Your cart is currently empty!
République Française
Au nom du Peuple Français
COUR D’APPEL DE DOUAI
TROISIEME CHAMBRE
ARRÊT DU 05/01/2023
****
N° de MINUTE : 23/03
N° RG 21/04625 – N° Portalis DBVT-V-B7F-T2CM
Jugement (N° 19/01398) rendu le 15 Juillet 2021 par le tribunal judiciaire de Valenciennes
APPELANTE
Caisse de Credit Mutuel de [Localité 6]
[Adresse 3]
[Localité 6]
Représentée par Me Fabien Chapon, avocat au barreau de Douai, avocat constitué
INTIMÉS
Monsieur [S] [V]
né le [Date naissance 1] 1967 à [Localité 6]
de nationalité Française
[Adresse 4]
[Localité 5]
Madame [X] [V] épouse [V]
née le [Date naissance 2] 1964 à [Localité 6]
de nationalité Française
[Adresse 4]
[Localité 5]
Représentés par Me Fabienne Menu, avocat au barreau de Valenciennes, avocat constitué
DÉBATS à l’audience publique du 19 octobre 2022 tenue par Claire Bertin magistrat chargé d’instruire le dossier qui, après rapport oral de l’affaire, a entendu seul(e) les plaidoiries, les conseils des parties ne s’y étant pas opposés et qui en a rendu compte à la cour dans son délibéré (article 805 du code de procédure civile).
Les parties ont été avisées à l’issue des débats que l’arrêt serait prononcé par sa mise à disposition au greffe
GREFFIER LORS DES DÉBATS :Marlène Tocco
COMPOSITION DE LA COUR LORS DU DÉLIBÉRÉ
Guillaume Salomon, président de chambre
Claire Bertin, conseiller
Yasmina Belkaid, conseiller
ARRÊT CONTRADICTOIRE prononcé publiquement par mise à disposition au greffe le 05 janvier 2023 (date indiquée à l’issue des débats) et signé par Guillaume Salomon, président et Fabienne Dufossé, greffier, auquel la minute a été remise par le magistrat signataire.
ORDONNANCE DE CLÔTURE DU : 3 octobre 2022
****
EXPOSE DU LITIGE
Les faits et la procédure antérieure :
M.'[S] [V] et Mme [X] [T], épouse [V], sont sociétaires de la Caisse de crédit mutuel de [Localité 6] (Crédit mutuel) et ont souscrit un contrat de banque à distance le 7 mars 2013. Afin de sécuriser l’ensemble de leurs opérations bancaires effectuées à distance, ils disposent d’une carte de clés personnelles et de la faculté de créer une «’paywebcard’».
Le 15 mai 2018, M. [V] a reçu deux SMS à 18 heures 14 indiquant «’Crédit Mutuel ‘ Demande de création d’une payweb card sur la CB 5132 72XX XXXX 8901 pour 10 300,00 EUR. Code de confirmation 615047 utilisable jusqu’à 18:29’» et «’Crédit Mutuel’ Demande de modification des plafonds de votre carte 5132 72XX XXXX 8901. Code de confirmation 221470 utilisable jusqu’à 18:31’».
Le même jour, à 18 heures 17, M. [V] a également reçu un courriel lui indiquant que sa demande de modification de plafond temporaire de sa carte bancaire avait été prise en compte et que son plafond était augmenté à 12 000 euros.
Déclarant être inquiet, il est allé le lendemain voir sa conseillère bancaire, Mme [E], afin de lui faire part de l’incident. Il lui a alors expliqué avoir reçu un appel téléphonique le 15 mai 2018 vers 18 heures d’une personne prétendant appartenir au service «’sécurité transaction’» et qui expliquait avoir été avertie par Mme [E] qu’une opération débitrice effectuée sur internet pour un montant de 10 300 euros était en cours. M. [V] a encore déclaré à sa conseillère que cette personne lui avait indiqué qu’il allait recevoir un SMS destiné à la validation de cet achat et qu’une procédure de sécurité allait être mise en place et consisterait à baisser le plafond de sa carte bancaire à 1 200 euros et qu’il allait ainsi recevoir un second SMS.
