AU NOM DU PEUPLE FRANÇAIS

ARRÊT N°

N° RG 23/01201 – N��Portalis DBVH-V-B7H-IYYD

DD

Tribnal de proximité d’AUBENAS

07 mars 2023 RG:11-22-0001

[M]

C/

SA Caisse d’Epargne et de Prévoyance Loire Drôme Ardèche

Grosse délivrée

le 29/08/2024

à Me Wissam Bayeh

à Me Emmanuelle Vajou

COUR D’APPEL DE NÎMES

CHAMBRE CIVILE

1ère chambre

ARRÊT DU 29 AOÛT 2024

Décision déférée à la cour : jugement du tribunal de proximité d’Aubenas en date du 07 mars 2023, N°11-22-0001

COMPOSITION DE LA COUR LORS DES DÉBATS :

Mme Delphine Duprat, conseillère, a entendu les plaidoiries en application de l’article 805 du code de procédure civile, sans opposition des avocats, et en a rendu compte à la cour lors de son délibéré.

COMPOSITION DE LA COUR LORS DU DÉLIBÉRÉ :

Mme Isabelle Defarge, présidente de chambre,

Mme Delphine Duprat, conseillère,

Mme Audrey Gentilini, conseillère,

GREFFIER :

Mme Audrey Bachimont, greffière, lors des débats et du prononcé de la décision

DÉBATS :

A l’audience publique du 13 juin 2024, où l’affaire a été mise en délibéré au 29 août 2024.

Les parties ont été avisées que l’arrêt sera prononcé par sa mise à disposition au greffe de la cour d’appel.

APPELANTE :

Mme [R] [M]

[Adresse 4]

[Adresse 4]

[Localité 1]

Représentée par Me Wissam Bayeh, Plaidant/Postulant, avocat au barreau de l’Ardèche

INTIMÉE :

La Sa Caisse d’Epargne et de Prévoyance Loire-Drôme-Ardèche, prise en la personne de son représentant légal en exercice domicilié en cette qualité

[Adresse 2]

[Localité 3]

Représentée par Me Emmanuelle Vajou de la Selarl Lx Nimes, postulant, avocat au barreau de Nîmes et par Me Gilles Peycelon de la Selarl Cabinet d’avocats Gilles Peycelon, plaidant, avocat au barreau de Saint-Etienne

ARRÊT :

Arrêt contradictoire, prononcé publiquement et signé par Mme Isabelle Defarge, présidente de chambre, le 29 août 2024, par mise à disposition au greffe de la cour

Le 20 janvier 2022, l’ordinateur de Mme [M] a subi une attaque informatique qui a permis à l’auteur de prendre possession de son contenu.

Mme [M] s’est rendue compte de cette opération d’hameçonnage et a contacté sa banque pour faire opposition aux cinq opérations de débit effectuées sur son compte pour un total de 556 euros.

Par lettre en date du 15 février 2022 la banque lui a opposé un refus d’indemnisation réitéré le 16 mars 2022.

Mme [M] a déposé plainte le 18 mars 2022 puis, assistée de l’association UFC-QUE CHOISIR elle a par acte du 25 octobre 2022 assigné la Caisse d’épargne et de prévoyance Loire Drome Ardèche aux fins de remboursement des sommes indûment prélevées devant le tribunal de proximité d’Aubenas qui par jugement du 7 mars 2023, l’a déboutée de ses demandes, a dit n’y avoir lieu à statuer sur les demandes de l’UFC-QUE CHOISIR et a condamné les demandeurs au paiement des dépens.

Le 6 avril 2023, Mme [R] [M] a interjeté appel de la décision

Par ordonnance du 21 décembre 2023, le conseiller de la mise en état de la cour d’appel :

– a déclaré nulles les conclusions notifiées le 2 juin 2023 pour le compte de l’association de défense des consommateurs de l’Ardèche correspondant de L’UFC QUE CHOISIR,

– a déclaré irrecevable son intervention volontaire,

– a condamné cette association aux dépens de l’incident,

– a débouté la Caisse d’Epargne et de Prévoyance Loire Drome Ardèche de sa demande au titre de l’article 700 du code de procédure civile ;

Par ordonnance du 6 mars 2024, la procédure a été clôturée le 30 mai 2024 et l’affaire fixée à l’audience du 13 juin 2024.

