TRIBUNAL

JUDICIAIRE

DE PARIS [1]

[1]

Expéditions délivrées le 28/01/2025

A M^e MONTCEL

M^e PENIN

■

9ème chambre 2ème section

N° RG :

N° RG 23/15849 – N° Portalis 352J-W-B7H-C3NQV

N° MINUTE :

JUGEMENT

rendu le 28 Janvier 2025

DEMANDERESSE

Madame [M] [V]

[Adresse 3]

[Localité 5]

représentée par Maître Julien MONTCEL de l’AARPI CHANGO AVOCATS, avocat au barreau de PARIS, avocat plaidant, vestiaire #G0428

DÉFENDERESSE

S.A. BNP PARIBAS

[Adresse 2]

[Localité 4]

représentée par Maître Dominique PENIN du LLP KRAMER LEVIN NAFTALIS & FRANKEL LLP, avocat au barreau de PARIS, avocat plaidant, vestiaire #J0008

Décision du 28 Janvier 2025

9ème chambre 2ème section

N° RG 23/15849 – N° Portalis 352J-W-B7H-C3NQV

COMPOSITION DU TRIBUNAL

M. Gilles MALFRE, Premier Vice-président adjoint

Monsieur Augustin BOUJEKA, Vice-Président

Monsieur Alexandre PARASTATIDIS, Juge

assisté de Madame Camille CHAUMONT, Greffière,

DÉBATS

A l’audience du 26 Novembre 2024 tenue en audience publique devant M. Gilles MALFRE, juge rapporteur, qui, sans opposition des avocats, a tenu seul l’audience, et, après avoir entendu les conseils des parties, en a rendu compte au Tribunal, conformément aux dispositions de l’article 805 du Code de Procédure Civile. Avis a été donné aux avocats que la décision serait rendue le 28 janvier 2025.

JUGEMENT

Rendu publiquement par mise à disposition au greffe

Contradictoire

En premier ressort

EXPOSE DU LITIGE

Mme [V] est titulaire d’un compte ouvert dans les livres de la BNP PARIBAS. Elle dispose d’une carte bancaire et bénéficie pour ses opérations sensibles, d’une clé digitale, système d’authentification forte.

Le 2 juin 2022, elle a perçu sur son compte bancaire une somme de 248 011,47 euros, à la suite d’une vente immobilière.

Elle indique qu’entre le 24 octobre et le 17 novembre 2022, soixante-et-onze virements frauduleux ont été réalisés depuis son compte, pour un montant total de 129 248,78 euros. Elle a déposé plainte contre X pour des faits d’escroquerie, auprès du commissariat de police de [Localité 6] le 18 novembre 2022.

Entre le 24 octobre 2022 et le 17 janvier 2023, le montant global de 29 123,11 euros lui a été remboursé, du fait du rejet de dix-huit virements, d’un retour de fonds total et de trois retours de fonds partiels.

Par acte du 6 décembre 2023, Mme [V] a fait assigner la BNP PARIBAS devant la présente juridiction, afin qu’elle soit condamnée à lui payer la somme en principal de 100 125,67 euros, outre celle de 5 000 euros en application de l’article 700 du code de procédure civile.

Par conclusions du 2 septembre 2024, Mme [V] maintient ses demandes.

Par conclusions du 10 juin 2024, la BNP PARIBAS demande au tribunal, à titre principal, de débouter Mme [V] de ses demandes, subsidiairement, de limiter son préjudice à la somme de 2 994 euros, d’écarter l’exécution provisoire et de condamner Mme [V] à lui payer la somme de 3 000 euros au titre de l’article 700 du code de procédure civile.

L’ordonnance de clôture a été rendue le 1er octobre 2024.

