REPUBLIQUE FRANCAISE

AU NOM DU PEUPLE FRANCAIS

COUR D’APPEL DE PARIS

Pôle 5 – Chambre 6

ARRET DU 08 NOVEMBRE 2023

(n° , 14 pages)

Numéro d’inscription au répertoire général : N° RG 22/01432 – N° Portalis 35L7-V-B7G-CFCGM

Décision déférée à la Cour : Jugement du 23 Septembre 2021 -Tribunal de Commerce de PARIS RG n° 2021013392

APPELANTE

S.A. BRED BANQUE POPULAIRE

[Adresse 3]

[Localité 8]

Représentée par Me Jean-Philippe GOSSET de la SELEURL CABINET GOSSET, avocat au barreau de PARIS, toque : B0812, avocat postulant et plaidant

INTIMES

Monsieur [B] [U]

[Adresse 1]

[Localité 6]

S.A.S. TEXAGERES

[Adresse 4]

[Localité 7]

Représentés par Me Sandra OHANA de l’AARPI OHANA ZERHAT CABINET D’AVOCATS, avocat au barreau de PARIS, toque : C1050

INTERVENANTS

SELARL FHB prise en la personne de Me Benjamin TAMBOISE, administrateur judiciaire de la société TEXAGERES

[Adresse 2]

[Localité 9]

non représentée (signifiaction de la déclaration d’appel en date du 12 juillet 2023 – procès verbal du 12 juillet 2023 de remise à personne morale)

SELAFA MJA prise en la personne de Me [G] [X] intervenant en qualité de mandataire judiciaire de la société TEXAGERES

Chez ASTEREN

[Adresse 5]

[Localité 8]

non représentée (signification de la déclaration d’appel en date du 6 juillet 2023 – procès verbal de remise à personne morale du 13 juillet 2023)

COMPOSITION DE LA COUR :

L’affaire a été débattue le 19 Septembre 2023, en audience publique, devant la Cour composée de :

M. Marc BAILLY, Président de chambre

M. Vincent BRAUD, Président

Madame Pascale SAPPEY-GUESDON, Conseillère

qui en ont délibéré, un rapport a été présenté à l’audience par Monsieur M. Marc BAILLY, président de chambre dans les conditions prévues par l’article 804 du code de procédure civile.

Greffier, lors des débats : Madame Anaïs DECEBAL

ARRET :

– Réputé contradictoire

– par mise à disposition de l’arrêt au greffe de la Cour, les parties en ayant été préalablement avisées dans les conditions prévues au deuxième alinéa de l’article 450 du code de procédure civile.

– signé par Marc BAILLY, Président de chambre et par Mélanie THOMAS, Greffier, présent lors de la mise à disposition.

* * * * *

La société TEXAGERES exerce une activité de formation continue. Elle a ouvert dans les livres de la banque BRED Banque Populaire, ci-après la BRED, un compte professionnel par acte du 23 novembre 2006. Monsieur [U], son dirigeant, y a également ouvert son compte bancaire personnel.

Le 16 novembre 2020, Monsieur [U] reçoit un SMS lui demandant de saisir un code d’activation dans l’application mobile de la banque, puis le même jour des confirmations de l’activation du logiciel BredSecure. Le même jour, à 22h35, Monsieur [U] reçoit un mail de la banque lui confirmant la mise à jour de son adresse mail. Entre le 16 novembre et le 25 novembre 2020, un certain nombre de prélèvements ont été opérés frauduleusement sur le compte de la société, lesquels ont été dénoncés par Monsieur [A], directeur financier de TEXAGERES par un courriel du 26 novembre 2020. Le 27 novembre 2020 et par l’intermédiaire de son gérant, la société TEXAGERES a déposé une plainte pénale auprès de la gendarmerie pour escroquerie et accès frauduleux dans un système de traitement automatisé de données.

La société TEXAGERES a, par la suite, demandé à la BRED le remboursement. A la suite des démarches de la BRED et suivant la procédure dite du « RECALL » ayant fonctionné pour deux des quatorze virements contestés, les montants de ceux-ci soit 4.850 € et 5.700 € ont pu être recrédités par retour sur le compte de la société TEXAGERES. Les 12 autres virements contestés n’ont pas été remboursés

Saisi par la société TEXAGERES par voie d’assignation délivrée le 12 mars 2021 à la BRED BANQUE POPULAIRE, le tribunal de Commerce de Paris par un jugement en date du 23 septembre 2021 a ainsi statué :

-Déboute la BRED BANQUE POPULAIRE de sa demande de sursis à statuer ;

-Condamné la BRED BANQUE POPULAIRE à payer à la société TEXAGERES la somme de 45 339 euros outre les intérêts au taux légal à compter du 7 décembre 2020 ;

-Condamne la BRED BANQUE POPULAIRE à payer à Monsieur [B] [U] la somme de 4 580 euros, avec intérêts au taux légal à compter du 9 juin 2021 ;

-Condamne la BRED BANQUE POPULAIRE à payer à la société TEXAGERES et Monsieur [B] [U] la somme globale de 3 000 euros sur le fondement de l’article 700 du CPC ;

-Déboute les parties de leurs demandes autres, plus amples ou contraires,

Par déclaration remise au greffe de la cour le 14 janvier 2022, la BRED BANQUE POPULAIRE a interjeté appel de cette décision contre la SAS TEXAGERES et Monsieur [B] [U].

