MINUTE N° : 24/00350

JUGEMENT

DU 20 Décembre 2024

N° RG 23/04747 – N° Portalis DBYF-W-B7H-I7QQ

[L] [U] [N] épouse [P]

[Y] [P]

ET :

S.A. CREDIT LYONNAIS

GROSSE + COPIE le

à

COPIE le

à

TRIBUNAL JUDICIAIRE

DE TOURS

Au siège du Tribunal, [Adresse 6] à [Localité 11],

COMPOSITION DU TRIBUNAL LORS DES DÉBATS ET DU DÉLIBÉRÉ :

PRÉSIDENT : C. BELOUARD, Vice-Président du Tribunal judiciaire de TOURS,

GREFFIER : V. AUGIS

DÉBATS :

A l’audience publique du 16 octobre 2024

DÉCISION :

Annoncée pour le 11 DECEMBRE 2024 puis prorogée au 20 DECEMBRE 2024 par mise à la disposition au Greffe de ce Tribunal, les parties en ayant été préalablement avisées dans les conditions prévues au deuxième alinéa de l’article 450 du Code de Procédure Civile.

ENTRE :

DEMANDEURS

Madame [L] [U] [N] épouse [P]

née le [Date naissance 2] 1975 à [Localité 10] (PORTUGAL), demeurant [Adresse 3]

Monsieur [Y] [P]

né le [Date naissance 4] 1959 à [Localité 8] (PORTUGAL), demeurant [Adresse 3]

Tous deux non comparants, représentés par M^e Hélène PERRAULT, avocat au barreau de TOURS – 13bis #

D’une part ;

DEFENDERESSE

S.A. CREDIT LYONNAIS, (RCS de Lyon sous le n° 954 509 741), dont le siège social est situé [Adresse 5] prise en son établissement secondaire situé [Adresse 7]

Représentée par M^e HERRBACH substituant M^e Julian COAT, avocat au barreau de PARIS

D’autre part ;

EXPOSE DU LITIGE

Mme [L] [N] épouse [P] et M. [Y] [P] sont titulaires d’un compte joint numéroté [XXXXXXXXXX01] ouvert dans les livres de l’agence de [Localité 9] de la banque CREDIT LYONNAIS.

Le 26 janvier 2024, Mme [L] [N] épouse [P] a déposé plainte auprès du Commissariat de police de [Localité 9] et dénoncé deux prélèvements frauduleux intervenus sur ce compte joint :

— le premier de 6000 euros du 6 janvier 2022 ;

— le 2ème de 5900 € du même jour.

Par courrier du 2 mai 2022, suite à la réclamation de Mme [L] [N] épouse [P], la S.A. CREDIT LYONNAIS lui a notifié le refus de procéder au remboursement total des fonds détournés au motif que les opérations ont été validées au moyen de données de sécurité personnalisées mais qu’à titre commercial, elle acceptait de prendre en charge 50% du montant total du préjudice soit 5950 €.

Par lettre du 24 août 2024, Mme [L] [N] épouse [P] et M. [Y] [P], représentés par leur assureur protection juridique, ont mis en demeure la S.A. CREDIT LYONNAIS de procéder au remboursement des fonds détournés.

C’est dans ce contexte, que par assignation du 31 octobre 2023, Mme [L] [N] épouse [P] et M. [Y] [P] ont donné assignation à la S.A. CREDIT LYONNAIS devant le tribunal judiciaire de Tours aux fins de remboursement notamment des sommes prélevées sur leur compte.

L’ affaire a fait l’objet de plusieurs renvois à la demande des parties.

A l’audience du 16 octobre 2024, Mme [L] [N] épouse [P] et M. [Y] [P], représenté par leur conseil, demande au tribunal, au visa des articles L 133-16 et suivants du code monétaire et financier, l’article 1353 du Code civil :

de condamner la S.A. CREDIT LYONNAIS à leur payer la somme de 5950 € avec intérêts au taux légal outre la capitalisation,condamner la S.A. CREDIT LYONNAIS à leur payer la somme de 2000 € en application de l’article 700 du code de procédure civile,condamner la même aux dépens.

