République Française
Au nom du Peuple Français
COUR D'APPEL DE DOUAI
CHAMBRE 8 SECTION 1
ARRÊT DU 19/04/2018
N° de MINUTE : 18/459
N° RG : 17/00785
Arrêt (N° 292/15)
rendu le 03 Septembre 2015
par le cour d'appel de Douai
DEMANDERESSE au recours
Caisse de Crédit Mutuel Caisse de Credit de Mutuel d'Hellemmes
ayant son siège social : [Adresse 1]
Représentée par Me Caroline Follet, avocat au barreau de Lille
DEFENDEUR au recours
Monsieur [A] [V]
né le [Date naissance 1] 1981 à [Localité 1] - de nationalité française
demeurant : [Adresse 2]
Représenté par Me Coraline Favrel, avocat au barreau de Lille
INTERVENANTE FORCEE
Association Francaise des Usagers de Banque (AFUB)
ayant son siège social : [Adresse 3]
n'a pas constitué avocat
DÉBATS à l'audience publique du 20 Décembre 2017 tenue par Hélène Billières magistrat chargé d'instruire le dossier qui, après rapport oral de l'affaire, a entendu seul(e) les plaidoiries, les conseils des parties ne s'y étant pas opposés et qui en a rendu compte à la cour dans son délibéré (article 786 du code de procédure civile).
Les parties ont été avisées à l'issue des débats que l'arrêt serait prononcé par sa mise à disposition au greffe
GREFFIER LORS DES DÉBATS : Elisabeth Paramassivane-Delsaut
COMPOSITION DE LA COUR LORS DU DÉLIBÉRÉ
Martine Battais, président de chambre
Catherine convain, conseiller
Hélène Billieres, conseiller
ARRÊT CONTRADICTOIRE prononcé publiquement par mise à disposition au greffe le 19 Avril 2018 après prorogation du délibéré du 29 mars 2018 (date indiquée à l'issue des débats) et signé par Martine Battais, président et Elodie Recloux, greffier, auquel la minute a été remise par le magistrat signataire.
ORDONNANCE DE CLÔTURE DU 23 novembre 2017
LA COUR,
Attendu que la Caisse de Crédit Mutuel d'Hellemmes a interjeté appel d'un jugement du tribunal d'instance de Lille du 4 juillet 2014 qui l'a condamnée à payer à Monsieur [A] [V] la somme de 5 183,14 euros avec intérêts au taux légal à compter du 10 octobre 2013 en remboursement du montant des opérations non autorisées effectuées sur les comptes bancaires ouverts au nom de celui-ci dans les livres de l'établissement financier résultant d'une utilisation frauduleuses de ses données bancaires ; qui a prononcé une astreinte provisoire de 50 euros par jour de retard passé le délai d'un mois à compter du jour où la décision deviendra définitive ; qui l'a condamnée à verser à Monsieur [A] [V] une somme de 500 euros à titre de dommages et intérêts, outre 1 000 euros par application de l'article 700 du code de procédure civile ;
Attendu qu'il ressort des éléments du dossier que Monsieur [A] [V] a ouvert, le 4 octobre 1999, auprès de la Caisse de Crédit Mutuel d'Hellemmes, un compte professionnel n° [Compte bancaire 1] avec attribution d'une carte de crédit Mastercard ;
Que le 25 novembre 2009, il a souscrit auprès de cette même banque une convention de compte Courant Eurocompte Duo Confort n° [Compte bancaire 2] avec attribution d'une seconde carte de crédit Mastercard à débit immédiat comprenant notamment le service « CMNE Direct au Forfait » offrant l'ouverture des services banque à distance, avec accès en gestion complète à tous les comptes et contrats ouverts à son nom auprès de l'une quelconques des caisses du Credit Mutuel du Nord Europe par internet, audiotel ou minitel et notamment accès au portail Payweb de la banque qui permet à son utilisateur de régler ses achats à distance avec un numéro virtuel à usage unique différant de celui de sa carte bancaire réelle, lui évitant ainsi de communiquer au site marchand son numéro de carte bancaire réelle ;
Qu'avisé par sa banque le 28 mai 2013 de mouvements suspects sur ses comptes provenant d'achats en ligne réalisés via des cartes Payweb, Monsieur [A] [V], qui contestait en être l'auteur, a formé opposition auprès de la Caisse de Crédit Mutuel d'Hellemmes le 29 mai 2013, renseigné un dossier de réclamation auprès de sa banque le 30 mai et déposé plainte le 31 mai suivant ;
Que le montant des opérations effectuées à partir de cartes Payweb entre les 25 et 28 mai 2013 ayant été prélevé sur ses comptes bancaires, Monsieur [A] [V] en a vainement demandé le remboursement à la Caisse de Crédit Mutuel d'Hellemmes par lettre recommandée avec demande d'avis de réception du 9 octobre 2013 réitérée selon les mêmes formes le 25 octobre suivant et l'a assignée en paiement par acte du 16 janvier 2014 devant le tribunal d'instance de Lille qui a rendu le jugement déféré ;
