N° Minute :

TRIBUNAL JUDICIAIRE DE TOURS

PREMIERE CHAMBRE

RÉPUBLIQUE FRANÇAISE

AU NOM DU PEUPLE FRANÇAIS

JUGEMENT RENDU LE 01 JUILLET 2025

N° RG 23/03373 – N° Portalis DBYF-W-B7H-I3TE

DEMANDEURS

Monsieur [N] [B] époux [I]

né le [Date naissance 6] 1968 à [Localité 8] (75)

de nationalité Française, demeurant [Adresse 3]

Madame [Z] [I]

née le [Date naissance 5] 1970 à [Localité 7] (52)

de nationalité Française, demeurant [Adresse 2]

Tous les deux représentés par Maître Marc MORIN de la SCP DELHOMMAIS, MORIN, avocats au barreau de TOURS,

DÉFENDERESSE

S.A. BNP PARIBAS

(RCS de [Localité 8] n° 662 042 449), dont le siège social est sis [Adresse 4]

représentée par M^e Imen AKKARI-PUYBARET, avocat au barreau de TOURS, avocat postulant, M^e Dominique PENIN, avocat au barreau de PARIS, avocat plaidant

MAGISTRATS TENANT L’AUDIENCE :

V.GUEDJ, Vice-Présidente et F. DEVOUARD, Magistrat à titre temporaire, chargées du rapport, tenant l’audience en application de l’article 805 du Code de procédure civile, les avocats ne s’y étant pas opposés, en ont rendu compte à la collégialité.

COMPOSITION DU TRIBUNAL LORS DU DÉLIBÉRÉ :

Président : Madame V. ROUSSEAU, Première Vice-Présidente

Assesseur : Madame V.GUEDJ, Vice-Présidente

Assesseur : M^me F. DEVOUARD, Magistrat à titre temporaire

assistées de C. FLAMAND, Greffier, lors des débats et du prononcé du jugement.

DÉBATS :

A l’audience publique du 22 Avril 2025 avec indication que la décision serait rendue par mise à disposition au greffe le 01 Juillet 2025.

EXPOSÉ DU LITIGE :

Le 18 juillet 2022, Monsieur [N] [B] et madame [Z] [I], titulaires de plusieurs comptes bancaires ouverts dans les livres la société BNP PARIBAS, ont été victimes d’une escroquerie.

Ce jour-là, ils ont reçu, depuis un numéro s’affichant comme étant celui de cet établissement bancaire, un sms faisant état d’une activité inhabituelle sur leur compte, puis un appel téléphonique d’une personne se faisant passer pour un membre du service anti fraude de la société BNP PARIBAS.

L’auteur de la fraude a sollicité de Monsieur [N] [B] et de madame [Z] [I] de saisir un code depuis leur application BNP PARIBAS et ont procédé, parallèlement à différents mouvements affectant les comptes de chacun, à des virements depuis le compte-joint du couple et depuis celui de madame [Z] [I], pour un montant total de 18.323,55 euros.

Monsieur [N] [B] et madame [Z] [I] ont tenté le jour même de faire opposition aux opérations frauduleuses en contactant le service anti fraude de la société BNP PARIBAS.

Après dépôt de plainte auprès des services de gendarmerie de [Localité 9] le 20 juillet 2022, les consorts [B]/[I] ont sollicité le remboursement des sommes indûment prélevés sur leur compte auprès de la société BNP PARIBAS.

Par courriers du 21 juillet, du 25 juillet et du 11 août 2022, la société BNP PARIBAS a refusé de procéder au remboursement des fonds, au motif que les virements avaient été effectués au moyen du dispositif d’authentification forte de la clef digitale et qu’ils avaient commis une négligence grave en communicant leurs identifiants et leurs codes d’accès télématique.

Après avoir vainement mis en demeure la société BNP PARIBAS par courrier du 07 mars 2023, les consorts [B]/[I] ont fait assigner la société BNP PARIBAS, par acte de commissaire de justice du 02 août 2023, aux fins d’obtenir le remboursement de la somme de 18.323,55 euros sur le fondement de l’article L.133-18 du Code monétaire et financier.

