Texte intégral
COUR D'APPEL D'AIX-EN-PROVENCE
Chambre 3-3
ARRÊT AU FOND
DU 14 DECEMBRE 2023
N° 2023/159
Rôle N° RG 22/07492 - N° Portalis DBVB-V-B7G-BJOT6
S.A. BNP PARIBAS
C/
[V] [K]
Copie exécutoire délivrée
le :
à :
Me Jean-Christophe STRATIGEAS
Me Laure CAPRINI
Décision déférée à la Cour :
Jugement du Tribunal de Commerce d'AIX EN PROVENCE en date du 17 Mai 2022 enregistrée au répertoire général sous le n° 19-010807.
APPELANTE
S.A. BNP PARIBAS, en la personne de son représentant légal
dont le siège social est sis [Adresse 1]
représentée et assistée de Me Jean-Christophe STRATIGEAS de la SELARL CADJI & ASSOCIES, avocat au barreau d'AIX-EN-PROVENCE, plaidant
INTIMEE
Madame [V] [K]
née le [Date naissance 2] 1961 à [Localité 10],
demeurant [Adresse 4]
représentée et assistée de Me Laure CAPRINI, avocat au barreau d'AIX-EN-PROVENCE, plaidant
*-*-*-*-*
COMPOSITION DE LA COUR
En application des dispositions des articles 805 et 907 du code de procédure civile, l'affaire a été débattue le 05 Septembre 2023, en audience publique, les avocats ne s'y étant pas opposés, devant Madame Françoise PETEL, Conseillère, chargée du rapport.
Ce magistrat a rendu compte des plaidoiries dans le délibéré de la Cour, composée de :
Monsieur Philippe DELMOTTE, Président
Madame Françoise PETEL, Conseillère
Madame Gaëlle MARTIN, Conseillère
Greffier lors des débats : Madame Laure METGE.
Les parties ont été avisées que le prononcé de la décision aurait lieu par mise à disposition au greffe, après prorogation, le 14 Décembre 2023.
ARRÊT
Contradictoire,
Prononcé par mise à disposition au greffe le 14 Décembre 2023
Signé par Monsieur Philippe DELMOTTE, Président et Madame Laure METGE, greffier auquel la minute de la décision a été remise par le magistrat signataire.
***
Mme [V] [K] est titulaire d'un compte courant et d'un compte livret A ouverts dans les livres de la SA BNP Paribas, agence d'[Localité 9] [Localité 11], pour lesquels elle dispose de fonctionnalités en ligne.
Exposant avoir été victime de man'uvres frauduleuses ayant conduit à ce que son compte courant soit débité de quatre virements externes d'un montant total de 23.763 euros au mois de mars 2019, Mme [V] [K], par exploit du 17 décembre 2019, a fait assigner la SA BNP Paribas en responsabilité devant le tribunal de commerce d'Aix-en-Provence.
Par jugement du 17 mai 2022, ce tribunal a :
- dit que la BNP Paribas n'a pas appliqué l'authentification forte, attachée aux opérations bancaires exécutées sur le compte courant n°[XXXXXXXXXX07] de Mme [V] [K] utilisant un moyen de communication à distance et susceptibles de comporter un risque de fraude en matière de paiement ou de toute autre utilisation frauduleuse, telle que précisée par l'article L.133-44 du code monétaire et financier,
en conséquence,
- condamné la BNP Paribas à payer à Mme [V] [K] la somme de 23.763 euros, assortie des intérêts au taux légal à compter du 14 mars 2019 et ordonné la capitalisation des intérêts,
- condamné la BNP Paribas à payer à Mme [V] [K] la somme de 5.000 euros, au titre du préjudice subi,
- débouté pour le surplus les parties de toutes leurs autres demandes, en ce comprises celles plus amples ou contraires,
- condamné la BNP Paribas à payer à Mme [V] [K] la somme de 5.000 euros au titre de l'article 700 du code de procédure civile,
- ordonné l'exécution provisoire de la décision,
- condamné la BNP Paribas aux entiers dépens de la procédure.
Suivant déclaration du 24 mai 2022, la SA BNP Paribas a interjeté appel de cette décision.
Aux termes de ses conclusions notifiées et déposées le 11 août 2022, auxquelles il est expressément référé par application des dispositions de l'article 455 du code de procédure civile, l'appelante demande à la cour de :
' infirmer en toutes ses dispositions le jugement entrepris, excepté en ce qu'il a rejeté la demande indemnitaire de Mme [K] à hauteur de la somme de 10.000 euros au titre du manquement allégué de la banque au devoir de conseil et d'alerte (sic) dans l'exécution du contrat, et le confirmer sur ce seul point,
' rejeter l'intégralité des prétentions de Mme [V] [K] comme mal fondées,
' condamner Mme [V] [K] à lui payer la somme de 3.500 euros au titre des frais irrépétibles,
' condamner Mme [V] [K] aux entiers dépens.
