Texte intégral
JP/CS
Numéro 24/3431
COUR D'APPEL DE PAU
2ème CH - Section 1
ARRET DU 12 novembre 2024
Dossier : N° RG 23/01820 - N° Portalis DBVV-V-B7H-ISHQ
Nature affaire :
Autres actions en responsabilité exercées contre un établissement de crédit
Affaire :
Société CAISSE REGIONALE DE CREDIT AGRICOLE MUTUEL PYRENEE S GASCOGNE
C/
[E] [D]
Grosse délivrée le :
à :
RÉPUBLIQUE FRANÇAISE
AU NOM DU PEUPLE FRANÇAIS
A R R E T
Prononcé publiquement par mise à disposition de l'arrêt au greffe de la Cour le 12 novembre 2024, les parties en ayant été préalablement avisées dans les conditions prévues au deuxième alinéa de l'article 450 du Code de Procédure Civile.
* * * * *
APRES DÉBATS
à l'audience publique tenue le 24 Septembre 2024, devant :
Jeanne PELLEFIGUES, magistrat chargé du rapport,
assisté de Mme SAYOUS, Greffière présente à l'appel des causes,
Jeanne PELLEFIGUES, en application des articles 805 et 907 du Code de Procédure Civile et à défaut d'opposition a tenu l'audience pour entendre les plaidoiries, en présence de Philippe DARRACQ et en a rendu compte à la Cour composée de :
Madame Jeanne PELLEFIGUES, Présidente
Monsieur Philippe DARRACQ, Conseiller
Madame Laurence BAYLAUCQ, Conseillère
qui en ont délibéré conformément à la loi.
dans l'affaire opposant :
APPELANTE :
Société CAISSE REGIONALE DE CREDIT AGRICOLE MUTUEL PYRENEES GASCOGNE société coopérative à personnel et capital variables, poursuites et diligences de son représentant légal.
[Adresse 1]
[Localité 4]
Représentée par Me Paul CHEVALLIER de la SCP CHEVALLIER-FILLASTRE, avocat au barreau de TARBES
INTIMEE :
Madame [E] [D]
née le [Date naissance 2] 1962 à [Localité 5] (65)
de nationalité Française
[Adresse 3]
[Localité 5]
Représentée par Me Julien SOULIE de la SELARL SOULIE MAUVEZIN, avocat au barreau de TARBES
sur appel de la décision
en date du 19 AVRIL 2023
rendue par le TJ HORS JAF, JEX, JLD, J. EXPRO, JCP DE TARBES
Par jugement du 19 avril 2023, le tribunal judiciaire de Tarbes a :
- CONDAMNÉ la CAISSE REGIONALE DE CREDIT AGRICOLE MUTUEL PYRENEES GASCOGNE à payer à Madame [E] [D] la somme de 6.000 € ;
- DIT que cette somme portera intérêts au taux légal à compter du présent jugement avec capitalisation par périodes annuelles conformément aux dispositions de I 'article 1343-2 du code civil ;
- CONDAMNÉ la CAISSE REGIONALE DE CREDIT AGRICOLE MUTUEL PYRENEES GASCOGNE à payer à Madame [E] [D] la somme de 1.200 € sur le fondement de I' article 700 du code de procédure civile ;
- CONDAMNÉ la CAISSE REGIONALE DE CREDIT AGRICOLE MUTUEL PYRENEES GASCOGNE aux dépens ;
- RAPPELÉ l'exécution provisoire de droit du présent jugement
Par déclaration du 28 juin 2023, la CAISSE REGIONALE DE CREDIT AGRICOLE MUTUEL PYRENEES GASCOGNE a relevé appel de cette décision.
La procédure a été clôturée par ordonnance du 11 septembre 2024.
La CAISSE REGIONALE CREDIT AGRICOLE MUTUEL PYRENEES GASCOGNE conclut à :
Vu l'article L.133-19-IV du Code Monétaire et Financier
- REFORMER le jugement du Tribunal Judiciaire de TARBES rendu le 19.04.2023.
Au principal :
- JUGER que Madame [D] ne démontre pas avoir été victime d'une opération frauduleuse.
Subsidiairement :
- JUGER que Madame [D] a commis une négligence grave.
En conséquence et en toute hypothèse :
- DEBOUTER Madame [D] de l'ensemble de ses demandes, fins et conclusions.