Ils soutiennent qu’ils n’ont commis aucune négligence grave et n’ont nullement fourni leurs données de connexion à un tiers ; que Mme [P] a reçu un SMS du numéro habituel des service du CREDIT LYONNAIS dont elle ne s’est pas méfiée, ayant chercher à se connecter à son compte sans succès dans la journée ; qu’ils n’ont reçu aucun avis d’ajout de bénéficiaire ni par SMS ni par courriel ; qu’ils n’ont pas été averti des virements effectués ; qu’elle n’a jamais validé les virements réalisés plus de 6 jours après la demande de connexion de l’appareil. Ils ajoutent que Mme [P] n’a nullement saisi un quelconque code pour autoriser les virements ; qu’elle n’a commis aucune négligence ; que la seule utilisation de leurs données personnelles ne suffit pas à établir une négligence grave ; que la défenderesse ne rapporte pas la preuve de ce que ce serait la saisie du code reçu par SMS qui aurait permis de valider l’ajout d’un nouveau bénéficiaire.

Ils rappellent qu’ils ont contesté le opérations dès le 12 janvier 2022 soit juste après avoir découverts les opérations réalisées les 6 et 9 janvier.

En réponse, la S.A.S CREDIT LYONNAIS, représentée par son conseil, au visa des articles L133-6, L133-7 et L133-44 du Code monétaire et financier demande le rejet à titre principal de l’ensemble des demandes de Mme [L] [N] épouse [P] et M. [Y] [P].

Elle sollicite en tout état de cause la condamnation de ces derniers à lui payer la somme de 2000€ en application de l’article 700 du code de procédure civile ainsi que les entiers dépens.

Elle soutient que les opérations réalisées par Mme [P] ont été dûment enregistrées et comptabilisées sans aucune déficience technique ; que Mme [L] [N] épouse [P] a commis une première négligence grave en l’absence de mesure raisonnable prise par cette dernière pour préserver la sécurité de ses données de sécurité personnalisées puisque la connexion d’un nouvel appareil à l’espace en ligne de Mme [P] s’est effectuée dans un premier temps par la saisie de son identifiant et de son code d’accès personnel et qu’ensuite l’enrôlement de ce nouvel appareil de confiance a été réalisé par la saisie en temps réel d’un code à usage unique (OTP SMS). Elle soutient ensuite que la seconde négligence grave découle du signalement tardif de Mme [P] du détournement et de l’utilisation non autorisée de ses données de sécurité personnalisée

La décision a été mise en délibéré au 11 décembre 2024 et prorogée au 20 décembre 2024.

MOTIFS DE LA DECISION

I- Sur le droit français applicable découlant de la transposition de la Directive européenne du 25 novembre 2015 concernant les services de paiement dans le marché intérieur

Les articles L133-1 et suivant du Code monétaire et financier dans leur rédaction actuelle, découlent de la transposition de directives européennes et plus particulièrement de celle numéro 2015/2366 du 25 novembre 2015 concernant les services de paiement dans le marché intérieur.

1- Sur les définitions

L’article L133-3 du Code monétaire financier définit ainsi une opération de paiement comme une action consistant à verser, transférer ou retirer des fonds.

L’article L 133-4 précise notamment qu’une authentification s’entend d’une procédure permettant au prestataire de services de paiement de vérifier l’identité d’un utilisateur de services de paiement ou la validité de l’utilisation d’un instrument de paiement spécifique, y compris l’utilisation des données de sécurité personnalisées de l’utilisateur. Une authentification forte du client s’entend “d’une authentification reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories « connaissance » (quelque chose que seul l’utilisateur connaît), « possession » (quelque chose que seul l’utilisateur possède) et « inhérence » (quelque chose que l’utilisateur est) et indépendants en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d’authentification”.

Ne doivent ainsi pas être confondus l’authentification (forme de l’ordre de paiement), qui peut être forte, et l’autorisation que la banque fait automatiquement découler d’une authentification (L133-6 et L133-7 du Code monétaire).

2- Sur la philosophie de la directive transposée

Dans ses motifs la directive du 25 novembre 2015, modifiant les directives 2002/65/CE, 2009/110/CE et 2013/36/UE et le règlement (UE) n 1093/2010, et abrogeant la directive 2007/64/CE énonçait notamment :

“(…)

(7) Ces dernières années ont vu croître les risques de sécurité liés aux paiements électroniques. Cela s’explique par la complexité technique croissante de ces paiements, leurs volumes toujours croissants à l’échelle mondiale et l’émergence de nouveaux types de services de paiement. La sûreté et la sécurité des services de paiement sont vitales au bon fonctionnement du marché des services de paiement. Il convient dès lors de protéger de manière adéquate les utilisateurs contre ces risques. Les services de paiement sont essentiels au fonctionnement d’activités économiques et sociales vitales.

