[1] Expéditions
exécutoires
délivrées le :

à
Me BALE
Me METAIS

■

9ème chambre 3ème section

N° RG 23/13572
N° Portalis 352J-W-B7H-C277G

N° MINUTE : 5

Assignation du :
17 Octobre 2023

JUGEMENT
rendu le 12 Septembre 2024
DEMANDEUR

Monsieur [D] [M] [H]
[Adresse 2]
[Localité 4]

représenté par Maître Dikpeu-Eric BALE de la SELARL BALE & KOUDOYOR, avocats au barreau de PARIS,vestiaire #D1635

DÉFENDERESSE

S.A. BNP PARIBAS
[Adresse 1]
[Localité 3]

représentée par Maître Philippe METAIS du PARTNERSHIPS BRYAN CAVE LEIGHTON PAISNER (France) LLP, avocats au barreau de PARIS, vestiaire #R030

Décision du 12 Septembre 2024
9ème chambre 3ème section
N° RG 23/13572 – N° Portalis 352J-W-B7H-C277G

COMPOSITION DU TRIBUNAL

Par application des articles R.212-9 du Code de l’Organisation Judiciaire et 812 du Code de Procédure Civile, l’affaire a été attribuée au Juge unique.

Avis en a été donné aux avocats constitués qui ne s’y sont pas opposés.

Béatrice CHARLIER-BONATTI, Vice-présidente, statuant en juge unique, assistée de Chloé DOS SANTOS, Greffière.

DÉBATS

A l’audience du 20 Juin 2024, tenue en audience publique, avis a été donné aux avocats des parties que la décision serait rendue le 12 Septembre 2024.

JUGEMENT

Rendu publiquement par mise à disposition au greffe
Contradictoire
En premier ressort

Monsieur [H] est titulaire d’une carte bancaire Visa Premier qui lui a été délivrée par la BNP Paribas

Le 24 mai 2022 à 17h25, Monsieur [H] indique avoir reçu un appel d’une personne se présentant comme faisant partie du « service anti-fraude de la BNP PARIBAS » depuis un numéro correspondant à celui de l’agence BNP Paribas de [Localité 5] Jean-Jaurès.

Monsieur [H] a fait l’objet d’un phishing. Ainsi, le 24 mai 2022 à 17h33, une opération d’achat frauduleuse a été effectuée sur son compte bancaire d’un montant de 4.780,00 euros au bénéfice de « Keringslfrmont ».

Suite à une tentative de médiation infructueuse auprès de la Fédération Bancaire Française, Monsieur [H] a saisi le tribunal judiciaire de Paris par assignation du 17 octobre 2023 aux fins d’obtenir le remboursement de la somme de 4.780,00 euros augmentée des intérêts au taux légal majoré, outre le paiement de 5.000,00 euros à titre de dommages et intérêts pour résistance abusive, de 6.000,00 euros à titre de dommages et intérêts pour le préjudice moral subi.

Par conclusions en date du 27 mars 2024, Monsieur [H] demande au tribunal de:
“- Déclarer Monsieur [D] [H] recevable et bien fondé en ses demandes ;
– Débouter la BNP PARIBAS de l’intégralité de ses demandes, fins et conclusions,

Y faisant droit,
– Déclarer la société BNP PARIBAS responsable des dommages subis par Monsieur [D] [H] ;
En conséquence,
– Condamner la société BNP Paribas à verser à Monsieur [D] [H] la somme de 4 780 euros avec intérêts au taux légal à compter de l’assignation ;
– Voir majorer le taux légal des intérêts de quinze points en application de l’article L133-18 alinéa 3 du Code monétaire et financier :
– Condamner la société BNP PARIBAS à verser à Monsieur [D] [H] la somme de 5 000 euros à titre de dommages-intérêts pour résistance abusive ;
– Condamner la société BNP PARIBAS à verser à Monsieur [D] [H] la somme de 6 000 euros à titre de dommages et intérêts pour préjudice moral ;
– Condamner la société BNP PARIBAS au paiement de la somme de 4.000 euros en application des dispositions de l’article 700 du code de procédure civile ;
– Condamner la société BNP PARIBAS au paiement des entiers dépens de l’instance, dont distraction au profit de Maître BALE, qui en fait la demande en application des dispositions de l’article 699 du Code de procédure civile ;
– Rappeler qu’en application de l’article 514 du Code de procédure civile les décisions de première instance sont de droit exécutoire à titre provisoire.”

