du code de procédure civile.

4. Sur l’exécution provisoire

Les décisions de première instance sont de droit exécutoires à titre provisoire, en application de l’article 514 du code de procédure civile.

Le juge peut toutefois écarter l’exécution provisoire de droit, en tout ou partie, s’il estime qu’elle est incompatible avec la nature de l’affaire, conformément à l’article 514-1 du code de procédure civile.

S’agissant d’un jugement de rejet, il n’y a pas lieu d’écarter l’exécution provisoire.

PAR CES MOTIFS

Le tribunal, statuant publiquement, par jugement contradictoire, mis à disposition au greffe et en premier ressort,

REJETTE l’ensemble des demandes de M. [G] [K] ;

CONDAMNE M. [G] [K] au paiement des entiers dépens ;

REJETTE la demande de la société BNP Paribas au titre de l’article 700 du code de procédure civile ;

REJETTE toute autre demande plus ample ou contraire ;

RAPPELLE que le présent jugement est de droit exécutoire à titre provisoire.

Fait et jugé à [Localité 7] le 09 avril 2025.

La Greffière La Présidente