TRIBUNAL JUDICIAIRE

DE [Localité 11]

Cité [10]

PROCEDURES ORALES

[Adresse 6]

[Adresse 8]

[Localité 2]

JUGEMENT DU 08 Septembre 2025

N° RG 24/03287 – N° Portalis DBYC-W-B7I-K6XF

JUGEMENT DU :

08 Septembre 2025

[K] [E]

C/

Société CRCAM D ILLE-ET-VILAINE CAISSE REGIONALE DE CREDIT AGRICOLE MUTUEL D’ILLE ET VILAINE

EXÉCUTOIRE DÉLIVRÉ

LE

à

Au nom du Peuple Français ;

Rendu par mise à disposition le 08 Septembre 2025 ;

Par Aude PRIOL, Vice-Président au Tribunal judiciaire de RENNES, assistée de Anaïs SCHOEPFER, Greffier ;

Audience des débats : 23 Juin 2025.

Le juge à l’issue des débats a avisé les parties présentes ou représentées, que la décision serait rendue le 08 Septembre 2025, conformément aux dispositions de l’article 450 du Code de Procédure Civile.

Et ce jour, le jugement suivant a été rendu par mise à disposition au greffe ;

ENTRE :

DEMANDEUR

Monsieur [K] [E]

[Adresse 1]

[Localité 4]

représenté par M^e Arnaud DELOMEL, avocat au barreau de RENNES

ET :

DEFENDERESSE

Société CRCAM D ILLE-ET-VILAINE CAISSE REGIONALE DE CREDIT AGRICOLE MUTUEL D’ILLE ET VILAINE, Société Coopérative à capital variable, agréée en tant qu’établissement de crédit, Société de courtage d’assurance immatriculée auprès de l’ORIAS sous le n 07 023 057 immatriculée sous le numéro 775 590 847 du registre du commerce et des sociétés de RENNES

Prise en la personne de Président du Conseil d’Administration, domicilié en cette qualité audit siège

[Adresse 5],

[Adresse 7]

[Localité 3]

représentée par M^e Stéphanie PRENEUX, avocat au barreau de RENNES, avocat plaidant, substituée par M^e Ophélie ABIVEN

EXPOSE DU LITIGE

M. [K] [E] est titulaire d’un compte-courant au sein de la Caisse Régionale de Crédit Agricole Mutuel d’Ille et Vilaine.

Exposant avoir été victime d’une fraude bancaire, par courrier en date du 3 octobre 2022, M. [E] a sollicité auprès de son établissement bancaire le remboursement de la somme de 1.950 euros.

Par courrier en réponse, en date du 18 novembre 2022, la banque a refusé de procéder audit remboursement.

Par acte de commissaire de justice délivré le 2 mai 2024, M. [K] [E] a fait assigner devant le Tribunal judiciaire de Rennes la Caisse Régionale de Crédit Agricole Mutuel d’Ille et Vilaine aux fins d’engager la responsabilité de la banque et obtenir l’indemnisation de ses préjudices.

L’affaire a été appelée à l’audience du 14 octobre 2024. A cette date, faute d’être en état d’être jugée, elle a été renvoyée, à la demande des parties, à plusieurs reprises pour être retenue à l’audience du 23 juin 2025.

A cette date, M. [K] [E] a comparu représenté par son conseil. Il a soutenu oralement ses dernières écritures déposées à l’audience et préalablement communiquées à la partie adverse.

Ainsi, au visa des articles L.133-17 et suivants du Code monétaire et financier, 1217 et 1231-1 du Code civil, il sollicite la condamnation de la Caisse Régionale de Crédit Agricole Mutuel d’Ille et Vilaine à lui verser les sommes suivantes :

—  1.950 euros en réparation de son préjudice matériel au titre du remboursement du prélèvement frauduleux au taux légal majoré de 15 points ;

—  500 euros en réparation de son préjudice moral et de jouissance ;

—  1.500 euros au titre de l’article 700 du Code de procédure civile outre aux entiers dépens.

