TRIBUNAL

JUDICIAIRE

DE [Localité 8] [1]

[1] Copie conforme délivrée

le :

à : Maître Clément DEAN

Maître Bérangère [Localité 7]

M^e Juliette FERRE

M^e Frédéric FORGUES

Copie exécutoire délivrée

le :

à : M^e Christian COUVRAT

Pôle civil de proximité

PCP JTJ proxi fond

N° RG 24/03208 – N° Portalis 352J-W-B7I-C5CL7

N° MINUTE : 4 JCP

JUGEMENT

rendu le mardi 14 janvier 2025

DEMANDEUR

Monsieur [O] [X], demeurant [Adresse 3]

représenté par M^e Christian COUVRAT, avocat au barreau de PARIS, vestiaire : #E0462

DÉFENDEURS

S.A. BNP PARIBAS, dont le siège social est sis [Adresse 1]

représentée par Maître Clément DEAN de la SELARL PUGET LEOPOLD COUTURIER, avocats au barreau de PARIS, vestiaire : #R0029

S.A. PACIFICA, dont le siège social est sis [Adresse 4]

représentée par Maître Bérangère MONTAGNE de la SELARL GAUD MONTAGNE, avocats au barreau de PARIS, vestiaire : #P0430

Madame [B] [I], demeurant [Adresse 5]

représentée par M^e Juliette FERRE, avocat au barreau de PARIS, vestiaire: C1105

Monsieur [G] [P], demeurant [Adresse 2]

représenté par M^e Frédéric FORGUES, avocat au barreau de PARIS, vestiaire : #E2135

COMPOSITION DU TRIBUNAL

Mathilde CLERC, Juge, statuant en juge unique assistée de Aline CAZEAUX, Greffier,

DATE DES DÉBATS

Audience publique du 12 novembre 2024

JUGEMENT

contradictoire, en dernier ressort, prononcé par mise à disposition le 14 janvier 2025 par Mathilde CLERC, Juge assistée de Aline CAZEAUX, Greffier

EXPOSE DU LITIGE

M. [O] [X] est propriétaire d’un véhicule de marque RENAULT assuré auprès de la compagnie d’assurance GROUPAMA.

Après avoir été, en date du 25 avril 2017, victime d’un accident de la circulation causé par Mme [T] [H] épouse [Z], assurée auprès de la compagnie d’assurance PACIFICA, M. [O] [X] a vu son préjudice matériel indemnisé par la société GROUPAMA à hauteur de 3712,58 euros, la société GROUPAMA ayant sollicité des pièces complémentaires avant indemnisation de son préjudice corporel.

Saisi à cette fin par M. [O] [X], le juge des référés du tribunal judiciaire de GRASSE, a, par ordonnance du 4 septembre 2020, ordonné une expertise médicale.

Par assignation du 18 octobre 2022, M. [O] [X], assisté de Me [I], a demandé la condamnation de Mme [T] [H] épouse [Z] et de son assureur, PACIFICA, lequel était assisté de Me [P], à indemniser son préjudice corporel à hauteur de 2172,55 euros ainsi qu’au paiement de la somme 2500 euros au titre des frais irrépétibles.

Une transaction est finalement intervenue entre les parties, assistées de leurs conseils respectifs, aux termes de laquelle il a été convenu que la société PACIFICA réglerait à M. [O] [X] la somme de 2731,85 euros, par chèque libellé à l’ordre de la CARPA qui devait être transmis à Me [I], après réception du protocole d’accord transactionnel dûment signé par M. [O] [X].

Le 4 avril 2023, Me [I] a écrit à Me [P] pour s’enquérir de l’état du versement de l’indemnité transactionnelle de son client, Me [P] lui ayant alors indiqué qu’un virement avait d’ores et déjà été fait sur son compte CARPA, dès réception de son relevé d’identité bancaire. Me [I] a alors indiqué qu’elle n’avait jamais adressé de RIB à Me [P] et que sa boîte aux lettres électronique avait été piratée.

Il a par la suite été établi que Me [P] avait procédé à un virement bancaire à un tiers qui s’était introduit dans la boîte aux lettres de Me [I] à des fins frauduleuses, dont les coordonnées bancaires figuraient sur un relevé d’identité bancaire à en-tête de la CARPA qu’il avait falsifié.

M. [O] [X] n’a donc jamais été indemnisé.

Par acte de commissaire de justice en date du 21 mai 2024, M. [O] [X] a assigné la société PACIFICA, Mme [B] [I] et M. [G] [P] devant le juge de proximité du tribunal judiciaire de Paris aux fins de :

A titre principal :

Condamner la société PACIFICA à lui verser la somme de 2731,85 euros outre intérêts à compter du 16 juillet 2023, avec anatocisme,

Décision du 14 janvier 2025

PCP JTJ proxi fond – N° RG 24/03208 – N° Portalis 352J-W-B7I-C5CL7

A titre subsidiaire :

Condamner Mme [I] et M. [P], solidairement, à lui verser la somme de 2731,85 euros outre intérêts à compter du 16 juillet 2023, avec anatocisme,En tout état de cause :

Condamner Mme [I] et M. [P], solidairement, à lui verser la somme de 1500 euros au titre de l’article 700 du code de procédure civile.

Par acte de commissaire de justice du 5 septembre 2024, M. [G] [P] a assigné la BNP PARIBAS, établissement teneur des comptes de la CARPA, aux fins d’appel en garantie contre toutes condamnations qui pourraient être prononcées contre lui.

L’affaire a été appelée à l’audience du 12 novembre 2024.

