MINUTE N° : 24/00261

JUGEMENT

DU 16 Octobre 2024

N° RG 24/01307 – N° Portalis DBYF-W-B7I-JFFS

[P] [G] [O] [S] [R] veuve [F]

ET :

S.A. LA BANQUE POSTALE

GROSSE + COPIE le

à

COPIE le

à

TRIBUNAL JUDICIAIRE

DE [Localité 5]

Au siège du Tribunal, [Adresse 4] à TOURS,

COMPOSITION DU TRIBUNAL LORS DES DÉBATS ET DU DÉLIBÉRÉ :

PRÉSIDENT : C. BELOUARD, Vice-Président du Tribunal judiciaire de TOURS,

GREFFIER : V. AUGIS

DÉBATS :

A l’audience publique du 04 septembre 2024

DÉCISION :

Annoncée pour le 16 OCTOBRE 2024 par mise à la disposition au Greffe de ce Tribunal, les parties en ayant été préalablement avisées dans les conditions prévues au deuxième alinéa de l’article 450 du Code de Procédure Civile.

ENTRE :

DEMANDERESSE

Madame [P] [G] [O] [S] [R] veuve [F]

née le [Date naissance 1] 1953 à [Localité 6], demeurant [Adresse 3]

Comparante en personne

D’une part ;

DEFENDERESSE

S.A. LA BANQUE POSTALE, [Adresse 2]

Non comparante, ni représentée

D’autre part ;

EXPOSE DU LITIGE

Mme [P] [R] veuve [F] est titulaire d’un compte numéroté 01 076 066 M0032 ouvert dans les livres de la BANQUE POSTALE.

Le 28 août 2023, Mme [P] [R] veuve [F] a déposé plainte auprès du commissariat de police de [Localité 5] et dénoncé 3600 € de prélèvements frauduleux intervenus sur son compte.

Elle a été remboursée par son assurance à hauteur de 3000 € et la banque postale a refusé de lui rembourser le surplus au motif d’une négligence grave de sa part.

C’est dans ce contexte, que suivant requête du 08 mars 2024, Mme [P] [R] veuve [F] a saisi le Tribunal judiciaire du litige l’opposant à la SA LA BANQUE POSTALE aux fins de remboursement notamment des sommes prélevées sur son compte et non remboursées à savoir 600 € outre 500 € de préjudice pour résistance abusive et 500 € au titre de l’article 700 du Code de procédure civile.

A l’audience du 04 septembre 2024, Mme [P] [R] veuve [F] , maintient ses demandes et conteste toute négligence grave de sa part.

Elle reconnaît avoir eu connaissance de l’argumentaire et des pièces de la SA LA BANQUE POSTALE, non représentée à l’audience, qui par courrier du 21 août 2024 demande le rejet de l’ensemble des demandes et conclut à la négligence grave de Mme [R] veuve [F] ayant permis la communication de ses codes de carte bancaire.

La décision a été mise en délibéré au 16 octobre 2024.

MOTIFS DE LA DECISION

En application de l’article 472 du Code de procédure civile, si le défendeur ne comparaît pas, il est néanmoins statué sur le fond. Le juge ne fait droit à la demande que dans la mesure où il l’estime régulière, recevable et bien fondée.

I- Sur le droit français applicable découlant de la transposition de la Directive européenne du 25 novembre 2015 concernant les services de paiement dans le marché intérieur

Les articles L133-1 et suivant du Code monétaire et financier dans leur rédaction actuelle, découlent de la transposition de directives européennes et plus particulièrement de celle numéro 2015/2366 du 25 novembre 2015 concernant les services de paiement dans le marché intérieur.

1- Sur les définitions

L’article L133-3 du Code monétaire financier définit ainsi une opération de paiement comme une action consistant à verser, transférer ou retirer des fonds.

L’article L 133-4 précise notamment qu’une authentification s’entend d’une procédure permettant au prestataire de services de paiement de vérifier l’identité d’un utilisateur de services de paiement ou la validité de l’utilisation d’un instrument de paiement spécifique, y compris l’utilisation des données de sécurité personnalisées de l’utilisateur. Une authentification forte du client s’entend “d’une authentification reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories « connaissance » (quelque chose que seul l’utilisateur connaît), « possession » (quelque chose que seul l’utilisateur possède) et « inhérence » (quelque chose que l’utilisateur est) et indépendants en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d’authentification”.