Par conclusions notifiées et déposées le 27 octobre 2022, auxquelles il est expressément référé en application des dispositions de l'article 455 du code de procédure civile, Mme [V] [K] demande à la cour de :
à titre principal,
' confirmer le jugement rendu entre les parties par le tribunal de commerce d'Aix-en-Provence le 17 mai 2022 en toutes ses dispositions, exception faite du rejet partiel des demandes indemnitaires formées en première instance par elle à l'encontre de la société BNP Paribas,
statuant de nouveau,
' condamner la société BNP Paribas à lui payer les sommes suivantes :
- 23.763 euros correspondant aux virements frauduleux signalés par elle le 11 mars 2019 sur son compte courant n°[XXXXXXXXXX06], augmentés des intérêts au taux légal à compter du 14 mars 2019, date de la première mise en demeure effectuée, outre la capitalisation des intérêts sur le fondement des dispositions de l'article 1343-2 du code civil,
- 10.000 euros à titre de dommages et intérêts eu égard au manquement de la société BNP Paribas à son devoir d'information et d'alerte dans l'exécution du contrat, conformément aux dispositions de l'article 1231-1 du code civil,
- 10.000 euros supplémentaires sur le fondement des dispositions de l'article 1104 du code civil, eu égard à la particulière mauvaise foi dont la société BNP Paribas a fait preuve dans l'exécution du contrat ainsi que la résistance abusive qu'elle a opposée au remboursement depuis le 14 mars 2019,
- 10.000 euros au titre du préjudice moral qu'elle a subi sur le fondement des dispositions de l'article 1240 du code civil,
subsidiairement,
' confirmer le jugement entrepris en toutes ses dispositions,
en tout état de cause,
' débouter la société BNP Paribas de l'intégralité de ses demandes, fins et conclusions formées à son encontre en cause d'appel,
' condamner la BNP Paribas à lui payer la somme de 6.000 euros sur le fondement des dispositions de l'article 700 du code de procédure civile au titre de la procédure de première instance et d'appel ainsi qu'aux entiers dépens.
MOTIFS
L'appelante fait grief au tribunal d'avoir inexactement considéré qu'elle n'aurait pas appliqué l'authentification forte au sens des dispositions de l'article L.133-44 du code monétaire et financier, et retenu à tort l'existence d'un préjudice distinct du préjudice financier correspondant au montant des opérations de paiement concernées.
Elle expose qu'il a ainsi été jugé que faisait défaut la démonstration du critère légal de possession alors pourtant qu'elle établissait les connexions concomitantes de la cliente, avec l'identification de son adresse IP, sur son espace en ligne, que de la même manière il a été considéré qu'était absent le critère de l'inhérence alors qu'elle démontrait l'enrôlement « fingerprint » concomitant aux opérations de fraude.
La SA BNP Paribas ajoute que les premiers juges n'ont pas répondu aux moyens tirés de la négligence grave de l'intimée que la preuve de ses propres connexions concomitantes à la fraude et de son absence de réaction à la suite immédiate des modifications de bénéficiaires caractérisait pourtant.
Rappelant les dispositions des articles L.133-4, L.133-16 et suivants du code précité, et par ailleurs le fonctionnement du système « d'authentification forte » dont bénéficiait Mme [V] [K], en l'occurrence la « clé digitale », elle fait valoir que, des pièces et en particulier du relevé des connexions informatiques qu'elle produit, prouvant les opérations successives d'ajout puis de validation de l'ajout du bénéficiaire par l'emploi de la clé digitale, il résulte que c'est en raison de sa négligence grave que l'intimée a permis la fraude, nonobstant la mise en place du système de l'authentification forte.
Mme [V] [K] réplique que les premiers juges ont, très justement, estimé que la SA BNP Paribas n'avait pas mis en 'uvre le système d'authentification forte prévu par les articles L.133-4 et L.133-44 du code monétaire et financier lors des opérations bancaires litigieuses qui se sont déroulées sur son compte courant entre le 1er et le 11 mars 2019.
Elle soutient que, ainsi que l'a clairement indiqué le tribunal, le système de clé digitale mis en place par l'appelante n'était pas apte à protéger son bénéficiaire d'une fraude dans la mesure où les virements litigieux ont pu être effectués par un code IP différent de celui de son smartphone, et ce, sans aucun contrôle, ni alerte de la cliente par l'envoi d'un code SMS émanant de la banque.
