Tribunal judiciaire de Strasbourg

TRIBUNAL DE PROXIMITE D’ILLKIRCH-GRAFFENSTADEN

[Adresse 4]

[Localité 7]

☎ : [XXXXXXXX01]

[Courriel 8]

______________________

[Localité 9] Civil

N° RG 25/04294 – N° Portalis DB2E-W-B7J-NSO6

______________________

MINUTE N°

______________________

Expédition revêtue de la formule exécutoire délivrée à :

CAISSE D’EPARGNE GRAND EST EUROPE

Copie certifiée conforme délivrée à :

Madame [N] [E] épouse [P]

le

RÉPUBLIQUE FRANÇAISE

AU NOM DU PEUPLE FRANÇAIS

__________

JUGEMENT Contradictoire

DEMANDERESSE :

Madame [N] [E] épouse [P]

née le 15 Juillet 1990 à [Localité 10]

[Adresse 3]

[Localité 6]

non comparante

DEFENDERESSE :

CAISSE D’EPARGNE GRAND EST EUROPE,

Société Anonyme à Directoire et Conseil d’Orientation et de Surveillance

[Adresse 2]

[Localité 5]

représentée par M^e Sandra WEREY, avocat au barreau de STRASBOURG, avocat plaidant/postulant, vestiaire : 68

COMPOSITION DU TRIBUNAL :

Gabriela VETTER, Juge

Maxime ISSENHUTH, Greffier

DÉBATS ORAUX A L’AUDIENCE PUBLIQUE EN DATE DU : 02 Juillet 2025

PRONONCE PUBLIQUEMENT PAR MISE A DISPOSITION DU JUGEMENT AU GREFFE DU TRIBUNAL LE : 24 Septembre 2025

Premier ressort,

OBJET : Demande en paiement relative à un autre contrat

EXPOSE DU LITIGE :

Par requête reçu au Greffe le 16 mai 2025, Madame [N] [E], épouse [P] a introduit une demande à l’encontre de la société CAISSE D’EPARGNE GRAND EST EUROPE, ci-après dénommée la CEGEE, devant le Tribunal de proximité d’ILLKIRCH-GRAFFENSTADEN aux fins d’obtenir sa condamnation au paiement de la somme de 2 424,59 en remboursement d’opérations bancaires frauduleuses débitées, outre 500 euros de dommages et intérêts, ainsi que les entiers dépens et frais de justice.

A l’audience du 2 juillet 2025, à laquelle le dossier a été retenu, Madame [N] [E], épouse [P] comparaît en personne, assistée de son conjoint, Monsieur [S] [P]. Elle maintient l’intégralité de ses demandes et expose en substance que le 20 décembre 2024, alors qu’elle était enceinte de neuf mois et qu’elle se trouvait à seulement quelques jours de la date d’accouchement, elle a été victime d’une escroquerie au faux conseiller bancaire.

Elle explique ainsi qu’elle avait été contactée par une personne se présentant comme un agent du service « anti-fraude » de la CEGEE qui avait connaissance de son identité, de ses adresses postale et électronique, ainsi que des quatre derniers numéros de sa carte bancaire. Cette personne lui aurait demandé d’effectuer plusieurs virements instantanés via l’application Banxo de sa banque afin de sécuriser son compte bancaire suite à des opérations suspectes. Selon la personne au téléphone, les virements auraient eu pour objectif de transférer les fonds de la demanderesse sur un compte de secours de la banque.

Madame [N] [E], épouse [P] affirme ainsi qu’en raison de son état de grossesse elle était particulièrement vulnérable psychologiquement et émotionnellement, qu’elle a été victime de manipulation et qu’aucune négligence grave ne pouvait être ainsi retenue à son encontre. Elle fait valoir qu’une authentification forte par le dispositif « Secur’Pass » de l’application ne suffit pas à exonérer l’établissement bancaire de sa responsabilité et évoque l’arrêt du 23 octobre 2024 (pourvoi n°23-16.267), rendu par la Chambre commerciale de la Cour de cassation.

