MINUTE N° : 24/00441

JUGEMENT

DU 12 Mars 2025

N° RG 24/00621 – N° Portalis DBYF-W-B7I-JDSW

[S] [Z]

ET :

S.A. BOURSORAMA

GROSSE + COPIE le

à

COPIE le

à

TRIBUNAL JUDICIAIRE

DE [Localité 13]

Au siège du Tribunal, [Adresse 3] à TOURS,

COMPOSITION DU TRIBUNAL LORS DES DÉBATS ET DU DÉLIBÉRÉ :

PRÉSIDENT : C. BELOUARD, Vice-Président du Tribunal judiciaire de TOURS,

GREFFIER : V. AUGIS

DÉBATS :

A l’audience publique du 18 décembre 2024

DÉCISION :

Annoncée pour le 26 FEVRIER 2025 puis prorogée au 12 MARS 2025 par mise à la disposition au Greffe de ce Tribunal, les parties en ayant été préalablement avisées dans les conditions prévues au deuxième alinéa de l’article 450 du Code de Procédure Civile.

ENTRE :

DEMANDERESSE

Madame [S] [Z]

née le [Date naissance 5] 1958 à [Localité 8], demeurant [Adresse 7]

Non comparante, représentée par M^e RAGOT substituant M^e RAGOT substituant M^e MORENO de la SCP CRUANES-DUNEIGRE, THIRY ET MORENO, avocats au barreau de TOURS – 18#

D’une part ;

DEFENDERESSE

S.A. BOURSORAMA, immatriculée au RCS de [Localité 12] N° 351 058 151 prise en la personne de son représentant légal domicilié en cette qualité audit siège situé [Adresse 6]

Représentée par M^e Arnaud-Gilbert RICHARD de la SAS RICHARD ASSOCIES, avocat au barreau de PARIS substitué par M^e MOUTIER de la SELARL SELARL ONE LEGAL, avocats au barreau de TOURS

D’autre part ;

EXPOSE DU LITIGE

Mme [S] [Z] et M. [E] [Z] sont titulaires d’un compte joint de dépôt n°00040314374 ouvert dans les livres de la société BOURSORAMA.

Mme [Z] est également titulaire d’un livret numéro [XXXXXXXXXX010].

Le 13 mai 2023, Mme [S] [Z] a déposé plainte auprès de la gendarmerie de [Localité 11] et dénoncé une fraude bancaire aboutissant à une somme détournée à son préjudice et celui de son époux de 8695 €.

Du 14 au 24 mai 2023, Mme [Z] a échangé avec BOURSORAMA et demandé la restitution des sommes frauduleusement détournées.

La société BOURSORAMA a refusé d’y donner suite, au motif que Mme [Z] aurait commis une négligence grave dans la protection de ses données bancaires.

Face à ce refus d’indemnisation, Mme [Z] a saisi le Médiateur de la fédération bancaire française par courrier en date du 25 mai 2023.

Faute de réponse, c’est dans ce contexte que, par assignation du 14 février 2024, Mme [S] [Z] et M. [E] [Z] ont donné assignation à la société anonyme BOURSORAMA devant le tribunal judiciaire de Tours aux fins de remboursement notamment des sommes détournées selon eux.

L’affaire a fait l’objet de plusieurs renvois à la demande des parties.

A l’audience du 18 décembre 2024, Mme [S] [Z] et M. [E] [Z], représentés par leur conseil, demandent au tribunal, au visa des articles L. 133-3, L. 133-6, L. 133-7, L. 133-8, L. 133-18, L. 133-22, L. 133- 23, L. 133-24 du Code monétaire et financier, des articles 1231 et suivants du Code civil, de l’article 2 de l’arrêté du 29 juillet 2009, de l’article 32 du règlement européen 201 6/679, de :

À titre principal,

JUGER que l’opération de paiement en date du 10/05/2023 est une opération non autorisée et qu’il n’existe aucune négligence grave de la part des époux [Z],En conséquence,

CONDAMNER la société BOURSORAMA à payer à Madame [S] [Z] et Monsieur [E] [Z] la somme de 8.695 €, augmentée des intérêts au taux légal majoré de 5 points du 14 mai 2023 au 21 mai 2023, de 10 points du 22 mai 2023 au 21 juin 2023 et de 15 points du 22 mai 2023 jusqu’au complet paiement ;

À titre subsidiaire,

JUGER que l’opération de paiement en date du 10/05/2023 est mal exécutée ;En conséquence,

CONDAMNER la société BOURSORAMA à payer à Madame [S] [Z] et Monsieur [E] [Z] la somme de 8.695 € ;

À titre très subsidiaire,

JUGER que la société BOURSORAMA a manqué à ses obligations contractuelles ;En conséquence,

CONDAMNER la société BOURSORAMA à indemniser Madame [S] [Z] et Monsieur [E] [Z] de leur préjudice, pour la somme de 8.695 € ;

A titre infiniment subsidiaire,

JUGER que la société BOURSORAMA a manqué à ses obligations contractuelles en ne procédant pas au rappel des fonds ;En conséquence,

CONDAMNER la société BOURSORAMA à indemniser Madame [S] [Z] et Monsieur [E] [Z] du préjudice attaché à leur perte de chance, pour la somme de 8.260,25 € ;

En tout état de cause,

DÉBOUTER la société BOURSORAMA de toutes ses prétentions, fins et conclusions ;CONDAMNER la société BOURSORAMA à payer à Madame [S] [Z] la somme de 3.000 € en application de l’article 700 du Code de procédure civile ;CONDAMNER la société BOURSORAÀMA aux entiers dépens ;

Ils expliquent avoir été victimes d’une fraude bancaire ; que le 10 mai 2023, M. [Z] a été appelé par une personne se présentant comme [B] [I], conseillère BOURSORAMA sur le numéro du service client de BOURSORAMA ; qu’étant occupé, il a confié son téléphone à son épouse ; que la prétendue conseillère BOURSORAMA a fait croire à Mme [Z] qu’une somme de 768€ avait été détournée depuis le compte joint des époux, et s’est proposée d’annuler le virement.