Ne doivent ainsi pas être confondus l’authentification (forme de l’ordre de paiement), qui peut être forte, et l’autorisation que la banque fait automatiquement découler d’une authentification (L133-6 et L133-7 du Code monétaire).

2- Sur la philosophie de la directive transposée

Dans ses motifs, la directive du 25 novembre 2015, modifiant les directives 2002/65/CE, 2009/110/CE et 2013/36/UE et le règlement (UE) n 1093/2010, et abrogeant la directive 2007/64/CE énonçait notamment :

“(…)

(7) Ces dernières années ont vu croître les risques de sécurité liés aux paiements électroniques. Cela s’explique par la complexité technique croissante de ces paiements, leurs volumes toujours croissants à l’échelle mondiale et l’émergence de nouveaux types de services de paiement. La sûreté et la sécurité des services de paiement sont vitales au bon fonctionnement du marché des services de paiement. Il convient dès lors de protéger de manière adéquate les utilisateurs contre ces risques. Les services de paiement sont essentiels au fonctionnement d’activités économiques et sociales vitales.

(70) En cas d’opération de paiement non autorisée, le prestataire de services de paiement devrait immédiatement rembourser le montant de cette opération au payeur. Toutefois, s’il existe une forte présomption qu’une opération non autorisée résulte d’un comportement frauduleux de l’utilisateur de services de paiement et lorsque cette présomption repose sur des raisons objectives qui sont communiquées à l’autorité nationale concernée, le prestataire de services de paiement devrait être en mesure de mener une enquête dans un délai raisonnable avant de rembourser le payeur. Afin de protéger le payeur contre tout préjudice, la date de valeur du remboursement ne devrait pas être postérieure à la date à laquelle le montant a été débité. Afin d’inciter l’utilisateur de services de paiement à signaler sans retard injustifié au prestataire de services de paiement le vol ou la perte d’un instrument de paiement et de limiter ainsi le risque d’opérations de paiement non autorisées, la responsabilité de l’utilisateur ne devrait être engagée, sauf agissement frauduleux ou négligence grave de sa part, qu’à concurrence d’un montant très limité. Dans ce contexte, un montant de 50 EUR semble adéquat pour garantir un niveau élevé et harmonisé de protection des utilisateurs dans l’Union. La responsabilité du payeur ne devrait pas être engagée lorsque celui-ci n’est pas en mesure de prendre conscience de la perte, du vol ou du détournement de l’instrument de paiement. En outre, une fois qu’il a informé le prestataire de services de paiement du risque d’utilisation frauduleuse de son instrument de paiement, l’utilisateur de services de paiement ne devrait pas être tenu de couvrir toute autre perte pouvant résulter de cette utilisation frauduleuse. La présente directive devrait être sans préjudice de la responsabilité des prestataires de services de paiement en matière de sécurité technique de leurs produits.

(72) Afin d’évaluer l’éventualité d’une négligence ou d’une négligence grave de la part de l’utilisateur de services de paiement, il convient de tenir compte de toutes les circonstances. Les preuves et le degré de négligence alléguée devraient en général être évalués conformément au droit national. Toutefois, si la négligence implique un manquement au devoir de diligence, la négligence grave devrait impliquer plus que de la simple négligence et comporter un défaut de vigilance caractérisé, comme le serait le fait de conserver les données utilisées pour autoriser une opération de paiement à côté de l’instrument de paiement, sous une forme aisément accessible et reconnaissable par des tiers. Les clauses et conditions contractuelles concernant la fourniture et l’utilisation d’un instrument de paiement qui auraient pour effet d’alourdir la charge de la preuve incombant au consommateur ou d’alléger la charge de la preuve imposée à l’émetteur devraient être considérées comme nulles et non avenues. En outre, dans des situations spécifiques et en particulier lorsque l’instrument de paiement n’est pas présent au point de vente, par exemple dans le cas de paiements en ligne, il convient que le prestataire de services de paiement soit tenu d’apporter la preuve de la négligence alléguée, le payeur n’ayant, dans ce cas, que des moyens limités de le faire.

(73) Il y a lieu de prévoir la répartition des pertes en cas d’opérations de paiement non autorisées. Des dispositions différentes peuvent s’appliquer à des utilisateurs de services de paiement qui ne sont pas des consommateurs, de tels utilisateurs étant généralement plus à même d’apprécier le risque de fraude et de prendre des mesures compensatoires. Afin de garantir un niveau élevé de protection des consommateurs, le payeur devrait toujours être en droit d’adresser sa demande de remboursement à son prestataire de services de paiement gestionnaire du compte, même lorsqu’un prestataire de services d’initiation de paiement intervient dans l’opération de paiement.

