TRIBUNAL

JUDICIAIRE

DE [Localité 5] [1]

[1]

Expéditions

exécutoires

délivrées le :

à

M^e BACHURSKI

M^e METAIS

■

9ème chambre 1ère section

N° RG 23/04061

N° Portalis 352J-W-B7H-CZIZC

N° MINUTE :

Assignation du :

16 Mars 2023

JUGEMENT

rendu le 07 Juillet 2025

DEMANDEURS

Madame [R] [Z] épouse [H]

[Adresse 2]

[Localité 4]

Monsieur [O] [H]

[Adresse 2]

[Localité 4]

représentés par Maître Katia BACHURSKI, avocat au barreau de PARIS, vestiaire #C1648

DÉFENDERESSE

S.A. BNP PARIBAS

[Adresse 1]

[Localité 3]

représentée par Maître Philippe METAIS du PARTNERSHIPS BRYAN CAVE LEIGHTON PAISNER (France) LLP, avocats au barreau de PARIS, vestiaire #R030

Décision du 07 Juillet 2025

9ème chambre 1ère section

N° RG 23/04061 – N° Portalis 352J-W-B7H-CZIZC

COMPOSITION DU TRIBUNAL

Anne-Cécile SOULARD, Vice-présidente

Marine PARNAUDEAU, Vice-présidente

Patrick NAVARRI, Vice-président

assistés de Camille CHAUMONT, Greffière lors de l’audience et de Chloé DOS SANTOS, Greffière lors de la mise à disposition.

DÉBATS

A l’audience du 12 Mai 2025 tenue en audience publique devant Marine PARNAUDEAU, juge rapporteur, qui, sans opposition des avocats, a tenu seule l’audience, et, après avoir entendu les conseils des parties, en a rendu compte au Tribunal, conformément aux dispositions de l’article 805 du Code de Procédure Civile. Avis a été donné aux avocats des parties que la décision serait rendue le 07 Juillet 2025.

JUGEMENT

Rendu publiquement par mise à disposition au greffe

Contradictoire

En premier ressort

EXPOSE DU LITIGE

M. [O] [H] et Mme [R] [Z] épouse [H] sont titulaires d’un compte bancaire ouvert dans les livres de la société BNP Paribas.

Le 13 septembre 2022, un paiement de 2.728 euros a été effectué au profit de " Voltee.co” depuis leur compte bancaire.

Le 22 septembre 2022, M. et Mme [H] ont contesté auprès de leur conseiller financier être l’auteur du paiement réalisé le 13 septembre 2022. Lors de ce rendez-vous au sein de leur agence bancaire, M. [H] a reçu l’appel d’un tiers et le directeur de l’agence a pris cet appel.

Deux autres opérations non autorisées portant le montant total des sommes dissipées à 11.228 euros, ont été réalisées depuis leur compte courant comme suit :

— Un virement de 4.000 euros au profit de " [P] " le 22 septembre 2022,

— Un virement de 2000 euros au profit de " [B] [O] " le 27 septembre 2022.

Le 23 septembre 2022, M. [H] a déposé plainte des chefs d’utilisation frauduleuse du numéro de carte bancaire et d’un compte en France et captation des données en France.

M. et Mme [H] ont contesté, le 6 octobre 2022 ainsi que le 16 novembre 2022, les virements auprès de la BNP Paribas et ont sollicité le remboursement de la somme totale de 11.228 euros. Par courrier du 6 décembre 2022, la banque les a informés qu’elle refusait de procéder au remboursement.

Le 7 octobre 2022, M. [H] a complété sa plainte initiale.

Se disant victimes d’opérations financières non autorisées, M. et Mme [H] ont fait assigner la Banque Postale devant le tribunal judiciaire de Paris par acte de commissaire de justice en date du 16 mars 2023 pour obtenir le remboursement de la somme totale débitée et la réparation du préjudice en résultant.

