RÉPUBLIQUE FRANÇAISE
AU NOM DU PEUPLE FRANÇAIS
COUR D'APPEL DE PARIS
Pôle 4 - Chambre 9 - A
ARRÊT DU 23 MARS 2023
(n° , 5 pages)
Numéro d'inscription au répertoire général : N° RG 21/11361 - N° Portalis 35L7-V-B7F-CD4J2
Décision déférée à la Cour : Jugement du 3 mai 2021 - Tribunal Judiciaire de PARIS - RG n° 11-20-010648
APPELANTE
Madame [V] [Z] [S] épouse [T] [F]
née le [Date naissance 4] 1951 à [Localité 6] (33)
[Adresse 2]
[Localité 5]
représentée et assistée de Me Loic LERATE, avocat au barreau de PARIS, toque : L42
INTIMÉE
La CAISSE RÉGIONALE DE CRÉDIT AGRICOLE MUTUEL CHARENTE PÉRIGORD, société coopérative de crédit agissant poursuites et diligences de ses représentants légaux domiciliés audit siège
N° SIRET : 775 569 726 01040
[Adresse 3]
[Localité 1]
représentée par Me Frédérique ETEVENARD, avocat au barreau de PARIS, toque : K0065
assistée de Me Bénédicte BURY de la SELEURL B.BURY AVOCATS, avocat au barreau de PARIS, toque : B192
COMPOSITION DE LA COUR :
L'affaire a été débattue le 25 janvier 2023, en audience publique, devant la Cour composée de :
Mme Muriel DURAND, Présidente de chambre, chargée du rapport
Mme Fabienne TROUILLER, Conseillère
Mme Laurence ARBELLOT, Conseillère
qui en ont délibéré
Greffière, lors des débats : Mme Camille LEPAGE
ARRET :
- CONTRADICTOIRE
- par mise à disposition de l'arrêt au greffe de la Cour, les parties en ayant été préalablement avisées dans les conditions prévues au deuxième alinéa de l'article 450 du code de procédure civile.
- signé par Mme Muriel DURAND, Présidente et par Mme Camille LEPAGE, Greffière à laquelle la minute de la décision a été remise par le magistrat signataire.
FAITS, PROCÉDURE ET PRÉTENTIONS DES PARTIES
Mme [V] [Z] [S], épouse [T] [F] est titulaire dans les livres de la société Caisse Régionale de Crédit Agricole mutuel de Charente-Périgord (le Crédit Agricole) d'un livret de développement durable (LDD) et d'un compte bancaire. Invoquant le caractère frauduleux d'un virement opéré le 9 décembre 2019 au bénéfice de la société Web Solanes, Mme [T] [F] a déposé plainte auprès des services de police le 16 décembre 2019.
Saisi le 20 octobre 2020 par Mme [T] [F] d'une demande tendant principalement à la condamnation de la banque au remboursement de la somme virée, le tribunal judiciaire de Paris, par un jugement contradictoire rendu le 3 mai 2021 auquel il convient de se reporter a débouté Mme [T] [F] de l'ensemble de ses demandes et l'a condamnée à payer à la banque la somme de 500 euros au titre de l'article 700 du code de procédure civile.
Après avoir rappelé les termes de l'article L. 133-23 du code monétaire et financier qui institue une présomption de fraude, le premier juge a considéré que l'opération avait bien été authentifiée et que la demanderesse ne rapportait pas la preuve d'une faute imputable à la banque.
Par une déclaration en date du 18 juin 2021, Mme [T] [F] a relevé appel de cette décision.
Aux termes de conclusions notifiées par voie électronique le 4 juillet 2022, l'appelante demande à la cour :
- de débouter la banque de l'ensemble de ses demandes, fins et conclusions,
- d'infirmer le jugement en toutes ses dispositions,
- de condamner la banque à lui payer la somme de 3 000 euros en remboursement de la somme soustraite de son compte le 9 décembre 2019,
- de condamner la banque à lui payer la somme de 6 000 euros de dommages et intérêts en indemnisation du préjudice subi par elle, outre une somme de 3 500 euros au titre de l'article 700 du code de procédure civile de première instance et 3 000 euros au titre des frais irrépétibles d'appel.
Elle expose avoir le 4 décembre 2019, constaté un premier mouvement bancaire de 3 000 euros au crédit de son compte de dépôt émanant de son compte LDD et ne pas s'en être inquiétée pensant qu'il s'agissait là d'un virement qu'avait effectué son mari, comme ce dernier le faisait parfois de son compte à celui de son épouse, que le 9 décembre 2019, elle avait reçu une notification de réception d'un message sur son compte en ligne, dont l'intitulé était « votre nouveau service SécuriPass », sans aucun caractère d'urgence apparent et que le même jour, elle avait eu la désagréable surprise de constater une opération frauduleuse sur son compte d'un montant de 3 000 euros au profit de la société Web Solanes, alors même qu'elle n'avait à aucun moment ajouté un nouveau bénéficiaire. Elle précise avoir immédiatement prévenu la banque et déposé plainte le 16 décembre 2019. Elle ajoute qu'une autre tentative de virement frauduleux a pu alors être évitée.
