AU NOM DU PEUPLE FRANCAIS

COUR D’APPEL DE PARIS

Pôle 5 – Chambre 6

ARRET DU 11 SEPTEMBRE 2024

(n° , 7 pages)

Numéro d’inscription au répertoire général : N° RG 22/12853 – N° Portalis 35L7-V-B7G-CGEET

Décision déférée à la Cour : Jugement du 30 Juin 2022 – tribunal de commerce de Paris – 6ème chambre – RG n° 2021023235

APPELANT

Monsieur [T] [P]

né le [Date naissance 1] 1944 à [Localité 6]

[Adresse 3]

[Localité 11]

Représenté par Me Marion CHARBONNIER de la SELARL ALEXANDRE-BRESDIN-CHARBONNIER, avocat au barreau de PARIS, toque : D0947

Ayant pour avocat plaidant Me Philippe RUIZ de la SCP APPIETTO – PETRESCHI – RUIZ – COURAUD – MARCHI SEREZO – GUILHAUMAUD, avocat au barreau de PARIS, toque : D 384

INTIMÉE

S.A. BRED BANQUE POPULAIRE

[Adresse 2]

[Localité 4]

N° SIRET : 552 091 795

agissant poursuites et diligences de ses représentants légaux domiciliés en cette qualité audit siège

Représentée par Me Frédéric DOCEUL de la SELAS LHUMEAU GIORGETTI HENNEQUIN & ASSOCIES, avocat au barreau de PARIS, toque : P0483

Ayant pour avocat plaidant Me Damien DE LA MORTIERE, avocat au barreau de Paris, du même cabinet

COMPOSITION DE LA COUR :

L’affaire a été débattue le 04 Juin 2024, en audience publique, devant la Cour composée de :

M. Vincent BRAUD, président

M. Marc BAILLY, président

MME Pascale SAPPEY-GUESDON, conseillère

qui en ont délibéré, un rapport a été présenté à l’audience par M. Vincent BRAUD dans les conditions prévues par l’article 804 du code de procédure civile.

Greffier, lors des débats : Mme Mélanie THOMAS

ARRET :

– contradictoire

– par mise à disposition de l’arrêt au greffe de la Cour, les parties en ayant été préalablement avisées dans les conditions prévues au deuxième alinéa de l’article 450 du code de procédure civile.

– signé par Vincent BRAUD, président, et par Mélanie THOMAS, greffier, présent lors de la mise à disposition.

* * * * *

[T] [P],qui était titulaire avec son épouse [V] [P] d’un compte bancaire ouvert dans les livres de la BRED Banque populaire assorti d’un abonnement à l’espace en ligne BRED Connect, leur conférant un accès dématérialisé à leur compte sur Internet, à tout moment, a constaté le 1er mars 2021 que les 25 janvier et 23 février 2021 cinq opérations litigieuses étaient enregistrées au débit de son compte pour un montant total de 29 988,29 euros.

Le 2 mars 2021, [T] [P] a déposé une plainte contre personne non dénommée au commissariat de [Localité 14], a prévenu sa banque et a confirmé par courriel la teneur de ses échanges avec cette dernière, à savoir qu’elle ne pourrait avoir une action qu’à partir de l’instant où [T] [P] pourrait matérialiser l’escroquerie par des documents.

Le 4 mars 2021, [T] [P] a écrit au service « relations clientèle » de la banque. En réponse le 12 mars 2021, celle-ci a émis une fin de non-recevoir au motif que les virements avaient été effectués depuis un espace privé BRED Connect dont l’accès ne peut être réalisé qu’avec les codes d’identification « uniques et strictement personnels ».

Le 24 mars 2021, par lettre recommandée avec accusé de réception, le conseil de [T] [P] a demandé à la banque de revoir sa position et de recréditer le compte de [T] [P] du montant des virements frauduleux. Le 22 avril 2021, la BRED Banque populaire confirmait sa position.

Par exploit en date du 6 mai 2021, [T] [P] a assigné la BRED Banque populaire devant le tribunal de commerce de Paris.

Par jugement contradictoire en date du 30 juin 2022, le tribunal de commerce de Paris a :

‘ Débouté [T] [P] de l’ensemble de ses demandes ;

‘ Condamné [T] [P] à payer 1 500 euros à la société BRED Banque populaire au titre de l’article 700 du code de procédure civile ;

‘ Condamné [T] [P] aux dépens, dont ceux à recouvrer par le greffe, liquidés à la somme de 70,86 euros dont 11,60 euros de taxe sur la valeur ajoutée.