Sa conseillère lui a cependant répondu qu’elle n’était pas à l’origine de cet appel et, avec son accord, qu’elle allait procéder au blocage de sa carte bancaire et de son compte personnel en ligne.
Par la suite, M. [V] a constaté que son compte bancaire avait été débité le 15 mai 2018 à 18 heures 19 d’une somme de 5’190 euros et d’une somme de 4’982,40 euros à 18 heures 25.
Par lettre recommandée avec accusé de réception du 16 mai 2018, M. [V] a déclaré au Crédit mutuel qu’il n’était pas à l’origine de ces débits et demandé le remboursement du montant de ces deux opérations, soit la somme de 10’172,40 euros.
Par courrier du 26 juin 2018, le Crédit mutuel l’a informé du rejet de sa demande aux motifs que les opérations n’avaient pu être effectuées que parce qu’il avait communiqué ses informations personnelles et avait ainsi commis une négligence, et ce en violation des conditions générales du contrat et de l’article L.’133-16 du code monétaire et financier.
Le conseil de M. [V] a alors mis en demeure le Crédit mutuel de procéder au remboursement de cette somme par courrier du 10 juillet 2018.
Par courrier du 2 août 2018, le conseil du Crédit mutuel a refusé cette demande pour les mêmes motifs, rappelant les modalités d’utilisation d’une paywebcard.
Par acte du 26 mars 2019, M. et Mme [V] ont fait assigner le Crédit mutuel devant le tribunal de grande instance de Valenciennes en remboursement de la somme de 10’172,40 augmentée des intérêts au taux légal à compter du 16 mai 2018, outre des dommages-intérêts pour résistance abusive.
Le jugement dont appel :
Par jugement du 15 juillet 2021, le tribunal judiciaire de Valenciennes a :
– condamné le Crédit mutuel à verser à M.’et Mme [V] la somme de 10’172,40 euros augmentée du taux d’intérêt légal à compter du 12 juillet 2018 ;
– condamné le Crédit mutuel à leur verser la somme de 1 000 euros de dommages et intérêts ;
– condamné le Crédit mutuel à leur verser la somme de 2 000 euros au titre de l’article 700 du code de procédure civile ;
– ordonné l’exécution provisoire ;
– débouté les parties de toutes autres demandes ;
– condamné le Crédit mutuel aux dépens, dont distraction au profit de la SCP Action conseils, avocats, conformément aux dispositions de l’article 699 du code de procédure civile.
La déclaration d’appel :
Par déclaration du 26 août 2021, le Crédit Mutuel a relevé appel de ce jugement en tous ses chefs sauf en ce qu’il a débouté les parties de toutes autres demandes.
Les prétentions et moyens des parties :
Aux termes de dernières conclusions notifiées le 29 septembre 2022, le Crédit mutuel, appelant principal, demande à la cour de :
– infirmer le jugement du tribunal judiciaire de Valenciennes du 15 juillet 2021dans toutes ses dispositions ;
en conséquence,
statuant à nouveau,
– débouter M. et Mme [V] de l’ensemble de leurs demandes, fins et
conclusions ;
– les condamner au paiement de la somme de 2 000 euros au titre de l’article 700 du code de procédure civile, outre les entiers frais et dépens de première instance et d’appel.