Ils précisent que par la suite, cette personne a suggéré à Mme [Z] de virer les fonds présents sur le compte n°000403 14374 et sur le livret [XXXXXXXXXX09] vers un compte sécurisé numéroté FR764061 8803 771000440275720459 afin d’éviter que ce genre de désagrément ne se reproduise ; que Mme [Z] s’est exécutée en suivant les indications de “[B] [I]” et, depuis son téléphone Galaxy S[Immatriculation 4], a viré d’abord la totalité des sommes présentes sur son livret vers le compte joint puis le solde de ce demier compte, soit la somme de 8.695 €, vers le compte soit-disant sécurisé numéroté FR76406l 8803 77100044[XXXXXXXX02] ; que l’opération terminée, la fraudeuse a indiqué à Madame [Z] que le compte sécurisé serait activé dans les 96 heures. Ils expliquent que dès le lendemain, Mme [Z], ne voyant pas apparaître sur son application bancaire ce nouveau compte sécurisé, a contacté la société BOURSORAMA par courriel et signalé immédiatement son inquiétude.

Ils soutiennent que leur action est recevable. Ils rappellent que le principe de l’estoppel est une fin de non-recevoir d’origine prétorienne qui tend à sanctionner d’irrecevabilité une demande qui entrerait en contradiction avec une demande antérieure ; que le simple changement de fondement juridique à l’appui des demandes ne saurait s’analyser comme un estoppel ; que ce changement de fondement n’a pas induit la société BOURSORAMA en erreur sur les intentions des concluants qui ont toujours eu le même objectif à savoir obtenir le remboursement des sommes détournées.

A titre principal, ils soutiennent que le virement frauduleux n’a pas été autorisé par Mme [Z] ; qu’ils ne leur appartiennent pas de démontrer la fraude, c’est à la société BOURSORAMA de démontrer que celle-ci n’a jamais existé ; que l’action civile peut prospérer indépendamment des suites données à la plainte déposée ; qu’au contraire, ils justifient de la preuve d’un appel depuis le téléphone de BOURSORAMA par les fraudeurs, de l’enrôlement d’un téléphone inconnu sur le compte bancaire des époux [Z] depuis une adresse IP inconnue, et d’un destinataire du virement inconnu d’eux.

Ils soulignent que depuis la mise en place du système d’authentification forte, les fraudeurs ont modifié leurs pratiques et ont désormais recours à des techniques d”usurpation d’identité et de manipulation, incitant les victimes à réaliser directement les virements litigieux ; que c’est pour cette raison que la Commission européenne a proposé l’adoption d’un règlement européen (2023/0210/COD) modifiant le règlement 1093/2010 pour tenir compte du spoofing ; que d’ailleurs le droit positif a déjà pris en compte l’évolution de la pratique des fraudeurs, considérant qu’une opération initiée par la victime de la fraude, sur sollicitations du fraudeur, pouvait être qualifiée d’opération non autorisée.

Ils relèvent que la lecture attentive du relevé des authentifications permet de constater que le soir de la fraude, un appareil jamais identifié, de type iphone, s’est connecté à leur compte bancaire depuis une adresse IP jamais identifiée par la banque ; qu’en plus de se connecter à leur compte, le fraudeur a réussi à enrôler son téléphone sur le compte des époux [Z].Ils rappellent que Mme [Z] n’avait aucune raison de soupçonner la fraude puisqu’elle était appelée par le numéro du service client de BOURSORAMA.

Ils contestent l’existence d’une négligence grave de Mme [Z] dans un contexte de spoofing ; que cette dernière a été contactée par une personne se faisant passer pour un conseiller bancaire, lui faisant croire qu’elle avait été victime d’un virement frauduleux, ce qui explique que, dans la précipitation et pensant être en relation avec un tiers de confiance, elle ait permis au fraudeur de réaliser l’opération litigieuse ; qu’elle ne pouvait soupçonner la fraude puisque le faux conseiller bancaire possédait des informations personnelles et confidentielles sur elle et sur son compte bancaire, s’ exprimait dans un français parfait.

Ils soulignent que Mme [Z] a été diligente, ayant informé dès le lendemain sa banque de cette opération et ayant déposé plainte trois jours après l’opération frauduleuse.

A titre subsidiaire, ils font valoir que si par impossible le tribunal considérait que l’opération frauduleuse a initialement été autorisée par Mme [Z] :

— dès le lendemain de l’opération, Mme [Z] a retiré son consentement conformément à l’article L 133-7 et L133-8 du Code monétaire et financier, des conditions générales et de l’article 2 de l’arrêté du 29 juillet 2009.

Ils expliquent que Mme [Z] a été victime de la fraude le 10 mai 2023 et l’ordre de paiement frauduleux a été passé à 19h21, soit après l’heure limite fixée pour effectuer un ordre de virement ; qu’il était donc loisible pour Mme [Z], conformément à l’article 4 du B des conditions générales de BOURSORAMA, de révoquer son ordre de virement le 11 mai 2023 ; qu’or, la société BOURSORAMA reconnaît que l’ordre de virement a été exécutéimmédiatement, soit le 10 mai à 19h21, empêchant ainsi Mme [Z] de retirer son consentement lorsqu’elle a adressé le courriel mentionnant explicitement le terme « fraude ».

— que cette opération a été mal exécutée en application de l’article L. 133-22 du Code monétaire et financier et des conditions générales puisque Mme [Z] a réalisé le virement depuis son compte personnel, mais n’a pas rempli la case motif au moment du virement.