Aux termes de ses dernières conclusions déposées le 20 mars 2024, [T] [P] demande à la cour de :

RECEVOIR Monsieur [P] en son appel

L’Y DECLARER FONDÉ

Y FAIRE DROIT

REFORMER le jugement entrepris en toutes ses dispositions

Statuant à nouveau

Vu les articles L 133-18 et suivants du code monétaire et financier

Vu les arrêts rendus par la Chambre Commerciale de la Cour de Cassation notamment en date des 18 janvier 2017 et 21 novembre 2018

CONDAMNER la BRED à payer à Monsieur [P] :

– A titre de remboursement des virements non autorisés et de rétablissement en l’état antérieur de son compte à tort débité : la somme de 29.988,29 € avec intérêts au taux légal à compter du 4 mars 2021 et majorations article L133-18 du Code Monétaire et Financier

– A titre de dommages intérêts pour préjudice financier : la somme de 5.000 €

– A titre de dommages intérêts pour préjudice moral : la somme de 15.000 €

– Au titre de l’article 700 du Code de Procédure Civile : la somme de 6.000 €

La CONDAMNER aux entiers dépens.

Aux termes de ses dernières conclusions déposées le 3 avril 2024, la société anonyme coopérative de banque populaire BRED Banque populaire demande à la cour de :

RECEVOIR la BRED BANQUE POPULAIRE en ses conclusions et demandes reconventionnelles, l’y déclarant bien fondée,

CONFIRMER le jugement entrepris en son entier dispositif,

DEBOUTER en tout état de cause Monsieur [T] [P] de l’intégralité de ses demandes, fins et conclusions,

CONDAMNER Monsieur [T] [P] à verser à la BRED BANQUE POPULAIRE la somme de 2.500 €, en application des dispositions de l’article 700 du code de procédure civile, et ce au titre des frais irrépétibles d’appel,

CONDAMNER Monsieur [T] [P] aux entiers dépens d’appel, dont distraction au profit de la SELAS LGH & ASSOCIES, en la personne de Maître Frédéric DOCEUL, avocat aux offres de droit, en application des dispositions de l’article 699 du Code de procédure civile.

Pour un plus ample exposé des faits, de la procédure, des moyens et des prétentions des parties, il est expressément renvoyé au jugement déféré et aux dernières conclusions écrites déposées en application de l’article 455 du code de procédure civile.

L’ordonnance de clôture a été rendue le 30 avril 2024 et l’audience fixée au 4 juin 2024.

CELA EXPOSÉ,

À la date des faits litigieux, les dispositions du code monétaire et financier applicables étaient les suivantes.

Aux termes de l’article L. 133-6, paragraphe premier, alinéa premier, du code monétaire et financier dans sa rédaction applicable à l’espèce, une opération de payement est autorisée si le payeur a donné son consentement à son exécution.

L’article L. 133-16 du même code dispose :

« Dès qu’il reçoit un instrument de paiement, l’utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées.

« Il utilise l’instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation qui doivent être objectives, non discriminatoires et proportionnées. »

Aux termes de l’article L. 133-17, paragraphe premier, du même code, lorsqu’il a connaissance de la perte, du vol, du détournement ou de toute utilisation non autorisée de son instrument de paiement ou des données qui lui sont liées, l’utilisateur de services de paiement en informe sans tarder, aux fins de blocage de l’instrument, son prestataire ou l’entité désignée par celui-ci.

L’article L. 133-18, alinéa premier, du même code dispose :

« En cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L. 133-24, le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement et s’il communique ces raisons par écrit à la Banque de France. Le cas échéant, le prestataire de services de paiement du payeur rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu. »

L’article L. 133-19 du même code dispose :

« I. ‘ En cas d’opération de paiement non autorisée consécutive à la perte ou au vol de l’instrument de paiement, le payeur supporte, avant l’information prévue à l’article L. 133-17, les pertes liées à l’utilisation de cet instrument, dans la limite d’un plafond de 50 €.

« Toutefois, la responsabilité du payeur n’est pas engagée en cas :

« ‘ d’opération de paiement non autorisée effectuée sans utilisation des données de sécurité personnalisées ;

« ‘ de perte ou de vol d’un instrument de paiement ne pouvant être détecté par le payeur avant le paiement ;

« ‘ de perte due à des actes ou à une carence d’un salarié, d’un agent ou d’une succursale d’un prestataire de services de paiement ou d’une entité vers laquelle ses activités ont été externalisées.