En outre, Madame [N] [E], épouse [P] soutient que la société CEGEE a manqué à son obligation de vigilance et sécurité en ce que, d’une part, elle autorise immédiatement des virements instantanés après l’ajout d’un nouvel IBAN, sans appliquer un délai de latence. D’autre part, la demanderesse reproche à son établissement bancaire de permettre l’affichage du contenu de l’application Banxo lors d’un partage d’écran. Par ailleurs, elle déclare que, contrairement aux affirmations du médiateur bancaire et des déclarations de la défenderesse, aucun message de vigilance spécifique n’apparaitrait lors de l’utilisation de l’authentification forte « Secur’Pass » pour valider un virement ou rajouter un IBAN.

Enfin, Madame [N] [E], épouse [P] souligne qu’une campagne de sensibilisation ne remplace pas une véritable protection des transactions sensibles et n’exonère pas la banque de sa responsabilité.

En défense, la société CEGEE, représentée par son conseil, reprend oralement le bénéfice de ses conclusions du 26 juin 2025, et demande au tribunal au visa des articles L133-1 et suivants du code monétaire et financier, de débouter la demanderesse de l’ensemble de ses prétentions et de la condamner à lui verser la somme de 1 200 euros au titre des frais irrépétibles outre le règlement des entiers dépens.

Elle expose en substance qu’elle n’est nullement responsable de l’escroquerie subie par sa cliente et à laquelle elle a activement participé en étant gravement négligente puisqu’elle a autorisé des opérations suivant authentification forte, cette autorisation ayant été délivrée malgré les nombreux messages de sensibilisation envoyés par la banque à ses clients concernant les faux conseillers bancaires. Elle ajoute qu’il a été imposé aux établissements bancaires de mettre à disposition de leurs clients les virements instantanés à titre gratuit.

Sur la demande de dommages et intérêts formulée par la demanderesse, la société CEGEE souligne que son refus de rembourser les sommes réclamées ne peut être analysé en résistance abusive en ce que, d’une part, ce n’est pas elle qui a profité de la cliente et d’autre part, aucun texte ne dispose d’un état de faiblesse exonératoire lié à un état de grossesse.

Conformément à l’article 455 du code de procédure civile, il sera renvoyé aux écritures des parties, reprises oralement à l’audience, pour un plus ample exposé des moyens développés à l’appui de leurs prétentions.

L’affaire a été mise en délibéré au 24 septembre 2025.

MOTIFS DE LA DECISION :

Sur la demande en remboursement :Aux termes de l’article L133-4 du code monétaire et financier :

a) Les données de sécurité personnalisées s’entendent des données personnalisées fournies à un utilisateur de services de paiement par le prestataire de services de paiement à des fins d’authentification ;

b) Un identifiant unique s’entend d’une combinaison de lettres, de chiffres ou de symboles indiquée à l’utilisateur de services de paiement par le prestataire de services de paiement, que l’utilisateur de services de paiement doit fournir pour permettre alternativement ou cumulativement l’identification certaine de l’autre utilisateur de services de paiement et de son compte de paiement pour l’opération de paiement ;

c) Un instrument de paiement s’entend, alternativement ou cumulativement, de tout dispositif personnalisé et de l’ensemble de procédures convenu entre l’utilisateur de services de paiement et le prestataire de services de paiement et utilisé pour donner un ordre de paiement ;

d) Un jour ouvrable est un jour au cours duquel le prestataire de services de paiement du payeur ou celui du bénéficiaire exerce une activité permettant d’exécuter des opérations de paiement ;

e) Une authentification s’entend d’une procédure permettant au prestataire de services de paiement de vérifier l’identité d’un utilisateur de services de paiement ou la validité de l’utilisation d’un instrument de paiement spécifique, y compris l’utilisation des données de sécurité personnalisées de l’utilisateur ;

f) Une authentification forte du client s’entend d’une authentification reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories « connaissance » (quelque chose que seul l’utilisateur connaît), « possession » (quelque chose que seul l’utilisateur possède) et « inhérence » (quelque chose que l’utilisateur est) et indépendants en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d’authentification (…).

L’article L133-6 du code monétaire et financier dispose qu’une opération de paiement est autorisée si le payeur a donné son consentement à son exécution.

