TRIBUNAL JUDICIAIRE

DE [Localité 8]

JUGEMENT DU 11 Septembre 2025

DU 11 Septembre 2025

N° RG 23/01802 -

N° Portalis DBYT-W-B7H-FEKA

JUGEMENT n°

AFFAIRE :

[M] [Y]

C/

S.A. BNP PARIBAS

1ère Section

Copie exécutoire + expédition délivrées

le :

à

M^e Charlotte KAMYCZURA

M^e Margaux LECLAIRE

_______________________________________________________

DEMANDERESSE :

Madame [M] [Y]

née le [Date naissance 1] 1976 à [Localité 6]

de nationalité Française,

demeurant [Adresse 3]

Rep/assistant : Maître Charlotte KAMYCZURA de la SELARL POLYTHETIS, avocats au barreau de SAINT-NAZAIRE

_______________________________________________________

DEFENDERESSE :

S.A. BNP PARIBAS

dont le siège social est situé [Adresse 2] inscrite au RCS de [Localité 7] sous le n°662.042.449 prise en la personne de son représentant légal domicilié es-qualité audit siège

Rep/assistant : Maître Margaux LECLAIRE, avocat au barreau de SAINT-NAZAIRE – Rep/assistant : Maître Dominique PENIN de KRAMER LEVIN LPP, avocats plaidants au barreau de PARIS

_______________________________________________________

COMPOSITION DU TRIBUNAL, lors des débats et du délibéré,

PRÉSIDENTE : Tina NONORGUES, magistrat du siège délégué par ordonnance de Madame la Présidente du Tribunal de céans siégeant en qualité de juge unique conformément aux articles 812 et suivants du Code de Procédure Civile.

GREFFIER : Pierre DANTON à l’audience, Soline JEANSON lors de la mise à disposition

DEBATS : A l’audience publique du 17 Octobre 2024

JUGEMENT : Contradictoire, prononcé par mise à disposition au greffe le 27 février 2025, date indiquée à l’issue des débats, prorogé au 15 mai 2025 puis au 11 septembre 2025.

* * *

*

EXPOSE DU LITIGE

Madame [M] [Y] est titulaire d’un compte chèque ouvert auprès de la SA BNP PARIBAS en son agence de [Localité 5].

Alertée le 1er mars 2023 par sa conseillère bancaire d’une opération de débit par carte bancaire d’un montant de 6.600 euros réglée pour un achat sur le site internet d’El [Localité 4] Inglès, elle a découvert le lendemain deux autres opérations de débit par carte bancaire d’un montant de 2.714,42 euros chacune, réglées pour deux achats sur le site internet de JUMBO ELECTRONICS.

Il s’est avéré que le 28 février 2023, le numéro de téléphone permettant l’activation d’achat par clé digitale à partir du compte bancaire de Madame [M] [Y] avait été modifié, le plafond de paiement par carte bancaire avait été augmenté à la somme de 12.000 euros et les trois achats avaient été effectués.

Les 2 et 4 mars 2023, Madame [M] [Y] a contesté les trois opérations, au motif qu’elle ne les avait pas effectuées.

Les 3, 6 et 7 mars 2023, la SA BNP PARIBAS a indiqué par écrit à Madame [M] [Y] qu’elle ne donnerait pas suite à ses demandes de remboursement des sommes débitées.

Aucun règlement amiable du litige n’a abouti.

***

Par assignation délivrée le 9 août 2023, Madame [M] [Y] a saisi le tribunal judiciaire aux fins de condamner la SA BNP PARIBAS au remboursement des sommes débitées frauduleusement sur son compte bancaire, à la réparation de son préjudice moral et au paiement d’une somme au titre de l’article 700 du code de procédure civile.

***

Dans ses dernières conclusions notifiées par voie électronique le 22 janvier 2024, Madame [M] [Y] demande au tribunal de :

— débouter la SA BNP PARIBAS de ses demandes, fins et prétentions,

— condamner la SA BNP PARIBAS à lui payer la somme de 12.028,84 euros en remboursement des sommes débitées frauduleusement sur son compte bancaire, outre 1.993,88 euros d’intérêts au taux légal majoré entre les 2 mars 2023 et 31 décembre 2023 sauf mémoire jusqu’à parfait paiement,

— condamner la SA BNP PARIBAS à lui payer la somme de 1.000 euros en réparation de son préjudice moral,

— condamner la SA BNP PARIBAS à lui payer la somme de 2.500 euros au titre de l’article 700 du code de procédure civile, ainsi qu’aux entiers dépens.