(70) En cas d’opération de paiement non autorisée, le prestataire de services de paiement devrait immédiatement rembourser le montant de cette opération au payeur. Toutefois, s’il existe une forte présomption qu’une opération non autorisée résulte d’un comportement frauduleux de l’utilisateur de services de paiement et lorsque cette présomption repose sur des raisons objectives qui sont communiquées à l’autorité nationale concernée, le prestataire de services de paiement devrait être en mesure de mener une enquête dans un délai raisonnable avant de rembourser le payeur. Afin de protéger le payeur contre tout préjudice, la date de valeur du remboursement ne devrait pas être postérieure à la date à laquelle le montant a été débité. Afin d’inciter l’utilisateur de services de paiement à signaler sans retard injustifié au prestataire de services de paiement le vol ou la perte d’un instrument de paiement et de limiter ainsi le risque d’opérations de paiement non autorisées, la responsabilité de l’utilisateur ne devrait être engagée, sauf agissement frauduleux ou négligence grave de sa part, qu’à concurrence d’un montant très limité. Dans ce contexte, un montant de 50 EUR semble adéquat pour garantir un niveau élevé et harmonisé de protection des utilisateurs dans l’Union. La responsabilité du payeur ne devrait pas être engagée lorsque celui-ci n’est pas en mesure de prendre conscience de la perte, du vol ou du détournement de l’instrument de paiement. En outre, une fois qu’il a informé le prestataire de services de paiement du risque d’utilisation frauduleuse de son instrument de paiement, l’utilisateur de services de paiement ne devrait pas être tenu de couvrir toute autre perte pouvant résulter de cette utilisation frauduleuse. La présente directive devrait être sans préjudice de la responsabilité des prestataires de services de paiement en matière de sécurité technique de leurs produits.

(72) Afin d’évaluer l’éventualité d’une négligence ou d’une négligence grave de la part de l’utilisateur de services de paiement, il convient de tenir compte de toutes les circonstances. Les preuves et le degré de négligence alléguée devraient en général être évalués conformément au droit national. Toutefois, si la négligence implique un manquement au devoir de diligence, la négligence grave devrait impliquer plus que de la simple négligence et comporter un défaut de vigilance caractérisé, comme le serait le fait de conserver les données utilisées pour autoriser une opération de paiement à côté de l’instrument de paiement, sous une forme aisément accessible et reconnaissable par des tiers. Les clauses et conditions contractuelles concernant la fourniture et l’utilisation d’un instrument de paiement qui auraient pour effet d’alourdir la charge de la preuve incombant au consommateur ou d’alléger la charge de la preuve imposée à l’émetteur devraient être considérées comme nulles et non avenues. En outre, dans des situations spécifiques et en particulier lorsque l’instrument de paiement n’est pas présent au point de vente, par exemple dans le cas de paiements en ligne, il convient que le prestataire de services de paiement soit tenu d’apporter la preuve de la négligence alléguée, le payeur n’ayant, dans ce cas, que des moyens limités de le faire.

(73) Il y a lieu de prévoir la répartition des pertes en cas d’opérations de paiement non autorisées. Des dispositions différentes peuvent s’appliquer à des utilisateurs de services de paiement qui ne sont pas des consommateurs, de tels utilisateurs étant généralement plus à même d’apprécier le risque de fraude et de prendre des mesures compensatoires. Afin de garantir un niveau élevé de protection des consommateurs, le payeur devrait toujours être en droit d’adresser sa demande de remboursement à son prestataire de services de paiement gestionnaire du compte, même lorsqu’un prestataire de services d’initiation de paiement intervient dans l’opération de paiement.

Cette disposition est sans préjudice de la répartition des responsabilités entre les prestataires de services de paiement (…)”.

La philosophie du droit européen transposée en droit français a ainsi été d’offrir toutes les garanties et les protections à l’utilisateur – consommateur afin qu’il accepte de recourir aux paiements en ligne en dépit des risques de piratages informatiques et de fraudes. C’est pourquoi, au regard de ces textes, le législateur a choisi de faire porter essentiellement le risque des fraudes sur les prestataires de services à savoir les banques.

