Au nom du Peuple Français

COUR D’APPEL DE DOUAI

TROISIEME CHAMBRE

ARRÊT DU 10/10/2024

****

N° de MINUTE : 24/314

N° RG 23/01811 – N° Portalis DBVT-V-B7H-U3IZ

Jugement (N° 22-000227) rendu le 09 Mars 2023 par le tribunal judiciaire de Douai

APPELANTE

Caisse d’Epargne et de Prévoyance Hauts de France, venant aux droits de la Caisse d’Epargne et de Prévoyance Nord France Europe, prise en la personne de son représentant légal es qualité domicilié audit siège.

[Adresse 4]

[Localité 5]

Représentée par Me Farid Belkebir, avocat au barreau de Valenciennes, avocat constitué

INTIMÉE

Madame [L] [I]

née le [Date naissance 1] 2002 à [Localité 5]

de nationalité Française

[Adresse 2]

[Localité 3]

Représentée par Me Marine Boen, avocat au barreau de Douai, avocat constitué

(bénéficie d’une aide juridictionnelle Totale numéro 591780022023003604 du 28/04/2023 accordée par le bureau d’aide juridictionnelle de Douai)

DÉBATS à l’audience publique du 27 juin 2024 tenue par Guillaume Salomon magistrat chargé d’instruire le dossier qui, a entendu seul(e) les plaidoiries, les conseils des parties ne s’y étant pas opposés et qui en a rendu compte à la cour dans son délibéré (article 805 du code de procédure civile).

Les parties ont été avisées à l’issue des débats que l’arrêt serait prononcé par sa mise à disposition au greffe

GREFFIER LORS DES DÉBATS :Harmony Poyteau

En présence de :

– Mme [O] [N]

– Mme [Y] [H]

– Mme [D] [U]

– M [X] [A], auditeurs de justice

– Mme [V] [B] [R], greffier stagiaire

COMPOSITION DE LA COUR LORS DU DÉLIBÉRÉ

Guillaume Salomon, président de chambre

Claire Bertin, conseiller

Yasmina Belkaid, conseiller

ARRÊT CONTRADICTOIRE prononcé publiquement par mise à disposition au greffe le 10 octobre 2024 (date indiquée à l’issue des débats) et signé par Guillaume Salomon, président et Harmony Poyteau, greffier, auquel la minute a été remise par le magistrat signataire.

ORDONNANCE DE CLÔTURE DU : 13 mai 2024

EXPOSE DU LITIGE :

1. Les faits et la procédure antérieure :

Le 20 septembre 2021, Mme [L] [I] a mis en vente des effets personnels en publiant une annonce sur Facebook. Elle a échangé, via Messenger, avec une personne lui ayant adressé un lien vers un site internet pour permettre le virement du prix sur son compte ouvert auprès de la Caisse d’épargne et de prévoyance Hauts de France (la Caisse d’épargne).

Elle a été destinatrice de deux courriels adressés par la Caisse d’épargne et lui indiquant tant la création d’un nouveau bénéficiaire de virement que l’augmentation temporaire des plafonds de sa carte bancaire.

Elle a enfin reçu de façon quasi-immédiate la notification par courriel adressé par sa banque de virements internes vers son compte de dépôt, puis d’un virement de 3 050 euros au bénéfice d’un tiers inconnu.

Elle a fait opposition à sa carte bancaire, et non au virement.

Mme [I] a déposé une plainte pour escroquerie.

La Caisse d’épargne a tenté en vain une procédure de rappel des fonds.

Invoquant n’avoir pas autorisé un tel virement, Mme [I] a fait assigner la Caisse d’épargne devant le tribunal judiciaire de Douai aux fins de remboursement de la somme prélevée et d’indemnisation de ses préjudices.