Au soutien de ses prétentions, au visa des articles 1937 du code civil et L 133–18 et suivants du code monétaire et financier, Madame [M] [Y] expose avoir été victime d’une fraude à l’utilisation de sa carte bancaire pour un montant total de 12.028,84 euros et que la SA BNP PARIBAS est tenue à lui rembourser cette somme en tant que prestataire de services de paiement.

Elle explique ne jamais avoir communiqué ses codes d’accès à son compte à un tiers, ni reçu de la part de la banque un texto ou un email l’informant de l’augmentation de son plafond d’achat par carte bancaire ou de la modification du numéro de téléphone nécessaire à l’activation de sa clé digitale. Invoquant les nombreuses défaillances, constatées à l’échelle nationale, du système de sécurité d’accès aux comptes de la SA BNP PARIBAS, elle affirme que le fraudeur a accédé directement à ses données personnelles, sans avoir eu besoin de la tromper par l’envoi de messages textos afin de la convaincre de communiquer ses codes d’accès d’authentification forte par clé digitale pour accéder à ses comptes. Invoquant le refus catégorique de la SA BNP PARIBAS de lui rembourser les sommes débitées d’un montant élevé et sa crainte d’être à nouveau victime d’une fraude de cette nature, elle se prévaut d’un préjudice moral dont elle demande réparation.

En réponse aux prétentions et moyens développés par la SA BNP PARIBAS, Madame [M] [Y] soutient n’avoir commis aucune négligence grave susceptible d’exonérer la banque de son obligation de remboursement à son égard et que cette dernière échoue à en rapporter la preuve. Elle affirme que sa connexion simultanée avec le fraudeur sur son compte bancaire constatée le 28 février 2023 à 15 h 47 est insuffisante à démontrer son interaction avec lui. Elle retient de l’exploitation du relevé de connexion produit aux débats que la validation du nouveau numéro de téléphone renseigné dans ses données personnelles a été émise à partir d’une adresse IP et d’un numéro de téléphone qui ne sont pas les siens. Elle ajoute ne pas s’être rendu compte de la fraude puisqu’elle a toujours eu accès à son compte bancaire et que la banque ne l’a jamais informée du changement de numéro de téléphone enregistré dans ses données personnelles.

Dans ses dernières conclusions notifiées par voie électronique le 12 janvier 2024, la SA BNP PARIBAS demande au tribunal de :

— débouter Madame [M] [Y] de l’intégralité de ses demandes,

— la condamner au paiement de la somme de 2.000 euros en application de l’article 700 du code de procédure civile, ainsi qu’aux entiers dépens

Au soutien de ses prétentions, au visa des articles L 133-16, L 133-19 IV et L 133-23 du code monétaire et financier, la SA BNP PARIBAS allègue de la négligence grave de Madame [M] [Y] pour s’exonérer de son obligation de remboursement à son égard.

La SA BNP PARIBAS prétend qu’en dépit de l’obligation de Madame [M] [Y] de prendre toutes les mesures raisonnables pour préserver la sécurité de ses données de sécurité personnalisées et de son information personnelle, outre celle adressée au grand public, quant aux risques de fraude inhérents à des tentatives d’accès aux informations personnelles au moyen d’emails ou d’appels téléphoniques n’émanant pas d’un établissement bancaire, celle-ci a commis de graves négligences ayant facilité la fraude dont elle a été victime.

En premier lieu, la SA BNP PARIBAS soutient que l’accès par Madame [M] [Y] à son espace personnel nécessite de renseigner un numéro d’identifiant et un mot de passe connus d’elle seule et que par conséquent, elle les a nécessairement communiqués à un tiers qui a pu y accéder avant d’entreprendre les démarches de modification de ses données personnelles.

En second lieu, la SA BNP PARIBAS expose que la modification du numéro de téléphone dans les données personnelles de l’application bancaire de tout client requiert un processus sécurisé en deux étapes faisant l’objet, pour la première, d’une authentification forte au moyen d’une clé digitale. Elle soutient que lors de la première étape, le fraudeur, détenteur des identifiant et mot de passe communiqués par Madame [M] [Y], a modifié le numéro renseigné et que l’opération devant être obligatoirement validée par clé digitale, seule Madame [M] [Y] a reçu sur son téléphone une demande de validation ayant nécessité d’entrer son mot de passe connu d’elle seule, de sorte qu’elle a concouru à la fraude par négligence. A cet égard, la SA BNP PARIBAS retient de l’examen des traces informatiques des connexions portées aux débats que la négligence de Madame [M] [Y] est avérée du fait de sa connexion simultanée sur son compte avec le fraudeur.