L'intimée fait valoir que celle-ci n'a pas non plus respecté les dispositions de l'article L133-23 du même code, qu'en effet, l'utilisation de l'instrument de paiement telle qu'enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l'opération a été autorisée par le payeur ou que celui-ci n'a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière.
Arguant de ce que l'établissement bancaire, qui doit fournir des éléments afin de prouver la fraude ou la négligence grave commise par l'utilisateur de services de paiement, a donc l'obligation de prouver l'infaillibilité de son système d'authentification des opérations en ligne, elle expose que la SA BNP Paribas se contente d'affirmer que la validation des opérations a été faite via la clé digitale activée sur son mobile depuis septembre 2018 et qu'elle aurait communiqué ses informations au fraudeur, connecté au même moment qu'elle, sans en rapporter la preuve, que, cependant, outre qu'elle n'a jamais reçu de code d'activation par sms concernant l'ajout de ce bénéficiaire frauduleux, ni de sms concernant les virements litigieux, elle n'était pas non plus connectée au moment des opérations frauduleuses, qu'il s'agit d'un piratage informatique du système d'authentification des opérations en ligne lié à son compte comme le démontre l'enquête pénale, et l'appelante ne rapporte nullement la preuve contraire comme le lui impose l'article L.133-23 du code monétaire et financier.
Sur ce, les opérations litigieuses consistent en quatre virements, émis à partir du compte courant ouvert par Mme [V] [K] dans les livres de la SA BNP Paribas, de, respectivement, 6.000 euros le 5 mars 2019, 5.782 euros le 6 mars 2019, 6.000 euros le 8 mars 2019, et 5.981 euros le 11 mars 2019, avec la précision que l'intimée conteste également être l'auteur d'un virement ayant, le 8 mars 2019, crédité ledit compte d'une somme de 9.000 euros en provenance de son compte livret A.
De l'enquête pénale diligentée à la suite de la plainte qu'elle a déposée le 12 mars 2019, il résulte que Mme [V] [K] a été victime d'une fraude, dont l'auteur, qui a utilisé un compte ouvert dans les livres d'Orange Bank au nom de M. [Y] [B] [T], laquelle identité s'est avérée usurpée, mais opérait en réalité depuis la Côte d'Ivoire, n'a pu être identifié.
En ce qui concerne les virements litigieux, il est constant que, s'agissant d'opérations relevant de l'article L.133-44 du code monétaire et financier, une authentification forte du client définie au f de l'article L.133-4 devait être appliquée par le prestataire de services de paiement.
Aux termes de l'article L.133-4 du code monétaire et financier, « Une authentification forte du client s'entend d'une authentification reposant sur l'utilisation de deux éléments ou plus appartenant aux catégories " connaissance " (quelque chose que seul l'utilisateur connaît), " possession " (quelque chose que seul l'utilisateur possède) et " inhérence " (quelque chose que l'utilisateur est) et indépendants en ce sens que la compromission de l'un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d'authentification ».
Des explications fournies par l'appelante, corroborées par les pièces versées aux débats, il résulte que le système d'authentification forte dont Mme [V] [K] bénéficiait consistait en une « clé digitale », dont le fonctionnement reposait sur la possession d'un téléphone mobile, dont elle avait seule l'usage, identifié par son numéro IMEI, en l'occurrence [XXXXXXXX05], et son adresse IP, [Immatriculation 8], et la composition d'un code secret qu'elle avait créé et était donc seule à connaître.
Ceci étant, selon l'article L.133-23 du code précité :
« Lorsqu'un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l'opération de paiement n'a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l'opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu'elle n'a pas été affectée par une déficience technique ou autre.
L'utilisation de l'instrument de paiement telle qu'enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l'opération a été autorisée par le payeur ou que celui-ci n'a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière. Le prestataire de services de paiement, y compris, le cas échéant, le prestataire de services de paiement fournissant un service d'initiation de paiement, fournit des éléments afin de prouver la fraude ou la négligence grave commise par l'utilisateur de services de paiement. »
Ainsi, il appartient à l'appelante de prouver tant l'absence de défaillance de son système d'authentification des opérations en ligne, que les agissements ou négligences qu'elle impute à Mme [V] [K].
Or, par les deux seules pièces qu'elle verse aux débats, en l'occurrence un document attestant de ce que, le 15 septembre 2018, un appareil, soit l'iphone de l'intimée comportant notamment son adresse IP, [Immatriculation 8], et son numéro, [XXXXXXXX05], a été nouvellement enregistré, et un relevé télématique des connexions réalisées à partir de ce dernier numéro entre le 4 et le 28 mars 2019 sur le compte courant de Mme [V] [K], la SA BNP Paribas n'apporte pas ces preuves.
