Copies exécutoires RÉPUBLIQUE FRANÇAISE

délivrées aux parties le : AU NOM DU PEUPLE FRANÇAIS

COUR D’APPEL DE PARIS

Pôle 5 – Chambre 6

ARRET DU 31 JANVIER 2024

(n° , 7 pages)

Numéro d’inscription au répertoire général : N° RG 22/05343 – N° Portalis 35L7-V-B7G-CFOTF

Décision déférée à la Cour : Jugement du 14 Février 2022 -Tribunal Judiciaire de Paris – RG n° 20/01690

APPELANT

Monsieur [T] [Z]

[Adresse 4]

[Localité 2]

représenté par Me Florence REMY, avocat au barreau de PARIS, toque : R066 avocat postulant et plaidant

INTIMÉE

S.A. BNP PARIBAS

[Adresse 1]

[Localité 3]

prise en la personne de son représentant légal

N° SIRET : 662 042 449

représentée par Me Dominique PENIN du LLP KRAMER LEVIN NAFTALIS & FRANKEL LLP, avocat au barreau de PARIS, toque : J008, avocat postulant et plaidant

COMPOSITION DE LA COUR :

En application des dispositions des articles 805 et 907 du code de procédure civile, l’affaire a été débattue le 27 Novembre 2023, en audience publique, les avocats ne s’y étant pas opposé, devant M. Marc BAILLY, Président de chambre, entendu en son rapport, et M. Vincent BRAUD, Président.

Ces magistrats ont rendu compte des plaidoiries dans le délibéré de la Cour, composée de :

M. Marc BAILLY, Président de chambre chargé du rapport

M. Vincent BRAUD, Président

MME Pascale SAPPEY-GUESDON, Conseillère

Greffier, lors des débats : Mme Mélanie THOMAS

ARRÊT :

– CONTRADICTOIRE

– par mise à disposition de l’arrêt au greffe de la Cour, les parties en ayant été préalablement avisées dans les conditions prévues au deuxième alinéa de l’article 450 du code de procédure civile.

– signé par Marc BAILLY, Président de chambre et par Mélanie THOMAS, Greffier, présent lors de la mise à disposition.

* * * * *

Vu le jugement du tribunal judiciaire de Paris en date du 14 février 2022 qui, sur l’assignation délivrée le 27 septembre 2020 par M. [T] [Z] à la société Bnp PARIBAS dans les livres de laquelle il détenait un compte, en condamnation à lui rembourser deux virements de son compte bancaire d’un montant total de 11 998 euros, effectués les 29 et 20 juillet 2019 à son préjudice au moyen d’une escroquerie, ainsi qu’en paiement de dommages-intérêts en réparation du préjudice moral, qui l’a débouté de toutes ses demandes et dit n’y avoir lieu à condamnation au titre des frais irrépétibles ;

Vu l’appel interjeté par M. [T] [Z] par déclaration au greffe en date du 11 mars 2022 ;

Vu les dernières conclusions en date du 3 novembre 2023 de M. [T] [Z] qui expose :

– qu’en vertu des articles L133-6 et suivants du code monétaire et financier, il incombe à la banque de rembourser les opérations frauduleuses réalisées sauf si elle démontre que le client a manqué à ses obligations de prudence et de diligence dans la conservation de ses moyens de paiement ou a fait preuve de négligence grave sans que l’utilisation de l’instrument de paiement ou de données personnelles ne suffise à l’établir,

– qu’en l’espèce, il a reçu un courriel ayant toutes les apparences d’un message adressé par la banque l’informant de nouveaux documents qui figureraient sur l’interface internet de celle-ci et l’invitant à les consulter au moyen de la clé digitale récemment installée, ce qu’il a fait,

– qu’il a eu ensuite la surprise de constater qu’un nouveau bénéficiaire au nom de [I] [H] avait été créé et des virements ensuite effectués, que, contrairement à ce qu’a retenu le tribunal, il n’a jamais ajouté un tel bénéficiaire ce qui ne lui était pas demandé, qu’il n’a pas eu connaissance de ce qu’il en avait été ajouté un, qu’il n’a pas fait usage de son code confidentiel pour valider un tel ajout et qu’il n’a évidemment pas procédé aux virements litigieux, l’ensemble des nombreuses étapes nécessaires à cet effet n’ayant pas été accomplies par lui non plus qu’il n’en a reçu, postérieurement, notification par la banque,