Par conclusions en date du 17 mai 2024, la BNP PARIBAS demande au tribunal de:
“Sur la demande formée par Monsieur [H] tendant au remboursement des opérations litigieuses sur le fondement du régime de responsabilité des prestataires de services de paiement :
– Juger que les transactions litigieuses ont été dûment authentifiées et que BNP Paribas a parfaitement respecté ses obligations en matière de sécurisation de l’instrument de paiement de Monsieur [H] ;
– Juger que Monsieur [H] a commis une négligence grave au sens de l’article L. 133-19 IV du Code monétaire et financier ;
En conséquence,
– Débouter Monsieur [H] de sa demande de remboursement des opérations litigieuses à hauteur de 4.780,00 euros avec intérêts au taux légal ;

Sur la demande formée par Monsieur [H] tendant au paiement de dommages et intérêts au titre de la prétendue résistance abusive opposée par BNP Paribas :
– Juger que BNP Paribas n’a commis aucune inexécution contractuelle ;
– Juger que le régime de responsabilité des prestataires de services de paiement fait l’objet d’une application exclusive et autonome ;
– Débouter Monsieur [H] de sa demande de dommages et intérêts à hauteur de 5.000,00 euros ;

Sur la demande formée par Monsieur [H] tendant au paiement de dommages et intérêts au titre du prétendu préjudice moral subi :
– Juger que BNP Paribas n’a commis aucune inexécution contractuelle ;
– Juger que le régime de responsabilité des prestataires de services de paiement fait l’objet d’une application exclusive et autonome ;
– Débouter Monsieur [H] de sa demande de dommages et intérêts à hauteur de 6.000,00 euros ;

En tout état de cause :
– Débouter Monsieur [H] de l’intégralité de ses demandes, fins et conclusions à l’encontre de BNP Paribas ;
– Condamner Monsieur [H] à verser à BNP Paribas la somme de 2.500,00 euros au titre de l’article 700 du Code de procédure civile ainsi qu’aux entiers dépens ;
– Ecarter l’exécution provisoire de la décision à intervenir”.

Conformément à l’article 455 du code de procédure civile, il est renvoyé aux écritures susvisées pour l’exposé complet des prétentions respectives des parties et de leurs moyens.

L’ordonnance de clôture est intervenue le 23 mai 2024 avec fixation à l’audience de juge unique du 20 juin 2024. L’affaire a été mise en délibéré au 12 septembre 2024.

I. Sur la responsabilité de la BNP PARIBAS

L’article L. 133-4 du code monétaire et financier impose aux prestataires de services de paiement de mettre en place un dispositif de sécurisation des instruments de paiement :
« a) Les données de sécurité personnalisées s’entendent des données personnalisées fournies à un utilisateur de services de paiement par le prestataire de services de paiement à des fins d’authentification ; […]
c) Un instrument de paiement s’entend, alternativement ou cumulativement, de tout dispositif personnalisé et de l’ensemble de procédures convenu entre l’utilisateur de services de paiement et le prestataire de services de paiement et (Ord. no 2017-1252 du 9 août 2017, art. 2, en vigueur le 13 janv. 2018) « utilisé » pour donner un ordre de paiement ; […]
e) Une authentification s’entend d’une procédure permettant au prestataire de services de paiement de vérifier l’identité d’un utilisateur de services de paiement ou la validité de l’utilisation d’un instrument de paiement spécifique, y compris l’utilisation des données de sécurité personnalisées de l’utilisateur.
f) Une authentification forte du client s’entend d’une authentification reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories  » connaissance  » (quelque chose que seul l’utilisateur connaît),  » possession  » (quelque chose que seul l’utilisateur possède) et  » inhérence  » (quelque chose que l’utilisateur est) et indépendants en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d’authentification ; »

