COUR D'APPEL
DE
VERSAILLES
Code nac : 38C
Chambre civile 1-6
ARRET N°
CONTRADICTOIRE
DU 23 MAI 2024
N° RG 23/05084 - N° Portalis DBV3-V-B7H-WALH
AFFAIRE :
[D] [B]
C/
S.A. LE CREDIT LYONNAIS
Décision déférée à la cour : Jugement rendu le 11 Juillet 2023 par le Tribunal de Grande Instance de VERSAILLES
N° RG : 22/02154
Expéditions exécutoires
Expéditions
Copies
délivrées le : 23.05.2024
à :
Me Christophe SCOTTI, avocat au barreau de VERSAILLES
Me Margaret BENITAH, avocat au barreau de VERSAILLES
RÉPUBLIQUE FRANÇAISE
AU NOM DU PEUPLE FRANÇAIS
LE VINGT TROIS MAI DEUX MILLE VINGT QUATRE,
La cour d'appel de Versailles a rendu l'arrêt suivant dans l'affaire entre :
Monsieur [D] [B]
né le [Date naissance 4] 1952 à [Localité 12] (Vietnam)
[Adresse 5]
[Localité 9]
Représentant : Me Christophe SCOTTI, Plaidant/Postulant, avocat au barreau de VERSAILLES, vestiaire : 474 - N° du dossier E00027X2
APPELANT
****************
S.A. LE CREDIT LYONNAIS
N° Siret :954 509 741 (Lyon)
[Adresse 3]
[Localité 7]
Prise en la personne de ses représentants légaux domiciliés en cette qualité audit siège
Représentant : Me Julian COAT de l'AARPI COAT HAUT DE SIGY DE ROUX, Plaidant, avocat au barreau de PARIS, vestiaire : A0297 - Représentant : Me Margaret BENITAH, Postulant, avocat au barreau de VERSAILLES, vestiaire : C.409
INTIMÉE
****************
Composition de la cour :
L'affaire a été débattue à l'audience publique du 24 Avril 2024, Madame Sylvie NEROT, Magistrat honoraire exerçant des fonctions juridictionnelles, ayant été entendu en son rapport, devant la cour composée de :
Madame Fabienne PAGES, Président,
Madame Caroline DERYCKERE, Conseiller,
Madame Sylvie NEROT, Magistrat honoraire exerçant des fonctions juridictionnelles,
qui en ont délibéré,
Greffier, lors des débats : Mme Mélanie RIBEIRO
EXPOSÉ DU LITIGE
Après appel téléphonique du 04 février 2022 à sa banque, par courrier du 09 février 2022 et parallèlement au dépôt, le 04 février 2022, d'une plainte enregistrée au commissariat de police de [Localité 11] visant des faits d'escroquerie, monsieur [B], titulaire d'un compte de dépôt n° [XXXXXXXXXX01] ouvert dans les livres de la société Le Crédit Lyonnais, a contesté auprès de celle-ci quatre virements effectués sur ce compte pour un montant total de 21.833 euros, à savoir :
un virement de 6.000 euros du 11 janvier 2022 au nom de [S] [J],
un virement de 3.833 euros du 12 janvier 2022 au nom de [X] [N] [P],
un virement de 6.000 euros du 18 janvier 2022 au nom de [U] [E],
un virement de 6.000 euros du 23 janvier 2022 au nom de [F] [H],
et en a vainement réclamé le remboursement, selon un courrier visant l'article L 133-18 du code monétaire et financier, laquelle l'informait, le 22 mars 2022, de l'absence de retour des établissements bénéficiaires et de ce qu'après analyse de son dossier, ces opérations ont été validées au moyen de ses données de sécurité personnalisées.
Aussi, par acte du 14 avril 2022, monsieur [B] a-t-il assigné la banque en remboursement de ladite somme, sollicitant en outre l'allocation de dommages-intérêts sanctionnant sa résistance, qualifiée d'abusive, et indemnisant le préjudice moral subi ainsi que la publication par voie de presse de la décision à intervenir.
