Texte intégral
TRIBUNAL
JUDICIAIRE
DE PARIS [1]
[1]
Expéditions
exécutoires
délivrées le:
Me KOPLEWICZ
Me MARTINET
■
9ème chambre 2ème section
N° RG 23/09408 - N° Portalis 352J-W-B7H-C2I3D
N° MINUTE : 3
Assignation du :
19 Juillet 2023
JUGEMENT
rendu le 20 Novembre 2024
DEMANDEUR
Monsieur [P] [W]
[Adresse 4]
[Localité 1]
représenté par Me Richard KOPLEWICZ, avocat au barreau de PARIS, vestiaire #D1721
DÉFENDERESSE
S.A. CIC, prise en la personne de son représentant légal
[Adresse 2]
[Localité 3]
représentée par Me Julien MARTINET, avocat au barreau de PARIS, vestiaire #D1329
Décision du 20 Novembre 2024
9ème chambre 2ème section
N° RG 23/09408 - N° Portalis 352J-W-B7H-C2I3D
COMPOSITION DU TRIBUNAL
Monsieur Gilles MALFRE, Premier Vice-président adjoint,
Monsieur Augustin BOUJEKA, Vice-Président
Monsieur Alexandre PARASTATIDIS, Juge
assistés de Madame Alice LEFAUCONNIER, Greffière.
DÉBATS
A l’audience du 18 Septembre 2024 tenue en audience publique devant Monsieur PARASTATIDIS, juge rapporteur, qui, sans opposition des avocats, a tenu seul l’audience, et, après avoir entendu les conseils des parties, en a rendu compte au Tribunal, conformément aux dispositions de l’article 805 du Code de Procédure Civile. Avis a été donné aux avocats que la décision serait rendue le 20 Novembre 2024.
JUGEMENT
Rendu publiquement par mise à disposition au greffe
Contradictoire
En premier ressort
FAITS ET PROCEDURE
Exposant avoir été victime d’une escroquerie de type « spoofing », M. [P] [W] conteste avoir passé le 3 août 2022 quatre ordres de virement pour la somme totale de 13.440 euros depuis son espace en ligne et effectué cinq retrait d’espèces le même jour pour la somme totale de 4.500 euros avec ses cartes bancaires liées à son compte courant ouvert dans les livres du Crédit industriel et commercial (ci-après CIC), opérations qu’il a signalées le jour même en faisant opposition à ses cartes bancaires et en adressant un courriel à son conseiller.
Le 4 août 2022, il a déposé plainte pour escroquerie auprès des services de la gendarmerie de [Localité 5].
Par lettre recommandée avec AR du 24 novembre 2022, il a adressé une mise en demeure au CIC qui, par lettre du 7 décembre 2022, lui a notifié son refus d’accéder à sa demande.
C’est dans ce contexte que par exploit de commissaire de justice du 19 juillet 2023, M. [W] a fait assigner le CIC devant le tribunal judiciaire de Paris en recherche de la responsabilité de cet établissement.
Aux termes de ses dernières conclusions signifiées par voie électronique le 14 mai 2024, aux visas des articles L.133-16, L.133-18, L.133-19 et L.133-23 du code monétaire et financier, de la directive (UE) 2015/2366 du 25 novembre 2015 concernant les services de paiement transposée en droit français par l’ordonnance du 9 août 2017, de l'article 1240 du code civil, et des articles 699 et 700 du code de procédure civile, il est demandé au tribunal de :
« CONDAMNER le CIC à restituer les fonds correspondant aux virements et retraits litigieux, soit la somme de 17.940.00 € ;
CONDAMNER le CIC à payer la somme de 5.000,00 euros de dommages-intérêts à Monsieur [P] [W], au titre du préjudice moral avec intérêt au taux légal à compter de la délivrance de l’assignation ;
CONDAMNER le CIC à payer la somme de 3.000,00 euros, à Monsieur [P] [W], sur le fondement de l’article 700 du code de procédure civile, avec intérêts au taux légal à compter de la délivrance de l’assignation ;
CONDAMNER le CIC aux entiers dépens conformément aux dispositions de l’article 699 du code de procédure civile. »
A l'appui de ses prétentions, il expose que le 3 août 2022 vers 16h, il a été contacté téléphoniquement par une femme prétendant être du service de sécurité des transactions du CIC et qui, au prétexte d’une fraude, l’a incité à bloquer sans délai ses cartes bancaires et à modifier ses identifiants d’accès à son espace client en ligne « Filbanque ». Il ajoute ne pas s’être méfié dès lors que le numéro d’appel correspondait à une agence du CIC, que son contre appel sur ce même numéro aboutissait à une messagerie du CIC et qu’il a réceptionné des SMS initiés par son interlocutrice qui se sont inscrits dans le fil habituel de réception de ceux adressés par la banque.
