Copies exécutoires RÉPUBLIQUE FRANÇAISE

délivrées aux parties le : AU NOM DU PEUPLE FRANÇAIS

COUR D’APPEL DE PARIS

Pôle 4 – Chambre 9 – A

ARRÊT DU 19 JANVIER 2023

(n° , 2 pages)

Numéro d’inscription au répertoire général : N° RG 21/02584 – N° Portalis 35L7-V-B7F-CDCUE

Décision déférée à la Cour : Jugement du 22 janvier 2021 – Juge des contentieux de la protection de PARIS – RG n° 11-20-001685

APPELANT

Monsieur [M] [V]

né le [Date naissance 2] 1972 à [Localité 5] (02)

[Adresse 3]

[Localité 4]

représenté par Me Jean-Marc PONELLE, avocat au barreau de PARIS, toque : E0460

INTIMÉE

La société BNP PARIBAS, société anonyme

N° SIRET : 662 042 449 00014

[Adresse 1]

[Localité 4]

représentée et assistée de Me Dominique PENIN du LLP KRAMER LEVIN NAFTALIS & FRANKEL LLP, avocat au barreau de PARIS, toque : J008

COMPOSITION DE LA COUR :

En application des dispositions des articles 805 et 907 du code de procédure civile, l’affaire a été débattue le 22 novembre 2022, en audience publique, les avocats ne s’y étant pas opposés, devant Mme Laurence ARBELLOT, Conseillère, chargée du rapport.

Ce magistrat a rendu compte des plaidoiries dans le délibéré de la Cour, composée de :

Mme Muriel DURAND, Présidente de chambre

Mme Fabienne TROUILLER, Conseillère

Mme Laurence ARBELLOT, Conseillère

Greffière, lors des débats : Mme Camille LEPAGE

ARRÊT :

– CONTRADICTOIRE

– par mise à disposition de l’arrêt au greffe de la Cour, les parties en ayant été préalablement avisées dans les conditions prévues au deuxième alinéa de l’article 450 du code de procédure civile.

– signé par Mme Muriel DURAND, Présidente et par Mme Camille LEPAGE, Greffière à laquelle la minute de la décision a été remise par le magistrat signataire.

FAITS, PROCÉDURE ET PRÉTENTIONS DES PARTIES

M. [M] [V] est titulaire d’un compte bancaire ouvert dans les livres de la société BNP Paribas en son agence de la [Adresse 7].

Le 4 octobre 2019, il s’est plaint du virement de la somme de 5 200 euros effectué depuis son compte sans son autorisation.

Saisi le 25 novembre 2019 par M. [V] d’une demande tendant principalement au remboursement de la somme débitée et à la réparation de son préjudice à hauteur de 1 000 euros, le tribunal judiciaire de Paris, par un jugement réputé contradictoire rendu le 22 janvier 2021 auquel il convient de se référer, a débouté le demandeur de l’intégralité de ses demandes, a rejeté la demande formée par la société BNP Paribas au titre de ses frais irrépétibles et a condamné M. [V] aux dépens.

Le premier juge a relevé que l’ajout du nom du bénéficiaire du virement litigieux n’avait été possible que grâce à une action du titulaire du compte sur son téléphone portable, qu’il s’était connecté depuis un autre téléphone à son application mobile en entrant son code personnel, faisant ainsi preuve d’une négligence grave au sens de l’article L. 133-23 du code monétaire et financier.

Par une déclaration en date du 8 février 2021, M. [V] a relevé appel de cette décision.

Aux termes de conclusions remises le 11 février 2021, l’appelant demande à la cour :

– de réformer en toutes ses dispositions le jugement dont appel,

– de condamner la société BNP Paribas à lui rembourser la somme de 5 200 euros avec intérêts au taux légal à compter du 21 octobre 2019, date de la mise en demeure,

– de condamner la société BNP Paribas à lui payer la somme de 1 000 euros à titre de dommages et intérêts pour le trouble occasionné à ses conditions d’existence et pour résistance abusive, outre la somme de 2 500 euros au titre de l’article 700 du code de procédure civile et les dépens.

L’appelant soutient ne pas avoir autorisé le virement litigieux, avoir appelé immédiatement son conseiller bancaire le 4 octobre 2019 pour l’informer de sa contestation et avoir aussitôt formulé une réclamation écrite, sans réaction de la banque, si ce n’est pour bloquer un chèque et suspendre son contrat le mettant alors en difficulté financière. Il conteste le refus de la banque de le rembourser en se fondant sur les dispositions de l’article L. 133-23 du code monétaire et financier et en soutenant qu’il n’est pas établi qu’il ait consenti à l’opération litigieuse ni qu’il l’ait validée expressément. Il indique que l’ajout d’un bénéficiaire au virement a été réalisé par des personnes ayant piraté ses données et conteste avoir fait preuve de négligence.