A titre encore plus subsidiaire, toujours et seulement si le tribunal devait considérer que l’opération frauduleuse a été autorisée par Mme [Z], ils exposent que la société BOURSORAMA a manqué à son devoir de vigilance qui lui imposait de relever les anomalies apparentes, matérielles ou intellectuelles

Ils soulignent des lors que le fait générateur de la demande indemnitaire présentée par la victime n’est pas une opération non autorisée, la demande de remboursement peut être fondée sur le régime général de la responsabilité ; qu’en l’espèce, le virement effectué par Mme [Z] est entaché d’une anomalie intellectuelle; qu’en effet, jusqu’à la date de la fraude dont ils ont été victimes, ils n’avaient jamais complètement vidé leur livret et leur compte joint. Ils ajoutent que la société BOURSORAMA avait la possibilité d’identifier ce destinataire puisque le compte bénéficiaire était ouvert dans les livres de la société BOURSORAMA et il existait une discordance entre la dénomination rentrée par Madame [Z] « lsf » et la véritable identité du teneur de compte destinataire ; qu’enfin, le relevé des opérations d’authentification forte communiqué par BOURSORAMA permet de constater que plusieurs alertes internes ont été émises, sans que cela n’entrave en rien le virement litigieux.

Ils soulèvent le fait que la société BOURSORAMA n’a pas protégé suffisamment leurs données ; que la fraude dont ils ont été victimes n’a été permise qu’en raison de l’échec de la société BOURSORAMA dans la protection de leurs données ; que le fraudeur avait en sa possession des informations personnelles sur eux qui ne peut résulter que de la fuite des données : le fraudeur connaissait l’identité des époux [Z] et savait que ceux-ci étaient clients auprès de la société BOURSORAMA ; que le farudeur avait encore accès aux données de sécurité personnalisée au sens de l’article L. 133-4 du Code monétaire et financier puisqu’il a pu se connecter sur le compte de ces demiers en utilisant l’identifiant et le mot de passe du compte.

A titre infiniment subsidiaire, ils exposent enfin qu’en ne procédant pas au rappel des fonds détournés, la banque a manqué à ses obligations en application de l’article L133-21 du Code monétaire et financier ; que la Banque BOURSORAMA en ne tentant pas de rappeler les sommes détournées leur a fait perdre une chance de récupérer les sommes détournées.

En réponse,la société anonyme BOURSORAMA, représentée par son conseil, au visa des articles 4, 9, du Code de procédure civile, du principe de l’Estoppel,du régime spécifique de responsabilité découlant des articles L. 133-18 et suivants du Code monétaire et financier, des articles L.133-1 et suivants du Code monétaire et financier, et notamment, L.133-6, L. 133-7 , L. 133-8, L. 133-23 et L. 133-19 IV du même Code, des articles 1101, 1103 et 1104 du Code civil et les stipulations contractuelles des conditions générales applicables,demande au tribunal de :

PRONONCER l’irrecevabilité du fondement nouvellement invoqué par Madame et Monsieur [Z] de la responsabilité civile contractuelle de BOURSORAMA au visa de l’article 1231-1 du Code civil,DEBOUTER au fond Mme et M. [Z] de toutes leurs prétentions, fins et conclusions, mal fondées,CONDAMNER Mme et M.[Z] à régler la somme de 2.000 euros à BOURSORAMA sur le fondement de l’article 700 du Code de procédure civile, ainsi qu’aux entiers dépens du procés qui seront recouvrés directement par Maître Arnaud-Gilbert RICHARD sur le fondement de l’article 699 du Code de procédure civile.

Sur la recevabilité de l’action, à titre liminaire, elle oppose le principe de l’Estoppel, faisant valoir que les époux [Z] se sont contredit à son préjudice au cours des quatre jeux de conclusions échangés ; la difficulté ne réside pas dans le changement de fondement juridique mais dans le fait d’avoir expressément reconnu dans des écrits judiciaires n’avoir aucun grief contre BOURSORAMA sur le plan contractuel pour justifier la responsabilité civile délictuelle de la concluante, pour, en définitive, à la veille des plaidoiries, reprendre toutes les prétentions et griefs au visa de l’article 1231-1 du Code civil, ce qui est en totale contradiction.

Elle affirme ensuite que les époux [Z] ne sont pas davantage fondés à invoquer à titre subsidiaire le régime général de la responsabilité civile dès lors qu’iIs invoquent à titre principal le régime spécial de responsabilité légal spécifique aux prestataires de services de paiement puisque :

— en droit positif, un demandeur ne peut réclamer des dommages et intérêts pour un même fait générateur en invoquant le régime general de la responsabilité civile (contractuelle ou délictuelle) lorsqu’il invoque à titre principal le régime spécial de responsabilité du prestataire de services de paiement édicté par les articles L.133-18 à L.133-24 du Code monétaire et financier.

— que dès lors que les époux [Z] invoquent ne pas être les auteurs des paiements litigieux, ils sont infondés à invoquer à titre subsidiaire une indemnisation au titre du régime général de la responsabilité civile contractuelle à l’encontre de la concluante.

Sur le fond, elle fait valoir que l’article L.133-18 du Code monétaire et financier, pour être applicable, implique d’abord comme condition préalable une opération non autorisée. C’est pourquoi, elle soutient que les époux [Z] ont la charge de la preuve de la fraude pour justifier d’une opération de paiement «non autorisée ››, la simple usurpation de la qualité de conseiller de Boursorama par téléphone ou par internet n’a pas pour conséquence d’engager automatiquement sa responsabilité alors qu’elle démontre avoir multiplié contractuellement les avertissements, mises en garde notamment sur le risque d’appel de faux conseillers.