L’article L133-16 du même code prévoit que dès qu’il reçoit un instrument de paiement, l’utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées ; il utilise l’instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation qui doivent être objectives, non discriminatoires et proportionnées.

En outre, en vertu de l’article L133-18 du code monétaire et financier, en cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L. 133-24, le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement et s’il communique ces raisons par écrit à la Banque de France.

Cependant, l’article L133-19 du même code dispose que le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L133-16 et L133-17.

Dès lors, le prestataire de services de paiement du payeur ne peut s’exonérer du remboursement du montant de l’opération non autorisée que s’il parvient à démontrer l’agissement frauduleux ou la négligence grave du payeur.

Enfin, il résulte de l’article L133-23 dudit code, que lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre; l’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière. Le prestataire de services de paiement, y compris, le cas échéant, le prestataire de services de paiement fournissant un service d’initiation de paiement, fournit des éléments afin de prouver la fraude ou la négligence grave commise par l’utilisateur de services de paiement.

Ainsi, si la négligence grave du payeur ne saurait résulter de la seule utilisation de son instrument de paiement, en revanche, elle peut être déduite de son comportement à l’occasion d’une telle utilisation et des circonstances de l’espèce, y compris lorsque ledit payeur est victime d’une escroquerie.

Un dispositif de paiement sécurisé se définit donc comme tout moyen technique affecté par un prestataire de service de paiement à un utilisateur-client et communiqué pour l’utilisation et le fonctionnement tant des instruments de paiement que le fonctionnement même du compte. Ce dispositif est placé sous la garde de l’utilisateur-client qui l’authentifie lui-même avec un identifiant unique constitué d’une combinaison de lettres, chiffres et symboles. Pour procéder à la gestion des opérations sur son compte, l’utilisateur-client créé des codes personnels qui lui sont demandés à l’occasion des opérations qu’il souhaite effectuer sur son compte bancaire.

En l’espèce, Madame [N] [E], épouse [P] explique avoir été contacté le 20 décembre 2024 par un faux conseiller bancaire depuis un numéro de téléphone portable débutant par 06 et avoir été mise en confiance par son interlocuteur qui connaissait les 4 derniers numéros de sa carte bancaire, ainsi son identité et son adresse. Elle indique qu’elle a été informée que plusieurs opérations suspectes avaient été effectuées sur son compte, notamment un paiement important sur le site Shein, une demande de modification de ses coordonnées, ainsi que l’augmentation du plafond de sa carte bancaire. Ainsi, afin de sécuriser son compte bancaire, son interlocuteur lui a demandé de transférer les fonds sur un compte secours de la banque, présenté encore comme un RIB temporaire. Alors qu’elle n’arrivait pas à enregistrer l’IBAN de ce compte sur l’application Banxo, son interlocuteur lui a proposé de l’appeler via l’application WhatsApp en visioconférence afin de la guider dans ses démarches. Aussi, alors qu’elle gardait sa caméra éteinte, la personne en ligne a demandé à Madame [N] [E], épouse [P] de partager l’écran de son téléphone. Ensuite, la demanderesse a effectué plusieurs virements depuis son compte courant envers le compte bancaire nouvellement enregistré pour un montant total de 3 262 €. Tous les transferts ont été effectués par le biais de virements instantanés, à l’exception d’un virement à hauteur de 837 euros, qui a ainsi pu être annulé immédiatement après l’appel. En effet, après avoir raccroché avec son interlocuteur, Madame [N] [E], épouse [P] a décidé d’aller à son agence bancaire et avait été contactée par sa conseillère habituelle. Elle a également porté plainte le même jour.

Ainsi, il n’est pas contesté que Madame [N] [E], épouse [P] a été victime d’un faux conseiller bancaire, mettant en œuvre des techniques de manipulation afin de la convaincre de valider, au moyen de son téléphone portable, certaines opérations de paiement.

Toutefois, force est de constater que Madame [N] [E], épouse [P] a personnellement ordonné les opérations litigieuses, en acceptant de suivre les instructions d’un tiers dont elle ignorait pourtant l’identité et qu’elle a ainsi activement participé à son préjudice.