A l’appui de ses prétentions, il fait valoir que :
– en application des articles L.’133-15 et suivants du code monétaire et financier, il appartient à la banque de démontrer que l’opération de paiement a été authentifiée, dûment enregistrée et correctement exécutée, qu’elle n’a pas été affectée par une déficience technique ou autre en relation avec le service qu’elle fournit et d’autre part, que le comportement du client caractérise une négligence grave à ses obligations mentionnées par l’article L.’133-16 du code monétaire et financier ;
– la banque doit ainsi prouver l’authentification, l’enregistrement et l’exécution sans défaillance technique de l’opération de paiement, ce qui est le cas en l’espèce ;
– en effet, le service paywebcard propose une solution d’authentification forte puisqu’il s’agit d’un service qui se matérialise par un numéro de carte virtuelle permettant d’effectuer des achats à distance sans divulguer les données réelles de la carte ; lors du paiement en ligne, le numéro virtuel est fourni à la place du numéro de la carte de paiement ; pour commander cette carte de clé personnelle (qui est un document papier envoyé directement au domicile du sociétaire), il est indispensable de se connecter à son espace de banque à distance et donc de connaître son identifiant et le mot de passe personnalisé par le sociétaire lui-même ; une fois la carte de clé personnelle réceptionnée, la création de la paywebcard nécessite d’accéder à l’espace en ligne avec l’identifiant et le mot de passe personnalisé par le sociétaire puis de renseigner l’un des 64 codes de quatre chiffres figurant sur la carte de clé personnelle et enfin de renseigner le code de confirmation à six chiffres envoyé sur le numéro de portable préalablement enregistré par M. [V] lors de la souscription de son compte ;
– en l’espèce, M. [V] a commandé une carte de clé personnelle le 9 mars 2013 et la dernière date de mise à jour de ses coordonnées est le 22 juin 2012, soit antérieurement aux paiements payweb contestés ;
– le renseignement du code à six chiffres reçu par SMS sur le téléphone de M. [V] a donc permis de valider les paiements litigieux ;
– pour effectuer ces paiements, il a fallu déplafonner sa carte bancaire et cette opération de déplafonnement nécessite d’être en possession de l’identifiant de banque à distance et du mot de passe personnalisé du sociétaire ;
– il est démontré le respect du processus en trois étapes (authentification, enregistrement et comptabilisation des opérations de paiement puisque les plafonds ont été concomitamment augmentés), et tout ceci s’est effectué sans aucune défaillance technique puisque M. [V] ou un tiers avait en sa possession les codes requis pour effectuer ces opérations ;
– si M. [V] conteste avoir communiqué les codes, il admet en revanche leur réception ;
– contractuellement, les conditions générales prévoient que le sociétaire est entièrement responsable de toute divulgation, même involontaire, de ses codes personnels ;
– s’il prétend avoir reçu un appel à 18 heures 03 d’une personne se faisant passer pour un employé de sa banque, il ne produit aucun relevé d’appel prouvant cet appel, son origine ou sa durée ;
– en communiquant oralement avec un interlocuteur, sans aucune précaution quant à son identité, et alors que lui était annoncée une opération débitrice d’un montant de 10 300 euros, M. [V] a fait preuve d’une négligence
grave ;
– il déclare également être resté en ligne avec cette personne, le temps qu’elle lui demande la confirmation de la réception des deux SMS à 18 heures 14 et il a confirmé avoir reçu ces SMS sans les avoir lus au motif qu’il était toujours en ligne ;
– s’il expose ce que lui aurait dit cet interlocuteur, il est totalement taisant sur ce que lui-même aurait répondu ;
– la lecture attentive de ces SMS était importante, quand bien même la personne au téléphone se faisait rassurante et le procédé dit de sécurisation par téléphone aurait dû lui paraître douteux, d’autant qu’il connaissait depuis de nombreuses années sa conseillère et qu’il avait ses coordonnées ;
– il a reçu à 18 heures 17 un mail l’informant que sa demande de modification de plafond de sa carte bancaire avait été prise en compte, or les SMS ont été reçus à 18 heures 14 ;
– s’il indique ne rien avoir validé, la création et la validation des deux paywebcards est intervenue durant cet entretien téléphonique de sorte que la concomitance entre la réalisation des opérations et l’appel téléphonique est de nature à établir que M. [V] a transmis ses données de sécurité à un tiers ;
– il n’y a donc que deux possibilités : soit M. [V] a en réalité lui-même validé directement l’opération, soit un tiers était en possession des éléments de connexion à sa banque à distance, de sa carte de clé personnelle et des codes envoyés par SMS lors de la conversation téléphonique du fait de leur divulgation par M. [V] ;
– sa négligence grave est donc établie ;
– si M. et Mme [V] exposent avoir dû annuler leurs vacances en raison de ces opérations litigieuses, il est justifié de l’épargne importante de M. [V], de sorte que l’annulation de leur voyage ne s’imposait pas.