Aux termes de leurs dernières écritures notifiées par voie électronique le 23 septembre 2024, les consorts [B]/[I] demandent au Tribunal, au visa des articles L133-17 et suivants du Code Monétaire et financier, des articles 1217 et 1231-2 du code civil, de :

— recevoir Monsieur [N] [B] et Madame [Z] [I] en leurs demandes et les y déclarer bien fondées ;

En conséquence,

À titre principal

Sur le fondement des articles L133-17 et suivants du code monétaire et financier

— condamner la S.A. BNP PARIBAS à verser à Madame [Z] [I] et à Monsieur [N] [B] la somme de 9 082.50 euros outre les intérêts légaux majorés de 15 points à compter du 18 août 2022 ;

— condamner la S.A. BNP PARIBAS à verser à Madame [Z] [I] la somme de 9 241.05 euros outre les intérêts légaux majorés de 15 points à compter du 18 août 2022 ;

À titre subsidiaire,

Sur le fondement des articles 1217 et suivants du code civil

— condamner la S.A. BNP PARIBAS à verser à Madame [Z] [I] et à Monsieur [N] [B] la somme de 9 082.50 euros ;

— condamner la S.A. BNP PARIBAS à verser à Madame [Z] [I] la somme de 9 241.05 euros ;

En tout état de cause,

— dire n’y avoir lieu à écarter l’exécution provisoire de la décision à intervenir ;

— condamner la S.A. BNP PARIBAS à verser à Monsieur [B] et à Madame [I] la somme de 4 000 euros au titre de l’article 700 du code de procédure civile ;

— condamner la même aux entiers dépens.

Aux termes de ses dernières écritures notifiées par voie électronique le 21 novembre 2024, la société BNP PARIBAS demande au Tribunal de :

— débouter les consorts [C] de l’intégralité de leurs demandes à toutes fins qu’elles

comportent.

— condamner les consorts [C] à verser à BNP Paribas la somme de 3.500 € au titre

de l’article 700 du Code de procédure civile ainsi qu’aux entiers dépens.

— écarter l’exécution provisoire en faveur de Monsieur et Madame [B].

Le tribunal renvoie aux écritures des parties par application des dispositions de l’article 455 du Code de procédure civile et de l’article 768 du Code de procédure civile pour un exposé plus amplement détaillé de leurs argumentaires, dont l’essentiel sera repris à l’occasion de l’examen des moyens et prétentions qui y sont articulés.

L’ordonnance de clôture a été rendue le 19 novembre 2024 avec effet au 08 avril 2025 et l’affaire a été plaidée à l’audience du 22 avril 2025.

MOTIVATION

1. Sur la demande des consorts [B]/[I] en remboursement des sommes prélevées sur leurs comptes bancaires.

Sur le bien fondé de la demande en remboursement

L’article L133-3 I définit notamment une opération de paiement comme une action consistant à verser, transférer ou retirer des fonds.

L’article L 133-4 e) définit une authentification comme une procédure permettant au prestataire de services de paiement de vérifier l’identité d’un utilisateur de services de paiement ou la validité de l’utilisation d’un instrument de paiement spécifique, y compris l’utilisation des données de sécurité personnalisées de l’utilisateur. L’article L 133-4 f) définit une authentification forte comme « une authentification reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories « connaissance » (quelque chose que seul l’utilisateur connaît),« possession » (quelque chose que seul l’utilisateur possède) et « inhérence » (quelque chose que l’utilisateur est) et indépendants en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d’authentification ».

Ces articles L133-1 et suivants du Code monétaire et financier découlent de la transposition de directives européennes et plus particulièrement de celle n°2015/2366 du 25 novembre 2015 concernant les services de paiement dans le marché intérieur.