- DEBOUTER Madame [D] en sa demande de confirmation du jugement dont appel.
- CONDAMNER Madame [D] à payer au CREDIT AGRICOLE la somme de 1.000 € au titre de l'article 700 du Code de procédure civile.
- CONDAMNER Madame [D] aux dépens.
Madame [E] [D] conclut à :
Vu les articles L. 133-18, L. 133-19, L. 133-23 et L.133-44 du code monétaire et 'nancier
Con'rmer le jugement du 19 avril 2023 du Tribunal judiciaire de TARBES
- Condamner la CAISSE REGIONALE CREDIT AGRICOLE MUTUEL PYRENEES GASCOGNE à verser à Madame [E] [D] la somme de 2.500€ au titre de l'article 700 du CPC
- Débouter la CAISSE REGIONALE CREDIT AGRICOLE MUTUEL PYRENEES GASCOGNE de l'ensemble de ses demandes
- Condamner la CAISSE REGIONALE CREDIT AGRICOLE MUTUEL PYRENEES GASCOGNE aux entiers dépens
SUR CE
Madame [E] [D] est titulaire d'un compte courant ouvert dans les livres de la banque CREDIT AGRICOLE.
Le 22 juin 2021, Madame [E] [D] a reçu un courrier électronique avec des instructions pour activer le service" SecuriPass " de la banque CREDIT AGRICOLE.
Elle a suivi les instructions puis a reçu des SMS contenant des codes d'activation qu'elle a validés. Elle a ensuite saisi les numéros de sa carte bancaire, et a été destinataire de deux autres mails, le premier comprenant un code destiné à finaliser son inscription, le second confirmant l'activation du service "SecuriPass ".
Puis, les 23 et 24 juin 2021, Madame [E] [D] a reçu deux courriers électroniques l'informant que deux comptes bénéficiaires avaient été enregistrés dans son espace " banque en ligne ".
Trois virements, de 3.000 € chacun, ont été effectués depuis le compte de Madame [D].
Madame [E] [D] a alors déposé plainte auprès du commissariat de [Localité 8] et rempli un formulaire de contestation de ces opérations de paiement auprès de la CAISSE REGIONALE DE CREDIT AGRICOLE MUTUEL PYRENEES GASCOGNE (ci-après le CREDIT AGRICOLE) le 25 juin 2021.
La somme de 3.000 €, correspondant au montant de l'un des trois virements, a pu être recréditée sur le compte de Madame [E] [D] le 6 juillet 2021.
En revanche, le CREDIT AGRICOLE a informé sa cliente qu'il ne procèderait pas au remboursement des 6.000 € restant, tout en lui proposant d'effectuer un geste commercial en lui versant la somme de 1.500 €, ce que Madame [E] [D] a refusé.
Le 26 août 2021, l'assureur de Madame [E] [D] a adressé au CREDIT AGRICOLE un courrier mettant en demeure la banque de verser à sa cliente la somme de 6.000 €.
Le CREDIT AGRICOLE a refusé de procéder à ce versement.
Ainsi, selon acte d'huissier de justice en date du 27 septembre 2022, Madame [E] [D] a assigné le CREDIT AGRICOLE devant le tribunal judiciaire de Tarbes, statuant selon la procédure orale, sollicitant la condamnation de l'établissement bancaire à lui payer la somme de 6.000 € au titre du remboursement des sommes débitées sur son compte bancaire.
- Sur le caractère non autorisé de l'opération
L'appelante soutient que Madame [E] [D] ne démontre pas avoir été victime d'une opération frauduleuse aux motifs qu'elle ajouté les IBAN bénéficiaires et a validé les virements via le système d'authentification SECURIPASS. Elle ajoute que les virements sont présumés avoir été effectués par ses soins.
En réponse, Madame [E] [D] fait valoir que le caractère frauduleux des virements ne fait aucun doute et qu'il doit être apprécié au regard de la globalité de la man'uvre et non uniquement de l'autorisation de paiement donnée.
En l'espèce, si certes des IBAN bénéficiaires ont été ajoutés à son initiative ainsi que des virements réalisés par le biais du système SECURIPASS, il n'en demeure pas moins qu'elle a suivi les instructions qui lui ont été données dans le courriel d'hameçonnage ce qui a permis au fraudeur de s'auto-attribuer les fonds.
