TRIBUNAL JUDICIAIRE

DE [Localité 10]

Cité [9]

1ère CHAMBRE

[Adresse 6]

[Adresse 8]

[Localité 2]

JUGEMENT DU 16 Décembre 2024

N° RG 23/06697 – N° Portalis DBYC-W-B7H-KR4P

JUGEMENT DU :

16 Décembre 2024

[O] [L]

C/

CAISSE REGIONALE DE CREDIT AGRICOLE MUTUEL D’ILLE ET VILAINE,

EXÉCUTOIRE DÉLIVRÉ

LE

à

Au nom du Peuple Français ;

Rendu par mise à disposition le 16 Décembre 2024 ;

Par Aude PRIOL, Vice-Présidente au Tribunal judiciaire de RENNES, assistée de Anaïs SCHOEPFER, Greffier ;

Audience des débats : 14 Octobre 2024.

Le juge à l’issue des débats a avisé les parties présentes ou représentées, que la décision serait rendue le 16 Décembre 2024, conformément aux dispositions de l’article 450 du Code de Procédure Civile.

Et ce jour, le jugement suivant a été rendu par mise à disposition au greffe ;

ENTRE :

DEMANDERESSE

Madame [O] [L]

[Adresse 1]

[Localité 4]

représentée par M^e Arnaud DELOMEL, avocat au barreau de RENNES, substitué par M^e Ornella REMOND-MALHERBE, avocat au barreau

ET :

DEFENDERESSE

CAISSE REGIONALE DE CREDIT AGRICOLE MUTUEL D’ILLE ET VILAINE,

[Adresse 5]

[Localité 3]

représentée par M^e Stéphanie PRENEUX, avocat au barreau de RENNES, substituée par M^e Ophélie ABIVEN, avocat au barreau de RENNES

EXPOSE DU LITIGE

Mme [O] [L] est titulaire d’un compte-courant au sein de la Caisse Régionale de Crédit Agricole Mutuel d’Ille et Vilaine.

Après avoir rédigé une pré-plainte en ligne le 4 octobre 2022, le 8 octobre 2022, Mme [O] [L] a déposé plainte auprès de la gendarmerie de [Localité 7] pour escroquerie suite à des paiements, qu’elle déclarait, non autorisés à partir de son compte bancaire. Le 10 octobre 2022, elle a complété le détail des paiements non autorisés sur le site du Ministère de l’Intérieur pour un montant total de 9.948 euros.

Se prévalant du refus de l’établissement bancaire de procéder au remboursement total des sommes débitées sur son compte bancaire, par acte de commissaire de justice délivré le 10 août 2023, Mme [O] [L] a fait assigner devant le Tribunal judiciaire de Rennes la Caisse Régionale de Crédit Agricole Mutuel d’Ille et Vilaine aux fins d’engager la responsabilité de la banque et obtenir l’indemnisation de ses préjudices.

L’affaire a été appelée à l’audience du 15 janvier 2024. A cette date, faute d’être en état d’être jugée, elle a été renvoyée, à la demande des parties, à plusieurs reprises pour être retenue à l’audience du 14 octobre 2024.

A cette date, Mme [O] [L] a comparu représentée par son conseil. Elle a soutenu oralement ses dernières écritures déposées à l’audience et préalablement communiquées à la partie adverse.

Ainsi, au visa des articles L.133-17 et suivants du Code monétaire et financier, 1217 et 1231-1 du Code civil, elle sollicite la condamnation de la Caisse Régionale de Crédit Agricole Mutuel d’Ille et Vilaine à lui verser les sommes suivantes :

—  5.948 euros en réparation de son préjudice matériel au titre du remboursement des opérations frauduleuses majoré au taux légal de 15 points ;

—  1.000 euros en réparation de son préjudice moral et de jouissance ;

—  2.000 euros au titre de l’article 700 du Code de procédure civile outre aux entiers dépens.