SUR CE

Sur la demande principale :

Sur le déroulé des faits, Mme [V] expose que :

— le 17 octobre 2022, elle a reçu un SMS dont l’expéditeur était renseigné comme étant la « BNP PARIBAS », l’informant que l’usage de son compte avait été restreint à la suite d’une suspicion de fraude et l’invitant à appeler le numéro renseigné, ce qu’elle n’a pas fait ;

— le jour même, ayant été contactée par sa banque l’informant d’une substitution frauduleuse sur son compte bancaire, elle s’est rendue à son agence, où sa responsable de compte a bloqué sa clé digitale, lui assurant de la vérification quotidienne des mouvements sur son compte ;

— le 18 octobre 2022, elle a reçu un nouveau SMS concernant le blocage de son compte, ce SMS l’invitant à appeler le numéro renseigné, ce qu’elle n’a pas fait ;

— le 24 octobre 2022, elle a reçu un appel du service « Fraude à la carte bancaire » de la BNP, son interlocuteur se présentant comme un agent de la BNP. Ce dernier lui a demandé de supprimer son application bancaire mobile, ce qu’elle a fait. Elle a rappelé, dès la fin de cet appel, le correspondant venant de la joindre au même numéro ([XXXXXXXX01]) afin de vérifier l’identité du service. Son interlocuteur lui a confirmé qu’il s’agissait du service « Fraude à la carte bancaire » ;

— au début du mois de novembre 2022, elle s’est rendue à son agence afin d’obtenir le détail des écritures passées sur son compte mais précise que cette demande lui a été refusée du fait de l’absence de sa responsable de compte ;

— le 2 novembre 2022, la banque a annulé plusieurs virements du 24 octobre 2022, pour motif de « fraude », sans bloquer le compte ;

— le 8 novembre 2022, elle s’est rendue à son agence pour que son conseiller effectue un virement de 22 000 euros afin de régler l’acompte de l’acquisition d’un bien immobilier, ce conseiller ne l’informant alors pas de la fraude en cours ;

— le 15 novembre 2022, elle a reçu un appel de la BNP lui demandant si elle était à l’origine d’un virement de 1 300 euros, ce qu’elle a contesté, rappelant que sa clé digitale était bloquée depuis le 17 octobre 2022. Elle s’est déplacée à l’agence où on l’a informée que sa clé digitale n’était pas bloquée, ce qui a été effectué, outre qu’il lui a été indiqué l’existence de plusieurs virements ;

— le 17 novembre 2022, le directeur de l’agence lui a communiqué son relevé bancaire où elle a constaté l’existence de nombreux virements.

Sur ces faits, la banque précise que :

— il n’est pas prouvé que la cliente se soit rendue à l’agence le 17 octobre 2022, après avoir été contactée par sa banque et qu’alors sa conseillère aurait bloqué la clé digitale et mis son compte sous surveillance ;

— ce même jour, Mme [V], contactée par le fraudeur se faisant passer pour un salarié de la banque, a réussi à lui soutirer des informations confidentielles pour qu’elle désenrôle sa clé digitale de son téléphone pour l’enrôler sur son propre téléphone. Mme [V] ne prouve pas avoir été appelée par un numéro s’affichant comme le « [XXXXXXXX01] », numéro qui est effectivement attribué à la BNP PARIBAS mais qui a été usurpé par le fraudeur par le biais du « spoofing » ;

— le 17 octobre 2022 à 12h08, la clé digitale a été enrôlée sur un nouveau téléphone portable qui n’est pas celui de Mme [V] ; cet enrôlement a généré l’envoi d’un SMS sur le téléphone de Mme [V], laquelle a été sommée, en vain, de produire ce SMS ;

— le 17 octobre 2022 à 15h37, par une authentification forte, a été effectué un achat en ligne par carte d’une valeur de 2 994 euros auprès du commerçant « Diamondsfactory.fr » ;

— le 17 octobre 2022 à 18h52, le fraudeur a modifié un RIB sur l’espace bancaire de Mme [V] pour y substituer ses coordonnées bancaires, opération validée par la clé digitale ;

— le 18 octobre 2022 à 10h53, il a été effectué un désenrôlement de la clé digitale, enregistrée sur un nouveau téléphone ; un SMS contenant un code a été envoyé sur le portable de Mme [V], qui a nécessairement fourni ce code à son interlocuteur ;

— du 22 au 24 octobre 2022, six virements ont été effectués par l’escroc, étant précisé qu’un virement de 1 995 euros a été rejeté ;

— le 24 octobre 2022 à 13h58 et à 14h20, l’escroc a modifié deux RIB sur l’espace bancaire de Mme [V], pour y substituer ses coordonnées bancaires. Cette opération a été validée par la clé digitale ;

