Aux termes des articles L. 133-16 et L. 133-17 du code monétaire et financier, il appartient à l’utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité des dispositifs de sécurité personnalisés et d’informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l’instrument de paiement ou des données qui lui sont liées.

* * * Copies exécutoires RÉPUBLIQUE FRANÇAISE délivrées aux parties le : AU NOM DU PEUPLE FRANÇAIS COUR D’APPEL DE PARIS Pôle 4 – Chambre 9 – A ARRÊT DU 02 FÉVRIER 2023 (n° , 5 pages) Numéro d’inscription au répertoire général : N° RG 21/07267 – N° Portalis 35L7-V-B7F-CDP56 Décision déférée à la Cour : Jugement du 2 mars 2021 – Tribunal Judiciaire de PARIS – RG n° 11-20-010151 APPELANTE LA BANQUE POSTALE, société anonyme à direction et conseil de surveillance prise en la personne de ses dirigeants sociaux domiciliés en cette qualité au siège social N° SIRET : 421 100 645 00033 [Adresse 1] [Localité 5] représentée par Me Jean-Philippe GOSSET de la SELEURL CABINET GOSSET, avocat au barreau de PARIS, toque : B0812 substitué à l’audience par Me Jules-Amaury LALLEMAND de la SELEURL CABINET GOSSET, avocat au barreau de PARIS, toque : B0812 INTIMÉ Monsieur [V] [W] né le [Date naissance 2] 1997 à [Localité 7] [Adresse 3] [Localité 4] représenté par Me Julia AZRIA, avocat au barreau de HAUTS-DE-SEINE, toque : 22 COMPOSITION DE LA COUR : En application des dispositions des articles 805 et 907 du code de procédure civile, l’affaire a été débattue le 7 décembre 2022, en audience publique, les avocats ne s’y étant pas opposés, devant Mme Fabienne TROUILLER, Conseillère, chargée du rapport. Ce magistrat a rendu compte des plaidoiries dans le délibéré de la Cour, composée de : Mme Muriel DURAND, Présidente de chambre Mme Fabienne TROUILLER, Conseillère Mme Laurence ARBELLOT, Conseillère Greffière, lors des débats : Mme Camille LEPAGE ARRÊT : – CONTRADICTOIRE – par mise à disposition de l’arrêt au greffe de la Cour, les parties en ayant été préalablement avisées dans les conditions prévues au deuxième alinéa de l’article 450 du code de procédure civile. – signé par Mme Muriel DURAND, Présidente et par Mme Camille LEPAGE, Greffière à laquelle la minute de la décision a été remise par le magistrat signataire. FAITS, PROCÉDURE ET PRÉTENTIONS DES PARTIES M. [V] [W] est titulaire d’un compte courant ouvert dans les livres de la société La Banque Postale. Il expose avoir reçu le 12 avril 2020 un mail provenant prétendument de La Banque Postale lui demandant d’effectuer une mise à jour annuelle de son numéro de téléphone afin de sécuriser son accès en ligne et à cliquer sur un lien à cette fin, ce qui constituait en réalité un hameçonnage. Saisi le 9 juillet 2020 par M. [W] d’une demande tendant principalement à la condamnation de la banque au remboursement d’une somme de 6 000 euros représentant deux virements frauduleux, le tribunal judiciaire de Paris, par un jugement contradictoire rendu le 2 mars 2021 auquel il convient de se reporter, a condamné la banque à rembourser à M. [W] la somme de 6 000 euros avec intérêts au taux légal à compter du 9 juillet 2020 et la somme de 900 euros au titre de l’article 700 du code de procédure civile. Le premier juge a considéré que le client avait fait l’objet d’un hameçonnage, que la banque ne rapportait pas la preuve d’une négligence fautive grave imputable au défendeur et qu’elle était en conséquence tenue de lui rembourser la somme. Par une déclaration en date du 15 avril 2021, la banque postale a relevé appel de cette décision. Aux termes de conclusions remises le 21 septembre 2022, la banque demande à la cour : – d’infirmer le jugement en toutes ses dispositions, – de dire que M. [W] est défaillant à démontrer le caractère prétendument non autorisé des deux virements de 3 000 euros et qu’il a fait preuve d’une négligence grave de nature à exonérer la banque de toute éventuelle responsabilité à son encontre, – de dire qu’elle n’a commis aucun manquement légal ou contractuel de nature à engager sa responsabilité à l’encontre de M. [W], – de débouter M. [W] de l’intégralité de ses demandes, – de condamner M. [W] à lui payer la somme de 3 000 euros au titre des dispositions de l’article 700 du code de procédure civile. L’appelante soutient que son client a été victime d’un phishing (hameçonnage) et qu’il a fait preuve de négligence en se fiant au mail reçu malgré l’adresse mail d’envoi, l’incohérence du contenu du mail et de son objet, la signature de celui-ci ou encore les mentions de fin de mail. Elle rappelle que la négligence du client exclut sa responsabilité et soutient que la seule reproduction du logo ne permet pas de conclure à l’absence de faute. La banque ajoute en visant les articles L. 133-23 et L. 133-6 du code monétaire et financier que les virements réalisés ont été authentifiés par la saisie des identifiant et mot de passe de l’intimé, ce qui l’exonère de son obligation de remboursement. Elle rappelle enfin la teneur du principe de non immixtion de l’établissement bancaire dans les affaires de son client et conteste devoir rembourser les sommes négligemment versées. Par des conclusions remises le 18 août 2021, M. [W] demande à la cour : – de déclarer la banque mal fondée en son appel, – de confirmer en toutes ses dispositions le jugement dont appel, – de débouter la banque de ses demandes, – de condamner la banque à lui rembourser la somme de 6 000 euros avec intérêts au taux légal à compter du 9 juillet 2020, – de condamner la banque à lui payer la somme de 3 000 euros au titre de l’article 700 du code de procédure civile. L’intimé indique avoir été victime d’un hameçonnage, rappelle être un client particulier, conteste avoir validé les virements frauduleux ou avoir communiqué ses données confidentielles. Il soutient que la banque ne prouve pas qu’il se soit rendu coupable d’une négligence fautive et demande la restitution des sommes prélevées en application des dispositions des articles L. 133-22 et L. 133-18 du code monétaire et financier. Il ajoute que la banque a commis une faute en manquant de contrôler les opérations réalisées. Pour un plus ample exposé des faits, moyens et prétentions des parties, il est renvoyé aux écritures de celles-ci conformément aux dispositions de l’article 455 du code de procédure civile. L’ordonnance de clôture a été rendue le 4 octobre 2022 et l’affaire a été appelée à l’audience du 7 décembre 2022.