2. Le jugement dont appel :

Par jugement rendu le 9 mars 2023, le tribunal judiciaire de Douai a :

– condamné la Caisse d’épargne venant aux droits de la Caisse d’épargne et de prévoyance Nord Europe France à payer à Madame [L] [I] la somme de 3 050 euros en restitution des sommes prélevées frauduleusement sur son compte, avec intérêts au taux légal à compter de la mise en demeure datée du 21 décembre 2021,

– condamné la Caisse d’épargne à payer à Madame [L] [I] la somme de 500 € à titre de dommages et intérêts en réparation de son préjudice moral,

– condamné la Caisse d’épargne à payer à l’avocate de Madame [L] [I] la somme de 800 € au titre des dispositions de l’article 700.2° du code de procédure civile,

– débouté les parties de toute autre demande, plus ample ou contraire,

– condamné la Caisse d’épargne aux dépens,

– constaté l’exécution provisoire de sa décision.

3. La déclaration d’appel :

Par déclaration du 14 avril 2023, la Caisse d’épargne a formé appel de l’intégralité du dispositif de ce jugement.

4. Les prétentions et moyens des parties :

Aux termes de ses dernières conclusions notifiées le 5 février 2024, la Caisse d’épargne demande à la cour d’infirmer le jugement critiqué en toutes ses dispositions, débouter Mme [I] de l’intégralité de ses demandes et condamner cette dernière à lui payer les sommes versées au titre de l’exécution provisoire du jugement critiqué. Elle demande également de condamner Mme [I] aux dépens et à lui payer 2 500 euros au titre de l’article 700 du code de procédure civile.

A l’appui de ses prétentions, la Caisse d’épargne fait valoir que :

– l’article L. 133-19 du code monétaire et financier ne s’applique pas à l’espèce, alors que seul l’article L. 133-23 du même code doit régir la situation litigieuse.

– pour autant, en violation de ses obligations prévues par l’article L. 133-16, Mme [I] a commis une faute en fournissant à son interlocuteur les données personnelles de son compte bancaire lorsqu’elle a remplit les rubriques du site internet vers lequel pointait le lien qui lui avait été transmis pour permettre son paiement. Elle a commis une faute en ne s’alertant pas de la circonstance que l’acheteur lui indique le mode de paiement, alors qu’elle n’avait par ailleurs pas envoyé le produit vendu. Elle ne produit pas ses échanges par SMS ou via Messenger avec l’escroc. En répondant à un tel message présentant des anomalies sérieuses et en s’entretenant téléphoniquement avec un individu lors de l’opération litigieuse, Elle a ainsi autorisé le virement litigieux en commettant une négligence grave, ainsi qu’il résulte de sa propre plainte devant les services de police révélant qu’elle a en réalité communiqué à un inconnu son code confidentiel à quatre chiffres sur le site auquel renvoyait le lien transmis par son interlocuteur. Elle a ensuite directement validé les opérations lors de son entretien téléphonique avec un homme se présentant comme préposé de Paypal. Elle doit par conséquent supporter les pertes occasionnées en application de l’article L. 133-19 IV.

– la responsabilité d’une banque ne peut être engagée que si elle ne met pas à disposition du titulaire du compte un dispositif d’authentification forte : en l’espèce, la preuve d’un tel dispositif de sécurité est rapportée, de sorte que le virement frauduleux n’a pu intervenir sans une négligence du titulaire du compte qui devait valider l’opération de paiement sur son propre téléphone par l’utilisation de son code personnel. L’historique de son système d’information révèle que l’ajout d’un compte externe, puis la création de l’ordre de virement, ont été authentifiés par Secur’pass. Les connexions par un tiers non identifié (adresse IP, fournisseur, appareil téléphonique utilisé, lieu de connexion), qui ont permis la réalisation des opérations successives à partir de la nécessaire communication préalable du code à quatre chiffres, sont intervenues entre 17 h 36 et 17 h 38.

– le tribunal judiciaire a inversé la charge de la preuve, alors qu’il avait constaté l’absence de déficience technique du dispositif de sécurité forte.

Aux termes de ses conclusions notifiées le 26 février 2024, Mme [I], intimée, demande à la cour, au visa des articles L. 133-18 et suivants du code monétaire et financier et 9 du code civil, de :

– confirmer en toutes ses dispositions le jugement critiqué ;

– condamner la Caisse d’Épargne et de Prévoyance Hauts de France venant aux droits de la Caisse d’Épargne et de Prévoyance Nord France Europe aux entiers dépens,

– condamner la Caisse d’Épargne et de Prévoyance Hauts de France venant aux droits de la Caisse d’Épargne et de Prévoyance Nord France Europe à lui payer la somme de 2 000 euros en application des dispositions de l’article 700.2°, dont distraction au profit de Maître Marine BOEN,

– débouter la Caisse d’Épargne et de Prévoyance Hauts de France venant aux droits de la Caisse d’Épargne et de Prévoyance Nord France Europe de l’ensemble de ses

demandes.