M. [W] sollicite à titre principal la condamnation de la banque au titre de son obligation de remboursement, faisant valoir qu’il a pu être trompé et être amené à saisir ses codes personnels par téléphone à la demande de son interlocutrice qui prétendait être l’assistante de son conseiller bancaire en raison d’une série de défaillance du système de sécurité de la banque qui selon lui sont avérées par le fait que les fraudeurs connaissaient son identifiant bancaire et ont pu se connecter en même temps que lui à l’application « Filbanque », que le numéro de téléphone utilisé correspondait à celui de l’agence CIC de [Localité 5] et qu’il a reçu des SMS sur le fil habituel des messages adressés par sa banque.
Il fait ainsi valoir le caractère non autorisé des opérations passées sans son consentement et l’absence de preuve d’une fraude ou d’une négligence grave de sa part, citant à l’appui de sa défense un arrêt de la Cour d’appel de Versailles du 28 mars 2023 (RG 21/07299) qui écarte la négligence grave du client faisant l’objet d’une escroquerie de type « spoofing ».
Il sollicite en conséquence la condamnation de la banque à lui payer la somme de 17.940 euros, en application de l’article L.133-19 II et IV du code monétaire et financier, outre celle de 5.000 euros avec intérêts au taux légal à compter de la délivrance de l’assignation en réparation du préjudice moral et du stress post-traumatique subi.
Aux termes de ses dernières conclusions signifiées par voie électronique le 15 décembre 2023, le CIC demande au tribunal de :
« Débouter M. [W] de ses demandes à toutes fins qu’elles comportent,
Condamner M. [W] au paiement, au profit de CREDIT INDUSTRIEL ET COMMERCIAL, d’une indemnité de 5.000 € sur le fondement de l’article 700 du Code de procédure civile, ainsi qu’aux entiers dépens. »
Pour sa défense, la banque expose que les opérations contestées ont été initiées pour les virements à partir de l’espace personnel de M. [W] dont l’accès sécurisé est subordonné à un identifiant et un mot de passe connu de lui seul et, pour les retraits d’espèces, au moyen de ses cartes de paiement personnelles avec usage de son code secret. Elle ajoute que dans la note explicative que son client lui a adressée, ce dernier reconnaît avoir communiqué aux fraudeurs par téléphone son mot de passe et avoir remis ses deux cartes bancaires et codes à un tiers venu les récupérer en voiture.
A titre principal, elle fait valoir que les opérations ont été réalisées au moyen de dispositifs de paiement avec données de sécurité personnalisées tels que définis par l’article L.133-4 du code monétaire et financier, M. [W] reconnaissant d’une part, avoir transmis aux fraudeurs les codes à utiliser pour la signature électronique des virements qu’il a reçus par deux SMS à 16h37 et, d’autre part, avoir remis à un tiers ses cartes bancaires et les codes qui leur étaient associés, et que la démonstration est faite du caractère dument autorisé par M. [W] des opérations au sens de l’application combinée des articles L.133-6 et L.133-7 du code précité, excluant de facto toute défaillance de son système, et l’obligeant à exécuter les ordres reçus de son client.
A titre subsidiaire, dans l’hypothèse où le tribunal retiendrait le caractère non autorisé des opérations, elle conclut à la négligence grave de M. [W] qui, en violation des stipulations de la convention de compte et des conditions particulières liant les parties, a communiqué ses données personnelles de sécurisation et remis ses cartes bancaires à un tiers et ce, en dépit de ses alertes préventives émises à l’attention de ses clients. Elle ajoute que la crédulité de M. [W] est de plus démontrée par le fait qu’il reconnaît avoir pris conscience de son erreur en parlant avec ses enfants.
Elle conclut en conséquence au rejet des demandes.
Conformément aux dispositions de l’article 455 du code de procédure civile, il est renvoyé aux dernières écritures des parties pour l’exposé des moyens et arguments venant au soutien de leurs demandes.
La clôture de l’instruction a été prononcée le 3 juillet 2024. L’affaire a été plaidée à l’audience tenue en juge rapporteur du 18 septembre 2024 et mise en délibéré au 20 novembre 2024.
MOTIFS DE LA DÉCISION
1 - Sur la responsabilité de l’établissement bancaire
Une opération de paiement n’est autorisée au sens des articles L.133-3 et L.133-6 du code monétaire et financier que si le payeur l’a initiée et a consenti au montant de l’opération.
En cas d'opération de paiement non autorisée signalée par l'utilisateur dans les délais prévus par l'article L.133-24 du même code, le prestataire de services de paiement du payeur rembourse à ce dernier le montant de l'opération non autorisée sauf s'il a de bonnes raisons de soupçonner une fraude de l'utilisateur du service de paiement.