En effet, contrairement aux circonstances de la jurisprudence citée par la demanderesse (Ch. Com ; 23 octobre 2024, pourvoi n°23-16.267), elle ne pouvait pas être induite en erreur par le numéro depuis lequel elle avait été contactée puisqu’il ne renvoyait aucunement à son établissement bancaire : ce n’était ni celui de son conseiller, ni celui du centre opposition de la banque. Il s’agissait d’un numéro classique de téléphone portable ce qui constitue une pratique inhabituelle de la part des agents des établissements bancaires et aurait dû alerter en premier lieu Madame [P].

En outre, elle a ensuite accepté une visioconférence via une application à usage courant, WhatsApp, rarement utilisée par les professionnels de la banque qui disposent de leurs propres outils de messagerie pour communiquer avec leurs clients. A ce titre, Madame [P] ne produit aucun élément permettant de démontrer qu’une telle pratique existait au sein de son établissement bancaire. Par ailleurs, lors de cet échange, deux éléments importants auraient dû alerter Madame [N] [E], épouse [P] : le partage d’écran sollicité par le faux conseiller et la caméra masquée. En effet, un agent de la banque a une vision instantanée des comptes bancaires de son client et n’aurait pas réellement besoin d’un partage d’écran pour expliquer le fonctionnement de l’application bancaire. Au surplus, le fait de masquer la caméra ne pouvait s’expliquer que par un désir d’anonymat de son interlocuteur, une pratique également très inhabituelle dans les milieux professionnels.

Par ailleurs, s’agissant de l’exécution des virements, la société CEGEE fait valoir qu’avant la validation du paiement, un message d’avertissement indiquant précisément qu’un conseiller ne peut jamais vous demander d’autoriser un virement apparaît sur l’application. Madame [N] [E], épouse [P] conteste cette déclaration et produit des captures d’écran qui, selon elle, représentent le déroulé complet de la réalisation d’un virement instantané. Elle soutient ainsi qu’aucun message d’avertissement n’apparait. A ce titre, il n’appartient pas à la présente juridiction de vérifier si les éléments produits par la demanderesse correspondent à la réalité. Cependant il peut être observé, d’une part, que sur les captures d’écran produites par Madame [N] [E], épouse [P], il n’existe aucune possibilité de valider ou refuser le virement une fois que l’utilisateur a choisi entre un virement instantané ou classique, alors même que, selon la banque, c’est bien sur cet écran que le message d’avertissement apparaît et qu’un exemple de capture d’écran est produit par la société CEGEE. D’autre part, et en tout état de cause, même en l’absence d’un message d’avertissement spécifique lié aux virements, il est établi que Madame [N] [E], épouse [P] a, à plusieurs reprises, réitéré le processus de validation de virements instantanés de montants différents par le biais d’une authentification forte et dans des circonstances totalement inhabituelles, alors qu’aucune circonstance particulière liée à la personne de son interlocuteur n’a pu amoindrir sa vigilance. Il est rappelé que le numéro de téléphone qui s’affichait n’était pas celui de la banque et que les éléments d’identité, ainsi que les adresses postales et électroniques sont des éléments communiqués pour n’importe quel achat en ligne de sorte qu’ils sont facilement récupérables sur les réseaux informatiques dans le cadre de tentatives d’escroqueries.

Quant à sa propre vulnérabilité, à savoir son état de grossesse avancé, Madame [N] [E], épouse [P] n’explique pas en quoi cette situation aurait induit des pressions particulières de la part de son interlocuteur ou aurait diminué le degré minimum de précautions normalement attendu du client d’un établissement bancaire. Au surplus, il n’est même pas démontré que la personne l’ayant contactée avait connaissance de son état de grossesse ou de sa prochaine hospitalisation.

Dans ces conditions, la négligence grave de Madame [N] [E], épouse [P] est caractérisée.

S’agissant des demandes de remboursement et de dommages et intérêts fondées sur les manquements de sécurité allégués de la banque, Madame [N] [E], épouse [P] évoque trois moyens : la possibilité d’effectuer des virements instantanés sans délai de latence sur un IBAN nouvellement renseigné, la possibilité d’afficher le contenu de l’application lors d’un partage d’écran et l’absence de messages de vigilance.