Aux termes de leurs conclusions notifiées le 24 août 2022, M. et Mme [V], intimés, demande à la cour de :
– juger le Crédit mutuel recevable mais mal fondé en son appel ;
– juger qu’ils sont recevables et bien fondés en leur appel incident ;
=> confirmer le jugement rendu par le tribunal judiciaire de Valenciennes en ce qu’il a condamné le Crédit mutuel à leur verser la somme de 10 172,40 euros augmentée du taux d’intérêt légal à compter du 12 juillet 2018 ;
=> l’infirmer pour le surplus ;
– condamner le Crédit mutuel à leur verser la somme de 5 000 euros à titre de dommages-intérêts pour résistance abusive et la somme de 3 000 euros au titre de l’article 700 du code de procédure civile pour la procédure de première instance, outre la somme de 3 000 euros pour la procédure d’appel ;
– condamner le Crédit mutuel aux entiers frais et dépens de première instance et d’appel dont distraction au profit de la SCP Action conseils.
A l’appui de leurs prétentions, ils font valoir que :
– conformément à l’article L. 133-23 du code monétaire et financier, la charge de la preuve incombe à l’organisme de crédit lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée ; le prestataire de services de paiement doit ainsi prouver que l’opération a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une défaillance technique ou autre ;
– toutefois, l’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui
incombant ; à cet égard, le prestataire de services de paiement doit également fournir les éléments afin de prouver la fraude ou la négligence grave commise par l’utilisateur de services de paiement ;
– contrairement à ce qu’indique la banque, il a toujours contesté avoir autorisé les opérations de paiement litigieuses ou communiqué à un tiers quelques données personnelles que ce soient ;
– la charge de la preuve incombe à la banque qui se contente de procéder par voie d’affirmation en soutenant que le système de paiement est inviolable et qu’il a été victime d’une opération de «’phishing’» ou de «’hameçonnage’» par laquelle des fraudeurs auraient réussir à obtenir de sa part des renseignements personnels ;
– la jurisprudence de la Cour de cassation retient que la preuve que l’utilisateur a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence grave à ses obligations ne peut se déduire du seul fait que l’instrument de paiement et les données personnelles qui lui sont liées ont effectivement été utilisées ;
– de nombreuses jurisprudences produites retiennent que l’existence d’une négligence doit être prouvée concrètement, et ne peut dès lors être déduite de considérations générales abstraites sur la sécurité d’un outil de
paiement ; ces décisions illustrent par ailleurs la résistance abusive de la banque qui refuse d’assurer le remboursement des opérations non autorisées par ses clients alors même qu’elle ne dispose d’aucun élément de preuve lui permettant de se dédouaner de cette obligation ;
– les pièces produites permettent d’établir qu’il est totalement étranger aux opérations litigieuses puisqu’il a reçu le SMS visant à autoriser la création d’une paywebcard le 15 mai 2018 à 18 heures 14 tandis que deux connexions ont été réalisées le même jour à 18 heures 03 puis 18 heures 11 à partir de deux ordinateurs différents comme le démontrent les adresses IP qui sont localisées dans les départements de l’Hérault et de la Haute-Marne alors qu’il justifie qu’il se trouvait dans le département d’Indre-et-Loire ce jour-là ; ce n’est donc pas lui qui s’est connecté sur le site internet de sa banque pour créer la paywebcard ;
– si la banque soutient que les adresses IP litigieuses sont des adresses IP dynamique, elle n’en apporte pas la preuve, alors qu’étant en déplacement professionnel, il n’était pas parti avec sa carte de clé personnelle devant être utilisée dans la création d’une paywebcard pour renseigner l’un des 64 codes s’y trouvant ;
– il ne s’est pas connecté sur le site internet de sa banque, n’a pas renseigné de code figurant sur sa carte de clé personnelle et n’a, à aucun moment, communiqué par téléphone quelques données confidentielles que ce
soient ;