Dans cette hypothèse, il incombe au prestataire de paiement de prouver que l'opération litigieuse a été effectuée après une authentification forte, dûment enregistrée et comptabilisée et qu'elle n'a pas été affectée par une déficience technique ou autre, l’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement, à savoir l’utilisation des identifiants du client et l’absence de déficience technique ou autre, notamment par le biais de la production d’un relevé de ses connexions, ne suffisant pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur.
L'article L.133-4 (f) du code précité précise qu’une authentification forte s’entend d’une authentification reposant sur l'utilisation de deux éléments ou plus appartenant aux catégories « connaissance » (quelque chose que seul l'utilisateur connaît telle qu’un mot de passe, un code secret, une question secrète, etc…), « possession » (quelque chose que seul l'utilisateur possède telle qu’un téléphone portable, une montre connectée, une clé USB etc…) et « inhérence » (quelque chose que l'utilisateur est telle que la reconnaissance faciale ou vocale, la reconnaissance par empreinte digitale, etc…) et indépendants en ce sens que la compromission de l'un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d'authentification. L'authentification forte repose donc sur l'utilisation de deux de ces éléments, voire plus.
Par ailleurs, la responsabilité du payeur n’est pas engagée si l’opération de paiement non autorisée a été effectuée en détournant, à son insu, l’instrument de paiement ou les données qui lui sont liées. Cependant, il supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’agissements frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L.133-16 et L.133-17 du code précité.
Ainsi, pour échapper au remboursement de l’opération contestée, le prestataire de services de paiement doit démontrer, soit que l’ordre émanait bel et bien du client dûment authentifié dans son espace personnel, soit que le vol des identifiants de connexion (ou d’autres données) n’est que la conséquence d’une faute grave de sa part consistant à ne pas avoir satisfait intentionnellement aux obligations lui incombant en la matière ou à les avoir gravement négligées.
En l’espèce, il n’est pas contesté par la banque que M. [W] a été victime d’une escroquerie et qu’il a dans ce cadre remis aux fraudeurs ses données de sécurité personnalisées, à savoir ses identifiant et code d’accès à son espace en ligne, les codes confidentiels associés à ses cartes bancaires ainsi que ces dernières qui ont été utilisées pour procéder aux retraits en espèces.
Il n’est pas non plus discuté que les opérations litigieuses ont été réalisées en suivant la procédure d’authentification forte.
Cependant, si les virements ont été validés depuis l’espace en ligne de M. [W] et les retraits effectués au moyen de ses cartes bancaires avec usage des codes confidentiels qui leur étaient associés, le demandeur n’a cependant pas consenti aux paiements litigieux dans leur principe et leur quantum dès lors qu’il n’est pas discuté qu’il n’est pas à l’origine de l’authentification de ces opérations et/ou qu’il n’avait pas conscience de la nature des opérations validées.
Il convient dès lors de considérer que les opérations litigieuses n’ont pas été autorisées par le demandeur au sens des articles L.133-3 et L.133-6 du code monétaire et financier et de rechercher s’il peut se voir reprocher une négligence grave au sens des articles L.133-16 et suivants du même code faisant obstacle à son indemnisation.
Au cas particulier, il résulte des propres déclarations de M. [W] dans sa note explicative adressée à la banque que s’agissant de l’accès à son espace en ligne, « Pour modifier l’accès à mon application elle me demande également mon mot de passe que je lui communique. S’ensuit une batterie de test qu’elle me demande de réaliser avec elle, consistant à confirmer des opérations de virement sur mon application ; elle m’assure que je ne serai pas débité ; j’avoue ne pas avoir fait attention aux montants ».
Il ajoute concernant ses cartes bancaires « Je lui demande également si je pourrai conserver le même code pour l’utilisation de mes nouvelles cartes de crédit ; elle me confirme que oui et je lui donne mon code », reconnaissant également avoir par la suite remis ses instruments de paiement à un chauffeur envoyé par son interlocuteur.
Ces déclarations confirment que les fraudeurs n’ont pu réaliser les opérations litigieuses qu’avec le concours de M. [W] qui a communiqué son code d’accès à son espace en ligne, validé des ordres de virement initiés par des tiers auxquels il a remis ses cartes bancaires et les codes leur étant associés, leur permettant ainsi de procéder aux retraits contestés.
Par ailleurs, le tribunal observe que dans sa note explicative, s’agissant des faits du 3 août 2022, M. [W] n’indique nullement que les fraudeurs l’ont contacté avec l’affichage d’un numéro du CIC et qu’il a effectué la moindre vérification concernant ce numéro d’appel.