Il explique utiliser une adresse IP de son téléphone portable à [Localité 4] enregistrée auprès de la banque et que l’adresse utilisée n’est pas la même et est apparemment localisée à [Localité 6] dans le département de la Drôme et que sa seule connexion sur la période remonte au 3 octobre 2019 lorsqu’il lui a été envoyé un message indiquant qu’un nouveau bénéficiaire avait été ajouté. Il estime qu’il ne peut lui être reproché une grave négligence pour ne pas avoir répondu immédiatement lors de la réception du SMS à 15h18 car les escrocs ont validé l’opération quelques minutes après l’envoi du SMS entre 15h19 et 15h25.

Il dénonce une défaillance du système anti-fraude de la banque, celle-ci n’ayant pas détecté l’opération inhabituelle réalisée depuis une autre adresse IP et depuis un autre terminal téléphonique non enregistré comme étant le sien. Il rappelle, en visant l’article L. 561-2 du code monétaire et financier, que la société BNP Paribas est débitrice à son égard d’une obligation de vigilance, qu’elle y a failli et demande en plus du remboursement de la somme débitée, la réparation du préjudice occasionné.

Par des conclusions remises le 20 avril 2021, la société BNP Paribas demande à la cour :

– de confirmer en toutes ses dispositions le jugement dont appel,

– de condamner M. [V] à lui payer la somme de 2 500 euros au titre de l’article 700 du code de procédure civile.

La société BNP Paribas conteste avoir manqué à ses obligations et estime que M. [V] est l’auteur d’une négligence grave. Elle rappelle la teneur de la plainte déposée par M. [V] le 4 octobre 2019 aux termes de laquelle celui-ci reconnaît avoir reçu la veille un SMS sur son téléphone portable avec un lien sur lequel il a cliqué lui donnant accès à la page d’accueil de l’application mobile de sa banque puis avoir reçu un appel téléphonique émanant du même numéro que celui de son chargé de clientèle à la BNP Paribas lui indiquant que son espace sécurisé en ligne nécessitait une mise à jour et une sécurisation avec réception d’un lien. Elle ajoute que M. [V] a reconnu avoir constaté en se connectant à l’application mobile qu’un nouveau bénéficiaire de virement avait été ajouté.

Elle rappelle avoir mis en place un système d’authentification forte, la clé digitale, et que le virement litigieux n’a été possible que par l’activation à partir de son téléphone portable des propres codes de M. [V] dont il doit conserver la confidentialité et qu’il n’a pas réagi à l’ajout d’un bénéficiaire de virement, ce qui constitue là encore une négligence. Elle rappelle qu’en tant qu’établissement bancaire, elle n’adresse jamais à ses clients de SMS dont le seul objet serait de leur demander d’avoir à se connecter à leur espace bancaire en ligne et qu’il est certain que le message reçu par M. [V] était frauduleux et l’invitait à cliquer sur un lien internet l’ayant redirigé vers un site frauduleux. Elle soutient que M. [V] a communiqué les informations essentielles lors de la réception de l’appel téléphonique (identifiant et mot de passe), ce qui a permis aux escrocs d’ajouter un RIB bénéficiaire.

Elle souligne que le titulaire du compte est le seul responsable de son préjudice et demande la confirmation du jugement. Elle rappelle qu’il n’appartient pas au banquier de procéder à des investigations sur l’origine et l’importance des mouvements de compte de ses clients au regard d’un principe de non-immixtion dans la gestion de leurs affaires.

Pour un plus ample exposé des faits, moyens et prétentions des parties, il est renvoyé aux écritures de celles-ci conformément aux dispositions de l’article 455 du code de procédure civile.

L’ordonnance de clôture a été rendue le 20 septembre 2022 et l’affaire a été appelée à l’audience du 22 novembre 2022.

MOTIFS DE LA DÉCISION

Sur la demande de remboursement des sommes prélevées au titre du virement

Aux termes des articles L.133-16 et L. 133-17 du code monétaire et financier, il appartient à l’utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité des dispositifs de sécurité personnalisés et d’informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l’instrument de paiement ou des données qui lui sont liées. Cependant, c’est à ce prestataire qu’il appartient en application des articles L. 133-19 IV et L. 133-23 du même code de rapporter la preuve que l’utilisateur qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence grave, à ses obligations.

Il est admis que cette preuve ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés.

En cas d’utilisation d’un dispositif de sécurité personnalisé, il appartient également au prestataire de prouver que l’opération en cause a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre.

Il est acquis en l’espèce que le virement litigieux de 5 200 euros a été réalisé à partir de l’espace client de la banque disponible sur internet au moyen de l’application dédiée via le service de la clé digitale de M. [V] sur son téléphone portable, s’agissant d’un système d’authentification forte.

Le système d’authentification forte suppose d’ouvrir l’application « Mescomptes » au moyen de l’identifiant et du mot de passe du client, d’ajouter le RIB d’un bénéficiaire désigné puis de valider par clé digitale cet ajout.

La société BNP Paribas démontre qu’une fois le RIB du bénéficiaire rentré, le client reçoit une notification laissant apparaître l’opération à valider « ajout de Bénéficiaire », que l’écran récapitulatif de l’opération avant validation appelle le client à vérifier qu’il a bien demandé l’ajout d’un nouveau bénéficiaire dont la désignation est précisée. L’opération de validation suppose de composer un code secret connu du seul client avec apparition d’un écran constatant la validation du RIB.