Des motifs exprimés par cette directive, notamment aux n° 7, 70 et 72, il résulte que la philosophie du droit européen, transposée en droit français, est d’offrir toutes les garanties et les protections à l’utilisateur-consommateur afin qu’il accepte de recourir aux opérations de paiements en ligne en dépit des risques de piratages informatiques et de fraudes. C’est pourquoi, au regard de ces textes, le législateur a choisi de faire porter essentiellement le risque des fraudes sur les prestataires de services, à savoir les banques.

Si en application notamment des articles L133-16 et L133-17 I, l’utilisateur d’instrument de paiement doit veiller à préserver la sécurité de ses données et informer sans délai sa banque en cas d’utilisation non autorisées de son instrument de paiement, l’article L133-18 alinéa 1 pose que la banque, prestataire de service, est par principe tenue du risque d’une opération non autorisée.

Il dispose, en effet qu’ « en cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L. 133-24, le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement et s’il communique ces raisons par écrit à la Banque de France. Le cas échéant, le prestataire de services de paiement du payeur rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu. [non souligné dans le texte]

L’article L133-19 paragraphes IV. et V. précise les conditions dans lesquelles une faute de l’utilisateur-payeur peut être retenue pour exclure ou non ce remboursement :

IV. – Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17. [non souligné dans le texte]

V. – Sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si l’opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement du payeur n’exige une authentification forte du payeur prévue à l’article L. 133-44.

Ces dispositions opèrent donc une distinction importante :

— si l’opération de paiement non autorisée a été effectuée avec exigence d’authentification forte, la banque supporte les conséquences financières de l’opération en remboursant le payeur, sauf si ce dernier a commis un agissement frauduleux ou une négligence grave ;

— si l’opération de paiement non autorisée a été effectuée sans exigence d’authentification forte, la banque supporte les conséquences financières de l’opération en remboursant le payeur, sauf si ce dernier a commis un agissement frauduleux.

Enfin, la charge de la preuve est précisée par l’article L133-23, lequel énonce que « lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre ».

L’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière. Le prestataire de services de paiement, y compris, le cas échéant, le prestataire de services de paiement fournissant un service d’initiation de paiement, fournit des éléments afin de prouver la fraude ou la négligence grave commise par l’utilisateur de services de paiement ».

Cet article fait ainsi reposer la charge de la preuve de la régularité de l’opération sur le prestataire de service en précisant qu’il doit établir que cette opération a été authentifiée, dûment enregistrée et comptabilisée sans être affectée d’une déficience technique.

Si et seulement si il administre la preuve de l’authentification de l’opération, le prestataire de service doit, pour ne pas être tenu de supporter le risque, démontrer la fraude ou la négligence grave de l’utilisateur. L’utilisation de l’instrument de paiement telle qu’enregistrée ne suffit pas nécessairement pour acter de l’accord du payeur ou de sa négligence.

En l’espèce, il n’est pas discuté que les époux [I] ont été victimes de diverses opérations non autorisées par eux sur leurs comptes bancaires, ayant abouti au débit d’une somme totale de 18.323,55 euros suivant les modalités suivantes :

— le 18/07/2022 sur le compte joint n°30004 01908 00000457134 (compte joint): virement de 9.082,50 € au bénéfice de « YMONEY » ;

— le 18/07/2022 sur le compte n°30004 01908 00000457231 (compte personnel de Mme [Z] [I]) : virement de 9.241,05 € au bénéfice de « YMONEY » ;

La société BNP PARIBAS affirme que ces opérations frauduleuses ont été effectuées par un dispositif d’authentification forte au moyen de la clé digitale et produit, à cet effet, en pièce 1 un document intitulé « traces informatiques des paiements ».

Cette pièce est constituée d’un « copier coller » de captures d’écran informatique, censées figurer les opérations litigieuses authentifiées par clé digitale par les consorts [B]/[I].

Ces captures d’écran, émanant du demandeur à la preuve lui-même, n’ont toutefois pas été certifiées par le recours à un commissaire de justice et ne sont corroborées par aucun élément de preuve. En tout état de cause, elles ne prouvent pas l’utilisation par les consorts [B]/[I] d’un mécanisme d’authentification forte de leurs opérations litigieuses.