Par jugement contradictoire rendu le 11 juillet 2023, le tribunal judiciaire de Versailles, écartant l'exécution provisoire de sa décision, a :
débouté monsieur [D] [B] de l'ensemble de ses demandes,
condamné monsieur [D] [B] aux dépens de l'instance,
dit n'y avoir lieu à indemnité sur le fondement de l'article 700 du code de procédure civile.
Par dernières conclusions (n° 2) notifiées le 26 janvier 2024, monsieur [D] [B], appelant de ce jugement selon déclaration reçue au greffe le 26 juillet 2023, demande à la cour, au visa des articles 1171, 1190, 1217 du code civil, L 133-18, L 133-19, L 133-23 et L 133-4 du code monétaire et financier, 9 du code de procédure civile et 6 §1 de la Convention européenne des droits de l'homme et des libertés fondamentales :
de (le) déclarer recevable et bien fondé en son appel,
d'infirmer le jugement (entrepris) en ce qu'il l'a principalement débouté de l'ensemble de ses demandes,
statuant à nouveau
de condamner Le Crédit Lyonnais à payer à monsieur [B] les sommes de 6.000 euros, 3.833 euros, 6.000 euros et 6.000 euros, soit une somme totale de 21.833 euros avec intérêts au taux légal à compter de la mise en demeure du 04 février 2022, en recréditant le compte n° [XXXXXXXXXX01] de monsieur [B] sous astreinte de 300 euros par jour à compter de la décision à intervenir,
de condamner Le Crédit Lyonnais à payer à monsieur [B] une somme de 5.000 euros pour résistance abusive et préjudice moral,
d'ordonner la publication du dispositif dans un délai de 15 jours de la décision à intervenir dans deux quotidiens nationaux, 'Le Monde' et 'Le Figaro' aux frais du Crédit Lyonnais et sur le site internet LCL dans la rubrique 'le mag' durant une période de 60 jours, sous astreinte de 300 euros par jour de retard, Parution de communiqué en police Time New Roman 12 : 'Par décision en date du (date de l'arrêt) le CREDIT LYONNAIS a été condamné par la Cour d'Appel de VERSAILLES pour avoir commis un manquement contractuel fautif et préjudiciable à l'encontre de Monsieur [B] caractérisé par le refus indu du CREDIT LYONNAIS de rembourser la somme de VINGT ET UN MILLE HUIT CENT TRENTE TROIS EUROS (21.833 €), le CREDIT LYONNAIS a été condamné à payer à Monsieur [B] la somme de 5.000 euros à titre de dommages et intérêts et 6.000 euros au titre de l'article 700 du Code de Procédure Civile',
de condamner Le Crédit Lyonnais à payer à monsieur [B] la somme de 6.000 euros au titre des dispositions de l'article 700 du code de procédure civile, ainsi qu'aux entiers dépens de l'instance.
Par dernières conclusions (n° 2) notifiées le 15 mars 2024, la société anonyme Le Crédit Lyonnais (LCL), visant les articles L 133-4, L 133-16, L 133-17, L 133-19-IV et L 133-23 du code monétaire et financier, prie la cour :
de confirmer le jugement (entrepris),
de débouter monsieur [B] de l'ensemble de ses demandes, fins et prétentions,
de condamner monsieur [B] à payer au Crédit Lyonnais la somme de 6.000 euros au titre de l'article 700 du code de procédure civile et aux entiers dépens.
L'ordonnance de clôture a été rendue le 19 mars 2024.
MOTIFS DE LA DÉCISION
Sur le manquement à ses obligations du prestataire de services de paiement
Il convient de rappeler que pour statuer comme il l'a fait, le tribunal s'est fondé sur les dispositions du code monétaire et financier (visées ci-avant par les parties) relatives aux obligations de ce prestataire, aux diligences attendues de l'utilisateur et à la charge de la preuve et jugé, en analysant les pièces produites en regard de la spécificité du système d'authentification forte en cause, que monsieur [B] a commis une négligence fautive, d'une gravité certaine, en autorisant un appareil inconnu à se connecter sur son espace sécurisé et que, par ailleurs, bien qu'il ne puisse lui être reproché de ne pas avoir avisé la banque du détournement avant de s'en être rendu compte (le 04 février 2022), il n'a pas été suffisamment attentif dans la vérification des mouvements réalisés en son nom sur son compte depuis le 11 janvier 2022.