A l’audience, M. [O] [X], représenté par son conseil, a déposé des écritures, aux termes desquelles il reprend les demandes contenues dans son acte introductif d’instance, et sollicite le rejet des prétentions formées par Mme [I], M. [P], et la société PACIFICA.

Au visa des articles 1103 et 1342-6 du code civil, il soutient que le règlement est portable et non quérable, de sorte que le débiteur n’est libéré que s’il démontre que l’argent a été porté en la possession du créancier ; ainsi, c’est, selon lui, PACIFICA qui porte le risque du transfert et il lui appartient de réitérer son paiement en cas d’erreur de destinataire.

Au soutien de sa demande subsidiaire, il considère que Me [P] était tenu à une obligation de résultat, à laquelle il a manqué, en versant la somme que lui avait transmis son mandant sur un compte CARPA falsifié, cela sans procéder aux vérifications préconisées par la CARPA, qui alerte les utilisateurs de ses services du risque de fraude, et les invite à vérifier la provenance des RIB avant d’effectuer des transferts. Il soutient que Me [I] a pour sa part manqué à son obligation de sécurisation de son système informatique, enseignée dans le cadre de formations dispensées aux avocats, et rendue obligatoire par le RGPD, la Directive (UE) 2016/1148, la loi n°2018-133 du 26 février 2018 dite NIS, et l’article 29 de la loi du 6 janvier 1978.

La société PACIFICA, représentée par son conseil, a déposé des conclusions, aux termes desquelles elle sollicite :

Le rejet de l’ensemble des demandes formées par M. [O] [X] à l’encontre de PACIFICA ;A titre subsidiaire :

La condamnation in solidum de BNP PARIBAS, Me [P] et Me [I] à relever et garantir PACIFICA contre toute condamnation qui pourraient être mises à sa charge ;Le rejet de toutes demandes plus amples ou contraires de M. [O] [X] ;Le rejet de toutes demandes plus amples ou contraires de toutes parties ;La condamnation aux dépens de M. [O] [X].

Au soutien de ses prétentions, la société PACIFICA expose avoir diligemment rempli ses obligations en transmettant à son conseil les fonds, sous forme de lettre-chèque, qu’elle s’était engagée à régler en exécution du protocole d’accord transactionnel, ces derniers ayant été déposés sur le sous-compte CARPA de Me [P] le 3 février 2023, depuis lequel a été ordonné le virement frauduleux.

Elle considère que la BNP PARIBAS, à qui il appartient de déceler les opérations suspectes apparentes, a manqué à son devoir de vigilance. Elle invoque l’article L. 133-18 du code monétaire et financier, en vertu duquel la banque doit restituer au payeur le montant de toute opération de paiement non autorisée par lui, ce droit à restitution ayant récemment été consacré dans l’hypothèse d’une victime de spoofing. Elle relève qu’en l’espèce, le RIB falsifié contenait une anomalie aisément décelable par un établissement bancaire, le code BIC mentionné sur le RIB ne correspondant pas à celui de l’établissement bancaire dans lequel le compte était supposément domicilié. Elle ajoute qu’au moment où la BNP PARIBAS a transféré les fonds, elle était nécessairement informée de l’identité de l’établissement bancaire auprès duquel elle les transférait, élément confirmé par le fait qu’à première demande, elle a immédiatement pu identifier le réel bénéficiaire des fonds.

Subsidiairement, elle rappelle n’être pas à l’origine du règlement par virement, choix de son conseil, en dépit de ce que, conformément au protocole d’accord, c’est bien un chèque qu’elle avait remis à ce dernier.

M. [G] [P], représenté, a déposé des écritures, aux termes desquelles il demande :

— le rejet de l’intégralité des prétentions formées à son encontre par M. [O] [X],

— subsidiairement, la condamnation de la société BNP PARIBAS à le relever et à le garantir de toute éventuelle condamnation ;

— très subsidiairement, ordonner un partage de responsabilité, par moitié, entre Me [P] et Me [I],

— la condamnation de la société BNP PARIBAS à lui verser la somme de 3000 euros sur le fondement de l’article 700 du code de procédure civile.

Au visa des articles 1997 et 2000 du code civil, il rappelle que le mandataire qui a agi dans le cadre de ses pouvoirs n’engage pas sa responsabilité personnelle s’il n’a pas commis de faute, ce qu’il estime s’appliquer au cas d’espèce, dès lors qu’il n’a fait que réagir à un courriel, parfait en la forme, qui lui avait été adressé en provenance de la boîte aux lettres de Me [I], et qui contenait un RIB identique en tous points avec les relevés authentiquement émis par la CARPA.

Il ajoute n’avoir commis aucune imprudence, les vérifications requises par la CARPA lors de transferts s’imposant uniquement en cas de montants plus importants et s’agissant de documents émanant de particuliers, de telles vérifications n’étant pas requises s’agissant d’un RIB émanant d’une autre CARPA. Il souligne que Me [I] ne l’a jamais averti du piratage de sa boîte mail, et ce alors même qu’ils étaient en relation professionnelle lorsque l’intrusion informatique est survenue.

Enfin, au visa de l’article 1915, 1932 et 1937 du code civil, ainsi qu’au visa de l’article L. 133-19 du code monétaire et financier, il soutient que le paiement effectué par son intermédiaire n’a pas été autorisé et qu’il appartenait à la banque qui a traité l’ordre de virement, en l’espèce la BNP PARIBAS, de vérifier le nom du bénéficiaire.