Au soutien de ses prétentions, il considère que la CRCAM d’Ille et Vilaine est responsable de plein droit en matière d’opérations de paiement non autorisées et qu’elle n’a pas respecté son obligation de remboursement des fonds suite à ces opérations. Il soutient que la banque ne rapporte pas la preuve de l’authentification forte, qu’elle ne démontre pas qu’il a accepté le bénéficiaire de l’opération et le montant de l’opération litigieuse. Il souligne que le défendeur ne rapporte pas la preuve de la commission d’agissements frauduleux ou de manquements intentionnels ou de négligence grave de sa part. Il rappelle qu’il a été victime d’une escroquerie et que la banque ne le conteste pas. Il s’interroge sur l’accès à la banque à cette plainte.

Enfin, il estime justifier des préjudices tant matériel que moral que cette attitude de la banque lui a causé.

A l’audience, la Caisse Régionale de Crédit Agricole Mutuel d’Ille et Vilaine a comparu représentée par son conseil. Elle a entendu oralement se référer à ses dernières écritures déposées à l’audience et préalablement communiquées à la partie demanderesse.

Au visa des articles 1103, 1104 du Code civil et L.133-16 et suivants du Code monétaire et financier, elle sollicite le rejet de toutes les demandes de M. [K] [E] et la condamnation de celui-ci à lui verser la somme de 1.500 euros au titre de l’article 700 du Code de procédure civile outre aux entiers dépens.

A titre de moyens en défense, la Caisse Régionale de Crédit Agricole Mutuel d’Ille et Vilaine fait valoir que M. [K] [E] a fait preuve de négligence grave en cliquant sur le courriel qui lui a été adressé alors que celui-ci comportait des incohérences facilement décelables ne serait-ce qu’au niveau de son adresse. Elle remarque que le demandeur se garde bien de produire copie du mail et de sa plainte, n’ignorant pas les incohérences que comportait le mail, élément démontrant sa mauvaise foi. Elle souligne au vu des déclarations de celui-ci dans la plainte qu’elle est parvenue à obtenir, qu’il a bénéficié d’un jour de réflexion avant de décider de répondre activement à ce mail et de renseigner ses coordonnées bancaires confidentielles et le code d’accès à son compte.

L’établissement bancaire souligne que l’authentification forte dite Sécuripass a été activée, par l’envoi de sms sur le téléphone de son client et qu’il a validé par le code de sécurité l’IBAN, autant d’éléments caractérisant à son sens la négligence grave de son client.

La défenderesse estime également que M. [E] ne justifie pas des préjudices qu’il dit avoir subi.

A l’issue des débats, les parties ont été informées que la décision été mise en délibéré pour être rendue le 8 septembre 2025 par mise à disposition au greffe.

MOTIFS DE LA DECISION

1/ Sur la demande principale

Aux termes de l’article L. 133-19 du Code monétaire et financier, « I. — En cas d’opération de paiement non autorisée consécutive à la perte ou au vol de l’instrument de paiement, le payeur supporte, avant l’information prévue à l’article L. 133-17, les pertes liées à l’utilisation de cet instrument, dans la limite d’un plafond de 50 euros.

Toutefois, la responsabilité du payeur n’est pas engagée en cas :

— d’opération de paiement non autorisée effectuée sans utilisation des données de sécurité personnalisées ;

— de perte ou de vol d’un instrument de paiement ne pouvant être détecté par le payeur avant le paiement ;

— de perte due à des actes ou à une carence d’un salarié, d’un agent ou d’une succursale d’un prestataire de services de paiement ou d’une entité vers laquelle ses activités ont été externalisées.

II. — La responsabilité du payeur n’est pas engagée si l’opération de paiement non autorisée a été effectuée en détournant, à l’insu du payeur, l’instrument de paiement ou les données qui lui sont liées.

Elle n’est pas engagée non plus en cas de contrefaçon de l’instrument de paiement si, au moment de l’opération de paiement non autorisée, le payeur était en possession de son instrument.

III. — Sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si le prestataire de services de paiement ne fournit pas de moyens appropriés permettant l’information aux fins de blocage de l’instrument de paiement prévue à l’article L. 133-17.

IV. — Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17.

V. — Sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si l’opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement du payeur n’exige une authentification forte du payeur prévue à l’article L. 133-44.