Au soutien de ses prétentions, elle considère que la CRCAM d’Ille et Vilaine est responsable de plein droit en matière d’opérations de paiement non autorisées et qu’elle n’a pas respecté son obligation de remboursement des fonds suite à ces opérations. Elle souligne que le défendeur ne rapporte pas la preuve de la commission d’agissements frauduleux ou de manquements intentionnels ou de négligence grave de sa part. Elle rappelle qu’elle a été victime d’une escroquerie et que la banque ne le conteste pas. Elle remarque que c’est l’établissement bancaire lui-même qui l’a contacté pour l’informer des opérations douteuses sur son compte. Elle conteste formellement avoir autorisé, validé ou authentifié la moindre des opérations bancaires querellées et relève que la banque n’en apporte aucune preuve. Elle note que la banque a remboursé sans explication une partie des sommes et ne justifie pas la retenue du solde. Elle estime justifier des préjudices que cette attitude de la banque lui a causé.

A l’audience, la Caisse Régionale de Crédit Agricole Mutuel d’Ille et Vilaine a comparu représentée par son conseil. Elle a entendu oralement se référer à ses dernières écritures déposées à l’audience et préalablement communiquées à la partie demanderesse.

Au visa des articles 1103, 1104 du Code civil et L.133-16 et suivants du Code monétaire et financier, elle sollicite le rejet de toutes les demandes de Mme [O] [L] et la condamnation de cette dernière à lui verser la somme de 1.500 euros au titre de l’article 700 du Code de procédure civile outre aux entiers dépens.

A titre de moyens en défense, la Caisse Régionale de Crédit Agricole Mutuel d’Ille et Vilaine fait valoir que Mme [O] [L] a commis plusieurs négligences ayant participé à la fraude dont elle a été victime. Elle affirme que celle-ci a reçu un total de 16 sms auxquels elle a répondu par « 1 » validant ainsi la transaction en cours. Elle remarque que malgré l’envoi d’un sms signalant une fraude, elle a, par le même code, déverrouillé l’action bloquée par les outils techniques de protection. Elle estime que cela démontre un réel rôle actif de sa cliente caractérisant une négligence grave de sa part. La banque relève que Mme [L] n’a pas réagi aux multiples sms non équivoques qu’elle a reçu de sa part les 1ers et 2 octobre 2022, et ce alors qu’elle n’apporte aucune preuve d’un vol ou d’un détournement de son téléphone portable ni de l’utilisation d’un autre numéro de téléphone que le sien. Elle fait valoir qu’elle a validé des authentifications fortes et que la modification du « SécuriCode » n’a pu être réalisé qu’après utilisation du code confidentiel initialement adressé à sa cliente et via son accès personnel à l’espace en ligne. Elle soutient que les opérations en question ont été authentifiées par une authentification forte, dûment enregistrées et comptabilisées et qu’elles n’ont pas été affectées par une déficience technique ou autre. Elle souligne que son intervention a permis de bloquer la somme de 14.164.41 euros sur une fraude totale de 24.113.41 euros. Elle estime également que la demanderesse ne justifie pas des préjudices qu’elle dit avoir subi.

A l’issue des débats, les parties ont été informées que la décision été mise en délibéré pour être rendue le 16 décembre 2024 par mise à disposition au greffe.

MOTIFS DE LA DECISION

1/ Sur la demande principale

Aux termes de l’article L. 133-19 du Code monétaire et financier, « I. — En cas d’opération de paiement non autorisée consécutive à la perte ou au vol de l’instrument de paiement, le payeur supporte, avant l’information prévue à l’article L. 133-17, les pertes liées à l’utilisation de cet instrument, dans la limite d’un plafond de 50 euros.

Toutefois, la responsabilité du payeur n’est pas engagée en cas :

— d’opération de paiement non autorisée effectuée sans utilisation des données de sécurité personnalisées ;

— de perte ou de vol d’un instrument de paiement ne pouvant être détecté par le payeur avant le paiement ;

— de perte due à des actes ou à une carence d’un salarié, d’un agent ou d’une succursale d’un prestataire de services de paiement ou d’une entité vers laquelle ses activités ont été externalisées.