L’article L133-16 du code monétaire et financier dispose que :
« Dès qu’il reçoit un instrument de paiement, l’utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées.
Décision du 12 Septembre 2024
9ème chambre 3ème section
N° RG 23/13572 – N° Portalis 352J-W-B7H-C277G

Il utilise l’instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation qui doivent être objectives, non discriminatoires et proportionnées. »

L’article L133-17 du code monétaire et financier dispose que :
« I. – Lorsqu’il a connaissance de la perte, du vol, du détournement ou de toute utilisation non autorisée de son instrument de paiement ou des données qui lui sont liées, l’utilisateur de services de paiement en informe sans tarder, aux fins de blocage de l’instrument, son prestataire ou l’entité désignée par celui-ci.
II. – Lorsque le paiement est effectué par une carte de paiement émise par un établissement de crédit, une institution ou un service mentionné à l’article L.518-1 et permettant à son titulaire de retirer ou de transférer des fonds, il peut être fait opposition au paiement en cas de procédure de redressement ou de liquidation judiciaires du bénéficiaire tant que le compte du prestataire de services de paiement du bénéficiaire n’a pas été crédité du montant de l’opération de paiement»

L’article L133-18 du code monétaire et financier dispose que :
« En cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L.133-24, le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement et s’il communique ces raisons par écrit à la Banque de France. Le cas échéant, le prestataire de services de paiement du payeur rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu.
Lorsque l’opération de paiement non autorisée est initiée par l’intermédiaire d’un prestataire de services de paiement fournissant un service d’initiation de paiement, le prestataire de services de paiement gestionnaire du compte rembourse immédiatement, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, au payeur le montant de l’opération non autorisée et, le cas échéant, rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu. La date de valeur à laquelle le compte de paiement du payeur est crédité n’est pas postérieure à la date à laquelle il avait été débité.
Si le prestataire de services de paiement qui a fourni le service d’initiation de paiement est responsable de l’opération de paiement non autorisée, il indemnise immédiatement le prestataire de services de paiement gestionnaire du compte, à sa demande, pour les pertes subies ou les sommes payées en raison du remboursement du payeur, y compris le montant de l’opération de paiement non autorisée.
Le payeur et son prestataire de services de paiement peuvent décider contractuellement d’une indemnité complémentaire. »

L’article L.133-19 du code monétaire et financier dispose que :
« I. – En cas d’opération de paiement non autorisée consécutive à la perte ou au vol de l’instrument de paiement, le payeur supporte, avant l’information prévue à l’article L.133-17, les pertes liées à l’utilisation de cet instrument, dans la limite d’un plafond de 50 €.
Toutefois, la responsabilité du payeur n’est pas engagée en cas d’opération de paiement non autorisée effectuée sans utilisation des données de sécurité personnalisées ; de perte ou de vol d’un instrument de paiement ne pouvant être détecté par le payeur avant le paiement; de perte due à des actes ou à une carence d’un salarié, d’un agent ou d’une succursale d’un prestataire de services de paiement ou d’une entité vers laquelle ses activités ont été externalisées.
II. – La responsabilité du payeur n’est pas engagée si l’opération de paiement non autorisée a été effectuée en détournant, à l’insu du payeur, l’instrument de paiement ou les données qui lui sont liées.
Elle n’est pas engagée non plus en cas de contrefaçon de l’instrument de paiement si, au moment de l’opération de paiement non autorisée, le payeur était en possession de son instrument.
III. – Sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si le prestataire de services de paiement ne fournit pas de moyens appropriés permettant l’information aux fins de blocage de l’instrument de paiement prévue à l’article L.133-17.
IV. – Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L.133-16 et L.133-17.
V. – Sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si l’opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement du payeur n’exige une authentification forte du payeur prévue à l’article L.133-44.
VI. – Lorsque le bénéficiaire ou son prestataire de services de paiement n’accepte pas une
authentification forte du payeur prévue à l’article L.133-44, il rembourse le préjudice financier causé au prestataire de services de paiement du payeur. »

