TRIBUNAL JUDICIAIRE

[Adresse 8]

[Adresse 2]

[Adresse 7]

[Localité 4]

NAC: 38Z

N° RG 24/01909

N° Portalis DBX4-W-B7I-S3DY

JUGEMENT

N° B

DU 21 mars 2025

[C] [R]

C/

La S.A. LCL

Expédition revêtue de

la formule exécutoire à

M^e MONNIE

Copies certifiées conformes délivrées à toutes les parties

Le :

JUGEMENT

Le vendredi 21 mars 2025, le Tribunal judiciaire de TOULOUSE,

Sous la présidence de Ariane PIAT, Juge au Tribunal judiciaire de TOULOUSE, statuant en matière civile, assistée de Aurélie BLANC Greffière, lors des débats et chargée des opérations de mise à disposition.

Après débats à l’audience du 21 janvier 2025, a rendu la décision suivante, mise à disposition conformément à l’article 450 et suivants du Code de Procédure Civile, les parties ayant été avisées préalablement ;

ENTRE :

DEMANDEUR

Monsieur [C] [R],

demeurant [Adresse 3]

[Localité 6]

Représenté par Maître Thomas MONNIE, avocat au barreau de TOULOUSE

(Bénéficiaire de l’aide juridictionnelle totale par décision du Bureau d’aide juridictionnelle de [Localité 9] en date du 20 juin 2024)

ET

DÉFENDERESSE

La S.A. LCL,

Prise en la personne de son représentant légal en exercice,

Dont le siège social est sis [Adresse 1]

[Localité 5]

Représentée par Maître Adélie THEVENOT, avocate au barreau de TOULOUSE

RAPPEL DES FAITS

Monsieur [C] [R] est titulaire d’un compte bancaire auprès de la SA LCL LE CREDIT LYONNAIS. Son compte bancaire a fait l’objet de deux débits de 520 euros le 13 mars 2023.

Selon procès-verbal du 29 mars 2024, le conciliateur de justice a constaté l’impossibilité de concilier Monsieur [C] [R] et SA LCL LE CREDIT LYONNAIS quant au remboursement de la somme de 1.040 euros.

Par requête datée du 27 mars 2024, Monsieur [C] [R] a saisi le tribunal judiciaire de Toulouse pour obtenir la condamnation de la SA LCL LE CREDIT LYONNAIS à lui rembourser la somme de 1.040 euros.

Les parties ont été convoquées par le greffe à une première audience du 28 mai 2024. Après deux renvois demandés par les parties, le dossier a été plaidé à l’audience du 21 janvier 2025.

Monsieur [C] [R], représenté par son conseil, se rapporte à ses conclusions et demande de :

— rejeter toutes conclusions contraires comme injustes et en tout cas mal fondées,

— condamner la SA LCL LE CREDIT LYONNAIS à lui verser la somme de 1.040 euros due à l’hameçonnage dont il a été victime,

— condamner la SA LCL LE CREDIT LYONNAIS à lui verser la somme de 2.000 euros sur le fondement de l’article 37 de la loi n°91-647 du 10 juillet 1991,

— condamner la SA LCL LE CREDIT LYONNAIS aux entiers dépens.

Sur le fondement des articles L133-16 et suivants du Code monétaire et financier, Monsieur [C] [R] indique qu’il a été victime d’un hameçonnage, un tiers non identifié l’ayant contacté par SMS le 13 mars 2023 en se faisant passer pour la Sécurité Sociale et l’informant qu’il pouvait bénéficier d’un remboursement de 520 euros en cliquant sur un lien. Monsieur [C] [R] indique avoir rempli les rubriques relatives à son compte et sa carte bancaire et rempli un lien SECURIPASS. A la suite de cette opération il a constaté deux débits de 520 euros, soit un total de 1.040 euros, et a tenté en vain de faire opposition au paiement.

Il indique que la banque ne démontre pas la preuve de l’authentification de l’opération et du fait qu’elle n’a pas fait l’objet d’un problème technique. Il soutient que par ailleurs le SMS ne laisse aucunement penser à une fraude et que la banque ne rapporte pas la preuve de sa négligence grave, qui justifierait son refus de le rembourser.

La SA LCL LE CREDIT LYONNAIS, représentée par son conseil, se réfère également à ses écritures et sollicite :

— de débouter Monsieur [C] [R] de l’intégralité de ses demandes,

— de condamner « Monsieur [F] » à lui verser la somme de 800 euros au titre de l’article 700 du Code de procédure civile ainsi qu’aux entiers dépens.