Dans leurs dernières conclusions communiquées par voie électronique le 25 octobre 2024, M. et Mme [H] demandent au tribunal, au visa des articles L. 133-18 et suivants du code monétaire et financier et de l’article 1231-1 du code civil, de :

“A TITRE PRINCIPAL :

— CONDAMNER la société BNP PARIBAS, en raison de sa défaillance en qualité de prestataire de paiement, à payer à Monsieur et Madame [H] la somme en principal de 11.228,00 Euros, assortie des intérêts de 15 fois le taux légal à compter de 30 jours après mise en demeure du 16 novembre 2022 ;

A TITRE SUBSIDIAIRE :

— CONDAMNER la société BNP PARIBAS, sur le fondement du droit commun, à payer à Monsieur et Madame [H] la somme en principal de 11.228,00 Euros, assortie des intérêts au taux légal à compter du courrier de mise en demeure du 16 novembre 2022 ;

EN TOUT ETAT DE CAUSE :

— CONDAMNER la société BNP PARIBAS à réparer le préjudice moral subi par Monsieur et Madame [H] évalué à la somme de 3.500,00 Euros ;

— CONDAMNER la société BNP PARIBAS à verser à Monsieur et Madame [H] la somme de 3.000,00 Euros au titre de l’article 700 du Code de procédure civile ainsi qu’aux entiers dépens;

— JUGER ni avoir lieu à écarter l’exécution provisoire de la décision à intervenir”.

M. et Mme [H] expliquent que :

— le 13 septembre 2022, ils se sont rendus compte de la réalisation d’un achat depuis leur compte bancaire,

— M. [H] a reçu l’appel téléphonique d’un tiers se présentant comme travaillant au sein du service fraude de la BNP Paribas, lui demandant s’il était l’auteur du paiement litigieux ainsi que la communication d’informations à savoir son relevé d’identité bancaire, communication qu’il a effectuée,

— un virement de 4.000 euros a été réalisé,

— le 22 septembre 2022, le service anti-fraude de la banque a interrogé M. [H] pour vérifier s’il était à l’origine du virement d’un montant de 4.000 euros, ce que M. [H] a nié,

— ils ont immédiatement signalé ces opérations financières frauduleuses à leur établissement bancaire,

— le 27 septembre 2022, un second virement non autorisé d’un montant de 4.500 euros a été réalisé depuis leur compte bancaire,

— la banque affirme, sans le démontrer que M. [H] a cliqué sur un site internet frauduleux Ameli ou de l’assurance maladie et y a renseigné l’ensemble de ses données bancaires personnelles,

— M. [H] conteste être à l’origine du rehaussement du plafond des virements et de l’ajout de bénéficiaires, les époux [H] affirmant avoir été victimes de spoofing,

— la banque ne justifie pas que le processus de validation par clé digitale via le téléphone portable de M. [H] a été utilisé pour valider les deux virements litigieux,

— les opérations querellées présentaient des anomalies matérielles et intellectuelles,

— la banque n’a pas réalisé un examen de cohérence,

— l’escroquerie dont ils ont été victimes est à l’origine de leur préjudice financier et de leur préjudice moral.

M. et Mme [H] considèrent que la BNP Paribas ne rapporte pas la preuve de leur mauvaise foi ni de leur négligence grave. Ils réfutent avoir manqué à leur obligation de protection de leurs données personnelles et estiment que les traces informatiques dont se prévaut la BNP Paribas sont dénuées de force probante.

Dans ses dernières conclusions communiquées par voie électronique le 29 octobre 2024, la BNP Paribas demande au tribunal, au visa de articles L.133-4, L. 133-16 et suivants, L. 133-44 du code monétaire et financier, d Directives (CE) 2007/64/CE du 13 novembre 2007 (« DSP 1 »), et notamment ses articles 58, 59 et 60 et la Directive (UE) 2015/366 du Parlement européen et du Conseil du 25 novembre 2015 (« DSP 2 ») concernant les services de paiement dans le marché intérieur, des articles 1231-1 et suivants du code civil ainsi que des articles 696 et 700 du code de procédure civile, de :

“Sur la demande principale formée par Monsieur et Madame [H] sur le fondement du régime de responsabilité des prestataires de services de paiement

— Juger que les transactions litigieuses ont été dûment authentifiées et que BNP Paribas a parfaitement respecté ses obligations en matière de sécurisation des opérations en ligne et des instruments de paiement de Monsieur et Madame [H] ;

— Juger que Monsieur [H] a commis une négligence grave au sens de l’article L. 133-19 IV du Code monétaire et financier