– si la banque affirme que le tiers à l’origine de la fraude l’a contacté pour qu’il lui communique le code de confirmation reçu par SMS pour valider la création de la paywebcard et que les opérations n’ont pu être réalisées que parce qu’il a communiqué ce code, elle ne procède que par affirmation et n’en apporte pas la preuve ;
– le fait que les opérations contestées aient été réalisées juste après l’appel téléphonique n’est pas de nature à établir qu’il a transmis ses données de sécurité à un tiers et cette déduction du Crédit mutuel est impropre à administrer la preuve qui lui incombe ;
– le refus abusif du Crédit mutuel de supporter, en dépit des dispositions d’ordre public, les conséquences de la fraude comme elle le devait leur a causé un préjudice moral résultant des contrariétés engendrées par la position de leur banque et ce préjudice a été d’autant plus important qu’il ont été contraints de renoncer à leurs vacances en Espagne déjà réservées et il est indifférent qu’ils aient disposé d’une épargne qui aurait pu leur permettre de ne pas annuler le voyage dès lors que cette épargne était destinée à d’autres projets qu’ils ne pouvaient mettre en échec du fait de la résistance de la banque.
Pour un plus ample exposé des moyens de chacune des parties, il y a lieu de se référer aux conclusions précitées en application des dispositions de l’article 455 du code de procédure civile.
MOTIFS DE LA DÉCISION
Sur le respect du processus de sécurisation de la banque et la négligence grave
Aux termes des articles L.’133-16 et L.’133-17 du code monétaire et financier, s’il appartient à l’utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d’informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l’instrument de paiement ou des données qui lui sont liées, c’est à ce prestataire qu’il incombe, par application des articles L.’133-19, IV et L.’133-23 du même code, de rapporter la preuve que l’utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence grave à ses obligations ; cette preuve ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisées.
Il s’ensuit que la seule démonstration par le prestataire de services de paiement qu’un tel service, doté d’un dispositif de sécurité, a été utilisé, par l’emploi d’un identifiant internet, d’un mot de passe de connexion, ainsi que des clés personnelles permettant à l’utilisateur de services de paiement de venir authentifier le paiement au moyen d’une donnée confidentielle ne se trouvant pas sur la carte réelle de paiement, soit le code de confirmation à six chiffres, ne permet pas de présumer que l’utilisateur du service de paiement a donné son autorisation à l’opération de paiement litigieuse.
Cette seule démonstration ne permet pas non plus, en soi et en l’absence d’autres éléments fournis par le prestataire de services de paiement, de rapporter la preuve de la fraude, du manquement intentionnel ou par négligence grave de l’utilisateur de services de paiement à ses obligations légales, prévues aux articles L. 133-16 et L. 133-17 du code monétaire et financier, dans leur rédaction applicable au litige, ou contractuelles, de nature à empêcher le remboursement demandé, et ne saurait suffire à le décharger de toute responsabilité.
Il en résulte, au regard des dispositions précitées relatives à la charge et aux modalités de la preuve, que la preuve que l’utilisateur d’un service de paiement, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n’a pas satisfait, intentionnellement ou par négligence grave, aux obligations légales, qui lui incombent en application des articles L.’133-16 et L. 133-17 du même code, ou contractuelles, ne peut se déduire du seul fait que l’instrument de paiement ou que les données personnelles qui lui sont liées ont été effectivement utilisées, c’est-à-dire que l’opération de paiement a été dûment authentifiée, comptabilisée et enregistrée sans défaillance technique, ce qui exclut ainsi, outre de mettre à la charge de cet utilisateur, en considération du niveau de sécurité offert par le service de paiement en cause, la preuve d’une absence de fraude, d’un manquement intentionnel ou d’une négligence grave de sa part dans la préservation de la sécurité des dispositifs de sécurité personnalisés attachés à son instrument de paiement, de présumer qu’il a autorisé l’opération de paiement litigieuse.