A l’appui de ses prétentions, Mme [I] fait valoir que :

La preuve qu’elle a commis une négligence grave n’est pas rapportée par la banque, alors que les seules impressions d’écran ou historique fournis sont insuffisants à établir son existence. Une telle preuve ne peut résulter de la seule circonstance qu’un dispositif d’authentification forte existe. A l’inverse, l’ajout d’un nouveau bénéficiaire et le virement lors de la connexion d’un appareil étranger sur l’espace sécurisé, démontre que la sécurité du dispositif est insuffisante. La circonstance qu’un virement puisse être effectué quelques minutes après la création d’un nouveau bénéficiaire interroge sur une telle sécurité.

A l’inverse, aucune pièce ne démontre qu’elle a validé l’opération litigieuse, alors qu’une telle affirmation est contradictoire avec l’admission d’une connexion par un appareil inhabituel. Elle n’a pas communiqué ses données bancaires confidentielles, mais son relevé d’identité bancaire pour permettre le virement (« les informations de son compte courant » dans sa plainte) qui a été envoyé via le site qu’elle pensait être Paypal, et non par SMS.

L’absence de faute commise par la banque est indifférente : elle doit rembourser les sommes détournées, dès lors qu’elle ne prouve pas la négligence grave du payeur utilisateur du service de paiement.

Sur la responsabilité de la banque, prestataire de service de paiement à l’égard de son client émetteur du virement :

Si, aux termes des articles L. 133-16 et L. 133-17 du code monétaire et financier, il appartient à l’utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d’informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l’instrument de paiement ou des données qui lui sont liées, c’est à ce prestataire qu’il incombe, par application des articles L. 133-19, IV, et L. 133-23 du même code, de rapporter la preuve que l’utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence grave à ses obligations. Cette preuve ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés.

En l’espèce, la Caisse d’épargne établit d’une part que la série d’opérations litigieuses n’a pas été affectée par une déficience technique, conformément à l’article L. 133-23 précité.

Sur ce point, le dispositif d’authentification forte offert aux clients de la Caisse d’épargne prévoit notamment l’utilisation d’un moyen d’identification Secur’Pass : il s’agit d’un code personnel à 4 chiffres réutilisable, qui permet de valider une opération après que l’utilisateur s’est connecté à son espace de banque en ligne, et que seul l’utilisateur du terminal de paiement enregistré auprès de la banque peut renseigner.

La valeur probante de l’historique de connexion fourni par la Caisse d’épargne n’est pas contestable, alors qu’elle répond à l’inverse à l’obligation mise à la charge du prestataire de paiement d’enregistrer et comptabiliser les opérations par l’article L. 133-23. Son examen fait clairement ressortir que le dispositif d’authentification forte Secur’Pass a été utilisé pour chacune des modifications intervenues : en effet, alors que seul le terminal de paiement de Mme [I] est habilité à autoriser ces opérations, il résulte de cet historique qu’à 17 h 33, une connexion par un Iphone non répertorié est intervenue, impliquant que ce tiers a disposé des codes d’accès confidentiels à son espace en ligne. A cette occasion, une première tentative de création d’un nouveau compte externe a toutefois échoué, précisément à défaut d’autorisation réalisée via Secur’Pass. Une telle circonstance établit que le dispositif d’authentification a correctement fonctionné lors de cette première tentative.

A 17 h 34, l’utilisateur de l’appareil inconnu a en revanche réussi à procéder à une telle création d’un nouveau compte, après que le moyen d’identification Secur’Pass a été utilisé. L’augmentation des plafonds et les virements internes vers le compte de dépôt, puis le virement final de 3 050 euros sont ainsi intervenus à trois nouvelles reprises en respectant ce même dispositif d’authentification forte.