EXPOSÉ DES PRÉTENTIONS ET DES MOYENS

Par conclusions régulièrement notifiées le 14 mars 2024, Mme [R] [M] demande à la cour :

– d’infirmer la décision

– d’ordonner à la banque de lui rembourser l’intégralité des montants des opérations non autorisées et de rétablir les comptes débités dans l’état où ils se seraient trouvés si ces opérations n’avaient pas eu lieu, en l’espèce, la somme de 556 euros et les frais inhérents à ce débit, majorée des intérêts en application de l’article L133-18 du code monétaire et financier,

– de débouter la banque de l’ensemble de ses demandes et prétentions

– de la condamner à lui verser la somme de 2000 euros au titre de l’article 700 du code de procédure civile ainsi qu’aux entiers dépens y compris les frais d’exécution de la décision à venir.

Elle prétend que la banque est tenue contractuellement au remboursement des sommes dérobées, le système d’authentification forte mis en place ne pouvant l’exonérer de sa responsabilité, en ce qu’elle n’a commis aucune négligence grave

Par conclusions régulièrement notifiées le 27 mai 2024, La Caisse d’épargne et de prévoyance Loire-Drôme-Ardèche demande à la cour:

– de confirmer le jugement déféré

– de condamner l’appelante à lui payer la somme de 5 000 euros au titre de l’article 700 du code de procédure civile,

– de la condamner aux entiers dépens de 1ère instance et d’appel

Elle réplique être déchargée de son obligation de restitution dès lors qu’elle a mis à disposition de sa cliente un moyen d’authentification forte et en l’absence d’anomalies manifestes n’empêchant pas l’opération frauduleuse permettant de déduire la négligence grave du client ; elle prétend n’avoir pas manqué à son obligation de vigilance limitée à la vérification de la validité de l’ordre de paiement.

Il est fait renvoi aux écritures susvisées pour un plus ample exposé des éléments de la cause, des moyens et prétentions des parties, conformément aux dispositions des articles 455 et 954 du code de procédure civile.

Sur la responsabilité de la banque

Pour rejeter la demande de la requérante le tribunal a retenu que la banque justifiait que celle-ci avait validé les opérations suivant la procédure d’identification forte, et s’est ainsi montrée imprudente

L’appelante soutient que la banque ne rapporte pas la preuve qu’elle a communiqué intentionnellement ou par négligence grave, voire par fraude, ses données d’authentification.

L’intimée réplique que les conditions permettant à sa cliente de ne pas supporter les conséquences financières de l’opération litigieuse ne sont pas réunies, dès lors que la procédure d’authentification forte via le dispositif Secur Pass a été activée. Elle soutient que sa cliente a fait preuve de négligence grave, en acceptant la transaction ce qui fait présumer son consentement.

Selon les articles L.133-16 et L.133-17 du code monétaire et financier, dès qu’il reçoit un instrument de paiement, l’utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées.(…).

Lorsqu’il a connaissance de la perte, du vol, du détournement ou de toute utilisation non autorisée de son instrument de paiement ou des données qui lui sont liées, il en informe sans tarder, aux fins de blocage de l’instrument, son prestataire ou l’entité désignée par celui-ci.

Selon l’article L.133-19 IV du même code le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si elles résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L.133-16 et L.133-17 précités.

Lorsqu’un utilisateur de services de paiement conteste avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre (…).

L’utilisation de l’instrument de paiement tel qu’enregistré par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave à ses obligations. Le prestataire de services de paiement, y compris, le cas échéant, le prestataire de services de paiement fournissant un service d’initiation de paiement, doit prouver la fraude ou la négligence grave commise par l’utilisateur de services de paiement.