Dès le lendemain de ces opérations, elle a déposé plainte auprès du commissariat de police de [Localité 8] et rempli un formulaire de contestation de ces opérations de paiement auprès de la caisse régionale Crédit Agricole mutuelle Pyrénées Gascogne. Elle a donc agi conformément aux dispositions de l'article L 133-24 du code monétaire et financier.
Cette démarche a d'ailleurs permis que son compte soit recrédité le 6 juillet 2021 de la somme de 3000 € correspondant au montant de l'un des trois virements.
- Sur la responsabilité de la banque
Madame [E] [D] fait valoir que le CREDIT AGRICOLE ne justifie pas avoir appliqué l'authentification forte prévue à l'article L.133-44 du code monétaire et financier. Aussi, elle avance sur le fondement de l'article L.133-23 du même code, que la banque ne démontre ni l'authentification des opérations ni que celles-ci n'ont pas été affectées d'un problème technique.
Le CREDIT AGRICOLE soutient que l'authentification forte a été appliquée, le virement ayant nécessité les éléments de connaissance et de possession.
Il ressort de l'article L. 133-19, V du code monétaire et financier que, sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si l'opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement du payeur n'exige une authentification forte du payeur prévue par le second de ces textes.
L'article L. 133-4, du même code précise qu'une authentification forte du client s'entend d'une authentification reposant sur l'utilisation de deux éléments ou plus appartenant aux catégories " connaissance " (quelque chose que seul l'utilisateur connaît), " possession " (quelque chose que seul l'utilisateur possède) et " inhérence " (quelque chose que l'utilisateur est) et indépendants en ce sens que la compromission de l'un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d'authentification.
En l'espèce, le CREDIT AGRICOLE a exigé du payeur avant la réalisation des virements qu'il saisisse le code confidentiel de son application mobile ainsi que le code à usage unique envoyé sur son portable personnel, soit une vérification comportant deux éléments entrant respectivement dans les catégories « connaissance » et « possession ». Elle produit en pièce n°2 le justificatif d'envoi des codes d'activation du service SECURIPASS et de l'application mobile.
Ainsi, l'authentification forte a bien été appliquée par le prestataire de service de paiement.
Par ailleurs, aux termes de l'article L.133-23 du code monétaire et financier lorsqu'un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l'opération de paiement n'a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l'opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu'elle n'a pas été affectée par une déficience technique ou autre.
En l'espèce, les virements frauduleux ont été authentifiés par le CREDIT AGRICOLE au moyen du code confidentiel envoyé à Madame [D] par SMS. De plus ces trois virements ont été dûment enregistrés et comptabilisés par la banque au débit du compte de l'intimée. Enfin l'opération n'a pas été affectée par une déficience technique, les virements ayant été correctement réalisés.
Au regard de ce qu'il précède, le CREDIT AGRICOLE a satisfait à ses obligations légales.
- Sur la responsabilité de Madame [D]
Le CREDIT AGRICOLE soutient, sur le fondement de l'article L.133-19 -IV du code monétaire et financier, que sa cliente a fait preuve de négligence grave, la privant du remboursement des fonds prélevés.
Les erreurs flagrantes que comportaient le mail frauduleux auraient interpellé un utilisateur normalement attentif. A l'appui de cette affirmation, elle expose que les logo et devise du CREDIT AGRICOLE sont différents de ceux figurant dans les communications habituelles, qu'il n'est fait aucune référence à la Caisse Régionale, que les adresses utilisées par l'expéditeur ne proviennent manifestement pas des services du Crédit Agricole et enfin que le contenu du message est incohérent et la syntaxe approximative notamment en ce qu'il évoque une situation d'urgence susceptible d'entraîner la désactivation des programmes sécuritaires du compte.
En dépit de ces signaux, Madame [E] [D] a tout de même communiqué ses codes d'activation personnels et numéros de carte bancaire, cryptogramme compris, en violation de ses obligations légales et contractuelles.
L'intimée répond que le courrier électronique frauduleux comportait le logo du crédit agricole, il ne contenait au surplus aucune faute d'orthographe ou erreur de syntaxe, de sorte que cette situation n'avait pas à alerter sa vigilance. Le fait que la référence à la Caisse Régionale n'apparaisse pas et que l'adresse de provenance soit intitulée « alerte.courrier-ca », n'enlèvent rien au caractère trompeur du mail.