La Caisse d’épargne établit par conséquent que les opérations litigieuses ont été réalisées, alors qu’elle a mis en place un dispositif d’authentification, que les opérations litigieuses ont été dûment enregistrées et comptabilisés, et sans que son dispositif de sécurité ait failli, conformément aux dispositions de l’article L. 133-23 alinéa 1 du code monétaire et financier.

Dès lors, il appartient d’autre part à la Caisse d’épargne d’établir que les opérations litigieuses ont été réalisées en raison d’une négligence grave de Mme [I], dans des conditions lui permettant de refuser l’indemnisation des préjudices invoqués.

À cet égard, il est manifeste que Mme [I] a manifesté une absence de précaution caractérisée en considération des circonstances inhabituelles de la transaction envisagée.

Dans un premier temps, l’opération présentait effectivement une apparence globalement régulière : Mme [I] a ainsi reçu un SMS lui indiquant « Pay Pal : vous avez reçu de l’argent : acceptez le paiement sur https://inscription-oe.go.yi.fr/verification [E] [J] vous a envoyé è112,00 EUR ». Si la syntaxe du message n’est pas parfaite, tant l’identité de la personne avec laquelle Mme [I] expose s’être entretenue par Messenger que le montant de la transaction correspondent avec les termes de ce SMS. Mme [I] justifie également avoir reçu un document présentant un logo ressemblant à celui de Paypal et émanant d’une adresse [Courriel 6], qui lui indiquait : « vous avez reçu un paiement ! » et l’invitait à répondre à ce courriel avec l’indication des informations sur l’envoi et la livraison du colis à destination de l’acheteur. Ce message a été adressé à 15 h 06.

Pour autant, dans un second temps, il est manifeste que Mme [I] a adopté un comportement particulièrement négligent. Sur ce point, la Caisse d’épargne relève à juste titre qu’elle ne fournit pas l’historique de ses communications téléphoniques au cours de l’après-midi du 20 septembre 2021 dans des conditions permettant de retracer l’historique de ses contacts avec son interlocuteur, alors que la cour observe que :

– un délai important s’est écoulé entre 15 h 06 et 17 h 32, heure de la première connexion d’un appareil non référencé sur son espace en ligne ;

– Mme [I] a admis lors de sa plainte avoir reçu un appel téléphonique d’une personne se présentant comme un employé de Paypal.

Elle a ainsi précisé lors de sa plainte : « j’ai alors cliqué sur le lien qui m’a transféré vers une page internet comportant le logo de l’application Paypal en me demandant de remplir les informations de mon compte courant afin que l’argent soit visé sur ce compte.

J’ai alors reçu un appel du 06.41.56.83.41 un homme qui se faisait passer pour un employé de la société paypal m’a appelé afin que je confirme les informations que j’avais remplis via le lien du SMS.

Juste après avoir raccroché avec cet homme, je suis allée voir sur mon compte bancaire pour vérifier que j’avais reçu le virement de 112 euros. C’est à ce moment que je me suis aperçue que j’avais un transfert d’argent de 1500 euros de mon livret jeune vers mon compte courant, 1500 euros de mon livret A vers mon compte courant. Ils ont débité un total de 3050 euros qui étaient sur mon compte courant.

Je suis immédiatement descendue voir mes parents pour leur expliquer ce qui venait de se passer.

J’ai bloqué mes comptes via l’application de la caisse d’épargne. »

Il ressort également de l’historique de connexion que Mme [I] s’est elle-même connectée à son espace à 17 h 14.

Il en résulte que :

– d’une part, Mme [I] reste évasive sur la nature des informations qu’elle a communiquées lorsqu’elle a cliqué sur le lien adressé par SMS : elle ne produit à cet égard aucune impression d’écran de la page internet litigieuse, de sorte que ses seules déclarations sont insuffisantes pour établir qu’elle n’a fourni que ses coordonnées bancaires pour permettre de bénéficier du virement de 120 euros. En revanche, l’accès à son espace en ligne par un appareil inconnu est précisément intervenu le jour où elle a renseigné ce formulaire en ligne.