A défaut pour les époux [Z] d’étabIir cette escroquerie et la fraude en résultant en amont, elle fait valoir que les demandeurs ne rapportent pas la preuve du préjudice subi, et du lien avec les faits reprochés à la concluante au titre d’un manquement à l’obligation de vigilance pour cette opération de paiement par virement litigieuse.

Elle ajoute qu’il ne saurait dans cette hypothèse, être reproché à la concluante lorsque le virement a été initié par ses soins de ne pas avoir réagi au vu de prétendues anomalies révélatrices d’une fraude en réalité non rapportée et inexistante.

Sur le moyen principal des demandeurs, elle soutient au visa de l’article L.133-18 du Code monétaire et financier que l’opération de virement a été parfaitement exécutée ; qu’il apparait expressément sur les relevés de compte le libellé “VIR Virement de [S] [Z]” qui a été librement choisi par Mme [Z] alors qu’elle avait accepté imprudemment d’entrer les seules données chiffrées de l’IBAN qui lui étaient dictées par son interlocuteur inconnu au téléphone ; que Mme [Z] n’a pas demandé un RIB officiel de Banque pour vérifier tout aussi prudemment le nom du titulaire réel du compte de destination.

Elle oppose en premier lieu le fait que Mme [Z] a autorisé l’opération litigieuse et précise à ce titre que la simple proposition par la Commission Européenne d’un nouvel article 59 évoquée par les époux [Z] n’est pas d’application dans le droit interne français. Elle souligne que la naïveté ou la bonne foi ne sont pas des causes d’exonération de la responsabilité de la victime, d’autant que les époux [Z] étaient clairement avertis des risques d’appel de faux conseillers et de spoofing.

Elle relève que les demandeurs ont expressément reconnu que c’était Mme [Z] qui avait initié elle-même les diverses opérations de virement, tant au crédit du compte joint,qu’au débit ;que Mme [Z] ne peut donc se prévaloir d’une opération non autorisée dès lors qu’elle reconnait expressément avoir personnellement rentré sur son portable, sur son espace sécurisé à l’aide de son identifiant et de son code confidentiel un IBAN d’un inconnu ; qu’elle a ensuite consenti à ce virement ; que pour les besoins de ce virement, Mme [Z] avait préalablement initié un virement interne de compte à compte à partir de son compte sur livret de 7.000 €, sans contestation de sa part, et qui a été également consenti, pour permettre d’émettre le virement litigieux sortant.

Elle ajoute que Mme [Z] a été informée le 10 mai 2023 à 19h04 de la connexion d’un «nouvel appareil sur une nouvelle IP », un « Apple iPhone ›› dont la méthode d’accès est « Web – Mobile Safari ››, nouvel appareil pour laquelle elle a reçu une notification pour demande d’authentification forte au sens de la DSP2 sur son appareil téléphone portable habituel ; que Mme [Z] a validé cette opération par authentification forte et donc l’ajout de ce nouvel appareil iPhone qu’eIIe a autorisé à 19h06. Elle a également reçu notification de cette opération sans autre contestation de sa part ; qu’en outre, toutes les connexions et validation des opérations de paiement ultérieures ont été faites par Mme [Z] à partir de son appareil habituel Samsung SM-G780F; que l’ensemble de ces opérations a donc été initié pendant que Mme [Z] était en communication téléphonique avec son interlocutrice. Elles n’ont donc pas été initiées à son insu.

Elle fait valoir dans ce contexte que les relations qui se sont établies entre les demandeurs et le prétendu conseiller sont sans influence sur le consentement donné par le donneur d’ordres aux opérations de paiement.

Si l’opération devait être considérée comme non autorisée, elle oppose la négligence grave de Mme [Z] . Elle souligne qu’auregard des stipulations des conditions générales par lesquelles ils étaient clairement avertis et mis en garde sur les risques de faux conseillers et de SPOOFING, le consentement des époux [Z] n’a pu être surpris ; que Madame [Z], qui est contactée par une inconnue sur son portable le 10 mai 2023 à partir d’un numéro qui usurpe celui du service client de BOURSORAMA (spoofing), et qui se prétend salarié de BOURSORAMA, n’ignorait cependant pas l’avertissement des conditions générales selon lequel BOURSORAMA, qui est une banque digitale (espace sécurisé dédié), n’appelle jamais ses clients et ne leur demande jamais de faire une opération en ligne.

Elle affirme que Mme [Z] ne se s’est pas comportée comme l’aurait fait toute personne normalement diligente et prudente placée dans les mêmes circonstances, et elle a ainsi accepté une prise de risque déraisonnable, participant à la pleine réalisation du préjudice.

Sur les moyens subsidiaires des demandeurs, elle rappelle qu’en tant que banquier elle est soumise au principe de non-immixtion et doit seulement procéder à des vérifications pour détecter des anomalies intellectuelles ou apparentes ou des irrégularités manifestes. Elle affirme que les diverses opérations de paiement ont été dument enregistrées, comptabilisés et validées par authentification forte; que le fait que ces opérations aient été enregistrées informatiquement démontre que le système informatique de la banque n’était pas défaillant.

Enfin, le journal des connexions démontre encore que Madame [Z] a reçu toutes les notifications (pushnotifications) sur son portable de la part de BOURSORAMA à chacune de ces opérations de paiement, et ce, sans alors aucune réaction ou contestation de sa part. Madame [Z] pouvait pourtant encore appeler le service client de la banque dès 19h00.

Elle indique ensuite en aplication de l’article L133-18 du Code monétaire que si l’opération de paiement a été autorisée par le titulaire du compte, le consentement à l’opération ayant été donné par le titulaire du compte au sens de l’article L.133-6 du même Code, cette opération est irrévocable en vertu de la loi au visa de l’article L.133-8 du Code monétaire et financier ; que la date et l’heure du paiement sont celle de l’ordre, immédiatement exécuté. Elle affirme dès lors que Mme [Z] ne pouvait révoquer l’ordre de paiement puisque celui-ci était devenu irrévocable.