Enfin, l’article L133-33 du code monétaire et financier dispose que :
« Lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre.
L’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière. Le prestataire de services de paiement, y compris, le cas échéant, le prestataire de services de paiement fournissant un service d’initiation de paiement, fournit des éléments afin de prouver la fraude ou la négligence grave commise par l’utilisateur de services de paiement. »

Ainsi, s’il appartient à l’utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d’informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l’instrument de paiement ou des données qui lui sont liées, c’est au prestataire qu’il incombe de rapporter la preuve que l’utilisateur a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence grave à ses obligations.
Décision du 12 Septembre 2024
9ème chambre 3ème section
N° RG 23/13572 – N° Portalis 352J-W-B7H-C277G

Cette preuve ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés.

Aucune présomption n’est attachée à l’infaillibilité supposée des instruments de paiement sécurisés dès lors que le risque de la fraude ne pèse pas sur l’utilisateur.

Le fonctionnement du système de la « clé digitale » répond aux exigences du gouvernement qui, depuis une ordonnance du 9 août 2017, exige des établissements de crédit d’assurer une « authentification forte » lorsqu’un utilisateur de services bancaires en ligne réalise une opération en ligne basée sur le fait que le client possède « son smartphone » et est seul à connaître son code secret.

Au cas présent, il ressort des éléments du dossier non contestés, que l’opération frauduleuse a été permise par Monsieur [H] lui-même, par de nombreuses négligences successives, ce qui a mis à néant les différents dispositifs de sécurité. En effet, Monsieur [H] a communiqué les données confidentielles relatives à sa Carte Bancaire (en ce compris ses numéros, date d’expiration et cryptogramme visuel) sur un site internet frauduleux vers lequel il a été renvoyé en suivant un lien contenu dans le SMS l’invitant à renouveler sa carte vitale. Il s’est connecté à l’application mobile « MesComptes », où apparaissent les notifications décrivant la nature de l’opération, le site marchand, la carte utilisée, le numéro client, le montant et la date de l’opération. Il a validé l’opération frauduleuse en approuvant la transaction par la saisie du code d’accès à ses comptes.

Par son courrier de réclamation en date du 31 juillet 2022, Monsieur [H] a précisé la manière dont le fraudeur a eu connaissance des données relatives à sa Carte Bancaire : il reconnaissait avoir répondu à un SMS frauduleux afin de « changer [sa] carte vitale ».

Au cas présent, il ressort des pièces versées par la banque que Monsieur [H] a ainsi validé l’opération contestée et a par là commis une négligence grave.

La BNP PARIBAS, simple teneuse de compte, a convenablement exécuté l’achat réalisé par son client et, en conséquence, il ne saurait lui être reproché un manquement au sujet de son obligation de vigilance.

Il convient ainsi de constater que la BNP PARIBAS a parfaitement respecté ses obligations en matière de sécurisation de la carte bancaire de Monsieur [H] qui sera débouté de l’ensemble de ses demandes, aucune faute de la BNP PARIBAS n’ayant été démontrée.

II. Sur les autres demandes

Monsieur [H] qui succombe, sera condamné aux dépens.

Il n’apparait cependant pas inéquitable de ne pas faire droit aux demandes au titre de l’article 700 du code de procédure civile.

Le tribunal, statuant publiquement, par jugement contradictoire, rendu en premier ressort, par mise à disposition au greffe :

DÉBOUTE Monsieur [D] [M] [H] de l’ensemble de ses demandes ;

DIT n’y avoir lieu à application des dispositions de l’article 700 du code de procédure civile ;

CONDAMNE Monsieur [D] [M] [H] aux entiers dépens.

Fait et jugé à Paris le 12 Septembre 2024.

LA GREFFIERE LA PRÉSIDENTE