– d’autre part, la première tentative de connexion est intervenue peu de temps après que Mme [I] a consulté son compte, étant observé qu’elle n’indique pas le motif d’une telle connexion, qui est toutefois évocatrice d’une vérification que le paiement annoncé était intervenu. Elle ne précise pas davantage si elle a alors recontacté Mme [J] via le numéro de téléphone utilisé pour lui adresser le lien ou via Messenger.

Il est en revanche certain qu’un tiers a pu accéder à son espace en ligne, précisément sur cette courte période, ce qui implique qu’il disposait de l’identifiant et du code confidentiel de connexion de Mme [I].

– enfin, le déblocage du dispositif d’authentification forte est intervenue de façon immédiatement concomitante à l’appel téléphonique de ce tiers se présentant comme un préposé de Paypal, dès lors que Mme [I] admet avoir constaté les opérations litigieuses dans les instants ayant suivi cette conversation. Alors que seule Mme [I] a pu procéder à l’authentification forte Secur’Pass en composant son code à quatre chiffres sur son propre téléphone portable, il ressort d’une telle concomitance qu’elle a en réalité validé, de façon répétée et sans procéder à aucune vérification, quatre opérations successives, au cours de sa conversation téléphonique avec un inconnu, permettant ainsi le virement litigieux de 3 050 euros. La rapidité avec laquelle les opérations se sont enchaînées résulte ainsi de son propre comportement, dès lors qu’elle a elle-même levé les obstacles permettant le paiement litigieux dans un délai très bref. Le caractère totalement inhabituel d’un tel procédé ne pouvait échapper sérieusement à Mme [I].

La circonstance que Mme [I] a réagi rapidement est enfin indifférente, dès lors qu’elle a fourni elle-même les moyens à l’auteur du virement de procéder à ce détournement, étant au surplus observé qu’elle n’a en réalité pas contesté immédiatement le virement, mais exclusivement sollicité la mise en opposition de sa carte bancaire à 17 h 41.

La Caisse d’épargne établit ainsi la négligence grave de Mme [I].

En application de l’article L. 133-39 IV, Mme [I] doit par conséquent supporter toutes les pertes occasionnées par les opérations de paiement non autorisées.

Le jugement critiqué est dès lors infirmé en ce qu’il a condamné la Caisse d’épargne à indemniser Mme [I] au titre d’un préjudice financier et d’un préjudice moral au titre des opérations non autorisées.

Sur la restitution des sommes versées en vertu du jugement assorti de l’exécution provisoire :

Le présent arrêt infirmatif constitue le titre ouvrant droit à la restitution des sommes versées en exécution du jugement, étant précisé que les sommes devant être restituées portent intérêt au taux légal à compter de sa signification, valant mise en demeure, de la décision ouvrant droit à restitution.

Il s’ensuit qu’il n’y a pas lieu de statuer d’ordonner la restitution des sommes ainsi versées dans le dispositif du présent arrêt.

Sur les dépens et les frais irrépétibles de l’article 700 du code de procédure civile :

Le sens du présent arrêt conduit :

d’une part à infirmer le jugement attaqué sur ses dispositions relatives aux dépens et à l’article 700 du code de procédure civile ;

d’autre part, à condamner Mme [I] aux entiers dépens de première instance et d’appel, étant précisé que cette dernière est bénéficiaire de l’aide juridictionnelle ;

enfin, à débouter la Caisse d’épargne de sa demande au titre de l’article 700 du code de procédure civile, l’équité ne commandant pas de faire application de ses dispositions à l’encontre de Mme [I].

La cour,

Infirme le jugement rendu le 9 mars 2023 par le tribunal judiciaire de Douai en toutes ses dispositions ;

Et statuant à nouveau :

Dit que la Caisse d’épargne et de prévoyance Hauts de France n’est pas tenue d’indemniser Mme [L] [I] au titre du virement de 3 050 euros intervenu le 20 septembre 2021 ;

Déboute par conséquent Mme [L] [I] de l’intégralité de ses demandes indemnitaires ;

Condamne Mme [L] [I] aux dépens de première instance et d’appel, qui seront recouvrés comme en matière d’aide juridictionnelle ;

Dit n’y avoir lieu à l’application de l’article 700 du code de procédure civile.

Le greffier

Harmony POYTEAU

Le président

Guillaume SALOMON