En conséquence,

— Débouter Monsieur et Madame [H] de leur demande principale de remboursement des opérations litigieuses à hauteur de 11.228,00 euros ;

Sur la demande subsidiaire formée par Monsieur et Madame [H] fondée sur la responsabilité de droit commun de BNP Paribas

— Juger que le régime de responsabilité des prestataires de services de paiement tel qu’issu de la Directive 2007/64/CE fait l’objet d’une application exclusive et autonome ;

En conséquence,

— Débouter Monsieur et Madame [H] de leur demande subsidiaire de paiement de dommages et intérêts en réparation de leur préjudice financier à hauteur de 11.228,00 euros ;

Sur la demande de dommages et intérêts formée par Monsieur et Madame [H] sur le fondement du préjudice moral

— Juger que le régime de responsabilité des prestataires de services de paiement tel qu’issu de la Directive 2007/64/CE fait l’objet d’une application exclusive et autonome ;

— Juger que BNP Paribas n’a commis aucune inexécution contractuelle ;

Décision du 07 Juillet 2025

9ème chambre 1ère section

N° RG 23/04061 – N° Portalis 352J-W-B7H-CZIZC

En conséquence,

— Débouter Monsieur et Madame [H] de leur demande de dommages et intérêts en réparation de du préjudice moral qu’ils prétendent subir à hauteur de 3.500,00 euros ;

En tout état de cause

— Débouter Monsieur et Madame [H] de l’intégralité de leurs demandes, fins et conclusions à l’encontre de BNP Paribas ;

— Condamner in solidum Monsieur et Madame [H] à verser à BNP Paribas la somme de 2.500 euros au titre de l’article 700 du Code de procédure civile ainsi qu’aux entiers dépens ;

— Ecarter l’exécution provisoire de la décision à intervenir.”

La BNP Paribas expose que :

— M. [H] utilise, depuis le 23 mai 2020, le système d’authentification forte pour les opérations en ligne, dénommé Clé Digitale, installé sur son téléphone mobile,

— au mois de septembre 2022, M. [H] a reçu sur son téléphone portable un SMS frauduleux d’un numéro similaire à celui de la CPAM, l’invitant vraisemblablement à cliquer sur un lien renvoyant sur un site usurpant l’identité visuelle de l’Assurance Maladie,

— M. [H] se garde de préciser qu’après avoir cliqué sur ce lien renvoyant vers le site frauduleux, il a renseigné sur celui-ci l’ensemble de ses données bancaires confidentielles,

— M. [H] a vraisemblablement fait l’objet d’un phishing,

— M. [H] admet avoir, au cours d’un échange téléphonique, divulgué à un tiers se présentant comme travaillant au sein du service anti-fraude de la BNP Paribas, à sa demande, des informations dont son relevé d’identité bancaire,

— chacune des opérations litigieuses (paiement, virement, modification du plafond de paiement par carte bancaire, ajout de bénéficiaires) a été validée par clé digitale via le téléphone portable de M. [H],

— pour réaliser ces opérations, le fraudeur a eu accès à l’espace en ligne de M. et Mme [H] et a donc eu connaissance de leurs identifiant et mot de passe,

— M. [H] a communiqué à un tiers ses données confidentielles constituées d’une part de l’identifiant et du mot de passe pour accéder à son espace en ligne et d’autre part du code permettant d’activer le transfert de la clé digitale à un tiers,

— M. [H] a commis plusieurs négligences graves, faisant ainsi obstacle à sa demande en remboursement de la somme dissipée.

La BNP Paribas s’oppose à la demande de M. et Mme [H] présentée en réparation de leur préjudice moral en soutenant que seul est applicable le régime de responsabilité défini aux articles L.133-18 et suivants du code monétaire et financier, à l’exclusion de tout autre régime. Elle observe en outre qu’aucune inexécution contractuelle ne peut lui être reprochée.

Conformément aux dispositions de l’article 455 du code de procédure civile, il sera renvoyé aux dernières écritures des parties pour un plus ample exposé des moyens et arguments venant au soutien de leurs demandes et de leurs défenses.

L’ordonnance de clôture de l’instruction est intervenue le 27 janvier 2025.