La négligence grave de l’utilisateur de services de paiement doit confiner au dol et dénoter l’inaptitude de celui-ci dans l’accomplissement de son obligation de préserver la sécurité de ses dispositifs de sécurité personnalisés, de sorte que cette négligence grave doit revêtir une importance telle qu’elle rend impossible le remboursement des sommes débitées à la suite d’opérations de paiement non autorisées par l’utilisateur de services. En outre, la preuve de la négligence fautive ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisées. Ainsi, le prestataire de service doit établir par d’autres éléments extrinsèques la preuve d’une négligence grave imputable à l’utilisateur de services.
Sur ce,
Il est établi que M.’et Mme [V] ont souscrit auprès du Crédit mutuel le service paywebcard qui se matérialise par un numéro de carte virtuelle permettant d’effectuer des achats à distance. Ce service sécurisé consiste à commander une carte de clé personnelle comprenant 64 codes de quatre chiffres et qui est un document papier et non un document dématérialisé. Par la suite, le sociétaire de la banque qui souhaite créer une paywebcard pour réaliser un achat à distance doit se connecter sur son espace personnalisé sur le site du Crédit mutuel à l’aide de son identifiant personnel et du mot de passe qu’il a lui-même personnalisé ; à partir de son site, il peut alors demander la création d’une paywebcard et devra renseigner l’un des 64 codes figurant sur sa carte de clé personnelle ; un code de six chiffres valable seulement pour une durée de quinze minutes lui sera alors envoyé soit par SMS, soit par mail soit sur un serveur vocal interactif selon la configuration choisie par le sociétaire.
En l’espèce, M.’et Mme [V] ont commandé une carte de clé personnelle le 9 mars 2013. Antérieurement aux faits litigieux, le 16 mars 2017, M.'[V] a indiqué le numéro de téléphone sur lequel le code de six chiffres devait lui être envoyé pour valider la création de la paywebcard.
Les pièces produites établissent que le 15 mai 2018, la banque a reçu une demande à partir de l’identifiant de M.’et Mme [V] pour la création d’une paywebcard pour un montant de 10’300 euros et que la case F6 figurant sur la carte de clé personnelle et contenant l’un des 64 codes a été communiquée. À 18 heures 13, la banque a envoyé un SMS sur le téléphone de M.'[V].
M. [V] indique avoir été appelé à 18 heures 03 ce même jour par un homme prétendant appartenir au service «’sécurité transaction’» du Crédit mutuel et avoir été averti par sa conseillère qu’une opération débitrice d’un montant de 10’300 euros était en cours. Il expose que cette personne lui a indiqué qu’il allait recevoir un SMS destiné à la validation de cet achat et un autre destiné à modifier le plafond de sa carte, lequel allait être abaissé par sécurité à 1’200 euros d’après cet interlocuteur.
La cour constate que M.'[V] ne produit pas de relevé d’appel démontrant la réalité de cet appel.
À 18 heures 14, M.'[V] a reçu deux SMS sur son téléphone indiquant «’Crédit Mutuel ‘ Demande de création d’une payweb card sur la CB 5132 72XX XXXX 8901 pour 10 300,00 EUR. Code de confirmation 615047 utilisable jusqu’à 18:29’» et «’Crédit Mutuel’ Demande de modification des plafonds de votre carte 5132 72XX XXXX 8901. Code de confirmation 221470 utilisable jusqu’à 18:31’».
La pièce n° 15 versée par le Crédit mutuel apprend que le code de confirmation envoyé par SMS sur le téléphone portable de M.'[V] a été saisi à 18 heures 15.
M.'[V] a par ailleurs reçu un mail à 18 heures 17 l’informant que sa demande de modification de plafond temporaire pour sa carte bancaire avait bien été prise en compte et que son plafond était désormais d’un montant de 12’000 euros.
Une paywebcard a ainsi été créée et deux prélèvements de 5’190 euros et 4’982,40 euros ont été effectués à partir de celle-ci auprès d’un site marchand situé à [Localité 7].
