Copies exécutoiresRÉPUBLIQUE FRANÇAISE
délivrées aux parties le :AU NOM DU PEUPLE FRANÇAIS
COUR D'APPEL DE PARIS
Pôle 4 - Chambre 9 - A
ARRÊT DU 08 SEPTEMBRE 2022
(n° , 2 pages)
Numéro d'inscription au répertoire général : N° RG 20/08109 - N° Portalis 35L7-V-B7E-CB55O
Décision déférée à la Cour : Jugement du 3 juin 2020 - Juge des contentieux de la protection de PARIS - RG n° 11-19-004943
APPELANTE
Madame [P] [O] [H] épouse [H]-[M]
née le [Date naissance 2] 1960 à [Localité 5] (75)
[Adresse 4]
[Localité 3]
représentée par Me Frédéric INGOLD de la SELARL INGOLD & THOMAS - AVOCATS, avocat au barreau de PARIS, toque : B1055
assistée de Me Karène BIJAOUI-CATTAN de la SELEURL KBC AVOCAT, avocat au barreau de PARIS, toque : B0613
INTIMÉE
LA BANQUE POSTALE, société anonyme à direction et conseil de surveillance prise en la personne de ses dirigeants sociaux domiciliés audit siège en cette qualité
N° SIRET : 421 100 645 00967
[Adresse 1]
[Localité 5]
représentée par Me Jean-Philippe GOSSET de la SELEURL CABINET GOSSET, avocat au barreau de PARIS, toque : B0812
Substitué à l'audience par Me Jules-Amaury LALLEMAND de la SELEURL CABINET GOSSET, avocat au barreau de PARIS, toque : B0812
COMPOSITION DE LA COUR :
En application des dispositions des articles 805 et 907 du code de procédure civile, l'affaire a été débattue le 21 juin 2022, en audience publique, les avocats ne s'y étant pas opposés, devant Mme Laurence ARBELLOT, Conseillère, chargée du rapport.
Ce magistrat a rendu compte des plaidoiries dans le délibéré de la Cour, composée de :
M. Christophe BACONNIER, Président de chambre
Mme Fabienne TROUILLER, Conseillère
Mme Laurence ARBELLOT, Conseillère
Greffière, lors des débats : Mme Camille LEPAGE
ARRÊT :
- CONTRADICTOIRE
- par mise à disposition de l'arrêt au greffe de la Cour, les parties en ayant été préalablement avisées dans les conditions prévues au deuxième alinéa de l'article 450 du code de procédure civile.
- signé par Mme Fabienne TROUILLER, Conseillère pour le Président empêché et par Mme Camille LEPAGE, Greffière à laquelle la minute de la décision a été remise par le magistrat signataire.
FAITS, PROCÉDURE ET PRÉTENTIONS DES PARTIES
Mme [P] [H]-[M] est titulaire d'un compte courant ouvert dans les livres de la Banque Postale avec une carte bancaire associée. Elle bénéficie également d'un système d'authentification à distance dit « 3D-Secure » lui permettant d'effectuer des paiements à distance par Internet en saisissant un code à usage unique reçu par SMS avant de valider un paiement.
Divers paiements en ligne sont intervenus au profit des enseignes Cdiscount et Rue du commerce du 28 juillet 2017 au 21 octobre 2017.
Affirmant avoir été victime d'opérations frauduleuses sur son compte et d'un détournement de sa carte bleue, Mme [H]-[M] a saisi le 19 février 2019 le tribunal judiciaire de Paris d'une demande tendant principalement à la condamnation de la Banque Postale au remboursement de la somme de 1 489,15 euros et au paiement de dommages et intérêts.
Suivant jugement contradictoire rendu le 3 juin 2020 auquel il convient de se reporter, le juge des contentieux de la protection a débouté Mme [H]-[M] de l'ensemble de ses demandes et dit n'y avoir lieu à application des dispositions de l'article 700 du code de procédure civile.
Pour statuer ainsi, le tribunal a relevé que la Banque postale a bien envoyé par SMS au numéro de téléphone portable de la requérante, un code à usage unique permettant de valider les opérations et que la preuve d'une fraude n'était pas démontrée par Mme [H]-[M] ni qu'elle se serait fait détourner sa carte bancaire à son insu.
Suivant déclaration remise le 26 juin 2020, Mme [H]-[M] a relevé appel de cette décision.
Aux termes de conclusions remises le 1er avril 2022, elle demande à la cour :
- de la recevoir en l'ensemble de ses demandes, fins, conclusions et y faisant droit,
- d'infirmer le jugement entrepris en toutes ses dispositions et de juger ses demandes bien fondées,
- de juger qu'elle a fait l'objet d'une fraude bancaire et que la Banque Postale ne rapporte pas la preuve d'une fraude intentionnelle, ni de sa négligence grave ni de l'absence de déficience technique dans le cadre des opérations litigieuses,
- de juger que la Banque Postale demeure entièrement responsable du préjudice subi par elle,
- de condamner la Banque Postale à lui payer la somme de 1 489,15 euros au titre de son préjudice financier outre la somme de 500 euros à titre des dommages et intérêts pour les démarches accomplies et la résistance abusive de la Banque Postale,
- de condamner la Banque Postale à lui payer la somme de 4 000 euros au titre de l'article 700 du code de procédure civile.