« II. ‘ La responsabilité du payeur n’est pas engagée si l’opération de paiement non autorisée a été effectuée en détournant, à l’insu du payeur, l’instrument de paiement ou les données qui lui sont liées.

« Elle n’est pas engagée non plus en cas de contrefaçon de l’instrument de paiement si, au moment de l’opération de paiement non autorisée, le payeur était en possession de son instrument.

« III. ‘ Sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si le prestataire de services de paiement ne fournit pas de moyens appropriés permettant l’information aux fins de blocage de l’instrument de paiement prévue à l’article L. 133-17.

« IV. ‘ Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17.

« V. ‘ Sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si l’opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement du payeur n’exige une authentification forte du payeur prévue à l’article L. 133-44.

« VI. ‘ Lorsque le bénéficiaire ou son prestataire de services de paiement n’accepte pas une authentification forte du payeur prévue à l’article L. 133-44, il rembourse le préjudice financier causé au prestataire de services de paiement du payeur. »

L’article L. 133-23 du même code dispose :

« Lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre.

« L’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière. Le prestataire de services de paiement, y compris, le cas échéant, le prestataire de services de paiement fournissant un service d’initiation de paiement, fournit des éléments afin de prouver la fraude ou la négligence grave commise par l’utilisateur de services de paiement. »

Aux termes de l’article L. 133-24, alinéa premier, du même code, l’utilisateur de services de paiement signale, sans tarder, à son prestataire de services de paiement une opération de paiement non autorisée ou mal exécutée et au plus tard dans les treize mois suivant la date de débit sous peine de forclusion à moins que le prestataire de services de paiement ne lui ait pas fourni ou n’ait pas mis à sa disposition les informations relatives à cette opération de paiement conformément au chapitre IV du titre Ier du livre III.

En l’occurrence, [T] [P] nie avoir autorisé les virements suivants :

‘ virement du 25 janvier 2021, d’un montant de 3 750 euros, à destination de « BENOIT MESUREUX » ;

‘ virement du 25 janvier 2021, d’un montant de 5 241,19 euros, à destination de « [G] [U] » ;

‘ virement du 25 janvier 2021, d’un montant de 5 997,10 euros, à destination de « [G] [U] » ;

‘ virement du 23 février 2021, d’un montant de 7 500 euros, à destination de « [D] [B] » ;

‘ virement du 23 février 2021, d’un montant de 7 500 euros, à destination d’« [I] [W] ».

Il les a signalés à la société BRED Banque populaire par téléphone le 1er mars 2021, puis par message électronique le 2 mars 2021 (pièce no 5 de l’intimée), soit dans les treize mois suivant les dates de débit.

En application de l’article L. 133-23, alinéa premier, précité, il incombe à la société BRED Banque populaire de prouver que ces opérations ont été authentifiées, dûment enregistrées et comptabilisées et qu’elles n’ont pas été affectées par une déficience technique ou autre.

Elle produit à cette fin une liste de connexions (pièce no 10 de l’intimée) et une liste d’envois de confirmations (pièce no 12 de l’intimée). Ces pièces font notamment état de messages envoyés le 25 janvier 2021 entre 22 heures 37 et 22 heures 43, « via le téléphone » en vue d’une « confirmation de mise à jour de votre adresse mail ». Or, [T] [P], qui dénie avoir changé d’adresse électronique, observe que la référence du téléphone mobile qui apparaît sur la pièce no 10 de l’intimée, à savoir SM-N950S, ne correspond pas à celle de son téléphone, à savoir Samsung Wave 2 58530 (pièce no 9 de l’appelant). En outre, les connexions du 25 janvier 2021, entre 21 heures 4 et 22 heures 32, par le service BRED Connect correspondent à des adresses Internet situées à [Localité 12] ou à [Localité 5], tandis que l’adresse Internet du téléphone portable SM-N905S le situe à la même date à [Localité 7], dans les Yvelines (pièce no 10 de l’appelant), étant rappelé que [T] [P] demeure à [Localité 11], en Seine-et-Marne. La recherche d’adresse Internet réalisée par l’intimée confirme les localisations de [Localité 12] et d'[Localité 5], mais localise l’adresse Internet associée au téléphone SM-N905S à [Localité 13], en Seine-Saint-Denis (pièce no 13 de l’intimée).

Les relevés informatiques de la banque font également apparaître des messages envoyés à une adresse électronique [Courriel 8] qui n’est pas de celles qu’utilise [T] [P], à savoir [Courriel 10] et [Courriel 9] (pièce no 7 de l’intimée).