A ce titre, il est important de rappeler que si tous les établissements bancaires sont soumis à des obligations légales et réglementaires en termes de sécurité, notamment dans le cadre de l’utilisation des outils informatiques mis à dispositions des consommateurs, chaque groupe bancaire dispose de ses propres protocoles, qui s’inscrivent dans un dispositif global de sécurité dont le degré peut être différent, y compris en fonction du profil du client. Aussi, un manquement de sécurité ne peut pas être caractérisé par rapport au protocole plus strict d’un autre établissement bancaire, mais uniquement par rapport aux règles imposées à l’ensemble des professionnels du secteur.

Par ailleurs, les établissements bancaires doivent respecter le principe du secret bancaire et de la vie privée, ne pouvant s’immiscer dans la gestion des affaires de leurs clients et devant exécuter leurs instructions sans avoir à vérifier l’opportunité et la régularité des opérations de paiement validées par eux, sauf anomalie matérielle ou intellectuelle manifeste, ce qui n’est pas le cas en l’espèce compte-tenu notamment du montant des opérations et de l’absence de preuve de défaillance technique du système de paiement sécurisé de la banque.

Concernant particulièrement les virements instantanés, aucune disposition légale n’oblige un établissement bancaire à retarder l’émission d’un virement sur un compte externe ajouté conformément au dispositif de sécurité, soit par authentification forte. Il est observé que les virements instantanés sont très largement utilisés et qu’ils ont été rendus disponibles gratuitement dans toutes les banques françaises depuis le 9 janvier 2025 en application d’une réglementation européenne (Règlement UE 2024/886 du 13 mars 2024). Il n’existe pas non plus d’interdiction de l’affichage du contenu de l’application dans le cadre d’un partage d’écran, étant rappelé que l’utilisateur du téléphone est seul responsable du partage d’écran et des contenus sensibles qui peuvent s’y afficher.

Enfin, si les campagnes de prévention ne permettent pas à un établissement bancaire de s’exonérer de sa responsabilité, elles permettent toutefois de situer le litige dans un contexte d’information du consommateur. Quant aux messages de prévention sur les différents supports informatiques, Madame [N] [E], épouse [P] ne justifie pas d’un quelconque manquement de sécurité de la part de la société CEGEE.

Il ressort ainsi de l’ensemble des éléments du dossier que Madame [N] [E], épouse [P] ne démontre pas une quelconque faute de la société CEGEE dans la survenance des opérations litigieuses tandis que la société CEGEE justifie qu’elles ont bien été authentifiées, enregistrées et comptabilisées par la requérante comme étant des opérations de validation de paiements, et qu’elles n’ont pas été affectées par une déficience technique ou autre, exonérant ainsi la banque de tout remboursement.

Par conséquent, Madame [N] [E], épouse [P] sera déboutée de l’intégralité de ses demandes formulées à l’encontre de la société CEGEE, la demande d’indemnisation en réparation de son préjudice ne pouvant pas plus prospérer en l’absence de faute de l’établissement bancaire.

Sur les mesures accessoires :En application de l’article 696 du code de procédure civile, Madame [N] [E], épouse [P], partie qui succombe, supportera la charge des dépens.

L’équité et les circonstances de l’espèce commandent de ne pas faire application des dispositions de l’article 700 du code de procédure civile.

Il convient de rappeler que l’exécution provisoire du présent jugement est de droit.

PAR CES MOTIFS :

Le tribunal, statuant par mise à disposition au greffe, après débats en audience publique, par jugement contradictoire et en dernier ressort ,

DEBOUTE Madame [N] [E], épouse [P] de l’intégralité de ses demandes formulées à l’encontre de la société CEGEE,

DEBOUTE les parties de leurs demandes plus amples ou contraires,

DIT n’y avoir lieu à application des dispositions de l’article 700 du code de procédure civile,

CONDAMNE Madame [N] [E], épouse [P] aux entiers dépens de l’instance,

RAPPELLE que l’exécution provisoire du présent jugement est de droit.

En foi de quoi, la présente décision est signée par le Juge et par le Greffier.

Le Greffier Le Juge