Vu les dernières conclusions en date du 28 juillet 2023 de la BRED BANQUE POPULAIRE qui exposent que :

In limine litis, le prononcé d’un sursis à statuer, conformément à l’article 378 du code de procédure civile et la jurisprudence est nécessaire car :

les faits de fraude allégués sont incertains, dont la véracité ne peut émaner que des résultats définitifs de l’enquête pénale et non des seuls dires de la société TEXAGERES, dont la fraude interne, exonérant intégralement la BRED, n’est pas exclu,

il existe un risque de double réparation en l’espèce en présence d’une plainte pénale aux suites inconnues, en cas de poursuites par le parquet et de la constitution de parties civiles que la société TEXAGERES et Monsieur [U] ne manquerait de former.

A titre subsidiaire et en tout état de cause sur l’absence totale de responsabilité de la BRED, les virements litigieux sont juridiquement autorisés

L’article L.133-2 du code monétaire et financier permet de déroger par contrat aux disposition de l’article L.133-23 du code monétaire et financier lorsque que l’utilisateur n’est pas une personne physique agissant pour des besoins non professionnels. Or les conditions générales de la « Convention de compte courant personnes morales et entrepreneurs individuels » de la BRED, applicables aux opérations litigieuses de la société TEXAGERES, prévoient la dérogation à ces règles de preuves de l’article L.133-23 précité.

Ces stipulations contractuelles issues d’une version des conditions générales datées de 2017 sont opposables puisque les conditions générales de la BRED ont évolué en 2019 mais reprennent à l’identique ces stipulations. Ces nouvelles conditions générales ont été communiquées conformément à l’article L.441-1 ‘ II du Code de commerce.

La convention d’ouverture de compte professionnel signée par la société TEXAGERES stipule que « Ce compte fonctionnera conformément aux Conditions Générales de la Convention BRED Entreprise et aux Conditions Générales des opérations dont je déclare avoir reçu un exemplaire ». Les stipulations contractuelles indiquant que « La preuve des opérations effectuées sur le compte par le CLIENT ou son mandataire résulte des écritures comptables de la BANQUE, sauf preuve contraire apportée par le CLIENT (‘), Et, – « Les enregistrements dématérialisés (électroniques, informatiques) ou leur reproduction sur un support informatique, constituent la preuve des opérations effectuées et la justification de leur inscription au compte, sauf preuve contraire apportée par tous moyens par le CLIENT » sont donc parfaitement opposables à la société TEXAGERES.

Il ressort des traces informatiques des services de la BRED que les virements litigieux ont été exécutés en ligne après connexions et authentifications conformes par la banque, c’est-à-dire précédé d’une connexion conforme à l’identifiant et au code confidentiel connu du seul utilisateur du service BRED.FR et a ensuite fait l’objet d’une authentification valide enregistrée comme telle par les services informatiques de la banque.

Contrairement à ce qu’a déduit la société TEXAGERES d’une prétendue déficience technique du fait de la non apparition des traces informatiques correspondant à l’exécution des virements litigieux (onglet « VIR dp 113023253 ») au sein des onglets « CNX 98561769 » et « CNX 87400608 ». Or les onglets « CNX 98561769 » et « CNX 87400608 » correspondent uniquement aux connexions au compte en ligne BRED de la société TEXAGERES et non à l’exécution des virements listés dans un onglet « VIR dp 113023253 » spécifique. Il est donc normal de ne pas voir figurer l’exécution des virements litigieux au sein des traces informatiques correspondant uniquement aux simples connexions de la société TEXAGERES (onglets « CNX 98561769 » et « CNX 87400608 ») à son compte en ligne BRED.

Chaque virement litigieux a, au préalable, fait l’objet d’un enregistrement d’une connexion de la société demanderesse dûment authentifiée par les services de la BRED. Aucune déficience technique n’est ainsi décelable.

S’agissant des virements contestés sur le compte de Monsieur [U], les conditions générales de la BRED « Personnes Physiques » reprennent la teneur des dispositions légales précitées et l’authentification conforme de l’opération de virement enregistrée par les services de la BRED ainsi que l’a constatée cette dernière en date du 17 novembre 2020 constitue la preuve du consentement de Monsieur [U]. La BRED démontre le caractère authentifié et autorisé des virements contestés.

La société TEXAGERES et Monsieur [U] n’apportent aucun élément permettant de corroborer le caractère non autorisé des virements.

Or, un virement autorisé ne peut juridiquement faire l’objet d’un remboursement par la banque sur les fondements des articles L.133-1 et suivants du Code monétaire et financier.