La SA BNP PARIBAS prétend que la seconde étape d’enrôlement du nouveau numéro de téléphone associé à la clé digitale permettant d’effectuer des achats en ligne n’a été possible qu’en raison de la négligence grave de Madame [M] [Y] qui, ayant d’ores et déjà communiqué ses identifiant et mot passe permettant l’accès à son espace personnel au fraudeur, puis validé la modification du numéro de téléphone renseigné par l’authentification forte par clé digitale lors de la première étape, a permis à ce dernier de recevoir le SMS permettant d’enrôler la clé digitale sur son téléphone après avoir téléchargé, au préalable, l’application bancaire. La SA BNP PARIBAS déduit de ces manquements que le fraudeur avait alors toute latitude pour procéder ensuite à l’augmentation du plafond maximal d’utilisation de la carte bancaire de Madame [M] [Y], puis aux trois achats pour lesquels celle-ci sollicite les remboursements.

***

La clôture de l’instruction a été prononcée le 13 mai 2024 par le juge de la mise en état et l’affaire fixée pour être plaidée le 17 octobre 2024.

A l’issue de l’audience, la décision a été mise en délibéré pour être rendue par mise à disposition au greffe de la juridiction le 27 février 2025, date à laquelle ell a été prorogée au 15 mai 2025 puis au 11 septembre 2025.

MOTIFS DE LA DECISION

I – Sur la demande en remboursement

Les articles L 133-16 et L 133-17 du code monétaire et financier obligent l’utilisateur de services de paiement à prendre toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées et d’informer sans tarder son prestataire de services de paiement aux fins de blocage de son instrument de paiement, notamment en cas d’utilisation non autorisée de son instrument de paiement ou des données qui lui sont liées.

L’article L 133-18 du code monétaire et financier oblige le prestataire de services de paiement à rembourser son utilisateur qui signale une opération non autorisée, sauf s’il a une bonne raison de soupçonner une fraude de ce dernier. Le remboursement intervient à la fin du premier jour ouvrable suivant le signalement. En cas de manquement à ses obligations, il est appliqué au prestataire de services des pénalités sur les sommes dues qui produisent, notamment, intérêt au taux légal majoré de 15 points au–delà de 30 jours de retard.

L’article L 133-19 IV du code monétaire et financier fait supporter toutes les pertes occasionnées par des opérations de paiement non autorisées au payeur lorsqu’elle résulte d’un agissement frauduleux de sa part ou lorsqu’il laisse sans exécution son obligation visée à l’article L 133-16 du même code, soit intentionnellement, soit par négligence grave.

L’article L 133-23 du code monétaire et financier met à la charge du prestataire de services de paiement la preuve de l’authentification, de l’enregistrement, de la comptabilisation et de l’absence de déficience technique lorsque l’utilisateur du service de paiement nie avoir autorisé une opération de paiement qui a été exécutée. La preuve de la négligence grave et de l’autorisation de l’opération par l’utilisateur du service de paiement n’est pas rapportée par le prestataire de service produisant l’enregistrement de l’utilisation de l’instrument de paiement donnant lieu à contestation.

L’article 9 du code de procédure civile oblige chaque partie à prouver les faits nécessaires au succès de sa prétention.

Dans le cadre du présent litige, il appartient à la SA BNP PARIBAS, qui ne conteste pas le caractère frauduleux des achats par un tiers et ne soupçonne pas une fraude commise par Madame [M] [Y], de rapporter la preuve de la négligence grave de cette dernière à son obligation de prendre toute mesure raisonnable à la préservation de la sécurité de ses données personnelles sécurisées et de l’absence de déficience technique inhérentes aux opérations contestées, afin de s’exonérer de son obligation de remboursement des opérations de débit que sa cliente nie avoir autorisées.

Il est constant que Madame [M] [Y], tant avant la saisine du tribunal que dans son assignation et ses écritures, a toujours nié avoir communiqué ses identifiant et code d’accès à son espace personnel à un tiers et avoir validé l’opération de modification de son numéro de portable par clé digitale.