Visant les articles L. 133-16 et L. 133-19 du code monétaire et financier, l'appelante soutient que le premier juge a inversé la charge de la preuve en exigeant qu'elle prouve la faute de la banque, alors même qu'aucune faute ni négligence grave n'a été prouvée à son encontre. Elle soutient n'avoir jamais reçu de courriel l'invitant à procéder à l'activation de « SécuriPass », ainsi que le Médiateur l'a lui-même relevé, mais seulement une simple alerte sur le téléphone de son mari, qu'elle utilisait également, assurant, à l'époque, le secrétariat et la comptabilité de ce dernier alors en profession libérale, l'informant de la réception d'un message privé reçu sur son espace personnel en ligne, sans qu'aucun caractère d'urgence ni même l'objet du message en question apparaissent. Elle conteste avoir validé ou activé quoi que ce soit. Elle ajoute qu'aucun conseiller ne l'a appelée alors même que l'usage consistait en ce qui la concerne d'une communication directe et que le conseiller aurait dû l'alerter de l'activité inhabituelle observée sur son compte.
Elle souligne que le Crédit Agricole ne dispose pas d'un système d'authentification forte au sens de l'article L. 133-4 du code monétaire et financier puisque les documents fournis par la banque indiquent que l'activation SécuriPass a été faite par un appareil du type Huawei alors qu'elle avait enregistré un Iphone. Elle précise que c'est ce qu'a relevé le médiateur.
Elle fait valoir que les défaillances successives du système informatique et des conseillers de la banque lui ont causé un préjudice qu'elle évalue à 6 000 euros. Elle dénonce enfin la résistance abusive de la banque.
Par conclusions notifiées par voie électronique le 7 février 2022, la banque demande à la cour :
- de confirmer le jugement en toutes ses dispositions,
- de dire que Mme [T] [F] s'est montrée négligente et de la débouter de l'ensemble de ses demandes,
- de condamner Mme [T] [F] à lui payer la somme de 3 000 euros au titre de l'article 700 du code de procédure civile.
La banque vise les articles L. 133-16 et L. 133-17 du code monétaire et financier pour soutenir que sa cliente a manqué à ses obligations en communiquant ses codes personnels à son époux, ce qui l'empêchait de maîtriser ses opérations bancaires. Elle ajoute qu'elle aurait dû être alertée par le mail qu'elle lui a envoyé l'avisant de l'activation du service d'authentification renforcé SécuriPass qui lui permettait d'effectuer des virements sans code SMS se référant à un téléphone de marque Huawei alors qu'elle possède un iPhone et lui demandant de prévenir la banque si elle n'était pas à l'origine de cette opération. Elle souligne que dans sa plainte, Mme [T] [F] a reconnu avoir le 7 décembre 2019 constaté qu'un nouveau bénéficiaire avait été inscrit dans sa liste et ne pas avoir réagi et rappelle lui avoir envoyé le 9 décembre 2019 à 5 heures 24 un nouveau mail lui annonçant la création d'un compte bénéficiaire en lui demandant de contacter son conseiller si elle n'était pas à l'origine de cette demande. Elle soutient que l'ensemble de ces éléments caractérise bien l'existence d'une négligence grave de la cliente. Elle affirme que son système de paiement est fonctionnel, conteste toute défaillance et souligne que seul le comportement fautif de l'appelante a permis la fraude dont elle est victime.
Pour un plus ample exposé des faits, moyens et prétentions des parties, il est renvoyé aux écritures de celles-ci conformément aux dispositions de l'article 455 du code de procédure civile.
L'ordonnance de clôture a été rendue le 6 décembre 2022 et l'affaire a été appelée à l'audience du 25 janvier 2023.
MOTIFS DE LA DÉCISION
Aux termes des articles L. 133-16 et L. 133-17 du code monétaire et financier, il appartient à l'utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité des dispositifs de sécurité personnalisés et d'informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l'instrument de paiement ou des données qui lui sont liées. Cependant, c'est à ce prestataire qu'il appartient en application des articles L. 133-19 IV et L. 133-23 du même code de rapporter la preuve que l'utilisateur qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n'a pas satisfait intentionnellement ou par négligence grave, à ses obligations.
Il est admis que cette preuve ne peut se déduire du seul fait que l'instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés.
En cas d'utilisation d'un dispositif de sécurité personnalisé, il appartient également au prestataire de prouver que l'opération en cause a été authentifiée, dûment enregistrée et comptabilisée et qu'elle n'a pas été affectée par une déficience technique ou autre.