– que la banque ne conteste d’ailleurs pas qu’il a été victime d’une fraude et qu’il a d’ailleurs porté plainte,

– qu’il ressort de la pièce fournie par la banque sur les connexions au site que l’ajout d’un bénéficiaire et les virements ont été respectivement faits depuis un téléphone mobile qui n’est pas le sien et qui est basé à l’étranger sous une adresse IP suisse et tchèque alors qu’il ne fait usage que de matériel Orange puisqu’il est employé par cette société, que la preuve informatique de la validation par ses soins de l’ajout du bénéficiaire n’est pas rapportée, le contraire ressortant des listings produits, le tribunal ayant dénaturé les faits, qu’il ne saurait être tiré de la formulation maladroite devant les services de police de ses déclarations qu’il aurait validé l’ajout du bénéficiaire ou effectué les virements,

– que c’est vainement que la banque excipe des alertes aux ‘hameçonages’ réalisés deux ans après les faits, que le fait d’avoir ouvert un courriel semblant provenir de la banque et consulté son compte ne saurait constituer une négligence grave, que l’affirmation selon laquelle l’ajout du bénéficiaire n’a pu se faire sans sa complicité passive n’est pas étayée alors qu’il est démontré que les manipulations ne provenaient pas de son téléphone,

– que le système même de la banque a connu des défaillances au cours de l’année 2019 comme le montrent les décisions de justice produites toutes relatives à des faits de cette période et qu’il n’avait jamais reçu de message d’alerte sur les fraudes, que la banque est de mauvaise foi en refusant le remboursement et en lui imputant la responsabilité des virements alors que d’autres clients subissaient les mêmes faits en recevant, eux aussi, une réponse de refus type, ce qui est à l’origine de sa perte de confiance préjudiciable, de sorte qu’il demande à la cour de :

‘ INFIRMER le jugement déféré en toutes ses dispositions.

STATUANT A NOUVEAU

CONDAMNER la société BNP PARIBAS d’avoir à verser à Monsieur [T] [Z] la somme de 11.998€ avec intérêts à compter du 11 septembre 2019, date de la première mise en demeure.

CONDAMNER la société BNP PARIBAS d’avoir à verser à Monsieur [T] [Z] la somme de 5000€ pour préjudice moral pour la perte de confiance de Monsieur [Z] dans la fiabilité de la BNP ainsi que sa mauvaise foi quant à la reconnaissance de sa responsabilité.

ORDONNER la capitalisation des intérêts.

CONDAMNER la société BNP PARIBAS à verser à Monsieur [Z] la somme de 5000€ au titre de l’article 700 ainsi qu’aux dépens.’.

Vu les dernières conclusions en date du 10 novembre 2023 de la société Bnp PARIBAS qui poursuit la confirmation du jugement et la condamnation de M. [T] [Z] à lui payer une somme de 3 000 euros au titre des frais irrépétibles en exposant :

– qu’après la validation de l’opération par la clé digitale qui a remplacé l’usage du code envoyé par sms, M. [Z] s’est certainement vu invité, mis en confiance par le fraudeur, à lui communiquer par écrit ou par téléphone ses identifiants de connexion à son espace personnel,

– qu’en effet, l’ajout d’un bénéficiaire nouveau à la liste exige une connexion à l’espace personnel au moyen des identifiants et du code personnel d’accès, obtenus grâce au hameçonnage dont M. [Z] a été victime,

– que l’article L133-16 du code monétaire et financier fait obligation au client de prendre toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées conformément aux conditions régissant leur utilisation comme les banques le rappellent par des alertes aux clients, faute de quoi une négligence grave peut lui être reprochée, peu important son caractère avisé ou non,

– que les clients sont invités par les règles de prudence à ne pas répondre ou obtempérer à des courriels à la provenance suspecte, que si le courriel litigieux n’est pas produit, il devait être considéré comme tel puisque jamais elle ne sollicite des clients au moyen d’un message contenant un lien hypertexte redirigeant l’internaute vers une page demandant des informations personnelles,