La SA LCL LE CREDIT LYONNAIS, contestant toute obligation de remboursement quant aux deux prélèvements de 520 euros, fait valoir que Monsieur [C] [R] a fait preuve d’une négligence grave fautive à l’origine des paiements frauduleux. Elle soutient que le SMS comportait des indices permettant à un utilisateur normalement attentif de douter de sa provenance, en ce que l’administratif communique de façon régulière sur le fait qu’elle ne demande pas de paiement par SMS, que la sécurité sociale n’avait aucune raison de procéder à des « derniers calculs annuels pour l’exercice de votre activité » et que l’URL apparaissant dans le SMS aurait dû alerter Monsieur [C] [R]. Elle ajoute que Monsieur [C] [R] admet avoir reçu un lien SECURIPASS et l’avoir rempli et qu’il est incontestable que l’opération litigieuse a fait l’objet d’une authentification forte.

L’affaire a été mise en délibéré au 21 mars 2025.

MOTIFS DE LA DECISION

I/ Sur la demande de paiement de la somme de 1.040 euros

Suivant les dispositions des articles L. 133-16 et L. 133-17 du Code monétaire et financier, il appartient à l’utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d’informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l’instrument de paiement ou des données qui lui sont liées.

Conformément à l’article L.133-18 du Code monétaire et financier, « en cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L. 133-24, le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement et s’il communique ces raisons par écrit à la Banque de France. Le cas échéant, le prestataire de services de paiement du payeur rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu. »

L’article L. 133-19 du Code monétaire et financier dispose :

« I. En cas d’opération de paiement non autorisée consécutive à la perte ou au vol de l’instrument de paiement, le payeur supporte, avant l’information prévue à l’article L. 133-17, les pertes liées à l’utilisation de cet instrument, dans la limite d’un plafond de 50 €.

Toutefois, la responsabilité du payeur n’est pas engagée en cas :

— d’opération de paiement non autorisée effectuée sans utilisation des données de sécurité personnalisées ;

— de perte ou de vol d’un instrument de paiement ne pouvant être détecté par le payeur avant le paiement ;

— de perte due à des actes ou à une carence d’un salarié, d’un agent ou d’une succursale d’un prestataire de services de paiement ou d’une entité vers laquelle ses activités ont été externalisées.

II. La responsabilité du payeur n’est pas engagée si l’opération de paiement non autorisée a été effectuée en détournant, à l’insu du payeur, l’instrument de paiement ou les données qui lui sont liées.

Elle n’est pas engagée non plus en cas de contrefaçon de l’instrument de paiement si, au moment de l’opération de paiement non autorisée, le payeur était en possession de son instrument.

III. Sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si le prestataire de services de paiement ne fournit pas de moyens appropriés permettant l’information aux fins de blocage de l’instrument de paiement prévue à l’article L. 133-17.

IV. Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17.

V. Sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si l’opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement du payeur n’exige une authentification forte du payeur prévue à l’article L. 133-44.

VI. Lorsque le bénéficiaire ou son prestataire de services de paiement n’accepte pas une authentification forte du payeur prévue à l’article L. 133-44, il rembourse le préjudice financier causé au prestataire de services de paiement du payeur. ».

En application de l’article L133-44 du Code monétaire et financier, « I. – Le prestataire de services de paiement applique l’authentification forte du client définie au f de l’article L. 133-4 lorsque le payeur :

1° Accède à son compte de paiement en ligne ;

2° Initie une opération de paiement électronique ;

3° Exécute une opération par le biais d’un moyen de communication à distance, susceptible de comporter un risque de fraude en matière de paiement ou de toute autre utilisation frauduleuse.

II. – Pour les opérations de paiement électronique à distance, l’authentification forte du client définie au f de l’article L. 133-4 comporte des éléments qui établissent un lien dynamique entre l’opération, le montant et le bénéficiaire donnés.

III. – En ce qui concerne l’obligation du I, les prestataires de services de paiement mettent en place des mesures de sécurité adéquates afin de protéger la confidentialité et l’intégrité des données de sécurité personnalisées des utilisateurs de services de paiement.

IV. – Le prestataire de services de paiement gestionnaire du compte autorise le prestataire de services de paiement fournissant un service d’initiation de paiement et le prestataire de services de paiement fournissant le service d’information sur les comptes à se fonder sur ses procédures d’authentification lorsqu’ils agissent pour l’un de leurs utilisateurs conformément aux I et III et, lorsque le prestataire de services de paiement fournissant le service d’initiation de paiement intervient, conformément aux I, II et III.

V- Le prestataire de services de paiement s’assure que les méthodes d’authentification qu’il fournit à ses clients respectent les exigences d’accessibilité fixées à l’article L. 412-13 du Code de la consommation. »

Enfin, il ressort de l’article L.133-4 (f) du Code précité qu’une authentification forte s’entend d’une authentification reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories « connaissance » (quelque chose que seul l’utilisateur connaît telle qu’un mot de passe, un Code secret, une question secrète, etc…), « possession » (quelque chose que seul l’utilisateur possède telle qu’un téléphone portable, une montre connectée, une clé USB etc…) et « inhérence » (quelque chose que l’utilisateur est telle que la reconnaissance faciale ou vocale, la reconnaissance par empreinte digitale, etc…) et indépendants en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d’authentification.