Il en résulte qu’il incombe ici à la Caisse d’Epargne de rapporter la preuve que l’appelante a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence grave à ses obligations, et que cette preuve ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés.

Sur l’authentification des paiements

L’appelante sollicite le remboursement de la somme de 556 euros correspondant aux opérations suivantes :

– [T] [K] [J] du 20/01/2022 pour 200 euros

– [T] [K] [J] du 20/01/2022 pour 89 euros

– [T] [K] [J] du 20/01/2022 pour 89 euros

– [T] [K] [J] du 20/01/2022 pour 89 euros

– [T] [K] [J] du 20/01/2022 pour 89 euros

Elle ne conteste pas avoir activé le service Secur’pass et avoir reçu des sms envoyés par sa banque sur son numéro de téléphone portable auxquels elle a répondu en confirmant être à l’origine des opérations.

L’enrôlement du système Sécur Pass via l’espace banque à distance se déroule en plusieurs étapes :

– un onglet apparaît via l’application Banxo et demande l’activité Sécur Pass,

– un code à 6 chiffres est envoyé sur le numéro de téléphone correspondant à l’identifiant client,

– l’application demande de créer un code Sécur Pass à 4 chiffres,

– une confirmation de ce code à 4 chiffres est demandée.

Ces opérations ont donc bien été validées par Mme [M], qui ne le conteste pas, au moyen du système mis en place destiné à sécuriser les paiements laquelle a confirmé qu’elle était bien l’initiatrice du paiement en répondant « oui ».

Ainsi, aucun manquement ne peut être reproché à la banque.

Sur la négligence grave de l’utilisateur du service de paiement

L’appelante a expliqué lors du dépôt de sa plainte du 18 mars 2022, avoir vu apparaître plusieurs fenêtres sur son écran avant que ne s’affiche un numéro indiquant ‘windows réparation’, qu’elle a contacté. Une personne se présentant comme une ‘conseillère Windows’ lui a demandé de faire des opérations relatives à de prétendus débits. Le logo d’une banque est apparu et sur demande de son interlocutrice, elle a tapé des codes à plusieurs reprises. Elle a ensuite reçu par SMS plusieurs messages de sa banque lui demandant si elle était à l’origine de ces opérations et a tapé ‘oui’ à plusieurs reprises, avant d’avoir un doute et après réflexion a tapé ‘non’ pour les suivants.

Elle a ajouté ‘là j’ai eu un doute, car à aucun moment je n’ai donné mon adresse mail à cette personne et j’ai raccroché’ ‘ dans la foulée, j’ai appelé ma banque et j’ai expliqué ce qu’il venait de se passer, je voulais faire opposition à ma carte bancaire, ce qui a été fait immédiatement par mon conseiller’.

Ainsi il apparaît qu’elle ne s’est pas étonnée de recevoir un SMS de demande de confirmation de paiement alors que son interlocuteur se présentait comme un conseiller Windows.

Ensuite, bien qu’alertée par les SMS de sa banque, elle a validé les paiements à 5 reprises avant de se raviser et de refuser les opérations suivantes.

Ces faits étaient de nature à attirer son attention et relevaient d’une vigilance normale, ce qui démontre qu’elle a été mise en mesure d’identifier la tentative de fraude en cours et prouve sa négligence grave.

La décision sera donc confirmée.

*demandes accessoires

Mme [M], qui succombe, devra supporter les dépens de première instance et d’appel.

Toutefois, l’équité ne commande pas de faire ici application des dispositions de l’article 700 du code de procédure civile.

La cour

Confirme la décision en toutes ses dispositions soumises à la cour,

Y ajoutant,

Condamne Mme [R] [M] aux entiers dépens,

Dit n’y avoir lieu à faire application de l’article 700 du code de procédure civile,

Arrêt signé par la présidente et par la greffière.

LA GREFFIÈRE, LA PRÉSIDENTE,