MOTIFS DE LA DÉCISION

Sur la demande de remboursement des sommes prélevées au titre du virement

Aux termes des articles L. 133-16 et L. 133-17 du code monétaire et financier, il appartient à l’utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité des dispositifs de sécurité personnalisés et d’informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l’instrument de paiement ou des données qui lui sont liées.

Cependant, c’est à ce prestataire qu’il appartient en application des articles L. 133-19 IV et L. 133-23 du même code de rapporter la preuve que l’utilisateur qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence grave, à ses obligations.

Il est admis que cette preuve ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés.

En cas d’utilisation d’un dispositif de sécurité personnalisé, il appartient également au prestataire de prouver que l’opération en cause a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre.

Il est acquis en l’espèce que les deux virements litigieux de 3 000 euros ont été réalisés les 14 et 15 avril 2020 au bénéfice de [Z] [S] [X].

Il n’est pas contesté que M. [W] a été destinataire, le 12 avril 2020, d’un mail provenant prétendument de LA BANQUE POSTALE.

Si M. [W] ne produit qu’une copie écran de ce mail, il convient de noter que certains éléments auraient dû l’alerter, notamment le nom de domaine singulier ([Courriel 6]), l’incohérence de l’objet du mail (mise à jour annuelle du numéro de portable pour sécuriser son accès en ligne), le signataire du mail (Président du Conseil de Surveillance : [N] [J]) et les mentions singulières au bas du mail (Registre du commerce Tribunal de district de paris HRB 83351 / Numéro de TVA : DE 811 285 485 ; Numéro d’identification fiscale du titulaire de la taxe de vente : DE 911 623 326).

Néanmoins, en dépit de ces incohérences grossières et de ces anomalies qui auraient dû l’inciter à douter de sa provenance, M. [W] a cliqué sur le lien inclus dans le mail, ce qui apparaît comme une particulière négligence, y compris de la part d’un particulier normalement attentif.

Il doit donc être considéré que cette négligence fautive est à l’origine des virements frauduleux effectués par un tiers deux et trois jours après.

Contrairement à ce qu’a retenu le premier juge, l’utilisation d’un logo n’oblige pas l’établissement bancaire à prendre en charge l’intégralité des conséquences du phishing, sauf à faire peser les conséquences des agissements d’escrocs sur un tiers à l’escroquerie.

De surcroît, il est démontré par les pièces produites qu’en l’espèce M. [W] a bien reçu deux SMS. Si celui-ci affirme ne pas avoir répondu à ces deux SMS et conteste avoir validé l’ajout d’un nouveau bénéficiaire, il apparaît sur les enregistrements sur support informatique que les identifiant et mot de passe personnels du service en banque en ligne de M. [W] ont bien été saisis et que les codes reçus par SMS ont été composés afin d’ajouter le bénéficiaire des opérations et effectuer les virements litigieux.

Au demeurant, M. [W] aurait pu également légitimement s’interroger sur la réception de ces messages et leur contenu puisque le bénéficiaire portait le même nom que lui.

Enfin, comme le souligne l’appelante sans contestation de l’intimé, le document d’identification mentionne deux virements non contestés effectués le 12 avril 2020 à destination du même compte bancaire.

Il ne peut donc être reproché à l’établissement bancaire d’avoir exécuté une opération de paiement autorisée par le payeur, conformément à l’article L. 133-6 du code monétaire et financier.

À cet égard, contrairement à ce qu’a retenu le premier juge sans fondement, le banquier qui exécute les ordres du client n’a pas de pouvoir d’appréciation sur les opérations demandées.

Ainsi, aucun manquement contractuel ne peut être reproché à la société La Banque Postale à une obligation de vigilance dès lors qu’elle n’est pas tenue de s’immiscer dans les opérations financières ou commerciales à l’origine des mouvements de fonds dont elle assure l’exécution. Ainsi, elle ne saurait être tenue au remboursement des virements litigieux et la particulière négligence de M. [W] est de nature à exonérer la banque de toute responsabilité.

Le jugement doit donc être infirmé en ce qu’il a fait droit à la demande de remboursement de M. [W].

M. [W] est tenu aux dépens d’appel et condamné à payer à la société La Banque Postale la somme de 1 000 euros en application de l’article 700 du code de procédure civile.

PAR CES MOTIFS LA COUR, Statuant après débats en audience publique, par arrêt contradictoire mis à disposition au greffe, Infirme le jugement en toutes ses dispositions ; Y ajoutant, Déboute M. [V] [W] de ses demandes ; Condamne M. [V] [W] aux dépens d’appel ; Condamne M. [V] [W] à payer à la société La Banque Postale une somme de 1 000 euros par application de l’article 700 du code de procédure civile. La greffière La présidente