En réponse à l’argumentation de la BNP PARIBAS, qui invoque la forclusion contenue à l’article L. 133-24 du code monétaire et financier, il précise que ce délai n’est pas un délai d’action judiciaire, mais un délai de signalement ; qu’en l’espèce, il a signalé la fraude dès le 7 avril 2023 à la CARPA, laquelle lui a répondu, dès le 13 avril 2024, que la BNP exigeait la copie d’une plainte pénale, de sorte qu’il est établi que la banque a été informée du paiement frauduleux dans les délais requis.

Mme [B] [I], représentée, a déposé des conclusions, aux termes desquelles elle sollicite :

Le rejet des demandes formées par M. [O] [X] à son encontre,Le rejet des demandes formées par la société PACIFICA à son encontre,Subsidiairement :

condamner la société PACIFICA à relever et garantir Me [I] de toute éventuelle condamnation ;débouter Me [P] de sa demande de partage de responsabilité ;En tout état de cause :

débouter le demandeur de l’ensemble de ses demandes, fins et conclusions contraires au présent dispositif,condamner M. [U] au paiement de la somme de 1000 euros sur le fondement de l’article 700 du code de procédure civile ainsi qu’aux entiers dépens.Ecarter l’exécution provisoire.

Au soutien de ses prétentions, elle soutient n’avoir commis aucune faute, considérant que le demandeur ne démontre pas qu’elle serait débitrice d’une obligation de sécuriser son système informatique, ni que cette obligation serait de résultat. A ce titre, elle rappelle le principe selon lequel lorsque l’accomplissement d’une obligation est soumise à un aléa, cette obligation est de moyens, de sorte qu’en s’abstenant de démontrer qu’elle n’aurait pas mis en place tous les moyens nécessaires à la protection de sa boîte mail, M. [O] [X] échoue à apporter la preuve d’une faute. Elle ajoute qu’il était expressément convenu, aux termes du protocole d’accord transactionnel, d’un paiement par chèque, et non par virement, de sorte que, le chèque étant attendu par courrier postal, et non pas électronique, elle n’était tenue à aucune mesure particulière s’agissant de cette transaction.

La société BNP PARIBAS, représentée, a déposé des conclusions aux termes desquelles elle demande :

Que soit prononcée la mise hors de cause de BNP PARIBAS et le renvoi de Me [P] à mieux se pourvoir ;Déclarer à défaut Me [P] irrecevable en son action à l’encontre de BNP PARIBAS par application des articles 31 et 32 du code de procédure civile,Déclarer irrecevable Me [P] en l’ensemble de ses demandes, fins et prétentions formées à l’encontre de BNP PARIBAS car forcloses ;Débouter Me [P] de l’intégralité de ses demandes ;Condamner Me [P] au paiement de la somme de 2000 euros sur le fondement de l’article 700 du code de procédure civile.

Au soutien de ses demandes, elle soutient que si manquement était caractérisé, celui-ci ne pourrait, en vertu des articles 240-1 et 241 du décret n°91-1197 du 27 novembre 1991 modifié par décret n° 2014-796 du 1er juillet 2014, lui être imputé. Elle précise que la CARPA est tenue à un contrôle préalable des retraits de fonds sur le compte de chaque avocat, notamment l’identité des bénéficiaires des règlements de sorte que seule la CARPA peut être tenue pour responsable du défaut de vérification préalable qui s’imposait, cela d’autant plus que le RIB litigieux n’a transité qu’entre les mains de Me [I], Me [P] et la CARPA.

Elle considère par ailleurs que le manquement allégué ne peut être apprécié qu’en application de l’article L. 133-21 du code monétaire et financier, le régime de responsabilité prévu par le droit spécial étant seul applicable, de sorte que la responsabilité de la banque ne saurait être recherchée sur le fondement des articles 1915, 1932 ou 1937 du code civil invoqués par M. [G] [P]. Elle ajoute que par application de l’article L. 133-24 du CMF, l’action de ce dernier est forclose, l’assignation ne lui ayant été délivrée que le 5 septembre 2024, le virement litigieux ayant été réalisé le 8 février 2023.

Enfin, subsidiairement et sur le fond, elle soutient qu’en application de l’article L. 133-21 du code monétaire et financier, la banque ne peut être tenue pour responsable si l’identifiant unique (IBAN) fourni par le donneur d’ordre est inexact, ce qu’elle estime être le cas en l’espèce.

La décision, contradictoire en application des dispositions de l’article 467 du code de procédure civile, a été mise en délibéré par mise à disposition au greffe au 21 janvier 2025.

Autorisée à produire en délibéré la lettre-chèque transmise à son conseil en règlement de l’indemnité due à M. [O] [X], la société PACIFICA a fait parvenir ladite pièce à la juridiction par courriel en date du 20 novembre 2024. Les échanges qui s’en sont suivis n’ayant pas été autorisés, il n’en sera pas tenu compte.

Par courrier en date du 9 décembre 2024, le juge des contentieux de la protection a sollicité, du conseil de Mme [B] [I], une copie de la plainte par elle déposée le 24 février 2023. Par courriel du 13 décembre 2024, le conseil de Mme [B] [I] a transmis au greffe la pièce sollicitée.

MOTIFS DE LA DECISION

Sur la jonction des procédures

En application de l’article 367 du code de procédure civile, le juge peut, à la demande des parties ou d’office, ordonner la jonction de plusieurs instances pendantes devant lui s’il existe entre les litiges un lien tel qu’il soit de l’intérêt d’une bonne justice de les faire instruire ou juger ensemble.