M. [V] soutient ne pas avoir donné la moindre information à cet interlocuteur et ne pas avoir utilisé les codes.
La pièce n° 5 des époux [V] enseigne que par mail du 25 mai 2018 adressé à sa conseillère bancaire, M.'[V] expliquait : «’cette personne m’a indiqué m’envoyer un SMS de validation d’achat (voir copie écran SMS 18 heures 29) en me demandant si je l’avais reçu. Cette même personne m’a alors précisé qu’il mettait en place une procédure de sécurité consistant à abaisser le plafond de ma carte bancaire à 1 200 €, alors qu’en réalité, il s’agissait du contraire. Pour cela, il m’a envoyé un second SMS (voir copie écran 18 heures 31) que je n’ai pas pu voir car toujours en communication avec le fraudeur. Je n’ai pu lire les SMS qu’après avoir raccroché et ne les ai pas validé.’». Il indique également avoir appris le 17 mai 2018 qu’un troisième débit a été bloqué «’pour cause d’erreur ou mauvais renseignement de numéro de compte (selon l’information qui m’a été donnée par la conseillère jeudi soir)’». Il concluait ce mail en indiquant «’Je suis victime d’une arnaque téléphonique.’».
La précision d’une telle déclaration, corroborée par le contexte de mise en scène qu’établissent les réceptions successives de plusieurs SMS dont la provenance semblait régulière, permet d’accréditer la réalité d’un tel appel téléphonique.
La cour observe que dans ce mail, M.'[V] a joint une capture écran des deux SMS reçu à 18 heures 14 émanant de sa banque et dont l’heure de la capture d’écran est 11 heures 35 le 16 mai 2018. Toutefois, cette pièce n’inclut pas les deux SMS de 18 heures 29 et de 18 heures 31 qu’évoque M. [V] dans son mail.
M. [V] justifie par ailleurs ne pas avoir été présent dans le département où ont été localisés les adresses IP à partir desquelles la connexion via son identifiant sur son espace client bancaire a été effectuée le 15 mai 2018 afin de demander la création d’une paywebcard.
Il résulte des éléments ci-dessus que la banque justifie bien avoir respecté l’authentification, l’enregistrement et la comptabilisation des opérations de paiement sans défaillance technique et que M.'[V] n’est pas à l’origine de la demande de création de la paywebcard.
Toutefois, contrairement à ce que soutient le Crédit mutuel, il n’est pas établi que M. [V] ait transmis lors de l’échange téléphonique avec la tierce personne non identifiée, ses clés confidentielles, ses coordonnées personnelles, son code confidentiel personnel ou ses identifiants. Comme le relève le premier juge, le seul fait que M. [V] ait reçu un appel téléphonique malveillant juste avant que son compte ne soit débité ne peut suffire à en déduire que ce dernier a transmis ses données de sécurité à l’auteur de la fraude au cours de cet appel, ce qu’au demeurant il conteste.
Le Crédit mutuel ne produit au débat aucun élément objectif démontrant de façon certaine que M.'[V] soit à l’origine de la fuite de ses données de sécurité personnalisées.
En l’état de ces énonciations et constatations, le Crédit mutuel est assurément défaillant dans la démonstration de la négligence grave qu’il allègue à l’égard son client.
Au surplus, même dans l’hypothèse non démontrée où M.'[V] aurait bien communiqué au fraudeur les codes reçus par SMS, la cour considère que le partage de ceux-ci ne saurait être qualifiée de négligence grave au sens de l’article L.’133-23 du code monétaire et financier. En effet, en étant appelé par une personne qui, connaissant son nom, son numéro de téléphone, sa banque et sa conseillère, usait d’une fausse qualité, M.'[V], soudainement alerté de la tentative de fraude bancaire dont il était victime, a pu être rassuré par le fraudeur qui a réussi à tromper sa vigilance en employant des man’uvres frauduleuses. En outre, le SMS qu’il a reçu, contenant le code à saisir pour la modification du plafond de sa carte bancaire, n’indiquait pas le montant du plafond qui aurait été appliqué après saisie de ce code, de sorte que M.'[V], qui venait d’apprendre que son plafond allait être baissé par sécurité, pouvait légitimement croire à la véracité des déclarations du fraudeur. Dès lors, il n’a pas eu conscience qu’il communiquait les codes au fraudeur, et non à un préposé de sa banque comme cela le lui avait été indiqué, et ce quand bien même il avait été alerté précédemment d’une tentative de fraude, étant rappelé que ces faits se sont déroulés dans un court laps de temps, ce qui est propice à la manipulation en raison de l’état de panique de la victime, sur lequel compte le fraudeur pour parvenir à ses fins.