En effet, au vu dudit relevé dont il ressort notamment que l'ajout d'un bénéficiaire et la validation de son RIB par l'utilisation de la clé digitale ont été effectués à partir d'une adresse IP [Immatriculation 3], qui n'est donc pas celle enregistrée comme appartenant à l'intimée, il ne saurait être considéré que le système d'authentification forte dont se prévaut l'appelante est dépourvu de toute faille.
Et, étant observé que la banque ne produit pas le moindre élément de nature à justifier de la notification détaillée de l'opération à valider que, ainsi qu'elle le soutient, Mme [V] [K] aurait alors reçu sur son smartphone, le fait, à le supposer établi par le seul document produit, que celle-ci ait été, simultanément au fraudeur, connectée sur son compte ne peut, au regard de ce qui vient d'être dit, suffire à démontrer la fraude ou la négligence grave prétendument commise par sa cliente.
L'argumentation de la SA BNP Paribas, selon laquelle l'intimée a nécessairement fait preuve de négligence et d'imprudence dans la conservation de son smartphone qu'elle aurait laissé utiliser par un tiers et aurait manqué aux prescriptions de l'article L.133-16 du code monétaire et financier aux termes duquel « Dès qu'il reçoit un instrument de paiement, l'utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées », n'est en effet étayée par aucun élément aux débats, et, sauf à renverser la charge de la preuve, ses allégations, dépourvues de fondement, doivent être écartées.
Dès lors, quand par ailleurs le fait que Mme [V] [K] n'ait constaté l'existence des opérations litigieuses qu'une semaine après la première d'entre elles ne saurait lui être imputé comme ressortant d'une quelconque négligence, l'appelante doit, par application des dispositions de l'article L.133-18 du code précité, être condamnée à rembourser à sa cliente le montant des opérations litigieuses, soit la somme de 23.763 euros, outre intérêts à compter de la demande.
Le jugement est confirmé de ce chef.
S'agissant de l'indemnisation des préjudices qu'elle soutient avoir subis, Mme [V] [K], qui sollicite l'infirmation du jugement sur ce point, demande que lui soient allouées, à titre de dommages et intérêts, les sommes de, au visa de l'article 1231-1 du code civil, 10.000 euros en raison du manquement de la SA BNP Paribas à son devoir d'information et d'alerte dans l'exécution du contrat, 10.000 euros supplémentaires sur le fondement de l'article 1104 du code civil, compte tenu de la particulière mauvaise foi dont la banque a fait preuve ainsi que la résistance abusive qu'elle a opposée au remboursement depuis le 14 mars 2019, et 10.000 euros au titre du préjudice moral par application des dispositions de l'article 1240 du code civil.
Mais, l'intimée, qui a obtenu, en application de l'article L.133-18 du code monétaire et financier, le remboursement de l'intégralité des sommes frauduleusement virées depuis son compte courant, n'est pas fondée à rechercher la responsabilité du banquier au titre d'un prétendu devoir d'information et d'alerte.
Par ailleurs, ne démontrant ni la mauvaise foi, qui ne se présume pas, ni l'intention de nuire de l'appelante, dont il n'est pas davantage établi qu'elle ait, en s'opposant au remboursement des sommes détournées par fraude, laissé dégénérer en abus son droit de se défendre et d'agir en justice, Mme [V] [K] doit être déboutée de sa demande de dommages et intérêts à ce titre.
En revanche, au vu des pièces qu'elle produit et des explications que, sans être contredite, elle fournit, selon lesquelles, notamment, elle était cliente de la SA BNP Paribas depuis trente ans, y détenait tous ses comptes et placements financiers et n'avait jamais été débitrice à son égard jusqu'au mois de mars 2019, où par l'effet des virements frauduleux elle s'est trouvée en position de découvert, et où, face à ses difficultés financières, qui l'ont contrainte à solliciter l'aide de ses proches, à racheter partiellement une assurance vie et effectuer nombre de démarches, à un moment particulièrement difficile de sa vie puisqu'elle venait de perdre sa mère, la seule réponse de la banque a été de lui proposer un découvert autorisé de 15.000 euros, il apparaît que l'intimée justifie d'un préjudice moral en lien avec l'attitude qui a été celle de l'appelante à la suite de la découverte de la fraude.
Le jugement doit être confirmé en ce qu'il a évalué à la somme de 5.000 euros l'indemnisation de Mme [V] [K] à ce titre.
PAR CES MOTIFS
La cour,
Statuant publiquement et contradictoirement,
Confirme en toutes ses dispositions le jugement entrepris,
Condamne la SA BNP Paribas à payer à Mme [V] [K] la somme de 3.000 euros sur le fondement de l'article 700 du code de procédure civile,
La condamne aux dépens d'appel.
LE GREFFIER LE PRESIDENT