Il ressort des enregistrements dématérialisés produits par la BRED que les opérations litigieuses respectaient l’ensemble des procédés matériels institués pour effectuer un virement en ligne.

La motivation du tribunal de commerce selon laquelle « les documents ci-dessus d’authentification conformes des opérations litigieuses n’auraient nécessairement aucune force probante, » et que « de tels documents révèleraient en tout état de cause des opérations effectuées en dehors des prétendues « horaires de bureau » et avec des appareils non utilisés à titre habituel par les intimés. » font fi des stipulations contractuelles et sont infondé d’un point de vue juridique

La BRED n’a pas manqué à son devoir général de vigilance, qui est de plus inapplicable à l’espèce

Or selon l’article L133-1 du code monétaire et financier, les virements sont juridiquement autorisés

En application des articles du Code monétaire et financier précités « issus de l’ordonnance du 15 juillet 2009 relative aux conditions régissant la fourniture de services de paiements transposant la directive N°2007/64/CE  » aucune responsabilité ne saurait juridiquement peser sur la BRED. La responsabilité de la BRED ne saurait donc être engagée au regard d’un prétendu manquement à son supposé devoir général de vigilance en matière de virements bancaires, fondement au demeurant particulièrement inadéquat en l’espèce, seuls les articles du code monétaire et financier étant strictement applicables.

La seule destination étrangère de certains virements litigieux, les horaires de ces derniers et la marque de l’appareil ayant servi à leur exécution outrepasse le devoir de vigilance normale du banquier et ne peut servir de griefs aux fins d’engager la responsabilité de la BRED.

En l’absence d’opérations inhabituelles et en outre d’obligation contractuelle de la BRED de contacter téléphoniquement son client pour confirmer toute opération de virement, on peut reprocher à la BRED de ne pas avoir appelée son client pour confirmer les virements litigieux.

A titre subsidiaire, la société TEXAGERES et Monsieur [U] ont commis de graves négligences exonérant la BRED de toutes responsabilité car :

la fraude s’est déroulée du 16 novembre 2020 au 25 novembre 2020 soit pendant près de 10 jours. Pendant cette période, la société TEXAGER et Monsieur [U] étaient en mesure de déceler une telle fraude dès le 16 novembre, date du premier virement contesté. Les enregistrements informatiques de la BRED révèlent que Monsieur [U] (gérant de la société TEXAGERES) ainsi que Monsieur [A] (directeur des affaires financières disposant d’un pouvoir) se sont connectés à l’espace en ligne bancaire pendant la période du 16 au 25 novembre 2020. La responsabilité de la société TEXAGERES et Monsieur [U] dans la réalisation de la fraude dont ils se disent victimes est indéniable,

en date du 16 novembre 2020, Monsieur [U] (gérant de la société TEXAGERES) a reçu successivement des messages par SMS à 15h02, par mail à 15h03, par mail à 15h04, par mail à 22h35. Or, les mail de 15h03 et celui de 22h35 ne manquaient pas de rappeler de manière clairement apparente à Monsieur [U] que « Si vous n’êtes pas à l’origine de cette opération, veuillez prévenir dès que possible votre responsable commercial ou BRED Direct Entreprise ». Pourtant, ce n’est que le 26 novembre 2020 et par l’intermédiaire de son directeur des affaires financières que l’existence de la fraude alléguée a été tardivement communiquée à la BRED, l’attentisme de la société TEXAGERES et Monsieur [U] est donc seul à l’origine de leur propre préjudice.

L’hypothèse selon laquelle Monsieur [U] a lui-même confirmé l’activation du service BRED SECURE n’est pas à exclure.

La chargée du compte de la société TEXAGERES (salariée au sein de la BRED en tant que chargée d’affaire entreprises) certifie qu’à l’époque des faits la société TEXAGERES et Monsieur [U] ne prenaient pas toute mesure raisonnable pour préserver la sécurité de leurs données de sécurité personnalisées et ce contrairement aux dispositions légales et stipulations contractuelles.

Aucun partage de responsabilité ne saurait être prononcée en présence des négligences graves des intimés

De sorte qu’il demande à la cour de :

A TITE PRINCIPAL ET IN LIMINE LITIS :

-SURSEOIR A STATUER dans l’attente de la communication aux présents débats des résultats de l’enquête pénale actuellement en cours à la suite de la plainte pénale déposée par la société TEXAGERES en date du 27 novembre 2020 et ce aux fins de vérification et de connaissance de l’intégralité des faits de prétendue fraude allégués,

-JUGER en outre qu’en l’absence de sursis à statuer, il existe un risque de double réparation des intimés par la Cour de céans et par le Juge pénal en présence d’une plainte pénale aux suites inconnues en l’espèce,

A TITRE SUBSIDIAIRE :

-JUGER en tout état de cause que la responsabilité de la BRED est juridiquement impossible à engager au regard du caractère autorisé des virements contestés et de l’absence de manquement à son devoir de vigilance au demeurant inapplicable en l’espèce,

-DEBOUTER en conséquence la société TEXAGERES et Monsieur [U] de l’intégralité de leurs demandes, fins et prétentions,

-JUGER en outre que la société TEXAGERES et Monsieur [U] sont seuls à l’origine de la fraude dont ils se prétendent victimes en raison de leurs graves négligences,

-La DEBOUTER de plus fort de l’intégralité de ses demandes, fins et prétentions.