Elle soutient au visa des articles L. 133-18, L. 133-19 et L. 133-20 du code monétaire et financier, avoir été victime d'opérations frauduleuses sur son compte et d'un détournement de sa carte bleue et affirme que les paiements en ligne effectués sur les sites Cdiscount et Rue du commerce du 28 juillet 2017 au 21 octobre 2017 l'ont été à son insu.
Elle indique avoir avisé la banque de ces opérations le 9 novembre 2017, et avoir complété et retourné le formulaire de contestation d'opérations par carte bancaire. Elle explique que la banque a procédé à un remboursement partiel sur son compte à hauteur de 1 221,51 euros, mais a laissé subsister un préjudice d'un montant de 1 489,15 euros.
Elle soutient, se fondant sur l'article L. 133-23 du code monétaire et financier, qu'il appartient au prestataire de services de paiement d'établir la preuve d'une fraude ou d'une négligence grave de l'utilisateur du service de paiement et non à l'utilisateur de prouver sa bonne foi et que rien ne permet d'attester que les transactions opérées sur son compte bancaire ont été dûment validées par ses soins ni que le SMS a été bien envoyé et réceptionné.
Par des conclusions remises le 30 mars 2022, l'intimée demande à la cour :
- de la recevoir en ses conclusions, l'y déclarant bien fondée,
- de juger que Mme [H]-[M] est défaillante à démontrer le caractère prétendument non autorisé des 2 opérations de paiement en ligne d'un montant total de 1 489,15 euros effectuées via le service « 3D-Secure »,
- de juger que Mme [H]-[M] a fait preuve d'une particulière négligence de nature à exonérer la Banque Postale de toute éventuelle responsabilité,
- de juger en conséquence que la Banque Postale n'a commis aucun manquement légal ou contractuel de nature à engager la responsabilité à l'encontre de Mme [H]-[M],
- de confirmer en conséquence le jugement en toutes ses dispositions,
- de débouter Mme [H]-[M] de l'intégralité de ses demandes, fins et prétentions et de la condamner au paiement de la somme de 3 000 euros au titre des dispositions de l'article 700 du code de procédure civile.
Elle fait valoir au visa des articles L. 133-23 et L. 133-6 du code monétaire et financier que par la communication puis la validation d'un code à usage unique, Mme [H]-[M], titulaire du service « 3D-Secure » a valablement donné son consentement pour réaliser les opérations de paiement en ligne litigieuses.
Elle soutient que le numéro de portable indiqué sur les documents d'authentification ayant reçu le SMS contenant le code à usage unique correspond bien à celui de Mme [H]-[M] et qu'au moment des faits, Mme [H]-[M] était en possession de la carte bancaire associée à son CCP.
Elle constate que cinq opérations de paiement litigieuses ont été effectuées sur le CCP de Mme [H]-[M] du 28 juillet 2017 au 21 octobre 2017, soit sur une période de 3 mois sans la moindre réaction de l'appelante. Elle rappelle que l'appelante n'a déposé une main courante qu'en date du 14 novembre 2017, soit plus de 3 mois après les premières opérations litigieuses.
Elle soutient que la négligence de Mme [H]-[M] quant à son défaut de surveillance de son compte est la cause exclusive du préjudice dont la réalité reste à démontrer. Elle rappelle que les opérations litigieuses ont été validées par la saisie sur internet d'un code à usage unique envoyé par SMS sur son téléphone portable et elles ont été autorisées par cette dernière.
Elle fait valoir que Mme [H]-[M] ne démontre ni l'existence d'une faute, ni d'un préjudice et ni d'un lien de causalité entre ladite faute et ledit préjudice, ce qui rend irrecevables ses demandes indemnitaires.
Elle constate que les trois opérations d'un montant de 1 221,51 euros ont été rejetées car elles ont fait l'objet d'impayés auprès de commerçants de manière parfaitement indépendante à toute intervention de la Banque Postale.
Pour un plus ample exposé des faits, moyens et prétentions des parties, il est renvoyé aux écritures de celles-ci conformément aux dispositions de l'article 455 du code de procédure civile.
L'ordonnance de clôture a été rendue le 5 avril 2022 et l'affaire a été appelée à l'audience le 21 juin 2022.
MOTIFS DE LA DÉCISION
Sur l'action en responsabilité
En l'espèce, il est constant que Mme [H]-[M], titulaire d'un compte courant ouvert dans les livres de la Banque Postale associé à une carte bancaire, est bénéficiaire d'une authentification à distance dit « 3D-Secure » lui permettant d'effectuer des paiements à distance par Internet en saisissant un code à usage unique reçu par SMS avant de valider un paiement.
Divers paiements en ligne sont intervenus au profit des enseignes Cdiscount et Rue du commerce du 28 juillet 2017 au 21 octobre 2017 pour un montant total de 2 710,66 euros, soit quatre versements de 407,17 chacun pour des achats opérés sur le site Internet Cdiscount, et un prélèvement d'un montant de 1 081,98 euros opéré auprès du site Rue du commerce selon relevés de compte versés aux débats.