Attendu qu'au soutien de son appel, la Caisse de Crédit Mutuel d'Hellemmes, par conclusions récapitulatives du 11 mars 2015, fait valoir que Monsieur [A] [V], en s'abstenant de s'expliquer sur les circonstances du détournement de ses données bancaires, ne la met pas en mesure d'apprécier si son comportement peut ou non être constitutif d'une négligence grave ; qu'elle ajoute que ce dernier a vraisemblablement été victime de la technique du hameçonnage ayant consisté à l'attirer, via un courriel frauduleux, vers un site web imitant celui de la banque et à lui demander ses identifiant, mot de passe, adresse mail et mot de passe associé ainsi que les codes de sa carte de clés personnelles, lesquels ont ensuite été utilisés par le fraudeur sur le vrai site de la banque pour créer les cartes PAYWEB ayant servi aux paiements litigieux ; qu'en communiquant ainsi ses données confidentielles, Monsieur [A] [V] aurait commis une négligence grave au sens de l'article L. 133-19 du code monétaire et financier et manqué à ses obligations contractuelles lui imposant d'assurer la confidentialité de ses données bancaires personnelles ; qu'elle en déduit que Monsieur [A] [V] doit supporter toutes les pertes occasionnées par les opérations litigieuses et conclut en conséquence au rejet des demandes adverses et à la condamnation de Monsieur [A] [V] à lui verser une somme de 1 000 euros en vertu de l'article 700 du code de procédure civile ;
Attendu que par écritures du 4 mars 2015, Monsieur [A] [V], qui dénie toute négligence grave de sa part et prétend que le détournement serait intervenu sans qu'il en ait eu conscience, conclut à la confirmation du jugement entrepris en ce qu'il a déclaré la Caisse de Crédit Mutuel d'Hellemmes responsable des opérations non autorisées intervenues sur ses comptes bancaires et formant appel incident, réclame la condamnation de la banque à lui payer la somme de 5 290 euros en remboursement de l'intégralité des prélèvements, retraits ou paiements non autorisés qui ont été opérés, outre 690,55 euros au titre des frais bancaires occasionnés ; qu'il sollicite en outre la condamnation de la Caisse de Crédit Mutuel d'Hellemmes à lui régler une somme de 3 000 euros à titre de dommages et intérêts en réparation du préjudice que cette banque lui a occasionné en procédant à son inscription personnelle au fichier national des incidents de paiement de la Banque de France et réclame enfin l'allocation, à la charge de la Caisse de Crédit Mutuel d'Hellemmes, d'une somme de 2 000 euros par application de l'article 700 du code de procédure civile ;
Attendu que selon le paragraphe II de l'article L. 133-19 du code monétaire et financier, la responsabilité du payeur n'est pas engagée si l'opération de paiement non autorisée a été effectuée en détournant, à l'insu du payeur, l'instrument de paiement ou les données qui lui sont liées ; qu'elle n'est pas engagée non plus en cas de contrefaçon de l'instrument de paiement si, au moment de l'opération de paiement non autorisée, le payeur était en possession de son instrument ;
Que le paragraphe IV de ce même article prévoit toutefois que le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d'un agissement frauduleux de sa part ou s'il n'a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17 ;
Que l'article L.133-16 du code monétaire et financier prévoit précisément que dès qu'il reçoit un instrument de paiement, l'utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés ; qu'il utilise l'instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation ;
Que l'article L. 133-17 du même code dispose pour sa part que lorsqu'il a connaissance de la perte, du vol, du détournement ou de toute utilisation non autorisée de son instrument de paiement ou des données qui lui sont liées, l'utilisateur de services de paiement en informe sans tarder, aux fins de blocage de l'instrument, son prestataire ou l'entité désignée par celui-ci ;
Qu'en application de l'article L. 133-18, en cas d'opération de paiement non autorisée signalée par l'utilisateur dans les conditions prévues à l'article L. 133-24, le prestataire de services de paiement du payeur rembourse immédiatement au payeur le montant de l'opération non autorisée et, le cas échéant, rétablit le compte débité dans l'état où il se serait trouvé si l'opération de paiement non autorisée n'avait pas eu lieu, le payeur et son prestataire de services de paiement pouvant décider contractuellement d'une indemnité complémentaire ;