En l’espèce, il existe un tel intérêt de faire juger ensemble l’instance principale avec l’instance en intervention forcée régularisée par M. [G] [P] à l’encontre de la banque BNP PARIBAS.

La jonction des deux affaires sera ordonnée sous le n° unique 24/3208.

Sur la demande en paiement dirigée contre PACIFICA

L’article 1353 du code civil dispose que « celui qui réclame l’exécution d’une obligation doit la prouver. Réciproquement, celui qui se prétend libéré doit justifier le paiement ou le fait qui a produit l’extinction de son obligation. »

Aux termes de l’article 1342 du code civil, le paiement est l’exécution volontaire de la prestation due.

Il doit être fait sitôt que la dette devient exigible.

Il libère le débiteur à l’égard du créancier et éteint la dette, sauf lorsque la loi ou le contrat prévoit une subrogation dans les droits du créancier.

Aux termes de l’article 1342-6 du code civil, dont se prévaut le demandeur, à défaut d’une autre désignation par la loi, le contrat ou le juge, le paiement doit être fait au domicile du débiteur.

Il convient également de rappeler qu’en application des articles 1342-2 et 1342-3 du code civil, le paiement doit être fait au créancier ou à la personne désignée pour le recevoir ; le paiement fait à une personne qui n’avait pas qualité pour le recevoir est néanmoins valable si le créancier le ratifie ou s’il en a profité ; enfin, le paiement fait de bonne foi à un créancier apparent est valable.

De ces articles est tiré l’adage « qui paye mal, paye deux fois », ce qui signifie que le paiement fait à un tiers est, en principe, nul, et ne libère pas le payeur. En conséquence, le créancier peut contraindre le débiteur ayant mal payé à s’exécuter une seconde fois, sous réserve de trois exceptions :

la ratification a posteriori par le débiteur, l’hypothèse dans laquelle le paiement, bien que n’ayant pas été fait entre les mains du débiteur, lui a in fine bénéficié, l’hypothèse dans laquelle le paiement a été fait à un tiers, donnant l’apparence d’être le créancier réel.

Il est constant qu’en cas de fraude qui n’est pas évidente, notamment quand les documents adressés aux fins de paiement ont une apparence d’authenticité, ne comportent pas d’anomalie aisément décelable, et que le contenu de la demande en paiement se réfère à des éléments précis, non publics et réels, le paiement de bonne foi est considéré comme fait auprès d’un créancier apparent et est ainsi libératoire.

A l’inverse, un débiteur ne peut se prévaloir utilement de son paiement de bonne foi à un créancier apparent s’il n’a pas effectué l’ensemble des vérifications et investigations qu’appelaient les incohérences des documents transmis ainsi que les circonstances ayant entouré la demande de paiement.

En l’espèce, il est établi qu’aux termes d’un protocole d’accord transactionnel en date du 16 janvier 2023, la société PACIFICA, assistée de Me [P], s’est engagée à régler la somme de 2731,85 euros par chèque libellé à l’ordre de la CARPA transmis au conseil de [O] [X], M^e Martine BITTARD, avocate au barreau de Grasse, après réception du protocole signé par M. [O] [X].

Le paiement devait donc être fait par chèque adressé à M^e Martine BITTARD, personne désignée par M. [O] [X] pour le recevoir.

Il est démontré qu’un chèque d’un montant de 2731,85 euros a été émis par PACIFICA, puis déposé sur le sous-compte CARPA n°167 660 de Me [G] [P], son conseil, le 8 février 2023.

Cette somme a fait l’objet d’un virement bancaire le 15 février 2023, depuis le sous-compte n°167 660 de Me [G] [P], à la suite de la réception par ce dernier d’un courriel accompagné d’un RIB CARPA en date du 3 février 2023, émis depuis la boîte email de Me [B] [I] : « [Courriel 6] », le RIB comportant les coordonnées du cabinet : 00145 – [I] – GARNERO – PIERAZZI, le titulaire du compte étant identifié comme la CARPA du Barreau de Grasse n° SIRET 306562448 – 00028, l’identifiant national indiquant, pour banque, la Caisse Fédérale de Crédit Mutuel, l’identifiant international, pour BIC : FPELFR21.

Le 4 avril 2023, Me [B] [I], s’est, par courriel adressé à M^e Laure ANGRAND, avocat associé du cabinet [P]-[Y], enquise du paiement de la somme convenue aux termes du protocole d’accord transactionnel, Me [F] [Y] lui ayant répondu, le 6 avril 2023, que les fonds étaient sur son sous-compte CARPA depuis le 15 février 2023. Le 7 avril 2023, Me [I] a manifesté sa surprise, indiquant ne lui avoir jamais avoir fait parvenir de RIB.

Constatant que le courriel et le RIB qui avaient été adressés à Me [P] le 3 février 2023 n’émanaient pas d’elle, Me [I] a alors précisé à Me [Y] que sa boîte mail avait été piratée ; Me [F] [Y] a sollicité le rappel des fonds auprès de la CARPA, laquelle a sollicité la copie de la plainte déposée par Me [I] pour ces faits.

Il a par la suite été établi que ce paiement avait été fait sur un compte NICKEL, ouvert au nom de M. [K] [D].

Il est ainsi démontré que le paiement effectué le 15 février 2023 n’a pas été fait au créancier ou à la personne désignée pour le recevoir, Me [I] en l’espèce, et qu’il a été détourné par un tiers.

Il convient donc de constater l’absence de ratification postérieure par M. [O] [X] ou de profit pour lui du virement mal exécuté.