Cette disposition est sans préjudice de la répartition des responsabilités entre les prestataires de services de paiement (…)”.

La philosophie du droit européen transposée en droit français a ainsi été d’offrir toutes les garanties et les protections à l’utilisateur – consommateur afin qu’il accepte de recourir aux paiements en ligne en dépit des risques de piratages informatiques et de fraudes. C’est pourquoi, au regard de ces textes, le législateur a choisi de faire porter essentiellement le risque des fraudes sur les prestataires de services à savoir les banques.

L’utilisateur d’instrument de paiement doit certes veiller à préserver la sécurité de ses données et informer sans délai sa banque en cas d’utilisation non autorisées de son instrument de paiement :

— L’article L133-16 du Code monétaire et financier énonce en effet : “Dès qu’il reçoit un instrument de paiement, l’utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées.

Il utilise l’instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation qui doivent être objectives, non discriminatoires et proportionnées”.

— L’article L133-17 I précise que “Lorsqu’il a connaissance de la perte, du vol, du détournement ou de toute utilisation non autorisée de son instrument de paiement ou des données qui lui sont liées, l’utilisateur de services de paiement en informe sans tarder, aux fins de blocage de l’instrument, son prestataire ou l’entité désignée par celui-ci”.

L’article L133-18 alinéa 1 du Code monétaire et financier pose toutefois ensuite le principe de garantie de la banque, en ce que ce prestataire de service est tenu par principe du risque d’une opération non autorisée : “En cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L. 133-24, le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement et s’il communique ces raisons par écrit à la Banque de France. Le cas échéant, le prestataire de services de paiement du payeur rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu”.

3- Sur les limites à la garantie de remboursement des opérations frauduleuses réalisées par un tiers

L’article L133-19 du Code monétaire et financier précise les conditions où une faute de l’utilisateur peut être retenue pour exclure ou non cette garantie :

“I. – En cas d’opération de paiement non autorisée consécutive à la perte ou au vol de l’instrument de paiement, le payeur supporte, avant l’information prévue à l’article L. 133-17, les pertes liées à l’utilisation de cet instrument, dans la limite d’un plafond de 50 €.

Toutefois, la responsabilité du payeur n’est pas engagée en cas :

– d’opération de paiement non autorisée effectuée sans utilisation des données de sécurité personnalisées ;

– de perte ou de vol d’un instrument de paiement ne pouvant être détecté par le payeur avant le paiement ;

– de perte due à des actes ou à une carence d’un salarié, d’un agent ou d’une succursale d’un prestataire de services de paiement ou d’une entité vers laquelle ses activités ont été externalisées.

II. – La responsabilité du payeur n’est pas engagée si l’opération de paiement non autorisée a été effectuée en détournant, à l’insu du payeur, l’instrument de paiement ou les données qui lui sont liées. (…)

IV. – Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17. [non en gras ni souligné dans le texte]

V. – Sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si l’opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement du payeur n’exige une authentification forte du payeur prévue à l’article L. 133-44. [non gras ni souligné dans le texte]

VI. – Lorsque le bénéficiaire ou son prestataire de services de paiement n’accepte pas une authentification forte du payeur prévue à l’article L. 133-44, il rembourse le préjudice financier causé au prestataire de services de paiement du payeur”.

Cet article L133-19 en ses paragraphes IV et V réalise une distinction importante :

— si l’opération de paiement non autorisée a été effectuée sans exigence d’authentification forte, la banque doit supporter les conséquences financières de l’opération en remboursant le payeur sauf si ce dernier a commis une fraude ;

— si l’opération de paiement non autorisée a été effectuée avec une exigence d’authentification forte, la banque peut refuser de rembourser les conséquences financières de l’opération en cas non seulement de fraude mais également de négligence grave du payeur.

La charge de la preuve de la fraude ou de la négligence grave de l’utilisateur est précisée par l’article L133-23 du Code monétaire qui énonce que :

“lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre.

L’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière. Le prestataire de services de paiement, y compris, le cas échéant, le prestataire de services de paiement fournissant un service d’initiation de paiement, fournit des éléments afin de prouver la fraude ou la négligence grave commise par l’utilisateur de services de paiement”.