Que l'article L.133-20 prévoit enfin qu'après avoir informé son prestataire ou l'entité désignée par celui-ci, conformément à l'article L. 133-17 aux fins de blocage de l'instrument de paiement, le payeur ne supporte aucune conséquence financière résultant de l'utilisation de cet instrument de paiement ou de l'utilisation détournée des données qui lui sont liées, sauf agissement frauduleux de sa part ;
Attendu qu'il n'est pas contesté que l'utilisation du service de banque à distance nécessite la saisie successive de l'identifiant CMNE du client, d'un mot de passe personnel à l'utilisateur attaché à cet identifiant, d'un code de validation à quatre chiffres présent sur une carte d'authentification renforcée comportant soixante-quatre combinaisons remise au client pour effectuer certains opérations comme la modification des coordonnées personnelles ou la création de cartes payweb et la validation de l'opération par un code de confirmation envoyé soit par mail soit par SMS au sociétaire après la saisie de son code de carte d'authentification ;
Attendu qu'avisée de la contestation de Monsieur [A] [V] qui nie être l'auteur d'opérations de paiements effectués les 25 et 28 mai 2013 à partir de cartes virtuelles Payweb générées à partir de ses deux cartes de crédit Mastercard, la Caisse de Crédit Mutuel d'Hellemmes justifie avoir, ainsi que les dispositions de l'article L. 133-23 du code monétaire et financier le lui imposaient, fait diligences pour effectuer des recherches et rassembler tous éléments suffisants de nature à établir le caractère non autorisé par le porteur, des opérations effectuées à l'aide des données des cartes de paiement virtuelles ;
Attendu ainsi que le rapport du service des fraudes et affaires spéciales de la banque a permis d'établir que dix commandes de cartes virtuelles Payweb d'une durée de validité de 15 minutes et d'un montant de 500 euros chacune ont été enregistrées, cinq via la carte Mastercard n° [Compte bancaire 3] appartenant à Monsieur [A] [V] le 25 mai 2013 à 12 heures 01, 12 heures 02, 12 heures 03, 12 heures 04, 12 heures 05, et cinq via la carte Mastercard n° [Compte bancaire 4] appartenant à Monsieur [A] [V] le 25 mai 2013 à 12 heures 07, 12 heures 09, 12 heures 10, 12 heures 11, 12 heures 12 ;
Que deux autres commandes de carte virtuelle d'un montant de 200 euros pour la première et de 90 euros pour la seconde ont en outre été enregistrées le 28 mai 2013, à 2 heures 58 via la carte Mastercard n° [Compte bancaire 4] de Monsieur [A] [V] et à 19 heures 30 via la carte Mastercard n° [Compte bancaire 3] de ce dernier ;
Qu'alors que pour les commandes réalisées le 25 mai 2013 et le 28 mai à 2 heures 58, l'adresse IP utilisée pour se connecter à la banque à distance portait le numéro 134.255.247.107 permettant ainsi de la localiser en Allemagne, celle utilisée le 28 mai à 19 heures 30 suivant portait le numéro 94.23.51.223 correspondant à une adresse en France ;
Qu'il apparaît en outre que d'autres adresses IP ont été utilisées pour des tentatives, l'une ressortant comme privée et l'autre comme située à [Localité 2] ;
Qu'à l'exception de la carte virtuelle créée le 28 mai 2012 à 19 heures 30 d'un montant de 90 euros qui n'a finalement pas été utilisée, toutes les autres cartes ont permis d'effectuer des achats auprès de l'enseigne Paytop à [Localité 2] pour un montant total de 4 983,14 euros et auprès de l'enseigne la Case a Willy à [Localité 3] en Martinique pour 200 euros ;
Qu'il ressort en outre de ce rapport que la création des payweb cards emportant attribution d'un numéro virtuel à seize chiffres, a été validée, pour chacune, par la saisie de l'identifiant de Monsieur [A] [V], de son mot de passe associé et du code renforcé indiqué sur sa carte de clés personnelles ;