Selon ses assertions, c'est la crédibilité du courriel d'hameçonnage qui l'a conduit à communiquer ses données bancaires.
Enfin, elle précise avoir respecté son obligation prévue à l'article L. 133-17 du code monétaire et financier en prévenant sa conseillère de man'uvres suspectes, qui en bloquant sa carte n'a toutefois pas empêché des prélèvements postérieurs.
Il résulte de l'article L. 133-18 du code monétaire et financier qu'en cas d'opération de paiement non autorisée signalée par l'utilisateur dans les conditions prévues à l'article L133-24 le prestataire de services de paiement du payeur rembourse au payeur le montant de l'opération non autorisée immédiatement après avoir pris connaissance de l'opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, sauf s'il a de bonnes raisons de soupçonner une fraude de l'utilisateur du service de paiement et s'il communique ces raisons par écrit à la Banque de France. Le cas échéant, le prestataire de services de paiement du payeur rétablit le compte débité dans l'état où il se serait trouvé si l'opération de paiement non autorisée n'avait pas eu lieu.
Toutefois, l'article L. 133-19, IV du code monétaire et financier dispose que le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d'un agissement frauduleux de sa part ou s'il n'a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L133-16 et L. 133-17.
L'article L. 133-16 du même code dispose que dès qu'il reçoit un instrument de paiement, l'utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées. Il utilise l'instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation qui doivent être objectives, non discriminatoires et proportionnées.
L'article L. 133-17 impose quant à lui à l'utilisateur qui a connaissance de la perte, du vol, du détournement ou de toute utilisation non autorisée de son instrument de paiement ou des données qui lui sont liées d'en informer sans tarder, aux fins de blocage de l'instrument, son prestataire ou l'entité désignée par celui-ci.
C'est au prestataire de paiement qu'il incombe par application des articles L 113-19 IV et L 113-23 de rapporter la preuve que l'utilisateur, qui nie avoir autorisé l'opération de paiement, a agi frauduleusement ou n'a pas satisfait intentionnellement ou par négligence grave à ses obligations légales.
Suivant jurisprudence de la Cour de cassation, la négligence grave doit s'apprécier in abstracto, par référence au comportement qu'aurait eu un utilisateur normalement attentif peu important qu'il soit, ou non, avisé des risques d'hameçonnage.
Le CREDIT AGRICOLE considère que plusieurs anomalies et carences auraient dû conduire Madame [E] [D] à douter de la provenance du mail et de la légitimité de la demande qui lui était présentée.
L'appelant avance que les adresses courriels de l'émetteur indiquées par sa cliente, à savoir « [Courriel 7] » et « [Courriel 6] », lors du dépôt de plainte ainsi que dans le formulaire de contestation, étaient de nature à attirer sa vigilance en ce qu'elles ressemblent davantage à des adresses mail de particuliers que de professionnels.
Aux termes de ses conclusions, Madame [E] [D] précise que le courriel frauduleux mentionnait comme émetteur « alerte.courrier-ca ». Elle estime que cet intitulé ne nécessitait pas la vérification de l'adresse exacte. Elle produit en pièce n°1 une capture écran du mail telle qu'elle dit l'avoir reçu. Il est écrit : « Le 22/06/2021, à ,16 :08, alerte.courrier-ca a écrit : Communiqué de votre conseiller pour la régularisation sécuritaire immédiate de votre compte. Votre Agence CA ».
Cette présentation n'avait pas vocation à conduire l'utilisatrice à opérer de plus amples investigations sur les adresses courriels qui se cachaient derrière l'adresse apparente. Ce d'autant que la référence à l'urgence est en cohérence avec le message évoquant une régularisation sécuritaire immédiate du compte, message qui est au demeurant exempt de fautes d'orthographes et de tout autre erreur grammaticale ou syntaxique.
La banque estime que le document fourni est incomplet en ce qu'il ne permet pas de prendre connaissance de la véritable adresse de l'expéditeur, or, il convient de rappeler à ce titre, que c'est sur elle que repose la charge de la preuve et qu'elle n'apporte aucun élément de nature à démontrer que le courriel s'est affiché autrement.
Le libellé du mail authentique du CREDIT AGRICOLE avec son arborescence et l'adresse courriel habituelles, envoyé à Madame [E] [D] pour lui confirmer l'activation du système SECURIPASS, ne pouvait raisonnablement éveiller ses soupçons contrairement à ce que soutient la banque, mais à l'inverse, la conforter dans son état d'ignorance puisque l'opération frauduleuse qui tendait à cette fin était désormais validée par sa conseillère habituelle. Il n'est dès lors pas anormal que certaines différences n'aient pas attiré son attention.