Par conséquent, il incombe à la SA BNP PARIBAS de justifier de ses allégations au cours des deux étapes ayant concouru à la fraude par un tiers, à savoir, en premier lieu, que Madame [M] [Y] a bien communiqué à un tiers lesdits identifiant et code d’accès à l’espace personnel de son compte bancaire et, en second lieu, que Madame [M] [Y] a validé au moyen de l’authentification forte par clé digitale la demande de modification de son numéro de téléphone ayant permis ensuite au fraudeur de valider cette modification en ses lieu et place, de modifier le plafond de débit de la carte bancaire et de procéder aux trois achats litigieux, outre la démonstration de l’absence de déficience technique au cours du processus.

— Sur la communication par Madame [M] [Y] de ses identifiant et code d’accès à son espace personnel à un tiers :

Versée aux débats par la SA BNP PARIBAS en pièce n°1, la chronologie des évènements répertoriant le détail des opérations digitales par ordre chronologique liées au compte de Madame [M] [Y] identifie l’adresse IP de cette dernière, 176.159.101.238, et trois adresses IP commençant toutes par les numéros 77.205 qui sont associées à un tiers. Chaque connexion est associée à un évènement.

La lecture de ce document révèle qu’un tiers, associé au numéro IP 77.205.18.114, a eu accès pour la première fois à l’espace personnel de Madame [M] [Y] le 28 février 2023 à 15 : 42 : 57 et qu’à ce titre, il est renseigné par l’évènement « Authentification client par numéro client et mot de passe ». Il s’avère que cette première connexion a eu lieu 06 h 51 minutes après la dernière connexion de Madame [M] [Y] le 28 février 2023 à 08 : 51 : 12 qui s’était connectée, auparavant, le 27 février 2023 à 15 : 59 : 10.

La pièce n°11 produite par la SA BNP PARIBAS, présentant la liste des connexions à l’espace client de Madame [M] [Y] renseigne que la connexion de cette dernière le 27 février 2023 à 15 : 59 : 10 a été effectuée via GOOGLE. Cette information est la seule à être surlignée en rouge.

Se limitant à renseigner les connexions effectuées par Madame [M] [Y] ou un tiers par ordre chronologique, ces historiques n’apportent en revanche aucun élément probant susceptible d’établir la communication, par la première, de ses identifiants et code d’accès à son compte au second, ni d’interaction simultanée entre eux à ce moment précis. A défaut de production d’autres moyens de preuve en ce sens, et eu égard à la contestation réitérée de Madame [M] [Y], la SA BNP PARIBAS échoue dans la charge qui lui incombe. De même, ces historiques sont insusceptibles de justifier l’absence de déficience technique ayant pu favoriser la fraude puisqu’ils n’apportent aucun élément sur la fiabilité des connexions.

— Sur l’authentification forte par clé digitale de Madame [M] [Y] aux fins de validation de la modification de son numéro de téléphone sur son espace personnel :

L’extrait du site internet de la BNP PARIBAS produit par elle aux débats, relatif à la mise à jour du numéro de téléphone mobile de l’espace personnel d’un client lorsque la clé digitale, associée à son compte, est d’ores et déjà activée, renseigne les étapes suivantes :

«CAS 2 : JE SOUHAITE METTRE A JOUR MON NUMERO DE TELEPHONE MOBILE

Vous avez activé la clé digitale :

1.Modifiez le numéro de téléphone et validez.

2.Acceptez la notification clé digitale apparue sur votre smartphone et validez.

3.La mise à jour de votre numéro de téléphone est prise en compte instantanément. ».

Ce processus est applicable au cas d’espèce puisque Madame [M] [Y] avait déjà activé une clé digitale pour sécuriser ses transactions avant la survenance de la fraude. Dans ce cas précis, il n’est pas mentionné d’une étape de réception d’une notification d’un SMS contenant un lien à activer qui est uniquement requise en cas d’activation initiale d’une clé digitale.

L’historique des évènements et le détail de deux opérations répertoriées dans la liste des connexions à l’espace client de Madame [M] [Y] révèlent qu’un tiers, agissant via l’adresse IP 77.205.18.114, s’est connecté le 28 février 2023 à 15 : 42 : 57 sur le compte de Madame [M] [Y] comme en témoigne l’évènement « authentification client par numéro client et mot de passe », a modifié le numéro de téléphone afférent aux données personnelles le même jour à 15 : 46 : 22 et a validé l’enregistrement du nouveau numéro de téléphone mobile à 15 : 46 : 49. A 15 : 49 : 19, une opération dite « enrôlement d’un device à la clé digitale » a été effectué à partir de l’adresse IP 77.205.69.67 identifiée comme étant l’une de celles utilisées par le fraudeur.