Au regard des anomalies ainsi relevées, la société BRED Banque populaire échoue à prouver que les opérations litigieuses n’ont pas été affectées par une déficience technique ou autre. Il n’est donc pas établi que les opérations de payement litigieuses aient été autorisées par [T] [P].

Il résulte des textes rapportés ci-dessus que la banque est, en principe, tenue de rembourser à son client les sommes virées sans son autorisation, sauf à démontrer que celui-ci a agi frauduleusement ou encore n’a pas satisfait à son obligation de préservation de la sécurité du dispositif de sécurité personnalisé, et ce, soit intentionnellement ou par négligence grave.

À cet égard, la société BRED Banque populaire reproche à [T] [P] de ne pas s’être inquiété de la sécurisation de ses identifiants et codes personnels, et de n’avoir pas alerté sans tarder la banque dès la première opération litigieuse, ayant attendu plus de deux mois pour ce faire.

Contrairement à ce que prétend l’intimée, [T] [P] n’a pas admis avoir négligé la sécurité du dispositif de sécurité personnalisé, mais seulement ne pas bien connaître l’informatique (pièces nos 5 à 7, 9 de l’intimée). Il ne peut se déduire de ce simple aveu d’un défaut de maîtrise du service en ligne de la société BRED Banque populaire, que [T] [P] n’ait pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées à l’article L. 133-16 du code monétaire et financier, et notamment qu’il n’ait pas pris toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées. L’appelant justifie au contraire qu’il a fait montre de prudence en recourant à un professionnel pour assurer la protection de son matériel informatique (pièce no 1 de l’appelant).

En revanche, [T] [P] a tardé à informer son prestataire de services de payement du détournement ou de l’utilisation non autorisée de son instrument de paiement ou des données qui lui sont liées, puisqu’il n’a dénoncé les opérations du 25 janvier 2021 et du 23 février 2021 à la société BRED Banque populaire que le 1er mars suivant. Ce délai d’un mois et quatre jours ne caractérise toutefois pas la négligence grave visée par l’article L. 133-19, paragraphe IV, précité car [T] [P] a signalé les faits dès qu’il s’est rendu compte des virements litigieux, à une époque où il réalisait des travaux dans son logement et où il ne s’est pas aperçu immédiatement de la différence du solde de son compte (pièce no 4 de l’appelant : plainte du 2 mars 2021).

Il s’ensuit que la société BRED Banque populaire reste tenue de rembourser au payeur le montant des opérations non autorisées, soit 29 988,29 euros. Cette somme portera intérêt au taux légal à compter du 25 mars 2021, date de réception de la mise en demeure envoyée à la banque (pièce no 6 de l’appelant). L’appelant ne peut cependant prétendre à l’application des majorations de l’intérêt légal prévues par l’article L. 133-18, alinéa 3, du code monétaire et financier dans sa rédaction issue de la loi no 2022-1158 du 16 août 2022 portant mesures d’urgence pour la protection du pouvoir d’achat, lesquelles n’existaient pas à la date de mise en demeure.

Il n’y a pas lieu de faire droit à la demande d’une indemnité de 5 000 euros au titre du préjudice financier consistant en la privation du capital détourné, ce chef de préjudice étant réparé par l’octroi des intérêts moratoires.

Le régime de responsabilité défini aux articles L. 133-18 à L. 133-24 du code monétaire et financier ne prévoit que l’indemnisation des conséquences financières des payements non autorisés. Aussi le payeur sera-t-il débouté de sa demande au titre du préjudice moral.

La société BRED Banque populaire sera condamnée aux entiers dépens, ainsi qu’au payement de la somme de 3 000 euros au titre des frais irrépétibles de première instance et d’appel.

LA COUR,

INFIRME le jugement ;

Statuant à nouveau,

CONDAMNE la société BRED Banque populaire à payer à [T] [P] la somme de 29 988,29 euros, outre intérêts au taux légal à partir du 25 mars 2021 ;

DÉBOUTE [T] [P] du surplus de ses demandes de dommages et intérêts ;

DÉBOUTE la société BRED Banque populaire de ses demandes ;

CONDAMNE la société BRED Banque populaire à payer à [T] [P] la somme de 3 000 euros sur le fondement de l’article 700 du code de procédure civile ;

CONDAMNE la société BRED Banque populaire aux entiers dépens.

* * * * *

LE GREFFIER LE PRÉSIDENT