Elle précise au surplus qu’aucune demande expresse de révocation de l’ordre de paiement n’a été formulée clairement par Mme [Z] le 11 mai 2023 ; que par ailleurs, l’ordre de paiement a été initié le mercredi 10 mai 2024 et il a été traité le jour de sa réception ; qu’ainsi, la date d’opération et la date de valeur étaient la même, celle du 10 mai 2023 non celle du lendemain ; que dans ces conditions la révocation alléguée le 11 mai était donc tardive.

Elle oppose le fait qu’ayant en outre reçu toutes les notifications de cette opération particulière en temps réel, il lui appartenait de le faire avec diligence dès la réception des messages d’alerte de BOURSORAMA le 10 mai 2023.

Elle soutient que les demandeurs ne rapportent aucun manquement fautif de BOURSORAMA à son obligation générale de vigilance, et ne caractérisent aucune anomalie apparente matérielle ou intellectuelle dans l’ordre de virement litigieux ; qu’il ne lui incombe pas de vérifier une quelconque concordance avec les autres éléments apposés sur le relevé d’identité bancaire alors que le virement a été initié à partir d’un lBAN dont Madame [Z] a personnellement rentré les données en ligne sur son application.

Enfin, elle soutient que la fuite des données personnelles appartenant à Mme [Z] par un probable « vishing ››en amont ou à l’occasion de l’appel téléphonique ne sont pas de son fait.

La décision a été mise en délibéré au 26 février 2025 et prorogée au 12 mars 2025 en raison d’une surcharge de travail du magistrat (poursuite du soutien au service des juge des libertés et de la détention en sous-effectif depuis novembre 2024).

MOTIFS DE LA DECISION

I- Sur la fin de non recevoir tirée du principe de l’Estoppel

En droit positif, la seule circonstance qu’une partie se contredise au détriment d’autrui n’emporte pas nécessairement fin de non-recevoir. En droit positif, hors relations commerciales internationales, l’irrecevabilité pour ce motif porte essentiellementsur l’existence de prétentions contradictoires qui priverait leur auteur de son intérêt à agir ou permettrait de conclure au caractère illégitime de cet intérêt.

En l’espèce, la prétention des époux [Z] a toujours été la même à savoir obtenir le remboursement de la somme détournée de leur compte. Le fait que les fondements juridiques aient changé au cours de la mise en état de ce dossier n’a eu aucune conséquence sur l’intérêt à agir de leur auteur ou n’a nullement rendu illégitime cet intérêt à agir.

Par ailleurs, le fait qu’à titre subsidiaire, les époux [Z] développent un autre fondement juridique au soutien de leur demande de remboursement dans le seul cas où le Tribunal retiendrait que l’opération a été autorisée par Mme [Z] n’est pas contradictoire au regard du débat sur justement le caractère autorisé ou non de l’opération litigieuse.

Au regard de ces éléments, l’action des époux [Z] sera déclarée recevable.

II- Sur le droit français applicable découlant de la transposition de la Directive européenne du 25 novembre 2015 concernant les services de paiement dans le marché intérieur

Les articles L133-1 et suivant du Code monétaire et financier dans leur rédaction actuelle, découlent de la transposition de directives européennes et plus particulièrement de celle numéro 2015/2366 du 25 novembre 2015 concernant les services de paiement dans le marché intérieur.

1- Sur les définitions

L’article L133-3 du Code monétaire financier définit ainsi une opération de paiement comme une action consistant à verser, transférer ou retirer des fonds.

L’article L 133-4 précise notamment qu’une authentification s’entend d’une procédure permettant au prestataire de services de paiement de vérifier l’identité d’un utilisateur de services de paiement ou la validité de l’utilisation d’un instrument de paiement spécifique, y compris l’utilisation des données de sécurité personnalisées de l’utilisateur. Une authentification forte du client s’entend “d’une authentification reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories « connaissance » (quelque chose que seul l’utilisateur connaît), « possession » (quelque chose que seul l’utilisateur possède) et « inhérence » (quelque chose que l’utilisateur est) et indépendants en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d’authentification”.

Ne doivent ainsi pas être confondus l’authentification (forme de l’ordre de paiement), qui peut être forte, et l’autorisation que la banque fait automatiquement découler d’une authentification (L133-6 et L133-7 du Code monétaire).

L’article L133-6 I précise qu’une opération de paiement est autorisée si le payeur a donné son consentement à son exécution.

2- Sur la philosophie de la directive transposée

Dans ses motifs la directive du 25 novembre 2015, modifiant les directives 2002/65/CE, 2009/110/CE et 2013/36/UE et le règlement (UE) n 1093/2010, et abrogeant la directive 2007/64/CE énonçait notamment :

“(…)

(7) Ces dernières années ont vu croître les risques de sécurité liés aux paiements électroniques. Cela s’explique par la complexité technique croissante de ces paiements, leurs volumes toujours croissants à l’échelle mondiale et l’émergence de nouveaux types de services de paiement. La sûreté et la sécurité des services de paiement sont vitales au bon fonctionnement du marché des services de paiement. Il convient dès lors de protéger de manière adéquate les utilisateurs contre ces risques. Les services de paiement sont essentiels au fonctionnement d’activités économiques et sociales vitales.