Que le code de confirmation à six chiffres, associé à une date de validité et un cryptogramme visuel à trois chiffres, permettant de générer le numéro virtuel attaché à chacune de ces cartes de paiement virtuelles, a été, à chaque reprise, transmis à l'adresse mail [Courriel 1] qui n'est pas l'adresse mail habituellement enregistrée par Monsieur [A] [V] sur le site de la banque ; qu'aucune précision n'est en revanche fournie par la banque relativement aux date et heure auxquelles cette modification, qui, selon les conditions générales versées aux débats, a elle-même nécessité la saisie de l'identifiant, du mot de passe associé et du code renforcé indiqué sur sa carte de clés personnelles, est intervenue ;
Que pour réaliser les paiements sur le site marchand ont été successivement saisis le numéro de la carte à seize chiffres, la date de fin de validité et un cryptogramme visuel à trois chiffres ;
Attendu que le détournement, à l'insu de Monsieur [A] [V], de ses données bancaires personnelles et des cartes virtuelles générées à partir de ses cartes de crédit Mastercard n'est pas contesté par la Caisse de Crédit Mutuel d'Hellemmes et est au demeurant suffisamment établi par les circonstances entourant la création et l'utilisation des cartes bancaires virtuelles litigieuses ;
Qu'il suit que Monsieur [A] [V], dont il apparaît à la lecture de l'historique des autorisations cartes qu'il produit aux débats qu'il se trouvait en Belgique le 25 mai 2013 pour y avoir procédé à divers paiements au moyen de l'une de ses deux cartes de crédit Mastercard, est bien fondé à demander le bénéfice des dispositions précitées du code monétaire et financier, sauf à se voir opposer la négligence grave dont il se serait rendu coupable en divulguant ses données bancaires personnelles ;
Attendu à cet égard que si conformément à l'article L. 133-23 précité du code monétaire et financier, la Caisse de Crédit Mutuel d'Hellemmes rapporte la preuve que les opérations de paiements contestées ont été authentifiées, dûment enregistrées et comptabilisées et qu'elles n'ont pas été affectées par une déficience technique ou autre, il n'en demeure pas moins que les utilisations successives du service de paiement Payweb Cards telles qu'enregistrées par la banque ne suffisent pas nécessairement en tant que telles à prouver que les opérations ont été autorisées par Monsieur [A] [V] ou que celui-ci n'a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière ;
Qu'il suit que la Caisse de Crédit Mutuel d'Hellemmes, prestataire du service de paiement incriminé, ne peut, du seul fait de la création et de l'utilisation par un tiers des cartes de paiement virtuelles litigieuses avec tabulation des données bancaires personnelles de Monsieur [A] [V], éléments nécessaires pour créer lesdites cartes puis valider les paiements, prétendre démontrer une négligence grave de son client au sens de l'article L. 311-19 précité ;
Que c'est en conséquence à elle de démontrer que Monsieur [A] [V] a révélé volontairement à un tiers ses données bancaires et notamment son identifiant CMNE DIRECT, le mot de passe associé et les codes de validation présents sur sa carte d'authentification renforcée, ou démontrer que par négligence, ce dernier a permis à un tiers d'en prendre aisément connaissance ;
Que si la Caisse de Crédit Mutuel d'Hellemmes affirme à cet égard que Monsieur [A] [V] a vraisemblablement été victime de faits d'hameçonnage, elle n'en rapporte nullement la preuve, se contentant à cet égard de procéder par simple voie de supputations impropres à caractériser une imprudence de son client à l'origine des paiements litigieux alors d'une part que l'association de consommateurs Que Choisir soupçonne une brèche dans le dispositif de sécurité de la banque, le portail Payweb étant suspecté d'être facilement mis en échec par les pirates informatiques, que la carte d'authentification renforcée peut être commandée par internet après la simple saisie de l'identifiant et du mot de passe associé et que l'actualité récente fait état de plusieurs cas dans lesquels des malfaiteurs sont parvenus à s'approprier des données bancaires confidentielles d'accès aux services de consultation et de gestion de compte à distance par internet sans pour autant bénéficier de la négligence voire de la complicité du titulaire de ladite carte ;