L’utilisateur d’instrument de paiement doit certes veiller à préserver la sécurité de ses données et informer sans délai sa banque en cas d’utilisation non autorisées de son instrument de paiement :

— L’article L133-16 du Code monétaire et financier énonce en effet : “Dès qu’il reçoit un instrument de paiement, l’utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées.

Il utilise l’instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation qui doivent être objectives, non discriminatoires et proportionnées”.

— L’article L133-17 I précise que “Lorsqu’il a connaissance de la perte, du vol, du détournement ou de toute utilisation non autorisée de son instrument de paiement ou des données qui lui sont liées, l’utilisateur de services de paiement en informe sans tarder, aux fins de blocage de l’instrument, son prestataire ou l’entité désignée par celui-ci”.

L’article L133-18 alinéa 1 du Code monétaire et financier pose toutefois ensuite le principe de garantie de la banque, en ce que ce prestataire de service est tenu par principe du risque d’une opération non autorisée : “En cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L. 133-24, le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement et s’il communique ces raisons par écrit à la Banque de France. Le cas échéant, le prestataire de services de paiement du payeur rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu”.

3- Sur les limites à la garantie de remboursement des opérations frauduleuses réalisées par un tiers

L’article L133-19 du Code monétaire et financier précise les conditions où une faute de l’utilisateur peut être retenue pour exclure ou non cette garantie :

“I. – En cas d’opération de paiement non autorisée consécutive à la perte ou au vol de l’instrument de paiement, le payeur supporte, avant l’information prévue à l’article L. 133-17, les pertes liées à l’utilisation de cet instrument, dans la limite d’un plafond de 50 €.

Toutefois, la responsabilité du payeur n’est pas engagée en cas :

– d’opération de paiement non autorisée effectuée sans utilisation des données de sécurité personnalisées ;

– de perte ou de vol d’un instrument de paiement ne pouvant être détecté par le payeur avant le paiement ;

– de perte due à des actes ou à une carence d’un salarié, d’un agent ou d’une succursale d’un prestataire de services de paiement ou d’une entité vers laquelle ses activités ont été externalisées.

II. – La responsabilité du payeur n’est pas engagée si l’opération de paiement non autorisée a été effectuée en détournant, à l’insu du payeur, l’instrument de paiement ou les données qui lui sont liées. (…)

IV. – Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17. [non en gras ni souligné dans le texte]

V. – Sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si l’opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement du payeur n’exige une authentification forte du payeur prévue à l’article L. 133-44. [non gras ni souligné dans le texte]

VI. – Lorsque le bénéficiaire ou son prestataire de services de paiement n’accepte pas une authentification forte du payeur prévue à l’article L. 133-44, il rembourse le préjudice financier causé au prestataire de services de paiement du payeur”.

Cet article L133-19 en ses paragraphes IV et V réalise une distinction importante :

— si l’opération de paiement non autorisée a été effectuée sans exigence d’authentification forte, la banque doit supporter les conséquences financières de l’opération en remboursant le payeur sauf si ce dernier a commis une fraude ;

— si l’opération de paiement non autorisée a été effectuée avec une exigence d’authentification forte, la banque peut refuser de rembourser les conséquences financières de l’opération en cas non seulement de fraude mais également de négligence grave du payeur.

La charge de la preuve de la fraude ou de la négligence grave de l’utilisateur est précisée par l’article L133-23 du Code monétaire qui énonce que :

“lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre.

L’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière. Le prestataire de services de paiement, y compris, le cas échéant, le prestataire de services de paiement fournissant un service d’initiation de paiement, fournit des éléments afin de prouver la fraude ou la négligence grave commise par l’utilisateur de services de paiement”.

L’article 133-23 du Code monétaire et financier fait ainsi reposer la charge de la preuve de la régularité de l’opération sur le prestataire de service en précisant qu’il doit établir que cette opération a été authentifiée, dûment enregistrée et comptabilisée sans être affectée d’une déficience technique.

Si et seulement si cette première condition a été prouvée, le prestataire de service doit, pour ne pas être tenu de supporter le risque, démontrer la fraude ou la grave négligence de l’utilisateur. L’utilisation de l’instrument de paiement telle qu’enregistrée ne suffit pas nécessairement pour acter de l’accord du payeur ou de sa négligence.