Elles ne démontrent pas davantage que M. [B] ou Mme [I] auraient transmis leurs données personnelles (identifiants et mots de passe) à l’auteur du virement frauduleux pour lui permettre d’effectuer les virements frauduleux.

La société BNP PARIBAS procède par voie de pure affirmation, lorsqu’elle indique que les consorts [B]/[I] ont nécessairement communiqué au fraudeur leurs identifiants et mot de passe, puisque sans la communication de ces données, l’escroc n’aurait pas pu procéder à l’enregistrement des deux clés digitales sur son téléphone.

Si le document produit en pièce 2 à l’en tête de la BNP PARIBAS intitulé « Traçabilité de la clé digitale » établit l’activation de deux clés digitales sur deux nouveaux téléphones portables de même modèle (Iphone et Mi 9t) que celui des consorts [B]/[I], avant les opérations frauduleuses, il ne démontre pas que M. [B] ou Mme [I] aurait reçu, sur leurs numéros de téléphone, un sms contenant un lien composé d’un code nécessaire à l’activation de la clé digitale sur le téléphone de l’escroc.

A défaut de produire les sms contenant les codes qu’elle dit avoir envoyés aux consorts [B]/[I], et que ces derniers démentent catégoriquement avoir reçus, la preuve n’est pas rapportée par la société BNP PARIBAS que les consorts [B]/[I] auraient communiqué au fraudeur le code reçu sur leur téléphone permettant l’activation d’une clé digitale sur les téléphones des escrocs.

Le seul code que les consorts [B]/[I] reconnaissent avoir reçu est celui reçu par sms le 18 juillet 2022 à 12h25 en provenance de la BNP leur demandant de saisir « la référence de dossier suivante dans votre application mobile : 080572 » (pièce 1), qui ne correspond pas au mécanisme d’authentification forte de clé digitale décrit dans les documents de la société BNP PARIBAS (pièce 16, la société BNP PARIBAS).

Ainsi, outre que la SA BNP PARIBAS ne produit aucun élément permettant de s’assurer que son process de sécurité est fiable, elle n’établit pas avoir respecté les prescriptions de l’article L 133-4 f) ni, ce faisant, avoir exigé l’authentification forte lors de chacune de ces opérations de paiement non autorisées.

Au surplus, M. [B] et Mme [I] indiquent, sans être contredit par la société BNP PARIBAS, avoir été victime de la méthode dite de «spoofing» consistant pour l’escroc à usurper le numéro de téléphone de l’établissement bancaire, afin qu’il s’affiche sur l’appareil de la victime, ce qui est confirmé par le sms du 18-7-2022 à 12h25 apparaissant sur le téléphone de M. [B] comme provenant de la société BNP PARIBAS indiquant : « Bonjour, une activité inhabituelle a été détectée sur votre compte, un agent du service des fraudes vous contactera dans quelques instants [XXXXXXXX01] ».

Ce mode opératoire a mis M. [B] et Mme [I] en confiance et a diminué leur vigilance face à un appel téléphonique émanant prétendument d’un salarié de sa banque pour lui faire part du piratage de son compte, alors que M. [B] a pu préciser, dans sa plainte, que l’escroc qui l’a contacté téléphoniquement avait connaissance de son numéro de carte et du cryptogramme de cette carte, de son numéro client et de la marque de son téléphone.

Ainsi, la circonstance que l’escroc ait pu usurper un numéro de téléphone de la banque et connaissait des données personnelles de M.[B] était de nature à persuader ce dernier qu’il était en relation avec un salarié de la banque, excluant qu’il ait commis de négligence grave dans la conservation et l’utilisation de ses données personnelles de sécurité.

Il ne peut pas davantage leur être reproché un « défaut d’attention » ou de « réaction », dans la mesure où M. [B] justifie, en produisant les sms de la société BNP PARIBAS, n’avoir reçu l’information quant à une activation du service Clé Digitale sur « Mi 9t » (numéro de téléphone de l’escroc) que le 21 juillet 2022, soit 72 heures suivant la modification de la clé digitale.