II. — La responsabilité du payeur n’est pas engagée si l’opération de paiement non autorisée a été effectuée en détournant, à l’insu du payeur, l’instrument de paiement ou les données qui lui sont liées.

Elle n’est pas engagée non plus en cas de contrefaçon de l’instrument de paiement si, au moment de l’opération de paiement non autorisée, le payeur était en possession de son instrument.

III. — Sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si le prestataire de services de paiement ne fournit pas de moyens appropriés permettant l’information aux fins de blocage de l’instrument de paiement prévue à l’article L. 133-17.

IV. — Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17.

V. — Sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si l’opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement du payeur n’exige une authentification forte du payeur prévue à l’article L. 133-44.

VI. — Lorsque le bénéficiaire ou son prestataire de services de paiement n’accepte pas une authentification forte du payeur prévue à l’article L. 133-44, il rembourse le préjudice financier causé au prestataire de services de paiement du payeur.»

L’article L. 133-17 du Code monétaire et financier précise en son I, que « Lorsqu’il a connaissance de la perte, du vol, du détournement ou de toute utilisation non autorisée de son instrument de paiement ou des données qui lui sont liées, l’utilisateur de services de paiement en informe sans tarder, aux fins de blocage de l’instrument, son prestataire ou l’entité désignée par celui-ci ».

L’article L. 133-23 du même Code dispose que « Lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre.

L’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière. Le prestataire de services de paiement, y compris, le cas échéant, le prestataire de services de paiement fournissant un service d’initiation de paiement, fournit des éléments afin de prouver la fraude ou la négligence grave commise par l’utilisateur de services de paiement».

Enfin, l’article L. 133-44 du même Code précise les hypothèses dans lesquelles une authentification forte est exigée, cette notion étant par ailleurs définie à l’article L. 133-4 f dans les termes suivants : « f) Une authentification forte du client s’entend d’une authentification reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories « connaissance » (quelque chose que seul l’utilisateur connaît), « possession » (quelque chose que seul l’utilisateur possède) et « inhérence » (quelque chose que l’utilisateur est) et indépendants en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d’authentification».

En application de ces textes, il est admis que la charge de la preuve incombe à l’établissement bancaire qui doit à la fois démontrer la faute du client et l’absence de déficience de son système technique. Il est également admis que le payeur ne supporte aucune conséquence dès lors que l’opération de paiement non autorisée a été effectuée sans authentification forte.

En l’espèce, il résulte des éléments du dossier et notamment des déclarations effectuées par Mme [O] [L] lors de son dépôt de plainte que les virements ont été faits par l’intermédiaire de deux applications qu’elle avait téléchargé, les applications REVOLUT et LIDYA, et que l’argent provenait de son livret A. Le relevé du compte courant de Mme [O] [L] laisse apparaître que, entre le 28 septembre et le 4 octobre 2022, des virements ont été crédités sur celui-ci avant que sa carte bancaire ne soit utilisée pour de nombreux paiements.

Mme [O] [L] conteste avoir autorisé et validé ces paiements ni avoir reçu la moindre alerte sur son téléphone portable.

L’établissement bancaire produit un document intitulé « historique des opérations SécuriPass / SécuriCode » pour la période du 27 septembre 2022 au 3 octobre 2022. Ce document détaille les transactions effectuées sur le site marchand 3DS duquel il apparaît, pour la majorité d’entre elles, à la seule exception de transactions mentionnées comme ayant été abandonnées, que l’authentification « SécuriCode » a été demandée et réussie.

L’établissement bancaire justifie également de l’envoi sur le numéro de téléphone attribué à sa cliente de sms lui communiquant des codes de sécurité.