VI. — Lorsque le bénéficiaire ou son prestataire de services de paiement n’accepte pas une authentification forte du payeur prévue à l’article L. 133-44, il rembourse le préjudice financier causé au prestataire de services de paiement du payeur ».

L’article L. 133-17 du Code monétaire et financier précise en son I, que « Lorsqu’il a connaissance de la perte, du vol, du détournement ou de toute utilisation non autorisée de son instrument de paiement ou des données qui lui sont liées, l’utilisateur de services de paiement en informe sans tarder, aux fins de blocage de l’instrument, son prestataire ou l’entité désignée par celui-ci ».

L’article L. 133-23 du même Code dispose que « Lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre.

L’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière. Le prestataire de services de paiement, y compris, le cas échéant, le prestataire de services de paiement fournissant un service d’initiation de paiement, fournit des éléments afin de prouver la fraude ou la négligence grave commise par l’utilisateur de services de paiement ».

Par ailleurs, l’article L. 133-44 du même Code précise les hypothèses dans lesquelles une authentification forte est exigée, cette notion étant par ailleurs définie à l’article L. 133-4 f dans les termes suivants : « f) Une authentification forte du client s’entend d’une authentification reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories « connaissance » (quelque chose que seul l’utilisateur connaît), « possession » (quelque chose que seul l’utilisateur possède) et « inhérence » (quelque chose que l’utilisateur est) et indépendants en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d’authentification ».

En application de ces textes, il est admis que la charge de la preuve incombe à l’établissement bancaire qui doit à la fois démontrer la faute du client et l’absence de déficience de son système technique. Il est également admis que le payeur ne supporte aucune conséquence dès lors que l’opération de paiement non autorisée a été effectuée sans authentification forte.

Enfin, par application combinée des articles 6 et 9 du Code de procédure civile, il appartient à chaque partie d’alléguer les faits propres à fonder ses prétentions et de prouver les faits nécessaires au succès de celles-ci.

Il est admis par application de l’article 9 du Code de procédure civile et de l’article 6 § 1 de la Convention de sauvegarde des droits de l’homme et des libertés fondamentales qu’un mode de preuve n’est admissible que s’il est licite et s’il n’a pas été obtenu dans des circonstances déloyales. Toutefois, si le moyen de preuve produit par une partie a été obtenu dans des conditions portant atteinte à la vie privée d’une autre, il y a lieu de rechercher si cette atteinte est proportionnée aux droits et intérêts en cause ; dans l’affirmative, le droit à la preuve, désormais expressément reconnu, doit conduire le juge à déclarer ce moyen de preuve recevable et c’est seulement si l’atteinte à la vie privée est disproportionnée au but recherché ou aux intérêts en cause, que ce moyen de preuve ne sera pas admis.

En l’espèce, en l’absence de disproportion entre le versement aux débats d’une copie de la plainte et les intérêts en cause, il convient de considérer que le versement de cette pièce par le défendeur est parfaitement admissible.

Sur le fond, il résulte des éléments du dossier et notamment des déclarations effectuées par M. [K] [E], lors de son dépôt de plainte en date du 30 septembre 2022, que le 21 septembre 2022, il a reçu « un mail émanant de l’adresse mail suivante « [Courriel 9] » et que le 22 septembre, il a cliqué sur le lien contenu dans ce message, qu’il a été renvoyé sur diverses pages où il a renseigné ses coordonnées bancaires, son code confidentiel, son nom, son prénom et le code sécuripass.

Lors de son dépôt de plainte, M. [E] ajoute : « dès que j’ai fait la manipulation, j’ai reçu un mail du Crédit Agricole me demandant de saisir un numéro à 6 chiffres dans l’application ma banque ce que je n’ai pas fait. J’ai remarqué en allant sur ma messagerie le 26 septembre à 18h52 j’avais un nouveau mail a priori de la même provenance que je n’ai pas ouvert cette fois-ci ».

Force est de constater que, selon les mentions portées au procès-verbal, si M. [K] [E] a montré les messages en question à l’enquêteur enregistrant sa plainte, il ne les verse pas en procédure.