En ce qui concerne l’apparence du créancier, dont il sera rappelé qu’elle doit être légitime pour celui qui paye, en ce sens qu’une personne placée dans les mêmes circonstances se serait comportée de la même manière, il sera constaté que tant le courriel adressé le 3 février 2023 à Me [P] que le RIB joint à ce dernier ne comportaient pas d’anomalies évidentes, et contenaient des informations se référant à des éléments précis et circonstanciés, à savoir les références du dossier en cause, les coordonnées précises de Me [B] [I], ainsi que, s’agissant du RIB transmis par, prétendument, la CARPA du Barreau de Grasse, les références de l’affaire et du sous-compte de Me [I]. En outre, ni le courriel supposément adressé par Me [I], ni le courrier émanant supposément du Président de la CARPA, ne comportent de fautes d’orthographe, et les deux écrits contiennent les formules habituellement contenues dans les échanges entre avocats, de sorte qu’ils revêtent une apparente authenticité.

Dans ces conditions, il convient de constater que le paiement fait par PACIFICA, par l’intermédiaire de son mandataire, Me [P], étant rappelé que le mandat est transparent dans les relations entre le mandataire et le tiers-contractant, l’a été à un créancier apparent.

Il est ainsi libératoire à l’égard du créancier.

La créance de M. [O] [X] à l’encontre de PACIFICA est donc éteinte alors même qu’il n’a jamais bénéficié du paiement qui lui était pourtant dû.

La demande formée à l’encontre de PACIFICA par M. [O] [X] sera en conséquence rejetée.

Sur la demande subsidiaire de condamnation solidaire de M. [G] [P] et de Mme [B] [I] et le partage de responsabilité

Sur la responsabilité de M. [G] [P]

Aux termes des articles 1997 et 2000 du code civil, dont se prévaut M. [G] [P],

« Le mandataire qui a donné à la partie avec laquelle il contracte en cette qualité une suffisante connaissance de ses pouvoirs n’est tenu d’aucune garantie pour ce qui a été fait au-delà, s’il ne s’y est personnellement soumis ».

« Le mandant doit aussi indemniser le mandataire des pertes que celui-ci a essuyées à l’occasion de sa gestion, sans imprudence qui lui soit imputable » ;

M. [G] [P] en tire pour conséquence que le mandataire qui a agi dans le cadre de ses pouvoirs n’engage pas sa responsabilité personnelle s’il n’a pas commis de faute.

Il convient toutefois de rappeler qu’en application des dispositions des articles 1991 et 1992 du même code, le mandataire est tenu d’accomplir le mandat tant qu’il en demeure chargé, et répond des dommages-intérêts qui pourraient résulter de son inexécution. Le mandataire répond par ailleurs du dol, mais aussi des fautes qu’il commet dans sa gestion.

En vertu de l’article 1989 du code civil par ailleurs, le mandataire ne peut rien faire au-delà de ce qui est porté dans son mandat : le pouvoir de transiger ne renferme pas celui de compromettre. L’article 1998 du code civil rappelle à ce titre que si le mandant est tenu d’exécuter les engagements contractés par le mandataire, conformément au pouvoir qui lui a été donné, il n’est pas tenu de ce qui a pu être fait au-delà, qu’autant qu’il l’a ratifié expressément ou tacitement.

Enfin, le mandat étant en principe transparent dans les relations entre le mandataire et le tiers-contractant, dès lors que ce dernier subit un préjudice en raison de l’inexécution par le mandataire de son obligation contractuelle, il ne peut agir que sur le fondement de la responsabilité délictuelle.

Il appartient donc en l’espèce à M. [O] [X], qui recherche à titre subsidiaire la responsabilité de M. [G] [P], laquelle ne peut être que délictuelle, de démontrer l’existence d’une faute, et du lien de causalité directe entre cette faute et le préjudice qu’il a subi.

S’il a précédemment été établi que Me [P] avait légitimement pu croire à la qualité de créancier de l’escroc, et de ce fait lui a transmis les fonds, par virement bancaire, de bonne foi, de sorte que le paiement, fait à un créancier apparent, avait libéré son mandant, il convient d’observer qu’il n’a pas respecté les termes du protocole d’accord transactionnel, en vertu duquel PACIFICA règlerait son indemnité à M. [O] [X] par chèque, chèque qui a d’ailleurs été remis par PACIFICA à son mandataire, Me [G] [P].

Il est ainsi établi qu’en procédant à un virement bancaire, le mandataire, Me [G] [P], a agi au-delà de ce qui avait été porté dans son mandat, à savoir le paiement par chèque de l’indemnité due à M. [O] [X], le mandant n’ayant ni ratifié expressément ou tacitement cette modification.

La demande en paiement par virement bancaire reçue par M. [G] [P] n’étant pas conforme aux termes de l’accord conclu entre sa cliente et le tiers, M. [O] [X], M. [G] [P] aurait dû se montrer prudent, en s’enquérant auprès de Me [I] de ce qu’elle consentait désormais à un règlement par virement bancaire.

La faute de M. [G] [P] est ainsi établie, en ce que, bien que trompé par l’apparente authenticité de la demande en paiement par virement qui lui a été envoyée, M. [G] [P] a manqué à son obligation de prudence, qu’imposait la modification des termes de l’accord signé entre les parties.

Le dommage subi par M. [O] [X] consiste en la non perception de son indemnité. Ce préjudice n’est pas contesté.