Dans l’intervalle, deux opérations réalisées à 15 : 47 : 04 puis à 15 : 47 : 39, associées toutes deux à l’évènement « authentification client par numéro et mot de passe » sont enregistrées, d’abord à partir de l’adresse IP de Madame [M] [Y] puis à partir de l’adresse IP du fraudeur.

La SA BNP PARIBAS soutient que ces deux évènements simultanés rapportent la preuve de l’interaction entre Madame [M] [Y] et le fraudeur et qu’ils démontrent que la première a validé au moyen de sa clé digitale la modification de son numéro de mobile par le second qui, après cette validation, s’est connecté sur l’espace personnel avant d’enrôler la clé digitale sous son numéro de téléphone, puis procédé à la manipulation de modification du plafond de débit de la carte bancaire et aux achats contestés.

Ce faisant, la SA BNP PARIBAS échoue à rapporter la preuve de la négligence grave de Madame [M] [Y].

En effet, la quasi simultanéité des connexions de Madame [M] [Y] et du tiers n’est pas suffisante à démontrer leur interaction puisqu’il ne peut être écarté que l’un et l’autre, détenteurs des identifiant et mot de passe, aient pu se connecter en même temps de manière fortuite.

Par ailleurs, l’évènement associé à la connexion de Madame [M] [Y] est renseigné par « authentification par numéro et mot de passe » et non par un évènement spécifique portant expressément mention d’une validation d’opération par clé digitale.

Au regard de ces éléments, la SA BNP PARIBAS échoue à rapporter la preuve de la négligence fautive de Madame [M] [Y].

Par conséquent, la SA BNP PARIBAS sera tenue de rembourser à Madame [M] [Y] les sommes débitées au titre des trois opérations par carte bancaire débitées le 1er mars 2023 au profit d’El [Localité 4] Inglès pour un montant de 6.600 euros, le 2 mars 2023 au profit de JUMBO ELECTRONICS pour un montant de 2.714,42 euros et le 3 mars 2023 au profit de JUMBO ELECTRONICS d’un montant de 2.714,42 euros, soit la somme totale de 12.028,84 euros.

Conformément aux dispositions de l’article L 133-18 du code monétaire et financier, cette somme produira intérêts au taux légal majoré de 05 points jusqu’au 09 mars 2023, au taux légal majoré de 10 points à compter du 10 mars 2023 et au taux légal majoré de 15 points à compter du 1er avril 2023 jusqu’à parfait règlement.

II – Sur la demande de dommages-intérêts

L’article 1240 du code civil oblige celui ayant causé un dommage à autrui de le réparer.

Il résulte des débats que Madame [M] [Y] a été moralement affecté par le refus de remboursement que la SA BNP PARIBAS lui a opposé, au prétexte d’une négligence grave que la banque ne démontre pas et ce alors même qu’elle n’a jamais mis en doute l’existence d’une fraude commise par un tiers.

Par conséquent, la SA BNP PARIBAS sera condamnée à régler à Madame [M] [Y] la somme de 500 euros en réparation de son préjudice moral.

III – Sur les autres demandes

Partie perdante, la SA BNP PARIBAS supportera les dépens de l’instance.

L’équité commande d’allouer à Madame [M] [Y] la somme de 2.500 euros au titre de l’article 700 du code de procédure civile.

PAR CES MOTIFS

Le tribunal, statuant après audience publique, par jugement contradictoire rendu en premier ressort par mise à disposition au greffe de la juridiction,

CONDAMNE la SA BNP PARIBAS à payer à Madame [M] [Y] la somme de 12.028,84 euros ;

DIT que cette somme portera intérêt au taux légal majoré de 05 points jusqu’au 09 mars 2023, puis au taux légal majoré de 10 points à compter du 10 mars 2023 et enfin au taux légal majoré de 15 points à compter du 1er avril 2023 jusqu’à parfait règlement ;

CONDAMNE la SA BNP PARIBAS à payer à Madame [M] [Y] la somme de 500 euros à titre de dommages-intérêts en réparation de son préjudice moral ;

DÉBOUTE la SA BNP PARIBAS de ses demandes ;

CONDAMNE la SA BNP PARIBAS à payer à Madame [M] [Y] la somme de 2.500 euros en application de l’article 700 du code de procédure civile ;

CONDAMNE la SA BNP PARIBAS aux entiers dépens ;

RAPPELLE que l’exécution provisoire de la présente décision est de droit.

En foi de quoi le présent jugement a été signé par la Présidente et le greffier qui a assisté au prononcé.

LE GREFFIER LA PRÉSIDENTE

Soline JEANSON Tina NONORGUES