En tout état de cause :

-CONDAMNER solidairement les intimés à verser à la BRED la somme de 4.000 € au titre des dispositions de l’article 700 du Code de procédure civile ;

Vu les dernières conclusions en date du 28 juin 2022 de la société TEXAGERES et Monsieur [U] qui exposent que :

In limine litis la demande de sursis à statuer de la BRED ne peut pas prospérer car

elle invoque un risque inexistant de double réparation, au cas infiniment improbable où les auteurs des fraudes seraient appréhendés et poursuivis, et où la société TEXAGERES pourrait obtenir réparation desdits auteurs. Or c’est précisément parce que cette hypothèse n’a pas de chance de prospérer que le législateur a prévu les dispositions protectrices du Code monétaire et financier qui fondent la présente instance,

elle invoque aussi la nécessité d’une certitude sur une possible fraude de la société TEXAGERES, en évoquant de façon tronquée une attestation de la chargée de compte Madame [M] et dont les propos ne permettent de soupçonner la société TEXAGERES de quelque fait frauduleux que ce soit,

il résulte de l’article 4 du code de procédure pénale que seule l’action civile en réparation du dommage subi du fait de l’infraction impose le sursis à statuer et que : « ‘La mise en mouvement de l’action publique n’impose pas la suspension du jugement des autres actions exercées devant la juridiction civile, de quelque nature qu’elles soient, même si la décision à intervenir au pénal est susceptible d’exercer, directement ou indirectement, une influence sur la solution du procès civil. ». La jurisprudence versée aux débats par la BRED BP décide qu’en l’absence de plainte avec constitution de partie civile, il n’y a pas lieu de surseoir à statuer. Or, la société TEXAGERES n’a pas déposé plainte avec constitution de partie civile. De plus, les suites de la plainte déposée ensuite des faits frauduleux à l’origine du présent litige sont totalement inconnues, et la jurisprudence décide en pareil cas que le sursis à statuer n’a pas lieu d’être prononcé,

La BRED BANQUE POPULAIRE a engagé sa responsabilité car :

Des virements frauduleux non émis par Monsieur [U] ou Monsieur [A] de la société TEXAGERES ont été réalisés depuis le compte professionnel de la société TEXAGERES, et le compte personnel de Monsieur [U], entre le 16/11/20 et le 25/11/20, en suite d’une mise à jour de sécurité du système « BRED Connect ». Des tiers ont réussi à s’introduire dans le compte de la société (et de Monsieur [U]), à modifier son mail et réaliser les opérations sus mentionnées, sans que la BRED BP ne téléphone à la société ou à Monsieur [U]. Or la jurisprudence exige pourtant fréquemment qu’en cas de modifications inhabituelles, la banque prenne l’attache téléphonique de ses clients. De plus, ni les créations des bénéficiaires frauduleux, ni les virements frauduleux n’ont pas généré de mails à l’attention de Monsieur [U] ou de Monsieur [A], comme c’est le cas habituellement.

La BRED BANQUE POPULAIRE, qui a indiqué diligenter des investigations, n’a fourni aucun élément ni aucune explication à la société en dépit de ses demandes.

Les dispositions de l’article L 133-18 du Code Monétaire et Financier d’ordre public et applicables en l’espèce sont parfaitement claires et prévoient un remboursement immédiat du payeur au plus tard à la fin du premier jour ouvrable suivant le signalement des opérations non autorisées Or la BRED BANQUE POPULAIRE n’a ni procédé au remboursement des sommes virées frauduleusement, ni apporté d’éclaircissement sur les circonstances de la fraude, ses systèmes de sécurité, les mesures d’analyse ou de correction effectuées, ou sur les motifs de l’absence de remboursement

La BRED BANQUE POPULAIRE prétend que les virements litigieux étaient juridiquement autorisés, en application de la convention entre les parties et notamment des articles 3 et 7 de la « Convention de compte courant personnes morales et entrepreneurs individuels ». Or la responsabilité de l’article L133-18est une responsabilité de plein droit dont la banque ne peut s’exonérer qu’en démontrant une faute grave de son client.

La convention produite porte en page 16 la date de ladite convention : mars 2017 ; il ne s’agit pas, à l’évidence, de la convention conclue lors de l’ouverture du compte le 23 novembre 2006 les dispositions invoquées n’ont donc pas vocation à s’appliquer.