S’agissant du lien de causalité existant entre la faute de M. [G] [P] et le dommage subi, celui-ci n’est qu’indirect. En effet, sans la faute de l’escroc, le dommage ne serait pas advenu. Si le fait de l’usurpateur a conditionné la survenance du dommage, il ne revêt toutefois pas les caractéristiques de la force majeure, permettant l’exonération de M. [G] [P] de sa responsabilité, dès lors qu’il n’était pas irrésistible. En effet, si M. [G] [P] avait procédé au paiement par chèque, le paiement n’aurait pas été intercepté par l’escroc.

Sa responsabilité personnelle est donc engagée à l’égard de M. [O] [X].

Sur la responsabilité de Mme [B] [I]

M. [O] [X] avait confié à son conseil le soin de réceptionner son indemnité et de la lui remettre. Il considère que Mme [B] [I], en sa qualité d’avocate, était tenue à une obligation de résultat s’agissant de la sécurisation de son système informatique.

M. [G] [P], au soutien de sa demande formée à titre subsidiaire de partage de responsabilité, souligne que Me [I] ne l’a jamais averti du piratage de sa boîte mail, et ce alors même qu’ils étaient en relation professionnelle lorsque l’intrusion informatique est survenue.

Il est constant qu’une obligation est de résultat lorsque le débiteur a la maîtrise de l’exécution de la prestation due, et, qu’à l’inverse, l’obligation est de moyens, lorsqu’existe un aléa quant à l’exécution de la prestation. Cette distinction est utile s’agissant de la charge de la preuve, cette dernière pesant sur celui qui allègue un manquement lorsque l’obligation est de moyen.

La Directive (UE) 2016/1148 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 6 juillet 2016 visée par M. [O] [X], met des obligations à la charge des Etats-Membres, notamment celle de veiller à ce que les fournisseurs de service numérique prennent des mesures pour éviter les incidents portant atteinte à la sécurité de leurs réseaux et systèmes d’information, et réduire au minimum l’impact de ces incidents sur les services visés à l’annexe III qui sont offerts dans l’Union, de manière à garantir la continuité de ces services, de sorte qu’elle n’est pas directement applicable à Mme [B] [I].

L’ancien article 29 de la loi n°78-17 du 6 janvier 1978, dite Loi Informatique et Libertés, dont se prévaut M. [O] [X], par la suite devenu article 34, prévoyait que les responsables de traitement sont tenus de prendre “toutes précautions utiles” aux fins de garantir la confidentialité des informations traitées. En vertu de ce texte, l’obligation de sécurité et de confidentialité se présentait, non pas comme une obligation de résultat, mais comme une obligation de moyens.

L’article 4 – 6° de la loi précitée dispose aujourd’hui que les données à caractère personnel doivent être traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, ou l’accès par des personnes non autorisées, à l’aide de mesures techniques ou organisationnelles appropriées.

Le « paquet européen », contenant le RGPD et la directive UE 2016/680 du 27 avril 2016, a fait de l’obligation d’intégrité et de confidentialité un principe fondamental de la protection des données personnelles, se caractérisant par la nécessité de prendre les mesures requises pour interdire toute utilisation non autorisée de données personnelles ainsi que le précise la directive (UE) 2016/680 du 27 avril 2016, qui énonce, en son considérant 28, qu’il convient que les données à caractère personnel soient traitées de manière à garantir un niveau de sécurité et de confidentialité approprié, notamment en empêchant l’accès non autorisé à ces données et à l’équipement servant à leur traitement ainsi que l’utilisation non autorisée de ces données et de cet équipement, et à tenir compte de l’état des connaissances et de la technologie disponible, des coûts de mise en œuvre au regard des risques et de la nature des données à caractère personnel à protéger.

Il est constant que l’obligation de sécurisation n’est pas une obligation de résultat, mais de moyens, seule la notification d’une violation de données à caractère personnel à la personne concernée l’étant, en vertu des articles 33 et 34 du RGPD, qui disposent que « En cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l’autorité de contrôle compétente conformément à l’article 55, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques. Lorsque la notification à l’autorité de contrôle n’a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard », et que « lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, le responsable du traitement communique la violation de données à caractère personnel à la personne concernée dans les meilleurs délais ».

En l’espèce, il résulte de la plainte déposée par Mme [B] [I] le 23 février 2023, qu’elle a été alertée, le lundi 13 février 2023, par l’un de ses confrères, du fait qu’il n’avait pas réceptionné un paiement en provenance de la compagnie d’assurance de sa cliente et qu’il avait été intercepté par un tiers ; elle ajoute qu’après recherches, elle s’est aperçue du piratage de sa boîte mail, celle-ci ayant été utilisée « en usurpant son identité en émettant de « fausses pièces », « faux RIB », aux fins de détournement de fonds, et ce, dans plusieurs dossiers ».

Il est ainsi établi que Mme [B] [I] a eu connaissance du piratage de sa boîte mail le 13 février 2023, ce qu’elle n’a pas immédiatement notifié à son correspondant, Me [P].

Il convient toutefois de constater que, dès lors que le protocole d’accord prévoyait un paiement par chèque, et non par virement bancaire, cette intrusion n’apparaissait pas présenter, s’agissant de la transaction consentie au bénéfice de M. [O] [X], de risque élevé, de sorte qu’elle n’était pas tenue à notification immédiate.

M. [O] [X] ne démontrant pas que Mme [B] [I] n’aurait pas honoré son obligation de moyens à son égard, et Me [P] échouant à démontrer que l’obligation de notification dans les meilleurs délais lui était due, aucun manquement de Mme [B] [I] à ses obligations n’est caractérisé.

Les demandes indemnitaires dirigées contre Mme [B] [I] seront donc rejetées.