En vertu de l'article L. 133-44 du même code, le prestataire de services de paiement applique l'authentification forte du client définie au f de l'article L. 133-4 lorsque le payeur :
1° Accède à son compte de paiement en ligne ;
2° Initie une opération de paiement électronique ;
3° Exécute une opération par le biais d'un moyen de communication à distance, susceptible de comporter un risque de fraude en matière de paiement ou de toute autre utilisation frauduleuse.
L'article L. 133-4 f définit l'identification forte comme reposant sur l'utilisation de deux éléments ou plus appartenant aux catégories "connaissance" (quelque chose que seul l'utilisateur connaît), "possession" (quelque chose que seul l'utilisateur possède) et "inhérence" (quelque chose que l'utilisateur est) et indépendants en ce sens que la compromission de l'un ne remet pas en question la fiabilité des autres et qui est conçue de manière à protéger la confidentialité des données d'authentification.
En l'espèce, il résulte des pièces produites que le service Sécuripass qui permet de valider des paiements en ligne et d'ajouter des bénéficiaires a été activé le 4 décembre 2019 depuis un téléphone de marque Huawei qui n'est pas le téléphone déclaré par Mme [T] [F], lequel est un Iphone. Pour activer ce dispositif, le client doit en principe renseigner son code secret à 6 chiffres qui lui sert à accéder à son espace privé en ligne et un second code uniquement connu de celui-ci. Le médiateur considère que l'hypothèse la plus probable est que Mme [T] [F] ait répondu à un pishing et communiqué ses codes par mégarde, ce que celle-ci conteste, mais reconnaît que rien ne prouve une imprudence de la cliente et admet que le téléphone ait pu être piraté. La banque, qui ne verse aucune pièce aux débats, affirme que ce sont les codes de Mme [T] [F] qui ont été utilisés et considère qu'elle est de ce fait responsable de les avoir communiqués mais ne le démontre pas. La seule utilisation des codes personnels de Mme [T] [F] ne permet pas d'inverser la charge de la preuve et de considérer qu'elle a commis une négligence grave. C'est à la banque de le prouver. Le fait qu'elle utilise le téléphone de son mari et n'ait pas de téléphone personnel ne peut être considéré comme une négligence grave au sens de ce texte.
La banque a laissé mettre en place ce Sécuripass à partir d'un téléphone Huawei qui n'était pas le téléphone répertorié, ce qui ne répond pas à l'exigence de l'authentification forte. Une fois ce système installé, elle a certes prévenu Mme [T] [F] de cette activation mais au moyen d'un simple message sur la messagerie privée interne à la banque, dont l'existence lui a été signalée par sms mais sans qu'aucun caractère d'urgence n'apparaisse.
Il apparaît toutefois que le fait pour Mme [T] [F] de ne pas s'être inquiétée en voyant le 7 décembre 2019 ainsi qu'elle l'admet elle-même dans sa plainte, l'apparition d'un nouveau bénéficiaire dans sa liste, constitue une telle négligence. Or à ce stade elle aurait pu le signaler et éviter ainsi le virement au bénéfice de ce bénéficiaire et les conséquences de la fraude.
Il apparaît donc que si la banque a commis une faute, Mme [T] [F] a également été négligente et ceci doit conduire à un partage de responsabilité par moitié.
Le jugement doit donc être infirmé et le Crédit Agricole doit être condamné à payer à Mme [T] [F] la somme de 1 500 euros avec intérêts au taux légal à compter de l'arrêt et de la débouter pour le surplus étant observé que l'emprunt réalisé pour les travaux était en tout état de cause bien supérieur au montant dont elle a été privée. D'autre part en présence de fautes réciproques, il ne peut être considéré que l'attitude du Crédit Agricole a dégénéré en abus.
Le crédit Agricole qui n'a jamais accepté de rembourser quelque somme que ce soit doit être condamné aux dépens de première instance et d'appel et supporter la charge des frais irrépétibles de Mme [T] [F] à hauteur d'une somme de 1 000 euros sur le fondement de l'article 700 du code de procédure civile.
PAR CES MOTIFS
LA COUR,
Statuant par arrêt contradictoire en dernier ressort,
Infirme le jugement ;
Statuant à nouveau,
Condamne la société Caisse Régionale de Crédit Agricole mutuel de Charente-Périgord à payer à Mme [V] [Z] [S], épouse [T] [F] la somme de 1 500 euros avec intérêts au taux légal à compter de l'arrêt ;
Condamne la société Caisse Régionale de Crédit Agricole mutuel de Charente-Périgord aux dépens de première instance et d'appel et au paiement à Mme [V] [Z] [S], épouse [T] [F] de la somme de 1 000 euros sur le fondement de l'article 700 du code de procédure civile.
La greffière La présidente