Qu'à défaut de rapporter la preuve que Monsieur [A] [V] aurait, même involontairement, divulgué ses codes personnels et plus généralement ses données personnelles et confidentielles à un tiers, la Caisse de Crédit Mutuel d'Hellemmes ne saurait prétendre que Monsieur [A] [V] aurait contrevenu aux stipulations destinées à le mettre en garde sur les mesures de sécurité élémentaires qu'il devait prendre concernant ses données bancaires pour en assurer la confidentialité et en prévenir la divulgation telles que rappelées dans les conditions générales du produit CMNE Direct, étant au demeurant en tout état de cause observé que la banque ne fournit pas les conditions générales en vigueur au jour de l'adhésion de son client au produit ni ne justifie d'une acceptation expresse de modifications postérieures ;
Qu'elle ne peut donc, sans preuve de la mauvaise foi de Monsieur [A] [V], client, s'opposer au remboursement des sommes qu'elle a indûment débitées des comptes de celui-ci au titre des opérations de paiement effectuées à l'aide des cartes Payweb litigieuses ;
Attendu qu'aucune négligence grave de la part de Monsieur [A] [V] au regard des dispositions précitées de l'article L. 133-16 du code monétaire et financier n'étant en ces conditions établie, le jugement doit être confirmé en ce qu'il a condamné la Caisse de Crédit Mutuel d'Hellemmes à rembourser à Monsieur [A] [V] les sommes débitées à tort de ses comptes bancaires ;
Attendu qu'à cet égard c'est à bon droit que le premier juge a chiffré le montant total de ces sommes, non pas à la valeur intrinsèque des cartes bancaires virtuelles créées sans autorisation, mais au total des paiements effectués au moyen de ces cartes, soit une somme de 5 183,14 euros ;
Attendu par ailleurs que dès lors qu'en l'absence d'agissement frauduleux de sa part ou de négligence grave, Monsieur [A] [V] ne saurait supporter aucune conséquence financière résultant de l'utilisation détournée de ses données bancaires, la Caisse de Crédit Mutuel d'Hellemmes doit également, par application de l'article L. 133-18 précité du code monétaire et financier, être condamnée à lui rembourser l'intégralité des frais bancaires liés à la fraude dont il a été victime ;
Que la Caisse de Crédit Mutuel d'Hellemmes ne formulant aucune critique sur les modalités de calcul des sommes dues par elle à ce titre, elle sera donc, par infirmation du jugement déféré, condamnée à régler à Monsieur [A] [V] une somme complémentaire de 690,55 euros ;
Attendu par ailleurs qu'il n'est pas contesté que la Caisse de Crédit Mutuel d'Hellemmes a déclaré Monsieur [A] [V] au fichier national des incidents de paiement de la Banque de France au titre du solde débiteur de son compte non régularisé ; qu'il n'est pas davantage contesté que c'est à la suite des opérations frauduleuses, dont Monsieur [A] [V] a été victime en mai 2013, que son compte est devenu débiteur et qu'il n'a pas été régularisé en raison du refus de la banque de prendre en charge le montant du sinistre sans motif légitime ;
Que le refus de la banque de supporter les conséquences de la fraude comme elle le devait a causé à Monsieur [A] [V] un préjudice moral résultant de son inscription au fichier des incidents de paiement de la Banque de France avec toutes les conséquences que cela comporte en terme de solvabilité et de réputation bancaire qui justifie l'octroi au profit de celui-ci d'une somme de 1 000 euros de dommages et intérêts ;
Attendu enfin qu'il apparaît inéquitable de laisser à la charge de Monsieur [A] [V] les frais exposés par lui en cause d'appel et non compris dans les dépens ; qu'il lui sera en conséquence alloué la somme de 1 500 euros au titre de l'article 700 du code de procédure civile, l'indemnité allouée en première instance étant confirmée ;
PAR CES MOTIFS
Réforme le jugement entrepris en ses dispositions relatives aux demandes formées par Monsieur [A] [V] contre la Caisse de Crédit Mutuel d'Hellemmes en remboursement des frais bancaires liés à la fraude et en dommages et intérêts ;
Condamne la Caisse de Crédit Mutuel d'Hellemmes à payer à Monsieur [A] [V] la somme de 690,55 euros au titre des frais bancaires ;
Condamne la Caisse de Crédit Mutuel d'Hellemmes à payer à Monsieur [A] [V] la somme de 1 000 euros à titre de dommages et intérêts ;
Confirme le jugement pour le surplus ;
Condamne la Caisse de Crédit Mutuel d'Hellemmes à payer à Monsieur [A] [V] la somme de 1 500 euros par application de l'article 700 du code de procédure civile ;
La condamne aux dépens d'appel qui seront recouvrés par Maître Favrel, avocat, conformément à l'article 699 du code de procédure civile.
Le greffier,Le président,
E. ReclouxM. Battais