Sur la responsabilité de la Banque BNP PARIBAS

Sur la qualité à défendre de la BNP PARIBAS

Aux termes de l’article 122, constitue une fin de non-recevoir tout moyen qui tend à faire déclarer l’adversaire irrecevable en sa demande, sans examen au fond, pour défaut de droit d’agir, tel le défaut de qualité, le défaut d’intérêt, la prescription, le délai préfix, la chose jugée.

En application de l’article 31 du code de procédure civile, l’action est ouverte à tous ceux qui ont un intérêt légitime au succès ou au rejet d’une prétention, sous réserve des cas dans lesquels la loi attribue le droit d’agir aux seules personnes qu’elle qualifie pour élever ou combattre une prétention, ou pour défendre un intérêt déterminé.

L’intérêt doit être né, actuel et certain. Il s’apprécie à la date de la demande introductive d’instance.

L’intérêt doit en outre être légitime, la légitimité s’entendant de ce qui est juridiquement protégé. Ainsi, la légitimité de l’intérêt à agir d’un plaideur est établie lorsque ce dernier justifie de la lésion d’un droit prévu par la loi que le jugement sollicité serait de nature à rétablir.

Aux termes de l’article 32 du même code, est irrecevable toute prétention émise par ou contre une personne dépourvue du droit d’agir.

En l’espèce, la BNP PARIBAS considère que les prétentions émises contre elle sont irrecevables, dès lors que seule la CARPA est tenue à une obligation de contrôle préalable des retraits de fonds sur le compte de chaque avocat, et notamment de l’identité des bénéficiaires des règlements.

Il convient toutefois de constater que, si l’argumentaire de la BNP PARIBAS est susceptible de prospérer au fond, s’agissant notamment de la détermination de sa responsabilité, il ne relève pas du défaut de qualité à agir, M. [G] [P] justifiant d’un intérêt légitime à appeler la société BNP PARIBAS en garantie, la responsabilité de la banque étant susceptible d’être retenue, en vertu des dispositions du code monétaire financier qu’elle invoque.

Sur la forclusion

En vertu de l’article 133-24 alinéa 1 et 2 du Code monétaire et financier, l’utilisateur de services de paiement signale, sans tarder, à son prestataire de services de paiement une opération de paiement non autorisée ou mal exécutée et au plus tard dans les treize mois suivant la date de débit sous peine de forclusion à moins que le prestataire de services de paiement ne lui ait pas fourni ou n’ai pas mis à sa disposition les informations relatives à cette opération de paiement conformément au chapitre IV du titre 1er du livre III.

Ce texte est issu de l’ordonnance n°2017/1252 du 9 août 2017 portant transposition de la directive Directive (UE) 2015/2366 du Parlement Européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur, modifiant les directives 2002/65/CE, 2009/110/CE et 2013/36/UE et le règlement (UE) n° 1093/2010, et abrogeant la directive 2007/64/CE.

Il en résulte que le demandeur doit se manifester dès la réception de l’avis ou du relevé mentionnant l’opération et au plus tard dans un délai de 13 mois.

La Cour de justice de l’Union Européenne a, le 16 mars 2023 (Beobank), statué en ce sens que, dès lors que la responsabilité de la banque, prestataire de services de paiement, est recherchée sur le fondement d’une opération de paiement non autorisée, est seul applicable le régime de responsabilité défini aux articles L. 133-18 à L. 133-20 du Code monétaire et financier, à l’exclusion de tout régime alternatif de responsabilité résultant du droit national. La CJUE a également considéré, le 2 septembre 2021, que le titulaire qui aurait laissé s’écouler le délai de l’article L.133-24 du Code monétaire et financier, ne saurait contourner la forclusion en recherchant la responsabilité de l’émetteur sur le fondement du droit commun.

Dans ces arrêts, la CJUE répondait à la question de savoir si les articles L. 133-18 à L. 133-24 du code monétaire et financier devaient primer par rapport à d’autres régimes de responsabilité, notamment sur la responsabilité contractuelle de droit commun, ce à quoi elle a répondu par l’affirmative.

La Chambre commerciale financière et économique de la Cour de cassation a, dans un arrêt du 2 mai 2024 (n°22-18.074), considéré qu’en l’absence de contestation de paiements effectués dans un délai de treize mois, la cour d’appel avait exactement déduit que l’action d’un plaideur, introduite le 15 juin 2017, pour des paiements survenus en 2007 et 2011, était irrecevable pour cause de forclusion.

S’il ressort de la combinaison de ces jurisprudences et de ces textes qu’un plaideur est forclos en son action judiciaire lorsqu’il n’a pas contesté les paiements frauduleux auprès de son prestataire de service de paiements dans un délai de treize mois, et qu’il ne saurait se fonder sur autre régime pour contourner la forclusion, seul le droit spécial étant applicable, il ne s’en déduit pas que l’action judiciaire en elle-même est enfermée dans un délai de 13 mois.

Le considérant 70 de la Directive (UE) 2015/2366 du Parlement Européen et du Conseil du 25 novembre 2015 énonce à ce titre que si l’utilisateur de services de paiement respecte le délai de notification, il devrait pouvoir faire valoir ces revendications sous réserve des délais nationaux de prescription.

Il s’en déduit que sous réserve que l’utilisateur ait informé son prestataire de services de paiement de l’existence de paiement contestés dans un délai de 13 mois, le délai de prescription quinquennal prévu à l’article 2224 du code civil s’applique en droit français.