Les relevés d’opérations communiqués aux débats permettent de constater que le 3 octobre 2019, une connexion à l’espace personnel de M. [V] a été réalisée à partir d’une adresse IP 78.198.77.36 inconnue de M. [V], à partir de 15 heures 12 (transaction « CANALNET » de 15h12), avec ajout d’un RIB bénéficiaire (transaction « CANALMODRIB » de 15h15), puis activation du système de clé digitale (transaction « CANAL VALID » de 15h17). La validation de l’ajout du bénéficiaire du RIB a été réalisée à 15 heures 18 depuis l’adresse IP de M. [V] (adresse I.P 80.215.245.0), au moyen de la clé digitale (transaction « CANALNET » de 15h18). Le virement de 5 200 euros a ensuite été opéré à 15 heures 22 depuis le compte de M. [V] (transaction « EXEVIRSEPA » de 15h22) depuis l’adresse IP 78.198.77.36.

Dans la plainte déposée par M. [V] auprès des services du Commissariat de police du [Localité 4] le 4 octobre 2019, celui-ci explique avoir reçu la veille sur son téléphone portable, un SMS avec un lien sur lequel il a cliqué lui donnant accès à la page d’accueil de l’application mobile de sa banque puis avoir reçu plusieurs appels téléphoniques émanant du même numéro que celui de son chargé de clientèle à la BNP Paribas. Il précise avoir décroché au troisième appel s’étonnant de ce que la voix était différente de celle de son conseiller bancaire habituel. Il ajoute avoir reçu un nouvel appel vers 14 heures 30 d’un autre numéro d’une personne lui indiquant qu’elle appelait pour modifier son profil afin de le mettre à jour et de le sécuriser et lui précisant qu’il allait recevoir un lien. Il ajoute s’être connecté à son application mobile une dizaine de minutes plus tard, avoir alors vu un message lui signifiant l’ajout d’un nouveau bénéficiaire de virement et avoir constaté le lendemain un virement de 5 200 euros vers un compte qui lui était inconnu.

Si M. [V] conteste avoir validé l’ajout d’un nouveau bénéficiaire et nie avoir autorisé le virement litigieux depuis son compte, force est de constater que selon les relevés d’opérations, la validation de l’ajout d’un RIB a bien été réalisée depuis l’adresse IP personnelle de M. [V] n° 80.215.245.0, par la composition de son code secret, associé à l’IMEI de téléphone portable, le reste des opérations étant réalisé à partir d’une autre adresse IP inconnue de lui.

La relation des faits effectuée par M. [V] et non démentie, permet de constater que l’intéressé a fait preuve d’une négligence fautive en suivant un lien reçu par SMS dont il ignorait la provenance et en ne vérifiant pas auprès de son agence bancaire la réalité de cet envoi. Son attention aurait dû être attirée par le fait qu’il ne reconnaissait pas la voix de son conseiller bancaire lors des échanges téléphoniques et encore plus lors de la réception d’un quatrième appel téléphonique émanant d’un numéro inconnu de lui et l’invitant à suivre un lien de connexion à son application mobile. Les opérations litigieuses n’ont pu être réalisées que par la transmission à des personnes inconnues des codes et informations confidentiels utiles pour accéder à son espace sécurisé en ligne. M. [V] ne donne pas non plus d’explication à son absence immédiate de réaction après avoir constaté qu’un nouveau bénéficiaire inconnu de lui avait été ajouté en tant que bénéficiaire de virement alors qu’il n’était pas à l’origine de l’opération.

C’est donc à juste titre que le premier juge a considéré que M. [V] a commis deux négligences graves consistant d’une part, à divulguer ses identifiant et code d’accès à son espace sécurisé à un tiers, et, d’autre part, à valider l’ajout d’un bénéficiaire de virement alors qu’il n’était pas lui-même à l’origine de l’opération et qu’il ne connaissait pas ce nouveau bénéficiaire.

Il ne saurait être reproché de manquement de la société BNP Paribas à une obligation de vigilance dès lors qu’elle n’est pas tenue de s’immiscer dans les opérations financières ou commerciales à l’origine des mouvements de fonds dont elle assure l’exécution.

Le jugement doit donc être confirmé en ce qu’il a débouté M. [V] de l’intégralité de ses demandes.

M. [V] est tenu aux dépens d’appel et condamné à payer à la société BNP Paribas la somme de 1 000 euros en application de l’article 700 du code de procédure civile.

PAR CES MOTIFS

LA COUR,

Statuant après débats en audience publique, par arrêt contradictoire mis à disposition au greffe,

Confirme le jugement en toutes ses dispositions ;

Y ajoutant,

Condamne M. [M] [V] aux dépens d’appel ;

Condamne M. [M] [V] à payer à la société BNP Paribas une somme de 1 200 euros par application de l’article 700 du code de procédure civile.

La greffière La présidente