(70) En cas d’opération de paiement non autorisée, le prestataire de services de paiement devrait immédiatement rembourser le montant de cette opération au payeur. Toutefois, s’il existe une forte présomption qu’une opération non autorisée résulte d’un comportement frauduleux de l’utilisateur de services de paiement et lorsque cette présomption repose sur des raisons objectives qui sont communiquées à l’autorité nationale concernée, le prestataire de services de paiement devrait être en mesure de mener une enquête dans un délai raisonnable avant de rembourser le payeur. Afin de protéger le payeur contre tout préjudice, la date de valeur du remboursement ne devrait pas être postérieure à la date à laquelle le montant a été débité. Afin d’inciter l’utilisateur de services de paiement à signaler sans retard injustifié au prestataire de services de paiement le vol ou la perte d’un instrument de paiement et de limiter ainsi le risque d’opérations de paiement non autorisées, la responsabilité de l’utilisateur ne devrait être engagée, sauf agissement frauduleux ou négligence grave de sa part, qu’à concurrence d’un montant très limité. Dans ce contexte, un montant de 50 EUR semble adéquat pour garantir un niveau élevé et harmonisé de protection des utilisateurs dans l’Union. La responsabilité du payeur ne devrait pas être engagée lorsque celui-ci n’est pas en mesure de prendre conscience de la perte, du vol ou du détournement de l’instrument de paiement. En outre, une fois qu’il a informé le prestataire de services de paiement du risque d’utilisation frauduleuse de son instrument de paiement, l’utilisateur de services de paiement ne devrait pas être tenu de couvrir toute autre perte pouvant résulter de cette utilisation frauduleuse. La présente directive devrait être sans préjudice de la responsabilité des prestataires de services de paiement en matière de sécurité technique de leurs produits.

(72) Afin d’évaluer l’éventualité d’une négligence ou d’une négligence grave de la part de l’utilisateur de services de paiement, il convient de tenir compte de toutes les circonstances. Les preuves et le degré de négligence alléguée devraient en général être évalués conformément au droit national. Toutefois, si la négligence implique un manquement au devoir de diligence, la négligence grave devrait impliquer plus que de la simple négligence et comporter un défaut de vigilance caractérisé, comme le serait le fait de conserver les données utilisées pour autoriser une opération de paiement à côté de l’instrument de paiement, sous une forme aisément accessible et reconnaissable par des tiers. Les clauses et conditions contractuelles concernant la fourniture et l’utilisation d’un instrument de paiement qui auraient pour effet d’alourdir la charge de la preuve incombant au consommateur ou d’alléger la charge de la preuve imposée à l’émetteur devraient être considérées comme nulles et non avenues. En outre, dans des situations spécifiques et en particulier lorsque l’instrument de paiement n’est pas présent au point de vente, par exemple dans le cas de paiements en ligne, il convient que le prestataire de services de paiement soit tenu d’apporter la preuve de la négligence alléguée, le payeur n’ayant, dans ce cas, que des moyens limités de le faire.

(73) Il y a lieu de prévoir la répartition des pertes en cas d’opérations de paiement non autorisées. Des dispositions différentes peuvent s’appliquer à des utilisateurs de services de paiement qui ne sont pas des consommateurs, de tels utilisateurs étant généralement plus à même d’apprécier le risque de fraude et de prendre des mesures compensatoires. Afin de garantir un niveau élevé de protection des consommateurs, le payeur devrait toujours être en droit d’adresser sa demande de remboursement à son prestataire de services de paiement gestionnaire du compte, même lorsqu’un prestataire de services d’initiation de paiement intervient dans l’opération de paiement.

Cette disposition est sans préjudice de la répartition des responsabilités entre les prestataires de services de paiement (…)”.

La philosophie du droit européen transposée en droit français a ainsi été d’offrir toutes les garanties et les protections à l’utilisateur – consommateur afin qu’il accepte de recourir aux paiements en ligne en dépit des risques de piratages informatiques et de fraudes. C’est pourquoi, au regard de ces textes, le législateur a choisi de faire porter essentiellement le risque des fraudes sur les prestataires de services à savoir les banques.

L’utilisateur d’instrument de paiement doit certes veiller à préserver la sécurité de ses données et informer sans délai sa banque en cas d’utilisation non autorisées de son instrument de paiement :

— L’article L133-16 du Code monétaire et financier énonce en effet : “Dès qu’il reçoit un instrument de paiement, l’utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées.

Il utilise l’instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation qui doivent être objectives, non discriminatoires et proportionnées”.

— L’article L133-17 I précise que “Lorsqu’il a connaissance de la perte, du vol, du détournement ou de toute utilisation non autorisée de son instrument de paiement ou des données qui lui sont liées, l’utilisateur de services de paiement en informe sans tarder, aux fins de blocage de l’instrument, son prestataire ou l’entité désignée par celui-ci”.

L’article L133-18 alinéa 1 du Code monétaire et financier pose toutefois ensuite le principe de garantie de la banque, en ce que ce prestataire de service est tenu par principe du risque d’une opération non autorisée : “En cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L. 133-24, le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement et s’il communique ces raisons par écrit à la Banque de France. Le cas échéant, le prestataire de services de paiement du payeur rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu”.

3- Sur les limites à la garantie de remboursement des opérations frauduleuses réalisées par un tiers

L’article L133-19 du Code monétaire et financier précise les conditions où une faute de l’utilisateur peut être retenue pour exclure ou non cette garantie :

“I. – En cas d’opération de paiement non autorisée consécutive à la perte ou au vol de l’instrument de paiement, le payeur supporte, avant l’information prévue à l’article L. 133-17, les pertes liées à l’utilisation de cet instrument, dans la limite d’un plafond de 50 €.

Toutefois, la responsabilité du payeur n’est pas engagée en cas :

– d’opération de paiement non autorisée effectuée sans utilisation des données de sécurité personnalisées ;

– de perte ou de vol d’un instrument de paiement ne pouvant être détecté par le payeur avant le paiement ;

– de perte due à des actes ou à une carence d’un salarié, d’un agent ou d’une succursale d’un prestataire de services de paiement ou d’une entité vers laquelle ses activités ont été externalisées.