En l’espèce, le paiement frauduleux a été réalisé par M. [G] [P] le 15 février 2023 et il est établi que la Banque BNP PARIBAS a été informée de l’opération de paiement non autorisée au mois d’avril 2023, ainsi que cela résulte de l’échange de courriels entre Me [F] [Y] et « E-carpa », daté du 13 avril 2023.

Il est ainsi établi que le délai de notification prévu à l’article 133-24 du code monétaire et financier a été respecté, et l’action en garantie dirigée contre la BNP PARIBAS, introduite dans le délai de 5 ans à compter du moment où M. [G] [P] a eu connaissance des faits lui permettant de l’exercer, est recevable.

Sur le fond

Il a précédemment été établi que dès lors que la responsabilité d’un prestataire de services de paiement est recherchée en raison d’une opération de paiement non autorisée ou mal exécutée, seul est applicable le régime de responsabilité défini aux articles L. 133-18 à L. 133-24 du code monétaire et financier.

L’article L.133-6 du Code monétaire et financier dispose qu’une opération de paiement est autorisée si le payeur a donné son consentement à son exécution.

Il est constant qu’une opération de paiement initié par le payeur, qui donne un ordre de paiement à son prestataire de service de paiement, est réputée autorisée uniquement si le payeur a également consenti à son bénéficiaire (Cass. Com, 1 juin 2023, 21-19.289)

En l’espèce, la responsabilité de BNP PARIBAS est recherchée en raison d’une opération de paiement non autorisée, M. [G] [P] n’ayant pas consenti un virement au bénéfice de l’escroc, de sorte que seules les dispositions des articles L. 133-18 à L. 133-24 du code monétaire et financier sont applicables.

En vertu de l’article L.133-18 du code monétaire et financier, en cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L. 133-24, le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement et s’il communique ces raisons par écrit à la Banque de France. Le cas échéant, le prestataire de services de paiement du payeur rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu.

L’article L.133-19 du même code dispose que la responsabilité du payeur n’est pas engagée si l’opération de paiement non autorisée a été effectuée en détournant, à l’insu du payeur, l’instrument de paiement ou les données qui lui sont liées. Toutefois, le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L.133-16 et L.133-17. Enfin, il est précisé que sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si l’opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement du payeur n’exige une authentification forte du payeur prévue à l’article L. 133-44.

L. 133-21 du même code précise toutefois qu’un ordre de paiement exécuté conformément à l’identifiant unique fourni par l’utilisateur du service de paiement est réputé dûment exécuter pour ce qui concerne le bénéficiaire désigné par l’identifiant unique.

Si l’identifiant unique fourni par l’utilisateur du service de paiement est inexact, le prestataire de services de paiement n’est pas responsable de la mauvaise exécution ou de la non-exécution de l’opération de paiement.

Toutefois, le prestataire de services de paiement du payeur s’efforce de récupérer les fonds engagés dans l’opération de paiement. Le prestataire de services de paiement du bénéficiaire communique au prestataire de services de paiement du payeur toutes les informations utiles pour récupérer les fonds. Si le prestataire de services de paiement du payeur ne parvient pas à récupérer les fonds engagés dans l’opération de paiement, il met à disposition du payeur, à sa demande, les informations qu’il détient pouvant documenter le recours en justice du payeur en vue de récupérer les fonds.

Il résulte de ce texte que la responsabilité de l’établissement financier du bénéficiaire du virement ne peut être engagée lorsqu’il a exécuté le virement en se conformant à l’identifiant unique (IBAN) fourni par le donneur d’ordre.

L’irresponsabilité prévue par cet article bénéficie aussi bien au prestataire du service de paiement du payeur qu’à celui du bénéficiaire.

En l’espèce, la BNP PARIBAS s’est bien conformée aux identifiants bancaires (IBAN et BIC) transmis par M. [G] [P].

Elle était donc dispensée de toute vérification supplémentaire et il ne peut lui être reproché de ne pas avoir vérifié la concordance de ces identifiants avec les autres éléments mentionnés sur le RIB.

En conséquence, la demande formée par M. [G] [P], tendant à la garantir de toute condamnation, sera rejetée.

Seule la responsabilité de M. [G] [P] ayant été retenue, il sera seul condamné à payer à M. [O] [X] la somme de 2731,85 euros.

Sur les demandes accessoires

M. [G] [P], qui succombe, supportera les dépens, en application de l’article 696 du code de procédure civile.

Il sera par ailleurs condamné à payer à M. [O] [X] la somme de 500 euros au titre des frais irrépétibles.

L’équité commande de rejeter la demande de condamnation de M. [G] [P] au paiement des frais irrépétibles de la société BNP PARIBAS.

La demande de condamnation de M. [O] [X] au paiement des frais irrépétibles de Mme [B] [I] sera rejetée.

L’exécution provisoire est de droit et ne sera pas écartée.

PAR CES MOTIFS,

Le tribunal judiciaire, statuant publiquement, après débats en audience publique, par jugement mis à disposition au greffe, contradictoire et en dernier ressort,

ORDONNE la jonction des affaires RG n°24/3208 et n°24/5159 sous le n° unique 24/3208

CONDAMNE M. [G] [P] à régler à M. [O] [X] la somme de 2731,85 euros (deux mille sept cent trente et un euros et quatre-vingt-cinq centimes;

CONDAMNE M. [G] [P] aux dépens de l’instance ;

CONDAMNE M. [G] [P] à payer à M. [O] [X] la somme de 500 € (cinq cents euros), au titre des frais irrépétibles ;

DEBOUTE les parties du surplus de leurs demandes;

RAPPELLE que l’exécution provisoire du présent jugement est de droit.

LE GREFFIER LA JUGE