Ainsi, la Caisse Régionale de Crédit Agricole Mutuel d’Ille et Vilaine justifie de l’emploi d’une authentification forte en ce qu’elle reposait sur l’utilisation de deux éléments, l’un appartenant à la catégorie « connaissance » (soit quelque chose que seul l’utilisateur connaît, à savoir le code de sécurité défini par le client), et l’autre à la catégorie « possession » (soit quelque chose que seul l’utilisateur possède, à savoir le téléphone portable personnel du client).

La Caisse Régionale de Crédit Agricole Mutuel d’Ille et Vilaine produit également une liste des messages envoyés sur le numéro de téléphone attribué à sa cliente. Ainsi notamment, le 27 septembre 2022 à 22h56 et 46 s, un message d’alerte de fraude s’agissant d’un paiement de 200 euros pour Révolut, et à 22h56 et 52 s, un message mentionnant le verrouillage des paiements à distance sauf réponse 1 pour permettre de les déverrouiller et la réponse 1 intervenue à partir du même numéro de téléphone à 22h58. La banque justifie de l’envoi du même type de message et d’une réponse identique à deux autres moments, les 1er octobre 2022 à 15h56 et 2 octobre 2022 à 20h59. Elle justifie également de l’envoi de deux messages indiquant la nécessité de contacter son conseiller bancaire les 28 septembre et 3 octobre 2022. Enfin, elle justifie de l’envoi de plusieurs codes de sécurité spécifiques aux fins de valider notamment des parcours sur l’application mobile.

Force est de constater que la demanderesse ne produit aucun élément, telle une facture détaillée de téléphone ou tout autre document, tendant à démontrer ses affirmations selon lesquelles elle n’a pas été destinataire desdits messages. Elle n’a pas davantage déclaré, notamment lors de son dépôt de plainte, qu’elle avait pu être victime d’un vol ou d’un « piratage » de son téléphone. Elle reconnaît également avoir eu connaissance des opérations litigieuses par l’appel de son conseiller bancaire.

Or le fait d’autoriser à trois reprises des opérations signalées comme frauduleuses par la banque et par suite de débloquer les paiements à distance mais aussi de ne pas contacter son conseiller bancaire malgré ses demandes et le fait de recevoir, sans réagir auprès de sa banque, de nombreux codes de sécurité pour des opérations dont elle dit ne pas être à l’origine, peut être qualifié de négligence grave et ce d’autant qu’il lui appartenait dès la réception des informations relatives à de potentielles fraudes, à savoir le premier sms signalant celle-ci, de contacter sans tarder sa banque afin de permettre le blocage de toute utilisation non autorisée de son instrument de paiement ou des données qui lui sont liées.

Enfin, les relevés communiqués par la banque permettent de s’assurer de l’absence de déficience de son système technique.

En conséquence, Mme [O] [L] sera déboutée de ses demandes de dommages et intérêts.

2/ Sur les demandes accessoires

Sur les dépens

En application de l’article 696 du Code de procédure civile, partie perdante, Mme [O] [L] sera condamnée aux dépens de l’instance.

Sur les frais irrépétibles

En application de l’article 700 du Code de procédure civile, condamnée aux dépens, la demande de Mme [O] [L] au titre des frais irrépétibles ne pourra qu’être rejetée.

L’équité commande de rejeter la demande de la Caisse Régionale de Crédit Agricole Mutuel d’Ille et Vilaine au même titre.

PAR CES MOTIFS

Le tribunal statuant, après débats en audience publique, par jugement mis à disposition au greffe, contradictoire, et en premier ressort,

DEBOUTE Mme [O] [L] de ses demandes de dommages et intérêts ;

CONDAMNE Mme [O] [L] aux dépens de l’instance ;

REJETTE la demande de Mme [O] [L] au titre de l’article 700 du Code de procédure civile ;

REJETTE la demande de la Caisse Régionale de Crédit Agricole Mutuel d’Ille et Vilaine au titre de l’article 700 du Code de procédure civile.

Ainsi jugé par mise à disposition au greffe le 16 décembre 2024, et signé par la juge et la greffière susnommées.

La Greffière, La Présidente,