Il ressort de l’ensemble de ces articles que si le prestataire de services de paiement entend faire supporter à l’utilisateur d’un instrument de paiement doté d’un dispositif de sécurité personnalisé les pertes occasionnées par une opération de paiement non autorisée rendue possible par un manquement de cet utilisateur, intentionnel ou par négligence grave, aux obligations mentionnées aux articles L. 133-16 et L. 133-17 de ce Code, le prestataire de services de paiement doit au préalable prouver que l’opération en cause a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre (Com. 12 nov. 2020, n° 19-12.112 ; Com. 20 nov. 2024, n° 23-15.099).

En l’espèce, les opérations litigieuses de paiement réalisées le 13 mars 2023 pour un montant total de 1.040 euros ont été rendues possibles, par l’intervention d’un tiers se faisant passer pour la Sécurité Sociale et contre lequel la victime a déposé plainte auprès de la gendarmerie. Il est constant que Monsieur [C] [R], suivant les instructions d’un fraudeur, a rempli les rubriques relatives à son compte et sa carte bancaire et qu’il a ensuite reçu un lien SECURIPASS de sa banque.

En revanche, il n’est pas démontré par la SA LCL LE CREDIT LYONNAIS qu’une authentification forte a été exigée pour valider les deux opérations d’un montant de 520 euros. En effet, la seule affirmation selon laquelle Monsieur [C] [R] admet avoir reçu un lien SECURIPASS ne peut suffire à justifier que chacune des deux opérations litigieuses ont fait l’objet d’une authentification forte du client, avec l’utilisation d’au moins deux éléments différents d’authentification, et n’ont pas été affectée par une défaillance technique, et ce alors que la SA LCL LE CREDIT LYONNAIS, sur laquelle repose la charge de la preuve, ne produit aucune pièce au débat.

Ainsi, faute de preuve de l’authentification forte pour les opérations, Monsieur [C] [R] ne doit supporter aucune conséquence financière quant aux prélèvements frauduleux, sauf agissement frauduleux de sa part. Or, la preuve de cet agissement frauduleux n’est pas rapportée par la banque.

La négligence de la victime, y compris si elle est grave, est insuffisante pour obliger le payeur à supporter les conséquences des opérations non-autorisées en l’absence d’authentification forte. Elle ne peut venir exonérer la banque de sa responsabilité, les textes définissant clairement les cas dans lesquels celle-ci peut le faire.

En conséquence, la SA LCL LE CREDIT LYONNAIS sera condamnée au remboursement de la somme de 1.040 euros au titre des paiements non autorisés intervenus le 13 mars 2023.

II/ Sur les demandes accessoires

En application de l’article 696 du Code de procédure civile, la SA LCL LE CREDIT LYONNAIS, partie perdante, supportera la charge des entiers dépens.

La SA LCL LE CREDIT LYONNAIS sera condamnée à payer à Monsieur [C] [R] la somme de 864 euros au titre de l’article 37 du Code de loi n° 91-647 du 10 juillet 1991 relative à l’aide juridique et sera déboutée de sa demande formulée à ce titre.

Conformément à l’article 514 du Code de procédure civile, la présente décision est de plein droit exécutoire à titre provisoire.

PAR CES MOTIFS

Le tribunal, statuant par mise à disposition au greffe, par jugement contradictoire et en dernier ressort,

CONDAMNE la SA LCL LE CREDIT LYONNAIS à verser à Monsieur [C] [R] la somme de 1.040 euros ;

CONDAMNE la SA LCL LE CREDIT LYONNAIS à verser à Monsieur [C] [R] la somme de 864 euros sur le fondement de l’article 700 du Code de procédure civile ;

DEBOUTE la SA LCL LE CREDIT LYONNAIS de sa demande au titre de l’article 700 du Code de procédure civile ;

CONDAMNE la SA LCL LE CREDIT LYONNAIS aux entiers dépens de l’instance ;

RAPPELLE que la présente décision est exécutoire à titre provisoire ;

Ainsi jugé et prononcé par mise à disposition de la décision au greffe du tribunal judiciaire, le 21 mars 2025, les parties en ayant été préalablement avisées dans les conditions prévues au deuxième alinéa de l’article 450 du Code de procédure civile, la minute étant signée par Madame Ariane PIAT, juge statuant en matière civile, et par Madame Aurélie BLANC, greffière.

La greffière, Le juge,