MOTIFS

Sur les opérations non autorisées

L’article L.133-18 du code monétaire et financier pose le principe du remboursement par la banque des opérations de paiement non autorisées : « En cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L. 133-24, le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement et s’il communique ces raisons par écrit à la Banque de France. Le cas échéant, le prestataire de services de paiement du payeur rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu. »

Par dérogation à ce principe, l’article L.133-19 IV prévoit que le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L.133-16 et L.133-17, lesquels lui font obligation notamment de préserver la sécurité de ses données.

L’article L.133-23 du code monétaire et financier fixe les règles de preuve applicables lorsque l’utilisateur conteste avoir donné son autorisation au paiement : " En application de l’article L.133-23 du code monétaire et financier, lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre.

L’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière. Le prestataire de services de paiement, y compris, le cas échéant, le prestataire de services de paiement fournissant un service d’initiation de paiement, fournit des éléments afin de prouver la fraude ou la négligence grave commise par l’utilisateur de services de paiement. "

La négligence grave de l’utilisateur ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été utilisés.

Il appartient donc à la banque de prouver la faute volontaire ou non du payeur, autrement qu’en démontrant l’utilisation de données hautement confidentielles et elle ne peut se contenter d’invoquer le probable « hameçonnage » dont le client aurait été victime, c’est-à-dire un courriel ou un SMS frauduleux qui l’aurait nécessairement conduit, en réponse, à divulguer ses éléments d’identification personnels au fraudeur.

L’établissement bancaire qui refuse de procéder au remboursement supporte la charge de la preuve de la négligence grave imputée à son client.

En l’espèce, M. et Mme [H] contestent avoir autorisé trois opérations financières effectuées depuis leur compte bancaire, décomposées comme suit :

— le 13 septembre 2022, un paiement de 2.728 euros au profit de « Voltee.co »,

— le 22 septembre 2022, un virement de 4.000 euros au profit de " [P] " ,

— le 27 septembre 2022, un virement de 2000 euros au profit de " [B] [O] ".

Ces opérations ont été effectuées au moyen de l’application mobile « Mes comptes », via l’utilisation de la clé digitale rattachée au téléphone portable de M. [H].

Il est constant que durant la période querellée, M. [H] est resté en possession tant de sa carte bancaire que de son téléphone portable.

La BNP Paribas reconnaît qu’un fraudeur a eu accès à l’espace bancaire en ligne de M. [H] à compter du 22 septembre 2022 et a pu valider des opérations depuis le téléphone mobile qu’il a fait enregistrer sur l’espace bancaire en ligne en lieu et place du numéro de M. [H], au regard de la diversité des adresses IP figurant sur les documents produits aux débats.

La BNP Paribas déduit de la validation des opérations litigieuses via l’outil d’authentification forte qu’est la Clé Digitale que M. [H] a nécessairement communiqué ses données bancaires confidentielles.

Cependant, elle ne démontre pas que M. [H] s’est connecté à un site internet Ameli ou de la CPAM frauduleux, qu’il a communiqué à un tiers ses données bancaires confidentielles lors des divers échanges téléphoniques qu’il a eus avec des tiers ni qu’il a suivi les instructions du tiers fraudeur en augmentant le plafond de sa carte bancaire et en ajoutant de nouveaux bénéficiaires ni qu’il a validé lui-même lesdites opérations. De plus, les procès-verbaux de dépôt de plainte ne permettent pas d’accréditer de telles assertions. Si M. [H] admet avoir communiqué son relevé d’identité bancaire au tiers se présentant comme travaillant au service anti-fraude de la banque, lors d’une conversation téléphonique, force est de relever qu’il s’agit de coordonnées personnelles mais non confidentielles. Le numéro de compte bancaire d’une personne qui ne fait pas partie des éléments confidentiels à ne jamais transmettre, apparaît sur tous les chèques qui sont remis par lui à ses créanciers et sur les relevés d’identité bancaire qui sont réclamés par de nombreuses administrations et établissements. Il s’agit donc d’un élément d’information qui circule sans faute du détenteur du compte, entre de très nombreuses mains, sans que l’on puisse exiger du titulaire qu’il ait le moindre contrôle sur cette circulation.

La BNP Paribas n’est pas en mesure de fournir les SMS envoyés à M. [H] lors de chacune des opérations litigieuses (paiement, virement, modification du plafond de paiement par carte bancaire, ajout de bénéficiaires).