— le 24 octobre 2022 à 19h18, a été enregistré un nouveau désenrôlement de la clé digitale puisqu’elle a été enregistrée sur un nouveau téléphone. Un SMS contenant un code a été envoyé sur le portable de Mme [V], qui a nécessairement fourni ce code à son interlocuteur ;

— le 26 octobre 2022 à 14h33, l’escroc a modifié un RIB déjà présent sur l’espace bancaire de Mme [V], pour y substituer ses coordonnées bancaires. Cette opération a été validée par la clé digitale ;

— le 27 octobre 2022 à 12h09, l’escroc a modifié un RIB sur l’espace bancaire de Mme [V], pour y substituer ses coordonnées bancaires. Cette opération a été validée par la clé digitale ;

— du 28 octobre au 1er novembre 2022, l’escroc a ordonné huit virements vers son RIB enregistré sur l’espace bancaire ;

— le 3 novembre 2022 à 15h39, l’escroc a modifié un RIB sur l’espace bancaire de Mme [V], pour y substituer ses coordonnées bancaires. Cette opération a été validée par la clé digitale ;

— du 3 novembre au 15 novembre 2022, l’escroc a ordonné plusieurs virements vers son RIB enregistré sur l’espace bancaire ;

— le 3 novembre 2022 à 15h40, l’escroc a modifié un RIB sur l’espace bancaire de Mme [V], pour y substituer ses coordonnées bancaires. Cette opération a été validée par la clé digitale ;

— du 8 novembre au 17 novembre 2022, l’escroc a ordonné plusieurs virements vers son RIB enregistré sur l’espace bancaire ;

— le 3 novembre 2022 à 23h42, l’escroc a modifié un RIB sur l’espace bancaire de Mme [V], pour y substituer ses coordonnées bancaires. Cette opération a été validée par la clé digitale ;

— du 3 novembre au 16 novembre 2022, l’escroc a ordonné plusieurs virements vers son RIB enregistré sur l’espace bancaire ;

— le 16 novembre 2022 à 20h37, a été enregistré un nouvel désenrôlement de la clé digitale puisqu’elle a été enregistrée sur un nouveau téléphone. Un SMS contenant un code a été envoyé sur le portable de Mme [V], qui a nécessairement fourni ce code à son interlocuteur.

Dès lors que la responsabilité d’un prestataire de services de paiement est recherchée en raison d’une opération de paiement non autorisée ou mal exécutée, seul est applicable le régime de responsabilité défini aux articles L. 133-18 à L. 133-24 du code monétaire et financier qui transposent les articles 58, 59 et 60, § 1, de la directive 2007/64/CE, tout autre régime alternatif de responsabilité résultant du droit national devant être écarté.

Il en résulte que Mme [V] ne peut fonder ses demandes sur l’obligation générale de vigilance incombant à sa banque.

En cas d’opération de paiement non autorisée signalée par l’utilisateur dans les délais prévus par l’article L. 133-24 du même code, le prestataire de services de paiement du payeur rembourse à ce dernier le montant de l’opération non autorisée sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement.

Dans cette hypothèse, il incombe au prestataire de paiement de prouver que l’opération litigieuse a été effectuée après une authentification forte, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre, l’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement, à savoir l’utilisation des identifiants du client et l’absence de déficience technique ou autre, notamment par le biais de la production d’un relevé de ses connexions, ne suffisant pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur.

L’article L. 133-4 (f) du même code précise qu’une authentification forte s’entend d’une authentification reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories « connaissance » (quelque chose que seul l’utilisateur connaît telle qu’un mot de passe, un code secret, une question secrète, etc…), « possession » (quelque chose que seul l’utilisateur possède telle qu’un téléphone portable, une montre connectée, une clé USB etc…) et « inhérence » (quelque chose que l’utilisateur est, telle que la reconnaissance faciale ou vocale, la reconnaissance par empreinte digitale, etc…) et indépendants en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d’authentification. L’authentification forte repose donc sur l’utilisation de deux de ces éléments, voire plus.

Par ailleurs, la responsabilité du payeur n’est pas engagée si l’opération de paiement non autorisée a été effectuée en détournant, à son insu, l’instrument de paiement ou les données qui lui sont liées. Cependant, il supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’agissements frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L.133-16 et L.133-17 du code précité.