Les « traces informatiques » produites par la banque est un document non daté, non signé et non authentifié. De plus les connexions à l’origine des virements frauduleux, relatées sous l’Onglet « VIR dp 113023253 » ne figurent ni dans le relevé des connexions de l’onglet “CNX 98561769 » (selon le document : connexions authentifiées par l’utilisateur n°98561769, correspondant à Monsieur [B] [U]. L’utilisateur n°98561769 disposait d’un pseudo “james007), ni dans le relevé des connexions de l’onglet CNX 87400608 (selon le document, connexions authentifiées par l’utilisateur n°87400608, correspondant à Monsieur [F] [A]. L’utilisateur n° 87400608 disposait d’un pseudo “DAFTexageres”). Or, seuls Monsieur [U] et Monsieur [A] ont le pouvoir d’effectuer des opérations sur le compte. Dès lors la banque ne prouve pas que les virements frauduleux ont été réalisés par les utilisateurs autorisés.

En tout état de cause, le jurisprudence précise que les opérations même apparemment authentifiées ne permettent pas de présumer que l’utilisateur a donné son autorisation : c’est le principe de présomption de bonne foi du client de services de paiement issue de l’évolution législative européenne

La société TEXAGERES et ses représentants n’ont pas été négligent car

Le code monétaire et financier ne met pas à la charge de l’utilisateur de services de paiement un devoir de « déceler », et donne à l’utilisateur une limite de 13 mois après la date des débits contestés, s’il a connaissance d’une utilisation non autorisée, pour informer sans tarder son prestataire.

La société TEXAGERES et M. [U] ont prévenu immédiatement la BRED BP lors qu’ils ont eu connaissance des virements frauduleux. La banque ne prouve en aucun cas que société TEXAGERES ou M. [U] ont eu connaissance des virements frauduleux avant le 26 novembre 2020.

La notion de négligence grave a été strictement encadrée par la jurisprudence : il s’agit de la divulgation d’informations confidentielles. La charge de la preuve de cette divulgation pèse sur les prestataires de services de paiement, qui doivent au surplus démontrer que leurs systèmes n’ont été affectés par aucune défaillance technique.

La BRED BANQUE POPULAIRE se fonde sur un témoignage tronqué de Madame [M]. Monsieur [A] a précisé dans une attestation qu’il avait indiqué n’être pas le seul à se connecter puisque le président de TEXAGERES a pouvoir de se connecter et d’effectuer des opérations, ainsi que l’aide comptable de la société qui a pouvoir de consultation. Mr [U] nie être à l’origine des connexions de l’onglet CNX 98561769, qui ont été effectuées par un appareil SM ‘ A260 F soit un SAMSUNG alors que Monsieur [U] n’utilise que des iPhones et ordinateurs Mac. La banque ne prouve ni que la société TEXAGERES ait divulgué des informations confidentielles, ni que ses services n’ont pas été affectés par une déficience technique, la BRED BANQUE POPULAIRE ne saurait pas être exonérer de sa responsabilité.

De sorte qu’il demande à la cour de :

-RECEVOIR la Société TEXAGERES en ses écritures et l’en déclarer bien fondée.

En conséquence,

-CONFIRMER le jugement en toutes ses dispositions.

Ajoutant, en cause d’appel :

-CONDAMNER la Société BRED BANQUE POPULAIRE à verser à la Société TEXAGERES et à Monsieur [B] [U] chacun la somme de 3.000 € en application de l’article 700 du Code de procédure civile.

Vu l’ordonnance d’interruption d’instance du 20 juin 2013 à raison du placement en redressement judiciaire de la société Texageres et la reprise d’instance par l’assignation en intervention forcée du 12 juillet 2023 de la Selarl FHB prise en la personne de Me [J] [R] en qualité d’administrateur judiciaire et de de la Selarl MJA prise en la personne de Me [G] [X] en qualité de mandataire judiciaire ;

Vu l’ordonnance de clôture rendue le 12 septembre 2023 ;

MOTIFS

C’est à juste titre que le tribunal a rejeté la demande de sursis à statuer dans l’attente ‘du résultat de l’enquête pénale’ dès lors qu’il n’est pas justifié de la mise en mouvement de l’action publique à la suite de la plainte simple déposée par la société Texageres ni même de la réalité d’une enquête préliminaire, que la présente action ne poursuit pas l’indemnisation du préjudice issu de l’infraction dénoncée mais d’un manquement de la banque à ses obligations contractuelles et que c’est par une extrapolation injustifiée que la Banque Populaire fait valoir que la seule consultation des comptes – à l’exception de toute possibilité d’opération – par d’autres préposés selon les prétendues déclarations de M. [A], directeur administratif et financier telles que rapportées par la propre chargée de clientèle de la Bred Banque Populaire ayant en portefeuille la société Texageres, laisserait supposer l’hypothèse d’une complicité interne à la société intimée.

La société Texageres est dans les liens d’une convention de compte courant avec la Bred Banque Populaire depuis le 23 novembre 2006 et, dès lors que le relevé de compte du mois de juillet 2019, dont la société cliente ne conteste pas la réception, comporte mention de ce que les conditions générales du contrat ‘ont évolué’ et que ‘la nouvelle version est disponible sur le site Bred.Fr rubrique information réglementaires – conditions générales et entrera en vigueur 30 jours après la date d’envoi de ce relevé d’opération’, lesdites conditions générales sont opposables à la société Texageres contrairement à ce qu’elle prétend.