L’article 133-23 du Code monétaire et financier fait ainsi reposer la charge de la preuve de la régularité de l’opération sur le prestataire de service en précisant qu’il doit établir que cette opération a été authentifiée, dûment enregistrée et comptabilisée sans être affectée d’une déficience technique.

Si et seulement si cette première condition a été prouvée, le prestataire de service doit, pour ne pas être tenu de supporter le risque, démontrer la fraude ou la grave négligence de l’utilisateur. L’utilisation de l’instrument de paiement telle qu’enregistrée ne suffit pas nécessairement pour acter de l’accord du payeur ou de sa négligence.

II- Sur la demande de Mme [P] [R] VEUVE [F] au titre de prélèvements frauduleux subis

Il est acquis au regard de la plainte, des relevés bancaires produits que Mme [P] [R] veuve [F] a été victime d’une fraude par un tiers le 28 mai 2023 qui a abouti aux prélèvements suivants sur son compte ouvert auprès de la SA LA BANQUE POSTALE pour une somme totale de 3600 € au moyen de 24 prélèvements de 150€ réglée le 29 mai 2023 mais pour lesquelles 24 opérations ont été réalisées entre le 28 mai 2023 à 16h37mn19s et le 28 mai 2023 à 16h45mn50s.

Le tribunal constate que ces 24 opérations ont été réalisées en utilisant selon les pièces mêmes de la banque, le code de la demanderesse, en moins de 8 mn et 52 s soit en moyenne en 21,3 secondes par opération ce qui interroge sur la technicité et les moyens de cette fraude.

La SA LA BANQUE POSTALE justifie que ces opérations ont été authentifiées, dûment enregistrées et comptabilisées sans être affectées d’une déficience technique. Elle ne justifie pas en revanche que les opérations de paiement frauduleuses ont été effectuées avec une exigence d’authentification forte (consiste à effectuer une double authentification, via deux preuves d’identité distinctes).En conséquence, la banque doit supporter les conséquences financières de l’opération en remboursant Mme [P] [R] veuve [F] sauf si cette dernière a commis une fraude. Le débat sur une négligence grave de Mme [P] [R] veuve [F] est ainsi sans objet.

Or, la SA LA BANQUE POSTALE ne soutient nullement que Mme [P] [R] veuve [F] aurait commis une fraude, argumentant uniquement sur une négligence grave de la demanderesse qui au surplus n’est nullement démontrée.

En conséquence, la SA LA BANQUE POSTALE échouant à démontrer une fraude de Mme [P] [R] veuve [F], elle sera tenue de rembourser la somme de 600 € frauduleusement prélevée sur son compte.

III- Sur la demande de dommages et intérêts

En revanche, alors que l’état du droit positif est déjà particulièrement clair quant à la garantie due par une banque en cas de prélèvement sans authentification forte, l’absence de remboursement par la SA LA BANQUE POSTALE des sommes prélevées constitue une résistance abusive. Elle sera tenue d’indemniser Mme [P] [R] veuve [F] à hauteur de la somme de 60 € à ce titre.

IV- Sur les mesures de fin de jugement

Perdant le procès, la Banque Postale sera tenue aux dépens.

Il n’est pas inéquitable de laisser à la charge de la SA LA BANQUE POSTALE les frais et honoraires non compris dans les dépens et exposés par Mme [P] [R] veuve [F] au titre de la présente instance. Elle sera en conséquence condamnée à payer à Mme [P] [R] veuve [F] la somme de 200 € en application de l’article 700 du Code de procédure civile.

PAR CES MOTIFS

Le Tribunal statuant publiquement par décision contradictoire et en premier ressort,

Le Tribunal, statuant publiquement, par jugement contradictoire et rendu en premier ressort,

Condamne la SA LA BANQUE POSTALE à payer à Mme [P] [R] veuve [F] la somme de 600,00 € (SIX CENTS EUROS) ;

Condamne la SA LA BANQUE POSTALE à payer à Mme [P] [R] veuve [F] la somme de 60,00 € (SOIXANTE EUROS) en réparation du préjudice découlant de la résistance abusive de la SA LA BANQUE POSTALE ;

Condamne la SA LA BANQUE POSTALE aux dépens ;

Condamne la SA LA BANQUE POSTALE à payer à Mme [P] [R] veuve [F] la somme de 200,00 € (DEUX CENTS EUROS) en application de l’article 700 du Code de procédure civile.

Ainsi jugé par mise à disposition de la décision au greffe.

LE GREFFIER,

Signé V. AUGIS

LE PRÉSIDENT,

Signé C. BELOUARD