Mme [H]-[M] justifie avoir signalé à sa banque dès le 9 novembre 2017 ne pas être à l'origine de ces paiements en niant avoir été destinataire de SMS, ce qu'elle a confirmé en complétant le lendemain un formulaire de réclamation. Elle justifie également avoir déposé une main courante le 14 novembre 2017.
La Banque postale a fait droit à la demande de remboursement de Mme [H]-[M] à hauteur de 1 221,51 euros motif pris que certaines transactions avaient pu faire l'objet d'impayés auprès des commerçants. Elle a refusé une prise en charge supplémentaire les 17 janvier et 10 août 2018 invoquant le fait que les opérations ont été validées par la saisie sur internet de codes à usage unique qui ont été envoyés par SMS sur le téléphone mobile déclaré par Mme [H]-[M] et que ces codes ont donc été nécessairement saisis par les soins de Mme [H]-[M] ou bien divulgués.
Pour rejeter la demande d'indemnisation de Mme [H]-[M], le premier juge a considéré que la preuve était rapportée que la Banque postale avait bien envoyé par SMS au numéro de téléphone de la requérante, un code à usage unique permettant de valider l'opération et que la preuve d'une fraude n'était pas démontrée par Mme [H]-[M] ni qu'elle se serait fait détourner sa carte bancaire à son insu.
Si aux termes des articles L. 133-16 et L. 33-17 du code monétaire et financier, il appartient à l'utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité des dispositifs de sécurité personnalisés et d'informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l'instrument de paiement ou des données qui lui sont liées, c'est à ce prestataire qu'il appartient en application des articles L. 133-19 IV et L. 133-23 du même code de rapporter la preuve que l'utilisateur qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n'a pas satisfait intentionnellement ou par négligence grave, à ses obligations.
Il est admis que cette preuve ne peut se déduire du seul fait que l'instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés.
En cas d'utilisation d'un dispositif de sécurité personnalisé, il appartient également au prestataire de prouver que l''opération en cause a été authentifiée, dûment enregistrée et comptabilisée et qu'elle n'a pas été affectée par une déficience technique ou autre.
En application des dispositions de l'article 9 du code de procédure civile, il incombe à chaque partie de prouver les faits nécessaires au succès de sa prétention.
En l'espèce, la Banque postale soutient que les codes ont bien été adressés à Mme [H]-[M] et que par l'utilisation de ces codes à usage unique l'intéressée a valablement donné son consentement pour réaliser les opérations de paiement en ligne litigieuses. Elle soutient que le numéro de portable indiqué sur les documents d'authentification ayant reçu le SMS contenant le code à usage unique correspond bien à celui de l'intéressée.
La seule pièce probante sur laquelle se fonde la Banque Postale (pièce 1) est un relevé informatique retraçant deux opérations litigieuses via le système 3 D secure pour des sommes de 407,17 euros au profit de Cdiscount et 1 081,98 euros au profit de Rue du commerce le 28 juillet 2017 indiquant l'envoi pour chaque opération d'un SMS au numéro de téléphone mobile appartenant à Mme [H]-[M], numéro qu'elle ne conteste pas.
Ces éléments sont insuffisants à établir que Mme [H]-[M] a bien été rendue destinataire de ces codes et a valablement donné son consentement aux opérations litigieuses, ni que le dispositif n'était pas affecté d'une déficience technique, ni encore que l'intéressée aurait contribué par sa faute ou par négligence à la réalisation desdites opérations. Le fait de signaler la difficulté à sa banque le 9 novembre 2017 pour des paiements réalisés jusqu'au 21 octobre 2017 ne saurait être considéré comme tardif.
Il s'ensuit que c'est en inversant la charge de la preuve que le premier juge a débouté Mme [H]-[M] de sa demande. Le jugement doit être infirmé, la Banque postale déclarée responsable du préjudice subi par Mme [H] [M] et condamnée à lui verser la somme de 1 489,15 euros en indemnisation de son préjudice financier.
Sur les autres demandes
Il n'est pas démontré de résistance abusive de la Banque postale de sorte que la demande d'indemnisation à ce titre doit être rejetée.
La Banque postale est tenue aux dépens et condamnée à payer à Mme [H]-[M] la somme de 1 500 euros en application de l'article 700 du code de procédure civile.
PAR CES MOTIFS
LA COUR,
Statuant par arrêt contradictoire et en dernier ressort,
Infirme le jugement en toutes ses dispositions ;
Statuant à nouveau et y ajoutant,
Condamne la société Banque postale à payer à Mme [P] [O] [H]-[M] la somme de 1 489,15 euros au titre de son préjudice financier ;
Rejette le surplus des demandes ;
Condamne la société Banque postale aux dépens de première instance et d'appel ;
Condamne la société Banque postale à payer à Mme [P] [O] [H]-[M] la somme de 1 500 euros en application de l'article 700 du code de procédure civile.
La greffièrePour le président empêché