II. – La responsabilité du payeur n’est pas engagée si l’opération de paiement non autorisée a été effectuée en détournant, à l’insu du payeur, l’instrument de paiement ou les données qui lui sont liées. (…)

IV. – Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17. [non en gras ni souligné dans le texte]

V. – Sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si l’opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement du payeur n’exige une authentification forte du payeur prévue à l’article L. 133-44. [non gras ni souligné dans le texte]

VI. – Lorsque le bénéficiaire ou son prestataire de services de paiement n’accepte pas une authentification forte du payeur prévue à l’article L. 133-44, il rembourse le préjudice financier causé au prestataire de services de paiement du payeur”.

Cet article L133-19 en ses paragraphes IV et V réalise une distinction importante :

si l’opération de paiement non autorisée a été effectuée sans exigence d’authentification forte, la banque supporte par principe les conséquences financières de l’opération en remboursant le payeur sauf si ce dernier a commis une fraude ;

si l’opération de paiement non autorisée a été effectuée avec une exigence d’authentification forte, la banque supporte par principe les conséquences financières de l’opération en remboursant le payeur sauf si ce dernier a commis une fraude ou une négligence grave.

L’opération de paiement non autorisée se définit, par interprétation a contrario de l’article L. 133-6 du code monétaire et financier, comme l’opération effectuée sans le consentement du payeur.

L’article L. 133-23 du code monétaire et financier définit la charge de la preuve non seulement du caractère ou non autorisé de l’opération mais également la charge de la preuve de la fraude ou de la négligence grave de l’utilisateur. Cet article énonce en effet que :

“lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre.

L’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière. Le prestataire de services de paiement, y compris, le cas échéant, le prestataire de services de paiement fournissant un service d’initiation de paiement, fournit des éléments afin de prouver la fraude ou la négligence grave commise par l’utilisateur de services de paiement”.

L’article 133-23 du Code monétaire et financier fait ainsi reposer la charge de la preuve de la régularité de l’opération sur le prestataire de service en précisant qu’il doit établir que cette opération a été authentifiée, dûment enregistrée et comptabilisée sans être affectée d’une déficience technique.

Si et seulement si cette première condition a été prouvée, le prestataire de service doit, pour ne pas être tenu de supporter le risque, démontrer la fraude ou la grave négligence de l’utilisateur. L’utilisation de l’instrument de paiement telle qu’enregistrée ne suffit pas nécessairement pour acter de l’accord du payeur ou de sa négligence.

III- Sur la demande de Mme [S] [Z] et M. [E] [Z] au titre de prélèvements frauduleux subis

Il ressort de la plainte déposée le 13 mai 2023 et des relevés bancaires produits que Mme [S] [Z] et M. [E] [Z] ont été victimes d’une fraude par un tiers le 10 mai 2023 qui a abouti le 10 mai 2023 à un prélèvement de leur compte n°00040314374 ouvert auprès de la société anonyme BOURSORAMA pour une somme totale de 8695 € par virement vers un compte d’un tiers dont le titulaire apparaît être M. [K] [W].

Dès le lendemain, à 20h20, Mme [Z] a alerté le service commercial de la banque BOURSORAMA en demandant à être rappelée de toute urgence. « Suite à une fraude sur mon compte, une conseillère m’a demandé de verser mon argent sur un compte lsf et ce compte n’apparaît nulle part et je suis inquiète ».

Les pièces 2 et 3 versées aux débats par la société anonyme BOURSORAMAjustifient que cette opération a été authentifiée, dûment enregistrée et comptabilisée sans être affectée d’une déficience technique.

Il ressort de la plainte du 13 mai 2023 puis des différents courriers de Mme [Z] que cette dernière a toujours indiqué :

avoir reçu un appel en provenance du numéro de sa banque d’une certaine [B] [I] lui indiquant qu’un prélèvement frauduleux d’une somme de 768 € avait été réalisé depuis le compte joint des époux, et se proposant d’annuler le virement.

qu’elle avait accepté l’annulation de ce virement et la dénommée [B] [I] avait confirmé avoir fait le nécessaire, Mme [Z] précisant avoir reçu un texto confirmatif à ce titre ;

que par la suite, le fraudeur lui avait suggéré de virer les fonds présents sur le compte n°000403 14374 et sur le livret [XXXXXXXXXX09] vers un compte livret de sécuristaion de fonds (lsf) numéroté FR764061 8803 771000440275720459.

que dans l’urgence, elle s’était exécutée et, depuis son téléphone Galaxy S[Immatriculation 4], avait d’abord viré la totalité des sommes présentes sur le livret [XXXXXXXXXX09] vers le compte joint 0[XXXXXXXX01], puis le solde de ce demier compte, soit la somme de 8.695 €, vers le compte “sécurisé” numéroté FR76406l 8803 77100044[XXXXXXXX02].

La pièce 6 des demandeurs justifie qu’ils ont bien été victimes de la technique du “spoofing” qui consiste à ce qu’un tiers “déguise une communication provenant d’une source inconnue en une communication provenant d’une source connue et fiable”. Ils ont en effet été appelés à 18h54 pendant 35 min et 11 s puis 19h30 pendant 3 minutes sur un numéro s’affichant comme étant celui de BOURSORAMA SERVICE CLIENT 01 46 09 49 49".

Mme [Z] a toujours reconnu avoir enregistré un IBAN et réalisé un virement vers ce compte mais jamais évoqué avoir enregistré un nouvel appareil. Or l’examen des pièces 2 et 3 laissent apparaître qu’un nouvel appareil sur une nouvelle IP Apple IPHONE via le web mobile safari s’est enregistré à 19h04s48 et 19h06h28 soit bien avant que Mme [Z] n’enregistre le nouvel IBAN à 19h19 et procède au virement vers celui-ci à 19h21.