En effet, si le silence ne vaut pas à lui seul acceptation, il en est différemment lorsque les circonstances permettent de donner à ce silence la signification d’une acceptation or, en l’espèce, la poursuite de l’exécution de la convention sans protestation par la société Texageres alors que les conditions générales notifiées disposent que les modifications autres que légales des conditions de la convention de compte ‘seront portées à la connaissance du client avec un préavis de trente jours, par ( …) un message porté sur les relevés de compte. Le client dispose d’un délai d’un mois pour faire connaître son désaccord sur les modifications proposées. Ce désaccord entraînera la dénonciation de la convention (…)’ rendent opposables les nouvelles conditions générales.

Il ressort des explications de la société Texageres, appuyées par les pièces produites  :

– que M. [U], son gérant, a reçu un sms, le 16 novembre 2020, lui demandant d’activer un service BREDSecure, dénomination par la banque du système de sécurisation des transactions,

– qu’il a ensuite reçu deux mails lui confirmant l’activation de BREDSecure et l’inscription d’un appareil de confiance,

– que du 16 au 25 novembre 2020, des virements SEPA – contestés par la société Texageres – ont été effectués au bénéfice de personnes inconnues de la société :

– le 16 novembre, 3 981 euros mykola horani, 5 840 euros nestrirenko natalia, 5 319 euros tti Success inside,

– le 17 novembre, 5 700 euros aleh yakauleu,

– le 19 novembre, 3200 euros kirill tuz,

– le 23 novembre, 3 950 euros yulii churkin, 4 850 euros [V] [O]

– le 24 novembre, 4500 euros aruuke avazbekova, 3 998 euros zirek raimberdieva

– le 25 novembre, 4800 euros nestrirenko natalia 5 700 euros [E] [D] 5 210 euros [S] [I],

– que les 16 au 17 novembre 2020, des virements SEPA à partir du compte personnel de M. [U] – contestés par lui – ont été effectués au bénéfice de personnes inconnues de lui, 4 580 euros le 16 novembre ruslan koval, 5 200 euros le 17 novembre alan margiev,

– que la société Texageres a alerté la banque le 26 novembre et que les deux derniers virements suivants de 4 850 euros et de 5 700 euros ont pu être recrédités le 28 décembre suivant après que la BRED a mis en oeuvre la procédure de rappel auprès de la banque destinataire tandis que le deuxième virement du compte de M. [U] de 5 200 euros a connu le même sort et été recrédité le 28 décembre suivant également.

L’article L 133-8 alinéa 1er du code monétaire et financier dispose que :

‘En cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L. 133-24, le prestataire de services de paiement du payeur rembourse immédiatement au payeur le montant de l’opération non autorisée et, le cas échéant, rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu.

Le payeur et son prestataire de services de paiement peuvent décider contractuellement d’une indemnité complémentaire’, tandis que l’article L 113-19 prévoit que :

‘I. ‘ En cas d’opération de paiement non autorisée consécutive à la perte ou au vol de l’instrument de paiement, le payeur supporte, avant l’information prévue à l’article L. 133-17, les pertes liées à l’utilisation de cet instrument, dans la limite d’un plafond de 50 €.

Toutefois, la responsabilité du payeur n’est pas engagée en cas :

‘ d’opération de paiement non autorisée effectuée sans utilisation des données de sécurité personnalisées ;

‘ de perte ou de vol d’un instrument de paiement ne pouvant être détecté par le payeur avant le paiement ;

‘ de perte due à des actes ou à une carence d’un salarié, d’un agent ou d’une succursale d’un prestataire de services de paiement ou d’une entité vers laquelle ses activités ont été externalisées.

II. ‘ La responsabilité du payeur n’est pas engagée si l’opération de paiement non autorisée a été effectuée en détournant, à l’insu du payeur, l’instrument de paiement ou les données qui lui sont liées.

Elle n’est pas engagée non plus en cas de contrefaçon de l’instrument de paiement si, au moment de l’opération de paiement non autorisée, le payeur était en possession de son instrument.

III. ‘ Sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si le prestataire de services de paiement ne fournit pas de moyens appropriés permettant l’information aux fins de blocage de l’instrument de paiement prévue à l’article L. 133-17.

IV. ‘ Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17.

V. ‘ Sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si l’opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement du payeur n’exige une authentification forte du payeur prévue à l’article L. 133-44.’

L’authentification forte et les cas dans lesquels elle doit être mise en oeuvre est définie et prévue aux articles L 133-4 f et L133-44 I du code monétaire et financier qui disposent que :

-‘f) Une authentification forte du client s’entend d’une authentification reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories ” connaissance ” (quelque chose que seul l’utilisateur connaît), ” possession ” (quelque chose que seul l’utilisateur possède) et ” inhérence ” (quelque chose que l’utilisateur est) et indépendants en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d’authentification’, et que

– ‘I. ‘ Le prestataire de services de paiement applique l’authentification forte du client définie au f de l’article L. 133-4 lorsque le payeur :

1° Accède à son compte de paiement en ligne ;

2° Initie une opération de paiement électronique ;

3° Exécute une opération par le biais d’un moyen de communication à distance, susceptible de comporter un risque de fraude en matière de paiement ou de toute autre utilisation frauduleuse’.