– qu’en l’espèce, après que M. [Z] a cliqué sur le lien, les escrocs ont pu récupérer ses données de connexions confidentielles qu’il a saisi sur un site miroir puis les utiliser sur le vrai site afin d’accéder à l’espace client et d’y introduire un nouveau bénéficiaire avant d’effectuer les virements,

– que M. [Z] bénéficiait d’un système d’authentification forte constitué d’une clé digitale dès lors qu’il possède son smartphone et est le seul à connaître son code secret, qu’elle consiste après mise en oeuvre de la première connexion pendant laquelle le client donne ses coordonnées téléphoniques, à l’envoi d’une notification sur son téléphone avec le détail de l’opération à valider que le client doit vérifier avant de la valider par appui de la touche correspondante et par l’entrée du code confidentiel de sa clé digitale qu’il a lui-même créée et personnalisée lors de l’activation du service,

– qu’en l’espèce si l’ajout du RIB du bénéficiaire a été réalisé à partir d’une adresse IP suisse ‘canalrib’, il fallait encore le valider et que cette validation ‘canalvalid’est bien intervenue à partir d’une adresse IP française dont M. [Z] ne prouve pas qu’elle n’était pas utilisée par lui, M. [Z] a bien fait l’aveu dans sa plainte, au sens de l’article 1383 du code civil, qu’il a validé la notification qu’il avait reçue, qui a permis l’ajout du nouveau bénéficiaire que M. [Z] a accepté au vu des informations qui lui on t été notifiées sur son téléphone, que la clé digitale respecte les préconisations d’authentification forte à l’occasion de l’ajout d’un nouveau bénéficiaire, les virements ayant pu, ultérieurement être effectués sans cette authentification forte comme le prévoient les règles issues de la transposition de la deuxième directive services de paiement pour un paiement vers un bénéficiaire de confiance lorsque cette dernière a été ajoutée grâce à une authentification forte,

– qu’en réalité M. [Z] ne veut pas reconnaître que l’ajout du bénéficiaire n’a pu intervenir sans qu’il ne le valide sans quoi il n’explique pas comment l’escroc a pu se connecter à son espace bancaire, ce qui n’est possible qu’au moyen de l’identifiant et du code secret connus de lui seul, qu’en possession des codes, l’escroc a créé le nouveau bénéficiaire mais que M. [Z] a nécessairement dû valider cette opération, sa négligence grave étant démontrée, étant ajoutée, en tout état de cause, que le préjudice supplémentaire dont il se plaint n’est pas établi.

Vu l’ordonnance de clôture rendue le 14 novembre 2023 ;

MOTIFS

Il résulte des explications de M. [Z], qui indique être ingénieur de formation et employé de la société Orange, notamment lors de son dépôt de plainte à la gendarmerie du 31 juillet 2019 :

– qu’il n’est pas entré en contact par téléphone ou en conversant par courriel avec un tiers mais qu’il a reçu un courriel le 29 juillet 2019 – qu’il n’a pas conservé – semblant provenir de ‘BNP NET’ lui demandant de valider de nouveaux documents figurant sur son interface internet bancaire, que compte tenu de l’apparence de la provenance de ce courriel, de ce qu’il n’avait pas été bloqué par son système de filtrage, il a ‘validé ces documents via la clé digitale’ c’est à dire que, suivant le lien proposé par le courriel, il a fait usage de cette clé, consistant plutôt qu’en une confirmation de l’opération par l’envoi d’un sms comme auparavant, en l’apparition d’un écran lui demandant de rentrer son code secret, ce qu’il a fait pour la validation sollicitée des documents,

– qu’il a eu ensuite la surprise de constater qu’un nouveau bénéficiaire, d’une personne prétendument nommée [I] [H] avait été ajouté à la liste de ceux préexistants et deux virements au profit de ce dernier, chacun de la somme de 5 999 euros effectués les 29 et 30 juillet 2019,

– qu’il a immédiatement renseigné un formulaire de contestation du 30 juillet 2019 déjà adressé à la banque lorsqu’il a porté plainte lendemain puis formulé une demande de remboursement et de réclamation le 11 septembre 2019.