En effet, ce n’est qu’au paragraphe concernant la journée du 4 août 2022 au cours de laquelle il a été de nouveau contacté par un prétendu conseiller du CIC qu’il indique, après avoir pris conscience la veille de l’anormalité des événements en parlant avec ses enfants, « Je lui précise que je n’ai plus très confiance et que j’ai besoin de vérifier s’il est bien du CIC ; il me dit d’aller sur le site de mon agence sur Google et que je verrai bien qu’il m’appelle du même numéro que celui de l’agence ; je vais sur le site et constate qu’il ne s’agit pas du même numéro ; il me précise alors qu’il m’appelle d’une ligne sécurisée ; je lui réponds que je vais le rappeler au numéro de l’agence sur internet », appel qui lui permettra de constater la fraude.
Le tribunal observe également que M. [W] ne communique que le récépissé de son dépôt de plainte et non celle-ci dans son intégralité, empêchant toute comparaison avec ses déclarations devant les services de la gendarmerie nationale.
Il résulte de ces éléments que M. [W] a en réalité été amené à communiquer ses données de sécurité personnalisées et prêter son concours aux fraudeurs le 3 août 2022 dans le cadre d’une escroquerie utilisant le mode opératoire du « vishing », et non du « spoofing », aucune preuve n’étant rapportée de ce que les fraudeurs ont simulé un appel depuis un numéro du CIC pour les faits de cette journée. Si le tribunal ne minimise pas la diminution de vigilance que peut entraîner ce type d’escroquerie chez certaines victimes, il relève cependant que M. [W] a fait preuve d’une absence totale de méfiance et de vigilance dès lors qu’il a communiqué sans aucune vérification préalable son code d’accès à son espace en ligne, confirmé des opérations sans même faire attention aux montants, remis ses codes de cartes bancaires et ses codes à un individu dont il reconnaît implicitement qu’il lui a paru suspect puisqu’il indique « Arrivé en bas de mon bureau, je sors et tombe sur le chauffeur dans la voiture ; elle est salle (sic)(…)».
La communication de ses données de sécurité personnalisées et instruments de paiement à un tiers, fût-il un préposé du prestataire de paiement en relation contractuelle avec lui, caractérise un manquement évident de la part de M. [W] à l’obligation de préservation de la sécurité de ses dispositifs de sécurité personnalisés énoncée à l’article L.133-16 du code monétaire et financier et aux conditions générales et particulières de la convention de compte qui lui sont opposables. Un tel manquement caractérise une négligence grave au sens de l’article L.133-19 IV du même code.
Enfin, si M. [W] soutient que les fraudeurs ont gagné sa confiance en lui communiquant des éléments personnels le concernant, ce dont il n’est pas rapporté la preuve, il n’est pas démontré que ces éléments ont été obtenus auprès du CIC et que celui-ci aurait donc contribué indirectement à la réalisation de l’escroquerie.
Considérant l’ensemble de ces éléments, il doit être retenu que M. [W] n’a pas satisfait aux obligations mises à sa charge par les articles L.133-16 et L.133-17 du code monétaire et financier en communiquant ses données de sécurité personnalisées à un tiers ainsi que ses instruments de paiement et les codes permettant leur utilisation. Ces négligences revêtent un caractère grave au sens de l’article L.133-19 du code précité en ce qu’elles caractérisent la violation d’obligations évidentes et essentielles à la préservation de la sécurité des fonds de la victime qui se voit ainsi privée de la possibilité de faire supporter par la banque les pertes occasionnées par les opérations de paiement non autorisées.
En conséquence, la demande de remboursement est rejetée ainsi que celle tendant à obtenir une indemnisation au titre d’un préjudice moral.
2 - Sur les demandes accessoires
2.1 - Sur les frais du procès
M. [W] qui succombe supportera les dépens.
Il est également condamné au paiement au CIC d’une somme de 1.500 euros sur le fondement de l'article 700 du code de procédure civile.
2.2 - Sur l’exécution provisoire
La présente décision est revêtue de droit de l'exécution provisoire conformément aux dispositions de l'article 514 du code de procédure civile, l’instance ayant été introduite postérieurement au 31 décembre 2019.
Cependant, l'issue donnée au litige nécessite d'écarter l'exécution provisoire.
PAR CES MOTIFS
Le tribunal statuant publiquement par jugement contradictoire, en premier ressort et par mise à disposition au greffe :
DEBOUTE M. [P] [W] de ses demandes ;
CONDAMNE M. [P] [W] aux dépens ;
CONDAMNE M. [P] [W] à payer à la SA Crédit industriel et commercial la somme de 1.500 euros sur le fondement de l'article 700 du code de procédure civile ;
ECARTE l'exécution provisoire de droit.
Fait et jugé à Paris le 20 Novembre 2024
La Greffière Le Président