Se faisant, il ne permet pas au tribunal de s’assurer que le contenu du message était de nature à tromper un utilisateur normalement diligent et, à l’induire, malgré le caractère inhabituel de l’adresse mail, à cliquer sur le lien et à répondre aux demandes de données confidentielles.

Ainsi, il convient de considérer que le caractère inhabituel de l’adresse mail et les demandes de données confidentielles auraient dues attirer l’attention de M. [E] et, a minima, le faire contacter son conseiller bancaire habituel pour vérifier l’authenticité de la demande et ce d’autant que ces demandes de données confidentielles n’étaient pas faites dans l’urgence, qu’il a disposé de plusieurs heures de réflexion, ayant reçu le message le 21 septembre 2022 et ayant attendu le lendemain pour y répondre. Le fait qu’il n’ait pas ouvert le message reçu le 26 septembre 2022 laisse également à penser qu’il avait un doute sur l’authenticité de la demande. Il attendra pour autant le 28 septembre 2022 et l’apparition de sommes au débit de son compte au profit d’un certain [F] [J] pour contacter sa banque.

Ces éléments sont constitutifs d’une négligence grave de la part du client de la banque.

L’établissement bancaire produit des extraits de l’historique des opérations sécuripass sur le compte de M. [E] sur la période du 1er août 2022 au 25 décembre 2022. Il apparaît que le 22 septembre 2022 à 11h28, l’authentification forte a été activée, qu’il a reçu des sms sur son téléphone lui demandant de saisir son code confidentiel et lui rappelant que s’il n’était pas à l’origine de l’opération il devait contacter immédiatement son conseiller.

Ce même extrait démontre que l’IBAN d’un nouveau bénéficiaire a été ajouté selon la procédure de sécuripass, après envoi d’un SMS sur le téléphone de M. [E] le 28 septembre 2022 à 16h28. L’authentification sécuripass a également été réussie le même jour à 1h27. Le virement litigieux a été réalisé le 28 septembre 2022 à 1h28.

Ainsi, la Caisse Régionale de Crédit Agricole Mutuel d’Ille et Vilaine justifie de l’emploi d’une authentification forte en ce qu’elle reposait sur l’utilisation de deux éléments, l’un appartenant à la catégorie « connaissance » (soit quelque chose que seul l’utilisateur connaît, à savoir le code de sécurité communiqué par le client), et l’autre à la catégorie « possession » (soit quelque chose que seul l’utilisateur possède, à savoir le téléphone portable personnel du client).

Force est de constater que le demandeur ne produit aucun élément, telle une facture détaillée de téléphone ou tout autre document, tendant à démontrer qu’il n’a pas été destinataire desdits messages. Il n’a pas davantage déclaré, notamment lors de son dépôt de plainte, qu’il avait pu être victime d’un vol ou d’un « piratage » de son téléphone.

Or, les extraits de relevés communiqués par la banque permettent de s’assurer de l’absence de déficience de son système technique.

En conséquence, M. [K] [E] sera débouté de ses demandes de dommages et intérêts.

2/ Sur les demandes accessoires

Sur les dépens

En application de l’article 696 du Code de procédure civile, partie perdante, M. [K] [E] sera condamné aux dépens de l’instance.

Sur les frais irrépétibles

En application de l’article 700 du Code de procédure civile, condamné aux dépens, la demande de M. [K] [E] au titre des frais irrépétibles ne pourra qu’être rejetée.

L’équité commande de rejeter la demande de la Caisse Régionale de Crédit Agricole Mutuel d’Ille et Vilaine au même titre.

PAR CES MOTIFS

Le tribunal statuant, après débats en audience publique, par jugement mis à disposition au greffe, contradictoire, et en dernier ressort,

DEBOUTE M. [K] [E] de ses demandes de dommages et intérêts ;

CONDAMNE M. [K] [E] aux dépens de l’instance ;

REJETTE la demande de M. [K] [E] au titre de l’article 700 du Code de procédure civile ;

REJETTE la demande de la Caisse Régionale de Crédit Agricole Mutuel d’Ille et Vilaine au titre de l’article 700 du Code de procédure civile.

Ainsi jugé par mise à disposition au greffe le 8 septembre 2025, et signé par la juge et la greffière susnommées.

La Greffière, La Présidente,