N° RG 22/02777 – N° Portalis DBVX-V-B7G-OHW2

Décision du

TJ hors JAF, JEX, JLD, J. EXPRO, JCP de BOURG EN BRESSE

Au fond

du 28 mars 2022

RG : 21/00620

ch civ

S.A. BNP PARIBAS

C/

[K]

RÉPUBLIQUE FRANÇAISE

AU NOM DU PEUPLE FRANÇAIS

COUR D’APPEL DE LYON

1ère chambre civile B

ARRET DU 14 Novembre 2023

APPELANTE :

S.A. BNP PARIBAS

[Adresse 2]

[Localité 5]

Représentée par Me Alban MICHAUD, avocat au barreau de LYON, toque : 1762

ayant pour avocat plaidant Me Dominique PENIN du LLP KRAMER LEVIN NAFTALIS & FRANKEL LLP, avocat au barreau de PARIS, toque : J008

INTIMEE :

Mme [H] [K]

née le [Date naissance 4] 1951 à [Localité 6] (25)

[Adresse 3]

[Localité 1]

Représentée par Me Philippe NOUVELLET de la SCP JACQUES AGUIRAUD ET PHILIPPE NOUVELLET, avocat au barreau de LYON, toque : 475

ayant pour avocat plaidant Me Guillaume GOSSWEILER de la SELARL BLANC LARMARAUD BOGUE GOSSWEILER, avocat au barreau de l’AIN

* * * * * *

Date de clôture de l’instruction : 19 Janvier 2023

Date des plaidoiries tenues en audience publique : 14 Septembre 2023

Date de mise à disposition : 14 Novembre 2023

Audience présidée par Bénédicte LECHARNY, magistrat rapporteur, sans opposition des parties dûment avisées, qui en a rendu compte à la Cour dans son délibéré, assisté pendant les débats de Elsa SANCHEZ, greffier.

Composition de la Cour lors du délibéré :

– Olivier GOURSAUD, président

– Stéphanie LEMOINE, conseiller

– Bénédicte LECHARNY, conseiller

Arrêt Contradictoire rendu publiquement par mise à disposition au greffe de la cour d’appel, les parties présentes ou représentées en ayant été préalablement avisées dans les conditions prévues à l’article 450 alinéa 2 du code de procédure civile,

Signé par Olivier GOURSAUD, président, et par Elsa SANCHEZ, greffier, auquel la minute a été remise par le magistrat signataire.

* * * * *

EXPOSÉ DE L’AFFAIRE

Mme [H] [K] est titulaire d’un compte ouvert dans les livres de la société BNP Paribas (la banque). Elle dispose d’un accès à ses comptes, par internet, sur un espace client en ligne accessible grâce à un identifiant et un mot de passe, et par une application mobile.

Le 24 juillet 2019, elle a déposé plainte pour escroquerie, indiquant avoir été contactée par téléphone par un homme se présentant comme un technicien de la banque chargé de l’aider à mettre à jour sa clé digitale sur son application, puis avoir constaté le détournement d’une somme totale de 11’510 euros, sous la forme de deux virements de 5 910 euros et 5 600 euros.

La banque ayant refusé de lui rembourser ces sommes, Mme [K] l’a assignée devant le tribunal judiciaire de Bourg-en-Bresse en indemnisation de son préjudice

Par un jugement du 28 mars 2022, le tribunal a condamné la banque à payer à Mme [K] la somme de 11’510 euros à titre de dommages-intérêts compensatoires et celle de 1 500 euros par application des dispositions de l’article 700 du code de procédure civile, outre les dépens.

Par déclaration du 14 avril 2022, la banque a relevé appel du jugement.

Par conclusions notifiées le 17 mai 2022, elle demande à la cour de :

-la déclarer recevable et bien fondée en son appel,

– infirmer en toutes ses dispositions le jugement,

et statuant à nouveau,

– débouter Mme [K] de l’intégralité de ses demandes à toutes fins qu’elles comportent,

– condamner Mme [K] à lui rembourser les sommes payées au titre de l’exécution provisoire,

– condamner Mme [K] à lui payer la somme de 2’000 euros au titre de l’article 700 du code de procédure civile ainsi qu’aux entiers dépens.