II- Sur la demande de Mme [L] [N] épouse [P] et M. [Y] [P] au titre de prélèvements frauduleux subis

En l’espèce, il est acquis au regard de la plainte du 26 janvier 2022 et des relevés bancaires produits que Mme [L] [N] épouse [P] et M. [Y] [P] ont été victimes d’une fraude sur leur compte ouvert auprès de la S.A.S CREDIT LYONNAIS qui a abouti aux virements suivants au bénéfice de deux tiers pour une somme totale de 11900 € selon le détail suivant :

— virement de 6000 € le 06/01/2022 vers un compte “anestis piperapoulos”.

— virement de 5900 € le 09/01/2022 vers un compte “[W] [S]”.

Il sera relevé que Mme [P] a déposé plainte dès le 26 janvier 2022 soit dans les 15 jours de la découverte des virements, eux-mêmes intervenus moins de 5 jours avant. Dans sa plainte, Mme [P] évoque qu’elle a déjà fait opposition auprès de sa banque. Au regard de ces éléments, Mme [P] a bien respecté son obligation d’informer sa banque, sans tarder, des détournements réalisés. Aucune faute à ce titre ne peut lui être opposée.

Les pièces 5 et 6 versée aux débats par la S.A.S CREDIT LYONNAIS justifient que ces opérations ont été authentifiées, dûment enregistrées et comptabilisées sans être affectées d’une déficience technique.

En revanche, il ressort des pièces (pièce 2 demandeurs) au dossier et de la description faite par Mme [L] [N] épouse [P] lors de sa plainte, que le 30 décembre 2022 elle avait tenté de se connecter avec son téléphone samsung à ses comptes de sorte qu’elle ne s’est pas méfiée quand elle a reçu un SMS de sa banque lui indiquant “samsung SM-A5070 (Bouygues télécom) veut s’enregistrer et accéder à vos comptes, pour l’autoriser saisir dans Mes comptes le code 885056". Le tribunal relève que pour que la banque adresse ce SMS à Mme [P], le fraudeur avait préalablement pu formuler cette demande à la banque en se connectant au compte comme le démontre la pièce 9 de la défenderesse. Or, les époux [P] par la copie de l’ensemble des SMS reçus de leur banque depuis le 25 octobre 2021 démontrent que le seul SMS qu’ils ont reçu a été celui de l’enregistrement de l’appareil samsung à 13h29 le 30 décembre 2022 et auquel Mme [P] reconnaît avoir immédiatement répondu (heure conforme à celle enregistrée en pièce 5).

Dans ces conditions, la simple utilisation du système d’authentification forte ne suffit pas à établir une négligence grave de Mme [L] [N] épouse [P]. Le seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés ne présument pas de la négligence grave de Mme [L] [N] épouse [P].

La S.A.S CREDIT LYONNAIS sera condamnée à lui payer le solde non remboursé soit la somme de 5950 € avec intérêts au taux légal à compter du présent jugement. Dans ces conditions, la demande de capitalisation des intérêts sera rejetée.

III- Sur les mesures de fin de jugement

Perdant le procès, la société anonyme CREDIT LYONNAIS sera tenue aux dépens.

Il n’est pas inéquitable de laisser à la charge de la S.A. CREDIT LYONNAIS les frais et honoraires non compris dans les dépens et exposés par Mme [L] [N] épouse [P] et M. [Y] [P] au titre de la présente instance. Elle sera en conséquence condamnée à payer à Mme [L] [N] épouse [P] et M. [Y] [P] la somme de 1700 € en application de l’article 700 du Code de procédure civile.

PAR CES MOTIFS

Le Tribunal statuant publiquement par décision contradictoire et en premier ressort,

Le Tribunal, statuant publiquement, par jugement contradictoire et rendu en premier ressort,

Condamne la S.A. CREDIT LYONNAIS à payer à Mme [L] [N] épouse [P] et M. [Y] [P] la somme de 5.950,00 € (CINQ MILLE NEUF CENT CINQUANTE EUROS)augmentée des intérêts au taux légal à compter du présent jugement ;

Rejette la demande de capitalisation des intérêts ;

Condamne la S.A. CREDIT LYONNAIS aux dépens ;

Condamne la S.A. CREDIT LYONNAIS à payer à Mme [L] [N] épouse [P] et M. [Y] [P] la somme de 1.700,00 € (MILLE SEPT CENTS EUROS) en application de l’article 700 du Code de procédure civile.

Ainsi jugé par mise à disposition de la décision au greffe.

LE GREFFIER,

Signé V. AUGIS

LE PRÉSIDENT,

Signé C. BELOUARD