Les articles L133-23 et L133-24 relatifs aux modalités pratiques et délais en cas d’opérations de paiement non autorisées ou mal exécutées prévoient que :

‘Lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre.

L’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière. Le prestataire de services de paiement, y compris, le cas échéant, le prestataire de services de paiement fournissant un service d’initiation de paiement, fournit des éléments afin de prouver la fraude ou la négligence grave commise par l’utilisateur de services de paiement.’ et que

‘L’utilisateur de services de paiement signale, sans tarder, à son prestataire de services de paiement une opération de paiement non autorisée ou mal exécutée et au plus tard dans les treize mois suivant la date de débit sous peine de forclusion à moins que le prestataire de services de paiement ne lui ait pas fourni ou n’ait pas mis à sa disposition les informations relatives à cette opération de paiement conformément au chapitre IV du titre 1er du livre III.

Sauf dans les cas où l’utilisateur est une personne physique agissant pour des besoins non professionnels, les parties peuvent convenir d’un délai distinct de celui prévu au présent article.

Les dispositions du présent article s’appliquent, indifféremment de l’intervention d’un prestataire de services de paiement fournissant un service d’initiation de paiement dans l’opération de paiement’.

‘Lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre.

L’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière’ et que :

‘L’utilisateur de services de paiement signale, sans tarder, à son prestataire de services de paiement une opération de paiement non autorisée ou mal exécutée et au plus tard dans les treize mois suivant la date de débit sous peine de forclusion à moins que le prestataire de services de paiement ne lui ait pas fourni ou n’ait pas mis à sa disposition les informations relatives à cette opération de paiement conformément au chapitre IVdu titre 1er du livre III.

Sauf dans les cas où l’utilisateur est une personne physique agissant pour des besoins non professionnels, les parties peuvent convenir d’un délai distinct de celui prévu au présent article’.

La BRED a produit aux débats le listing des traces informatiques de connexion de la société Texageres en faisant valoir qu’il est ainsi établi que les virements litigieux ont été dûment authentifiés sans déficience technique et qu’il est donc démontré qu’ils revêtent un caractère autorisé de sorte qu’elle ne saurait être tenue à remboursement d’autant que les conditions générales opposables disposent, pas dérogation expresse à l’article L133-23 du code monétaire et financier rapporté ci-dessus en prévoyant que :

‘La preuve des opérations effectuées sur le compte par le CLIENT ou son mandataire résulte des écritures comptables de la BANQUE, sauf preuve contraire apportée par le CLIENT (‘) Les enregistrements dématérialisés (électroniques, informatiques) ou leur reproduction sur un support informatique, constituent la preuve des opérations effectuées et la justification de leur inscription au compte, sauf preuve contraire apportée par tous moyens par le CLIENT’.

La société Texageres et M. [U] exposent qu’au contraire des autres connexions normalement effectuées par M. [U] et M. [A], directeur administratif et financier autorisé, toutes effectuées au moyen de téléphone et ordinateurs de marque Appel, les virements ont été réalisés au moyen d’appareils de marque Samsung, il doit être observé : que cette affirmation est corroborée par les traces informatiques produites puisque les connexions reconnues par le mandataire social ou le préposé de la société Taxegeres, généralement réalisés ‘aux heures de bureau’, comme ils le font valoir, sont toutes (plusieurs dizaines) faites soit, pour M. [U], à partir d’un Iphone sous le pseudonyme qui lui est attribué ‘james007″ ou à partir d’un système d’exploitation Android avec son numéro d’utilisateur (98561769) soit, pour M. [A] à partir d’un système Appleweb avec le moteur de recherche Chrome Safari associé à son numéro d’utilisateur (DAFTtexageres 874000608) tandis que toutes les connexions comportant les ordres de virements frauduleux sont faites – à des plages horaires de 21h11 à 23h08 – au moyen du moteur de recherche Mozilla Firefox sous Windows.

Il ressort donc de la plainte portée par M. [U] et de ses explications, appuyées par les courriels reçus à la suite de son action sur le compte motivée par le sms le lui demandant, de la circonstances que tant son propre compte personnel que celui de la société a connu des virements non voulus et des constatations factuelles ci-dessus la preuve que l’action de M. [U] sur la système BREDSecure a permis l’introduction d’un logiciel malveillant ayant permis à des tiers de créer de nouveaux bénéficiaires et d’ordonner les virements au moyen de la connexion -internet ou mobile – de la société Texageres ou de M. [U].