À l’appui de ses demandes, la banque fait valoir essentiellement que :

– les deux virements ont été réalisés à partir de l’espace client en ligne de Mme [K] parce que cette dernière a communiqué à un tiers ses informations confidentielles (identifiant et mot de passe de connexion), puis a validé la création d’un ajout de bénéficiaire de virement via l’usage de sa clé digitale, au moyen d’une notification reçue sur son téléphone, ce système répondant aux exigences réglementaires faisant obligation aux établissements de crédit d’assurer une authentification forte lorsqu’un utilisateur de services bancaires en ligne réalise une opération ;

– l’intimée n’explique pas comment l’escroc a pu se connecter à son espace bancaire en saisissant son numéro client et son compte confidentiel, données exclusivement personnelles ;

– Mme [K] a fait preuve d’une négligence grave et d’un défaut de vigilance puisque l’opération frauduleuse consistant à l’ajout du bénéficiaire a nécessité l’intervention de cette dernière à trois moments : lors de la récupération par l’escroc de ses données confidentielles, lors de la création du nouveau bénéficiaire, puis lors de la validation de l’ajout de celui-ci ;

– le banquier n’a aucune obligation de procéder à un suivi particulier en profondeur des comptes de ses clients et est, au contraire, tenu de s’abstenir de toute immixtion dans la gestion des affaires de ces derniers ; au cas d’espèce, les virements litigieux ne présentaient aucune anomalie matérielle ou intellectuelle qui aurait dû l’amener à suspecter l’existence d’une potentielle fraude.

Par conclusions notifiées le 3 août 2022, Mme [K] demande à la cour de :

– dire et juger recevable et fondée son argumentation,

– dire et juger que la banque ne rapporte pas la preuve d’une fraude ou d’une négligence grave commise par elle dans l’utilisation de ses services de paiement,

en conséquence,

– confirmer en toutes ses dispositions le jugement,

– débouter la banque de l’ensemble de ses demandes,

– condamner la banque à lui payer la somme de 4 000 euros en application des dispositions de l’article 700 du code de procédure civile, ainsi qu’aux dépens dont distraction au profit de la SCP Aguiraud et Nouvellet, en application des dispositions de l’article 699 du code de procédure civile.

À l’appui de ses demandes, elle fait valoir essentiellement que :

– c’est au prestataire qu’il incombe de rapporter la preuve que l’utilisateur n’a pas satisfait ses obligations et cette preuve ne peut se déduire du seul fait que l’instrument de paiement ou des données personnelles qui lui sont liées ont été effectivement utilisées ; en l’espèce, la banque n’effectue pas la démonstration qu’elle se serait rendue coupable d’une négligence grave dans le déroulé de l’opération ; l’escroc a eu accès à son numéro de téléphone et à son application sans qu’elle n’ait donné à qui que ce soit son numéro d’identification ou son code, que ce soit par mail ou oralement ;

– le débat ne porte pas sur la qualité du moyen de sécurité que constitue la clé digitale mais sur le dysfonctionnement des procédés de sécurité de la banque, allant d’une absence d’informations quant au fonctionnement de la clé digitale à un manifeste manque de réactivité du numéro d’urgence ;

– la banque a validé le principe d’un deuxième virement, pourtant d’un montant particulièrement inhabituel au vu de ses pratiques usuelles ;

– elle n’avait aucune raison particulière de se méfier de l’appel d’une personne souhaitant mettre à jour sa clé digitale dans la mesure où celle-ci maîtrisait le vocabulaire de la banque ; elle n’a donc commis aucune faute pouvant être qualifiée de négligence grave ; à l’inverse, la faute de la banque est parfaitement caractérisée.

L’ordonnance de clôture est intervenue le 19 janvier 2023.

Conformément aux dispositions de l’article 455 du code de procédure civile, la cour se réfère, pour un plus ample exposé des moyens et prétentions des parties, à leurs conclusions écrites précitées.

MOTIFS DE LA DÉCISION

Selon l’article L.133-16 du code monétaire et financier, dans sa rédaction issue de l’ordonnance n° 2017-1252 du 9 août 2017, applicable à l’espèce, dès qu’il reçoit un instrument de paiement, l’utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées.

Il utilise l’instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation qui doivent être objectives, non discriminatoires et proportionnées.

Et selon l’article L. 133-17 I du même code, lorsqu’il a connaissance de la perte, du vol, du détournement ou de toute utilisation non autorisée de son instrument de paiement ou des données qui lui sont liées, l’utilisateur de services de paiement en informe sans tarder, aux fins de blocage de l’instrument, son prestataire ou l’entité désignée par celui-ci.

Encore, aux termes de L. 133-19 IV, le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17.

Enfin, l’article L. 133-23 dispose que lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre.

L’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière. Le prestataire de services de paiement, y compris, le cas échéant, le prestataire de services de paiement fournissant un service d’initiation de paiement, fournit des éléments afin de prouver la fraude ou la négligence grave commise par l’utilisateur de services de paiement.

Il résulte de ces textes que s’il appartient à l’utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité des données de sécurité personnalisés et d’informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l’instrument de paiement ou des données qui lui sont liées, c’est à ce prestataire qu’il incombe de rapporter la preuve que l’utilisateur qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence grave, à ses obligations, cette preuve ne pouvant se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés.