S’il ressort des déclarations effectuées par Mme [Z] qu’elle a validé le virement litigieux en ajoutant un IBAN en procédant au virement en validant la notification reçue sur son smartphone à l’aide de son code secret personnel, il peut être relevé qu’elle croyait être en relation avec une salariée de la Banque BOURSORAMA, le numéro d’appel de son interlocutrice apparaissant comme étant celui celui du service client BOURSORAMA. Le mode opératoire, par l’utilisation du “spoofing”, soit littéralement une usurpation d’identité, a mis Mme [Z] en confiance et a diminué sa vigilance, étant observé que face à un appel téléphonique évoquant de surcroît un piratage, la vigilance de la personne qui reçoit cet appel est moindre que celle d’une personne qui réceptionne un courriel, laquelle dispose de davantage de temps pour en prendre connaissance et s’apercevoir d’éventuelles anomalies révélatrices de son origine frauduleuse.

Le virement de toute leur épargne de leur livret vers un tiers constitue en conséquence une opération de paiement non autorisée puisqu’elle a été effectuée en détournant, à l’insu des payeurs, les données qui leur sont liées. L’opération a en effet été autorisée dans des circonstances telles que l’autorisation accordée par Mme [Z] a reposé sur des prémisses viciées qui compromettent l’intégralité de la permission donnée. En conséquence, la banque doit supporter les conséquences financières de l’opération en remboursant Mme [S] [Z] et M. [E] [Z] sauf si elle démontre une négligence grave de Mme [Z].

La société anonyme BOURSORAMA soutient que Mme [S] [Z] aurait commis une négligence grave. Toutefois, au regard des éléments rappelés ci-dessus, dans le contexte de spoofing subi, avec l’interrogation sur le fait qu’un appareil IPHONE se soit ajouté sans que Mme [Z] évoque une quelconque opération de sa part, il ne saurait être retenu une quelconque négligence grave de sa part.

En effet, la simple utilisation du système d’authentification forte ne suffit pas à établir une négligence grave de Mme [S] [Z] alors qu’elle pouvait légitimement croire qu’elle avait en ligne un conseiller du service fraude de BOURSORAMA et que le fraudeur avait d’ores et déjà accès à des données personnelles telle que son numéro de téléphone et savait que le couple [Z] avaient pour banque la société BOURSORAMA. Par ailleurs, l’introduction d’un téléphone tiers sur le compte des époux [Z] avant les opérations frauduleuses pose réellement la question de la réelle réception par Mme [Z] des messages d’alerte. Les seules pièces produites par BOURSORAMA (pièces 2 et 3) non étayées par une pièce d’un tiers ne sont pas suffisantes à le démontrer.

En conséquence, la société BOURSORAMA, échouant à démontrer une négligence grave de Mme [S] [Z], sera tenue de rembourser la somme de 8695 € frauduleusement prélevée sur le compte des époux [Z].

En application de l’article L133-18 du Code monétaire ét financier, “en cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L. 133-24, le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant (…).En cas de manquement du prestataire de services de paiement aux obligations prévues aux deux premiers alinéas du présent article, les pénalités suivantes s’appliquent :

1° Les sommes dues produisent intérêt au taux légal majoré de cinq points ;

2° Au-delà de sept jours de retard, les sommes dues produisent intérêt au taux légal majoré de dix points ;

3° Au-delà de trente jours de retard, les sommes dues produisent intérêt au taux légal majoré de quinze points”.

En l’espèce, la demande en remboursement a été reçue au plus tôt le 14 mai 2023 (pièce 03 demandeurs), de sorte que la somme de 8695 € sera augmentée des intérêts au taux légal :

— majorée de 5 points à compter du 16 mai 2023 (premier jour suivant le premier jour ouvrable),

— puis majorée de 10 points à compter du 23 mai 2023,

— puis majorée de 15 points à compter du 15 juin 2023 jusqu’au complet paiement.

V- Sur les mesures de fin de jugement

Perdant le procès, la société BOURSORAMA sera tenue aux dépens.

Il n’est pas inéquitable de laisser à la charge de la société anonyme BOURSORAMA les frais et honoraires non compris dans les dépens et exposés par Mme [S] [Z] et M. [E] [Z] au titre de la présente instance. Elle sera en conséquence condamnée à payer à Mme [S] [Z] et M. [E] [Z] la somme de 2000 € en application de l’article 700 du Code de procédure civile.

PAR CES MOTIFS

Le Tribunal statuant publiquement par décision contradictoire et en premier ressort,

Le Tribunal, statuant publiquement, par jugement contradictoire et rendu en premier ressort,

Rejette la fin de non recevoir de la société anonyme BOURSORAMA ;

Condamne la société anonyme BOURSORAMA à payer à Mme [S] [Z] et M. [E] [Z] la somme de 8.695,00 € (HUIT MILLE SIX CENT QUATRE-VINGT-QUINZE EUROS) augmentée des intérêts au taux légal :

— majorée de 5 points à compter du 16 mai 2023 ,

— puis majorée de 10 points à compter du 23 mai 2023,

— puis majorée de 15 points à compter du 15 juin 2023 jusqu’au complet paiement.

Condamne la société anonyme BOURSORAMA aux dépens ;

Condamne la société anonyme BOURSORAMA à payer à Mme [S] [Z] et M. [E] [Z] la somme de 2.000,00 € (DEUX MILLE EUROS) en application de l’article 700 du Code de procédure civile.

Ainsi jugé par mise à disposition de la décision au greffe.

LE GREFFIER,

Signé V. AUGIS

LE PRÉSIDENT,

Signé C. BELOUARD