Ce ne sont donc ni M. [U] ni la société Texageres qui sont à l’origine des demandes de virements auxquels ils n’ont pas consenti, de sorte qu’ils ne peuvent être considérés comme autorisés en vertu de l’article L133-6 alinéa 1er du code monétaire et financier qui prévoit que ‘une opération de paiement est autorisée si le payeur a donné son consentement à son exécution’.

C’est vainement que la Banque Populaire oppose la convention sur la preuve citée ci-dessus selon laquelle les demandes faites au moyen d’une connexion du client sont réputées démontrées alors qu’elle ménage la possibilité d’une preuve contraire, rapportée en l’espèce.

C’est également vainement qu’elle invoque une exclusion de responsabilité figurant à l’article 7 des conditions générales qui stipule que ‘le CLIENT décharge la BANQUE de toute responsabilité dans l’exécution de tout ordre revêtu d’une si nature apocryphe non décelable à première vue par toute personne normalement avisée et qui n’aurait pas fait l’objet d’une opposition préalable’ dès lors que l’introduction d’un logiciel malveillant ayant permis les opérations contestées par des tiers au moyen des données d’authentification de la société cliente ne s’assimile pas à une signature apocryphe au sens de cette stipulation, qui gouverne au demeurant les ordres de virements par écrit et signé de la main des personnes habilitées au sein de la société cliente.

Il en est d’autant plus ainsi que le paragraphe qui suit des conditions générales au sein du même article 7 rappelle les termes de la loi en énonçant ‘en cas d’opération de paiement non autorisée, la BANQUE remboursera immédiatement au CLIENT son montant et, le cas échéant, rétablira le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisé n’avait pas eu lieu’.

Par application des dispositions légale rapportées ci-dessus et de cette stipulation, la Banque Populaire est donc tenue de rembourser les sommes à la société Texageres, sauf si elle démontre une négligence grave de la société agissant par son mandataire social ou ses préposés mais à la condition qu’ait été instaure une authentification forte car en son absence, seule la fraude de l’utilisateur pourrait être utilement invoquée.

La cour est laissée dans l’ignorance de l’instauration d’un système d’authentification forte mais en tout état de cause, en l’espèce, le fait que M. [U] ait répondu à une sollicitation reçue par sms, qu’il pensait recevoir de la banque, lui demandant ‘d’activer le système BREDSecure’) à la suite de laquelle il a reçu deux courriels de la banque lui confirmant ‘l’activation du système BREDSecure’ et la mise à jour de son adresse avec possibilité de la vérifier sur le site de la banque, si elle a été imprudente à raison de ce que la sollicitation initiale provenait d’un tiers dont M. [U] a pu croire, mais sans le vérifier, qu’il s’agissait de la BRED, ne peut être considéré comme une négligence qui revêt le caractère de gravité exigé par le texte appliqué.

Dès lors que les virements frauduleux se sont étalés au cours d’une période de seulement neuf jours et n’étaient constitués, à chaque fois, que de sommes relativement modestes à partir du compte créditeur, ce qui ne dénote pas au regard des transactions authentiques régulièrement opérées par la société Texageres comme cela ressort des relevés de compte fournis, il ne saurait être retenu aucun défaut fautif de surveillance de ses comptes par cette dernière.

En conséquence, il y a lieu de confirmer le jugement entrepris en ce qu’il a condamné la banque à rembourser la société Texageres sans qu’il soit besoin d’examiner les manquements reprochés à la Banque Populaire à son obligation de vigilance.

S’agissant du seul premier virement non recrédité opéré au détriment de M. [U] sur son compte personnel, les mêmes considérations – étant seulement observé qu’il ne pouvait être dérogé aux dispositions légales relativement à la responsabilité de la banque – conduisent également à confirmer le jugement ayant ordonné le remboursement de ce virement non autorisé dès lors que le défaut de surveillance de son compte qui lui est reproché ne saurait être considéré comme constitué par le fait qu’il n’ait pas immédiatement remarqué l’existence du premier virement et alors que le second lui a été restitué.

Il résulte de tout ce qui précède que le jugement doit être confirmé en toutes ses dispositions, la société BRED Banque Populaire condamnée aux dépens ainsi qu’à payer à M. [B] [U] et à la société Texageres représentée par la Selarl FHB prise en la personne de Me [J] [R] en qualité d’administrateur judiciaire et de de la Selarl MJA prise en la personne de Me [G] [X] en qualité de mandataire judiciaire, la somme de 3 000 euros en application de l’article 700 du code de procédure civile.

PAR CES MOTIFS

CONSTATE la reprise d’instance ;

CONFIRME le jugement entrepris en toutes ses dispositions ;

CONDAMNE la société BRED Banque Populaire à payer à M. [B] [U] et à la société Texageres représentée par la Selarl FHB prise en la personne de Me [J] [R] en qualité d’administrateur judiciaire et de la Selarl MJA prise en la personne de Me [G] [X] en qualité de mandataire judiciaire la somme de 3 000 euros en application de l’article 700 du code de procédure civile ;

CONDAMNE la société BRED Banque Populaire aux dépens d’appel.

LE GREFFIER LE PRÉSIDENT