En conséquence, au regard du contexte sus exposé, l'adresse de l'émetteur n'était pas de nature à attirer la méfiance d'un utilisateur normalement attentif. En conséquence, à ce stade, la négligence grave n'est pas caractérisée.
Sur le contenu du courrier, le logo du CREDIT AGRICOLE est parfaitement identique à celui utilisé par la banque dans les courriers postérieurs à l'opération frauduleuse, étant précisé qu'aucun courrier antérieur permettant une autre comparaison n'a été produit.
Cependant, il apparaît que la mention « PYRENEES GASCOGNE » n'est pas accolée au logo et qu'elle a été remplacée par la devise « Toute une banque pour vous ».
D'une part, le premier juge a exactement retenu que cette référence à la « CAISSE REGIONALE » n'est qu'accessoire sachant que l'expéditeur pouvait être identifié grâce au logo.
D'autre part, la devise « Toute une banque pour vous » figure dans les correspondances authentiques du CREDIT AGRICOLE en pièces n°4 et 5 et pouvait donc légitimement paraître familière à Madame [E] [D]. En toutes hypothèses, il semblerait que la banque change parfois de slogan puisqu'en pièce n°3 est utilisé le slogan « Agir chaque jour dans votre intérêt et celui de la société ».
La lecture du contenu du courriel ne laisse apparaître aucune faute d'orthographe, la syntaxe étant tout à fait compréhensible.
En outre, l'urgence se comprenait au regard du risque fictif de « la désactivation des programmes sécuritaires » du compte de l'utilisatrice. A cet égard, le premier juge a exactement retenu que le sens global du message ne peut être considéré comme particulièrement surprenant compte tenu des obligations incombant à toute établissement bancaire et de la responsabilité corrélative qui lui incombe.
Il résulte de ce qu'il précède que le courriel ne comportait pas des indices permettant à un utilisateur normalement attentif de douter de sa provenance.
Enfin, si effectivement Madame [E] [D] divulguait toutes ses données bancaires suite au courriel d'hameçonnage du 22 juin 2021, cela est justifié par le fait qu'elle pouvait raisonnablement croire, dans la présentation qui lui en a été faite avec l'intervention de sa conseillère habituelle, que ledit mail provenait du CREDIT AGRICOLE dans un but sécuritaire.
Dès lors les agissements de Madame [E] [D] ne peuvent être constitutifs d'une négligence grave.
Dans ces conditions il y a lieu de faire application des dispositions de l'article L 133-18 du code monétaire et financier Madame [E] [D] ayant rempli les obligations qui lui incombaient relativement à la sécurisation de son compte, au signalement des opérations litigieuses dans les délais requis, la fraude ou la négligence grave de sa part n'ayant pas été démontrée par le crédit agricole.
Le CREDIT AGRICOLE sera donc condamné en application de l'article L. 133-18 du code monétaire et financier à payer à Madame [E] [D] la somme de 6.000 euros.
Le jugement déféré sera confirmé en ce qu'il a dit que cette somme portera intérêts au taux légal à compter du présent jugement avec capitalisation par périodes annuelles conformément aux dispositions de I 'article 1343-2 du code civil
La somme de 1500 € sera allouée sur le fondement de l'article 700 du code de procédure civile.
PAR CES MOTIFS
La cour, après en avoir délibéré, statuant par arrêt mis à disposition au greffe, contradictoirement et en dernier ressort,
Confirme le jugement du 19 avril 2023 en toutes ses dispositions,
Condamne la CAISSE REGIONALE DE CREDIT AGRICOLE MUTUEL PYRENEES GASCOGNE à payer à Madame [E] [D] la somme de 1.500 €sur le fondement de I' article 700 du code de procédure civile
Dit la CAISSE REGIONALE DE CREDIT AGRICOLE MUTUEL PYRENEES GASCOGNE tenue aux dépens.
Le présent arrêt a été signé par Madame PELLEFIGUES, Présidente, et par Madame Catherine SAYOUS, greffier suivant les dispositions de l'article 456 du Code de Procédure Civile.
LA GREFFIÈRE, LE PRÉSIDENT,