En outre, la BNP Paribas reproche à M. et Mme [H] de ne pas avoir réagi immédiatement alors qu’ils ont informé dans un délai très court leur établissement bancaire, de la fraude dont ils étaient victimes, à savoir dès le 22 septembre 2022 et qu’ils ont déposé une plainte pour d’utilisation frauduleuse du numéro de carte bancaire et d’un compte en France et captation des données en France le 23 septembre 2022.

Il ont, par ailleurs, dénoncé précisément les trois opérations frauduleuses dans un courrier adressé à la BNP Paribas le 16 novembre 2022.

Enfin, selon l’article L.133-24 du code monétaire et financier, l’utilisateur de services de paiement signale, sans tarder, à son prestataire de services de paiement une opération de paiement non autorisée ou mal exécutée.

Ainsi le code monétaire et financier impose à l’utilisateur de paiement qui nie avoir autorisé une opération de paiement de la signaler sans tarder à son prestataire de services de paiement. Il ne lui impose pas de prendre l’attache des commerçants auprès desquels ont été effectués les paiements contestés.

Il en résulte que la BNP Paribas échoue à rapporter la preuve qui lui incombe de la négligence grave de M. et Mme [H] dans la conservation de la confidentialité de leurs données personnelles.

Par conséquent, elle sera condamnée à leur rembourser la somme de 11.228 euros au titre des opérations contestées.

Aux termes de l’article L.133-18 du code monétaire et financier, au-delà de trente jours de retard, les sommes dues produisent intérêt au taux légal majoré de quinze points.

M. et Mme [H] ont contesté les opérations de paiement non autorisées le 16 novembre 2022. Par conséquent, la somme de 11.228 euros portera intérêts au taux légal majoré de quinze points à compter du 16 décembre 2022.

La demande principale de M. et Mme [H] étant accueillie, leur demande subsidiaire est devenue sans objet.

Sur la demande de dommages-intérêts en réparation du préjudice moral

M. et Mme [H] soutiennent qu’ils ont subi un préjudice moral à hauteur de 3000 euros mais ne produisent aucun élément permettant de justifier de l’existence et de l’étendue de ce préjudice. Leur demande formée à ce titre sera donc rejetée.

Sur les demandes accessoires

L’article 695 du code de procédure civile énumère les frais du procès qui entrent dans la catégorie des dépens. Il est de principe que les dépens sont à la charge de la partie perdante, conformément à l’article 696 du code de procédure civile.

Partie perdante au procès, la BNP Paribas sera condamnée aux dépens.

Elle sera également condamnée à payer à M. et Mme [H] la somme de 3 000 euros en application de l’article 700 du code de procédure civile.

Les décisions de première instance sont de droit exécutoires à titre provisoire, en application de l’article 514 du code de procédure civile.

Le juge peut toutefois écarter l’exécution provisoire de droit, en tout ou partie, s’il estime qu’elle est incompatible avec la nature de l’affaire, conformément à l’article 514-1 du code de procédure civile.

Compte tenu de l’ancienneté du litige, il n’y a pas lieu d’écarter l’exécution provisoire.

PAR CES MOTIFS

Le tribunal, statuant publiquement, par jugement contradictoire, mis à disposition au greffe et en premier ressort,

CONDAMNE la société anonyme BNP Paribas à payer à M. [O] [H] et Mme [R] [Z] épouse [H] la somme de 11.228 euros au titre des opérations de paiement non autorisés, avec intérêts au taux légal majoré de 15 points à compter du 16 décembre 2022 ;

REJETTE la demande de dommages-intérêts présentées par M. [O] [H] et Mme [R] [Z] épouse [H] en réparation de leur préjudice moral ;

CONDAMNE la société anonyme BNP Paribas aux dépens ;

CONDAMNE la société anonyme BNP Paribas à payer à M. [O] [H] et Mme [R] [Z] épouse [H] la somme de 3 000 euros au titre des dispositions de l’article 700 du code de procédure civile ;

REJETTE toute autre demande plus ample ou contraire ;

RAPPELLE que le présent jugement est de droit exécutoire à titre provisoire.

Fait et jugé à [Localité 5] le 07 Juillet 2025.

LA GREFFIERE LA PRÉSIDENTE