Il résulte de l’article 34, VIII, 3°, de l’ordonnance n° 2017-1252 du 9 août 2017, que l’article L. 133-44 du code monétaire et financier, auquel renvoie son article L. 133-19, V est entré en vigueur le 14 septembre 2019, dix-huit mois après l’entrée en vigueur du règlement délégué (UE) 2018/389 de la Commission du 27 novembre 2017 complétant la directive (UE) 2015/2366 par des normes techniques de réglementation relatives à l’authentification forte du client et à des normes ouvertes communes et sécurisées de communication.

En conséquence, à la date des faits litigieux, les dispositions du code monétaire et financier applicables étaient encore les suivantes :

– article L133-18 :

‘en cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L. 133-24, le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement et s’il communique ces raisons par écrit à la Banque de France. Le cas échéant, le prestataire de services de paiement du payeur rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu.

– article L133-19 :

‘I. ‘ En cas d’opération de paiement non autorisée consécutive à la perte ou au vol de l’instrument de paiement, le payeur supporte, avant l’information prévue à l’article L. 133-17, les pertes liées à l’utilisation de cet instrument, dans la limite d’un plafond de 50 €.

Toutefois, la responsabilité du payeur n’est pas engagée en cas :

‘ d’opération de paiement non autorisée effectuée sans utilisation des données de sécurité personnalisées ;

‘ de perte ou de vol d’un instrument de paiement ne pouvant être détecté par le payeur avant le paiement ;

‘ de perte due à des actes ou à une carence d’un salarié, d’un agent ou d’une succursale d’un prestataire de services de paiement ou d’une entité vers laquelle ses activités ont été externalisées.

II. ‘ La responsabilité du payeur n’est pas engagée si l’opération de paiement non autorisée a été effectuée en détournant, à l’insu du payeur, l’instrument de paiement ou les données qui lui sont liées.

Elle n’est pas engagée non plus en cas de contrefaçon de l’instrument de paiement si, au moment de l’opération de paiement non autorisée, le payeur était en possession de son instrument.

III. ‘ Sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si le prestataire de services de paiement ne fournit pas de moyens appropriés permettant l’information aux fins de blocage de l’instrument de paiement prévue à l’article L. 133-17.

IV . ‘ Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17.

V et VI Inapplicables avant le 14 septembre 2019’

– article L133-16 :

‘Dès qu’il reçoit un instrument de paiement, l’utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés.

Il utilise l’instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation’.

– article L133-17 alinéa 1er, le second étant relatif aux cartes de paiement :

‘I. ‘ Lorsqu’il a connaissance de la perte, du vol, du détournement ou de toute utilisation non autorisée de son instrument de paiement ou des données qui lui sont liées, l’utilisateur de services de paiement en informe sans tarder, aux fins de blocage de l’instrument, son prestataire ou l’entité désignée par celui-ci.’

Etant observé, d’une part, qu’il est constant que seule la validation de la clé digitale faite à la demande de tiers a constitué une authentification forte et qu’en revanche les virements ont été demandés sans cette authentification forte et qu’en tout état de cause, les conséquences juridiques de l’usage d’une authentification forte ne sont tirées par l’entrée en vigueur des articles L133-44 et 133-19 du code monétaire et financier dans leur rédaction issue de l’ordonnance du 9 août 2017, postérieures aux faits litigieux comme étant du 14 septembre 2019, il résulte des textes rapportés ci-dessus que la banque est, en principe, tenue de rembourser à sa cliente les sommes virées sans son autorisation, sauf à démontrer que celle-ci a agi frauduleusement ou encore n’a pas satisfait à son obligation de préservation de la sécurité du dispositif de sécurité personnalisé, et ce, soit intentionnellement ou par négligence grave.

En l’espèce la banque ne conteste pas que les opérations litigieuses ne sont pas autorisées, au sens où elles n’ont pas été consenties par M. [Z] selon l’article L 133-6 du code monétaire et financier, ce que les données techniques permettent de conforter puisque selon la feuille des traces informatiques produite par la société Bnp PARIBAS les connexions ayant donné lieu à des virements ont été faites à partir d’une même adresse IP correspondant à une localisation en République Tchèque.