Les consorts [B]/[I] justifient d’ailleurs avoir été diligents puisqu’ils ont contacté le service des fraudes le jour même pour les informer qu’ils avaient été victimes d’une escroquerie.

Enfin, la circonstance que M. [B] aurait été précédemment victime d’une précédente escroquerie au faux sms de la CPAM qui l’aurait amené à communiquer ses informations personnelles ou bancaires à des escrocs, à la supposer démontrée, n’est pas constitutive d’une négligence grave et n’explique pas, en tout état de cause, que les opérations litigieuses ont été effectuées par le fraudeur sur le compte personnel de Mme [I] et sur le compte joint des consorts [B]/[I].

Compte tenu de ce qui précède, la société BNP PARIBAS sera condamnée à payer aux consorts [I]/[B] la somme de 9.082,50 euros et à Mme [I] celle de 9.241,50 euros.

Sur la majoration des sommes

L’article L.113-18 du code monétaire et financier, dans sa rédaction issue de la loi n°2022-1158 du 16 août 2022, prévoit qu’ « en cas d’opérations de paiement non autorisées signalées par l’utilisateur dans les conditions définies à l’article L 113-24, le prestataire de services de paiement rembourse au payeur le montant de l’opération en le remboursant immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement.

Lorsque l’opération de paiement non autorisée est initiée par l’intermédiaire d’un prestataire de services de paiement fournissant un service d’initiation de paiement, le prestataire de services de paiement gestionnaire du compte rembourse immédiatement, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, au payeur le montant de l’opération non autorisée et, le cas échéant, rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu. La date de valeur à laquelle le compte de paiement du payeur est crédité n’est pas postérieure à la date à laquelle il avait été débité.

En cas de manquement du prestataire de services de paiement aux obligations prévues aux deux premiers alinéas du présent article, les pénalités suivantes s’appliquent :

1° Les sommes dues produisent intérêt au taux légal majoré de cinq points ;

2° Au-delà de sept jours de retard, les sommes dues produisent intérêt au taux légal majoré de dix points ;

3° Au-delà de trente jours de retard, les sommes dues produisent intérêt au taux légal majoré de quinze points ».

Les consorts [B]/[I] ne sont pas fondés à solliciter la condamnation de la société BNP PARIBAS au paiement des intérêts majorés prévus par l’article L.133-18 du Code monétaire et financier, dans la mesure où les opérations litigieuses frauduleuses ont été effectuées le 18 juillet 2022, soit antérieurement à l’entrée en vigueur des dispositions précitées de l’article L.133-18 du Code monétaire et financier prévoyant la majoration des sommes dues par le prestataire de services de paiement suite à une opération de paiement non autorisée.

2. Sur les demandes accessoires

Il serait inéquitable de laisser à la charge des consorts [B]/[I] les frais irrépétibles non compris dans les dépens qu’ils ont été contraints d’exposer dans le cadre du présent litige. En conséquence, la société BNP PARIBAS sera condamnée à lui payer la somme de 2.500 euros au titre de l’article 700 du Code de procédure civile.

Partie perdante, la société BNP PARIBAS sera condamnée aux dépens.

Il sera rappelé qu’en vertu de l’article 514 du code de procédure civile, la présente décision est assortie de plein droit de l’exécution provisoire.

PAR CES MOTIFS

Le tribunal judiciaire, statuant publiquement, par jugement contradictoire en premier ressort ;

Condamne la société BNP PARIBAS à payer à monsieur [N] [B] et à madame [Z] [I] la somme de 9.082,50 euros ;

Condamne la société BNP PARIBAS à payer à madame [Z] [I] la somme de 9 241.05 euros ;

Rejette le surplus de leurs demandes ;

Condamne la société BNP PARIBAS à payer la somme de 2.500 euros au titre de l’article 700 du Code de procédure civile ;

Condamne la société BNP PARIBAS aux dépens

Ainsi fait, jugé et rendu par mise à disposition au Greffe les jour, mois et an que dessus.

LE GREFFIER,

C. FLAMAND

LA PRÉSIDENTE,

V. ROUSSEAU