Ainsi, pour échapper au remboursement de l’opération contestée, le prestataire de services de paiement doit démontrer, soit que l’ordre émanait bel et bien du client dûment authentifié dans son espace personnel, soit que le vol des identifiants de connexion (ou d’autres données) n’est que la conséquence d’une faute grave de sa part consistant à ne pas avoir satisfait intentionnellement aux obligations lui incombant en la matière ou à les avoir gravement négligées.

La banque reproche à Mme [V] une négligence grave, en ce qu’elle a permis l’enrôlement de la clé digitale sur un autre téléphone que le sien, à quatre reprises, à l’aide des codes à usage unique reçus par SMS qu’elle a communiqués à l’escroc, ce qui a permis à ce dernier de valider l’achat litigieux et de modifier les RIB pour procéder aux virements. Elle note à cet égard que la cliente n’a pas réagi aux quatre courriels d’information qui lui ont été adressées à la suite des quatre enrôlements de la clé digitale, les 17, 18 et 24 octobre 2022 ainsi que le 16 novembre 2022.

Elle conteste que son système informatique ait concouru à la fraude.

Subsidiairement, elle relève que Mme [V] n’a pas été diligente en ne consultant pas son compte bancaire pendant les trente jours qu’a duré la fraude, ce qui lui aurait permis de constater les anomalies du discours tenu par le fraudeur qu’elle a eu plusieurs fois au téléphone, outre que cela aurait pu limiter son préjudice.

Cependant, Mme [V], tant dans ses conclusions que dans sa plainte ou dans les mises en demeure adressées à la banque, n’a pas reconnu avoir communiqué ses données bancaires personnelles à des tiers.

Elle doit être approuvée lorsqu’elle rappelle que le seul fait qu’un tiers utilise les données personnelles du client est insuffisant pour caractériser une négligence grave commise par ce dernier.

La BNP PARIBAS ne verse aux débats que les traces informatiques de l’historique des diverses opérations litigieuses établies par ses soins. Il est en particulier retracé les quatre enrôlements successifs de la clé digitale, qui ont permis d’effectuer l’achat d’un montant de 2 994 euros, ainsi que les virements litigieux après la modification de RIB présents sur l’espace bancaire.

Si la banque indique que chacun de ces quatre enrôlements a fait l’objet de l’envoi d’un SMS à sa cliente contenant à chaque fois des codes à usage unique, elle n’en justifie pas, ne produisant pas copie de ces messages qui auraient été adressés sur le téléphone portable de Mme [V]. Il en est de même des quatre courriels d’information qui auraient été adressées à Mme [V] à la suite de ces quatre enrôlements et ce, les 17, 18 et 24 octobre 2022 et le 16 novembre 2022.

L’absence de production de ces SMS ne permet pas à la banque de rapporter la preuve que les opérations litigieuses découlant des quatre enrôlements ont fait l’objet d’une authentification forte. En outre, l’absence de la justification de l’envoi de ces SMS tout comme de l’envoi des quatre courriels susvisés, ne permet pas d’attester que les opérations n’ont pas été affectées par une déficience technique.

Il convient par conséquent de condamner la BNP PARIBAS à payer Mme [V] la somme de 100 125,67 euros, avec intérêt au taux légal majoré de quinze points, en application de l’article L. 133-18 du code monétaire et financier.

Sur les autres demandes :

Au titre des frais exposés et non compris dans les dépens, la BNP PARIBAS sera condamnée au paiement de la somme de 3 000 euros.

Aucune considération ne justifie d’écarter l’exécution provisoire de droit.

PAR CES MOTIFS

Le tribunal, statuant publiquement, contradictoirement et en premier ressort, par mise à disposition au greffe,

Condamne la SA BNP PARIBAS à payer à Mme [M] [V] la somme de 100 125,67 euros, avec intérêt au taux légal majoré de quinze points ;

Condamne la SA BNP PARIBAS aux dépens, ainsi qu’à payer à Mme [M] [V] la somme de 3 000 euros au titre de l’article 700 du code de procédure civile ;

Dit n’y avoir lieu à écarter l’exécution provisoire de droit.

La greffière le Président