Il ressort au demeurant de la même feuille que toutes les connexions du 29 juillet 2019 – à l’exception d’une seule examinée ci-après – ont été faites à partir de deux adresses IP sises en Suisse ou en République Tchèque y compris celle du 29 juillet 2019 à 09h40 intitulée ‘Canal valid’ au regard de laquelle est inscrit ‘clé digitale’, concomitante d’une autre intitulé ‘CanalRib’, correspondant, respectivement à l’ajout d’une référence de bénéficiaire et à sa validation, effectuées toutes deux à partir de la Suisse.

Une troisième connexion est concomitante des deux autres, à 09h40 le 29 juillet 2019, intitulée ‘Canal NET” et cette fois réalisée à partir d’une adresse IP française.

Si les faits relatés et la concomitance de ces connexions permettant d’établir que l’usage par M. [Z] de sa seule connexion et de l’emploi de sa clé digitale à cette occasion ont pu permettre aux escrocs de se connecter également à l’interface bancaire internet et de récupérer ses données, elle conforte également le récit de ce dernier selon lequel il n’a jamais volontairement validé l’ajout d’un bénéficiaire ou validé un virement, opérations toutes effectuées à partir d’autres adresses IP.

S’il est donc constant, que c’est la connexion de M. [Z], réalisée à la suite du courriel reçu lui demandant de valider de nouveaux documents présents sur son interface qui a permis la fraude, la banque, contredite en cela par les données techniques, ne démontre pas qu’il aurait validé volontairement l’ajout du bénéficiaire ou l’exécution des virements.

Il résulte ainsi des éléments produits et des explications données que M. [Z], qui n’a pas divulgué à des tiers ses éléments personnalisés de sécurité, alors qu’il n’est pas établi qu’il aurait validé l’ajout d’un nouveau bénéficiaire non plus qu’il n’a effectué les virements, qu ‘il n’a pas été, ensuite, alerté sur son téléphone de cet ajout ou des virements réalisés par des tiers aux fins de validation avant de le découvrir par lui-même ne saurait être considéré comme ayant été gravement négligent, au sens du texte appliqué, au seul motif qu’il a obtempéré au courriel semblant provenir de sa banque lui demandant de se connecter en faisant usage de ses codes et identifiants et de la clé digitale vantée comme garantissant un degré supérieur de sécurité.

En conséquence, le jugement doit être infirmé et la société Bnp PARIBAS, qui échoue à démontrer la négligence grave de M. [Z], doit être condamnée à lui rembourser la somme de 11 998 euros avec intérêts au taux légal à compter de la demande du 11 septembre 2019.

Les circonstances que la banque ait établi que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre au sens de l’article L133-23 du code monétaire et financier puisque la fraude provient des faits relatés ci-dessus et la solution adoptée en première instance empêchent que soit démontrée une faute de la banque qui soit à l’origine du préjudice moral invoqué par M. [Z] de sorte qu’il doit être débouté de sa demande de dommages-intérêts de ce chef.

Le jugement est confirmé en ce qu’il a débouté M. [T] [Z] de sa demande de dommages-intérêts.

Il y a lieu de condamner la société Bnp PARIBAS aux entiers dépens ainsi qu’à payer à M. [T] [Z] la somme de 4 000 euros en application de l’article 700 du code de procédure civile.

PAR CES MOTIFS

CONFIRME le jugement entrepris en ce qu’il a débouté M. [T] [Z] de sa demande de dommages-intérêts ne réparation de son préjudice moral ;

Le RÉFORME pour le surplus,

Et, statuant à nouveau,

CONDAMNE la société Bnp PARIBAS à payer à M. [T] [Z] la somme de 11 998 euros avec intérêts au taux légal à compter de la mise en demeure du 11 septembre 2019 ;

CONDAMNE la société Bnp PARIBAS à payer à M. [T] [Z] la somme de 4 000 euros en application de l’article 700 du code de procédure civile ;

CONDAMNE la société Bnp PARIBAS aux entiers dépens.

* * * * *

LE GREFFIER LE PRÉSIDENT