En outre, en cas d’utilisation d’un dispositif de sécurité personnalisé, il appartient également au prestataire de prouver que l’opération en cause a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre.

En l’espèce, pour conclure que Mme [K] a fait preuve d’une négligence grave, la banque affirme que l’opération frauduleuse consistant à l’ajout du bénéficiaire a nécessité l’intervention de cette dernière à trois moments : lors de la récupération par l’escroc de ses données confidentielles, lors de la création du nouveau bénéficiaire puis lors de la validation de l’ajout de celui-ci.

Il est exact que l’ajout du bénéficiaire a été validé par Mme [K] sur son application mobile au moyen d’une clé digitale qui constitue un système d’authentification forte. Si l’intimée a fait preuve d’imprudence en validant cet ajout de bénéficiaire, le critère de gravité de la négligence n’est pas établi, alors que la banque reconnaît elle-même que le relevé d’identité bancaire frauduleux était d’abord intitulé « mise à jour BNP Paribas » dans le but de manipuler et rassurer Mme [K], avant d’être changé en « [R] [N] » à 19h14, soit une minute après la validation par l’intimée.

Surtout, contrairement à ce que soutient la banque en page 9 de ses conclusions d’appel, la réalisation définitive de l’opération n’a pas été la validation de l’ajout du bénéficiaire par Mme [K], mais les ordres de virement passés ensuite, la validation du bénéficiaire n’étant qu’une condition, certes nécessaire mais non suffisante, de la réalisation d’opérations de virement.

Or, s’il n’est pas contesté que les deux virements litigieux ont été réalisés à partir de l’espace client en ligne de Mme [K], la banque ne rapporte pas la preuve que cette dernière aurait communiqué à un tiers ses informations confidentielles (identifiant et mot de passe de connexion), l’intimée contestant formellement l’avoir fait, tant dans son dépôt de plainte que son courrier à la banque du 23 août 2019 et dans ses conclusions d’appel.

Sur ce point, alors que l’article L. 133-23, dernier alinéa, fait peser sur le prestataire de services de paiement la charge de fournir des éléments afin de prouver la fraude ou la négligence grave commise par l’utilisateur de services de paiement, la banque ne peut, sans inverser la charge de la preuve, se contenter de relever que l’intimée n’explique pas comment l’escroc a pu se connecter à son espace bancaire en saisissant son numéro client et son compte confidentiel, données exclusivement personnelles.

La banque qui ne démontre pas que l’espace client en ligne serait inviolable et qu’il ne serait pas possible à un tiers, par une opération frauduleuse, de récupérer les données personnelles et confidentielles du titulaire du compte, n’établit pas, par d’autres moyens, la négligence grave de sa cliente à l’origine de l’utilisation de ses données par un tiers dans les opérations de création d’un nouveau bénéficiaire et de passation des ordres de virements contestés.

Elle ne démontre pas davantage que ces opérations ont été authentifiées et qu’elles n’ont pas été affectées par une déficience technique ou autre, se contentant en effet de produire un historique télématique (sa pièce n° 7) dont il est impossible, en l’absence notamment de toute notice explicative l’accompagnant, de tirer d’autres informations que la preuve que la clé digitale a effectivement été utilisée pour valider l’ajout du bénéficiaire, élément au demeurant non contesté par l’intimée.

Au vu de ce qui précède, il convient de considérer que la banque ne démontre pas que les opérations litigieuses n’ont pas été affectées par une déficience technique ou autre, ni qu’elles sont la conséquence de la négligence grave de Mme [K] dans l’exécution de ses obligations.

Le jugement déféré est donc confirmé en ce qu’il a retenu que la banque est tenue d’indemniser sa cliente des conséquences dommageables subies par celle-ci du fait de l’escroquerie dont elle a été victime et l’a condamnée au paiement de la somme de 11 510 euros.

Il est encore confirmé en ses dispositions relatives aux frais irrépétibles et aux dépens.

En cause d’appel, la banque, partie perdante, est condamnée aux dépens et à payer à Mme [K] la somme de 2 000 euros sur le fondement de l’article 700 du code de procédure civile.

PAR CES MOTIFS

La cour,

Confirme le jugement déféré en toutes ses dispositions,

Y ajoutant,

Condamne la société BNP Paribas à payer à Mme [H] [K] la somme de 2 000 euros sur le fondement de l’article 700 du code de procédure civile,

Condamne la société BNP Paribas aux dépens d’appel,

Fait application des dispositions de l’article 699 du code de procédure civile au profit des avocats qui en ont fait la demande.

LE GREFFIER LE PRÉSIDENT