En conséquence, le jugement sera confirmé en ce qu’il a fait droit à la demande de restitution des sommes prélevées frauduleusement sur le compte des intimés.
Sur la demande de dommages-intérêts pour résistance abusive
L’article L.’133-18 du code monétaire et financier dispose notamment que : «’En cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L.’133-24, le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement et s’il communique ces raisons par écrit à la Banque de France. Le cas échéant, le prestataire de services de paiement du payeur rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu.
Lorsque l’opération de paiement non autorisée est initiée par l’intermédiaire d’un prestataire de services de paiement fournissant un service d’initiation de paiement, le prestataire de services de paiement gestionnaire du compte rembourse immédiatement, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, au payeur le montant de l’opération non autorisée et, le cas échéant, rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu. La date de valeur à laquelle le compte de paiement du payeur est crédité n’est pas postérieure à la date à laquelle il avait été débité.
En cas de manquement du prestataire de services de paiement aux obligations prévues aux deux premiers alinéas du présent article, les pénalités suivantes s’appliquent :
1° Les sommes dues produisent intérêt au taux légal majoré de cinq points ;
2° Au-delà de sept jours de retard, les sommes dues produisent intérêt au taux légal majoré de dix points ;
3° Au-delà de trente jours de retard, les sommes dues produisent intérêt au taux légal majoré de quinze points.’».
En l’espèce, il résulte des éléments produits au débat que de nombreux courriers ont été échangés entre les époux [V] et leur banque et qu’ils ont dû annuler leurs vacances à la suite des débits dont ils ont été victimes, ce dont ils justifient, et du refus de leur banque de restituer les sommes importantes dont ils venaient d’être débités frauduleusement.
Si la banque soutient qu’ils disposaient d’une épargne importante de sorte que l’annulation de leur voyage ne s’imposait pas, il s’observe que les époux [V] avaient en tout état de cause la libre disposition de leur épargne, et qu’ils ont incontestablement subi un préjudice moral à la suite du refus injustifié de la banque de leur restituer les sommes indûment prélevées sur leur compte.
La somme de 1’000 euros de dommages et intérêts, au paiement de laquelle a été condamné le Crédit mutuel, sera par conséquent confirmée.
Sur les dépens et les frais irrépétibles de l’article 700 du code de procédure civile
Le sens du présent arrêt conduit :
– d’une part à le jugement attaqué ,
– et d’autre part, à condamner le Crédit mutuel, outre aux, dont distraction au profit de la SCP Action conseils, à payer à M.’et Mme [V] la somme de 2’000 euros sur le fondement de l’article 700 du code de procédure civile.
PAR CES MOTIFS,
La cour,
Confirme en toutes ses dispositions le jugement du tribunal judiciaire de Valenciennes rendu le 15 juillet 2021,
Y ajoutant,
Condamne la Caisse de crédit mutuel de [Localité 6] aux entiers dépens d’appel, dont distraction au profit de la SCP Action conseils en application des dispositions de l’article 699 du code de procédure civile,
Condamne la Caisse de crédit mutuel de [Localité 6] à payer à M.'[S] [V] et Mme [X] [T], épouse [V], la somme de 2’000 euros à titre d’indemnité de procédure d’appel sur le fondement de l’article 700 du code de procédure civile.
Le Greffier
Fabienne Dufossé
Le Président
Guillaume Salomon