L'appelant soutient que le tribunal a fait une application inexacte des textes qu'il vise en contradiction avec l'esprit de la jurisprudence habituelle et estime que sa motivation est 'intrinséquement contradictoire' puisqu'il en ressort qu'il aurait volontairement acquiescé à une substitution de son appareil téléphonique au bénéfice d'un tiers (ce dont il se défend puisqu'il n'a jamais accepté le changement d'un appareil de confiance) mais reconnaît qu'il n'a pas donné volontairement de telles information en retenant qu'il n'est pas établi qu'il se soit rendu compte du détournement dont il était victime.
A la faveur de développements non synthétisés, il fait valoir que ne peut lui être reprochée la tardiveté de son signalement et se défend d'avoir manqué de vigilance dans la vérification de son compte, affirmant qu'aucun texte ne l'exige, que le contrat d'adhésion entre les parties ne l'y obligeait pas, qu'il s'est aperçu de ces malversations 25 jours après le premier virement alors qu'il est titulaire de huit comptes dans quatre établissements, qu'il n'utilisait que rarement le compte litigieux, 'très spécifique', et que l'écoulement de ce délai ne peut être constitutif d'une négligence grave.
Il affirme que la banque ne démontre pas qu'elle a respecté le devoir de vigilance issu des dispositions de l'article L 133-18 du code monétaire et financier en informant immédiatement la Banque de France d'une suspicion de fraude pas plus que son devoir de vigilance en présence de virements bénéficiant à des personnes domiciliées hors de France.
Se prévalant de la négligence grave de la banque qui se fonde sur diverses pièces (n° 5, 12 et 6) pour démontrer qu'il a souhaité, le 03 janvier 2022, enregistrer une demande de changement d'appareil de confiance (soit le désenrôlement de son téléphone mobile Iphone pour y ajouter un téléphone mobile 'Alwaya'), il 'confirme de manière solennelle' et sur un mode quelque peu incantatoire, qu'il n'a jamais reçu et lu de message pour enregistrer un tel appareil (observant que le SMS produit par la banque est incompréhensible et ne constitue pas la preuve du moindre comportement fautif qui lui serait personnellement imputable) ou pour confirmer la validation d'un changement d'appareil en saisissant un code confidentiel envoyé par la banque ou encore qu'il n'utilise qu'un seul téléphone mobile.
Il oppose sur ce point à la banque les envois qu'elle lui a postérieurement adressés le 12 janvier 2024, exclusifs de défaillance, lorsqu'il a décidé de substituer à son précédent appareil Iphone 7 (ayant pour opérateur la société SFR) un appareil Iphone 15 (ayant pour opérateur la société Orange).
Portant une appréciation critique sur les captures, impressions d'écran et tableaux adverses produits, il incrimine la défaillance de la banque dans son système d'authentification forte des opérations en ligne qui aurait dû permettre, selon lui, le blocage de l'envoi de messages électroniques et notamment les courriels à partir d'une adresse IP qui n'était pas celle enregistrée comme lui appartenant.
Il reproche, enfin, à la banque de l'avoir privé, au cas particulier, de la faculté d'exercer un contrôle a posteriori sur les quatre virements litigieux et produit, à titre illustratif, un courriel reçu le 22 décembre 2022 l'informant de la passation d'une opération et l'invitant à se manifester s'il n'était pas à l'origine du virement concerné ; il excipe de l'absence de tout envoi de courriers électroniques de ce type relatifs à ceux argués de fraude.
En réplique, l'intimée présente les stipulations contractuelles applicables au service de banque en ligne qu'elle propose à ses utilisateurs qui accèdent à ses services au moyen de nouvelles technologies pour consulter et/ou réaliser à distance tout ou partie des opérations sur leurs comptes et notamment l'exécution de virements ; elle détaille, en particulier, le dispositif d'authentification forte définie à l'article L 133-4 du code monétaire et financier qui cumule facteurs de connaissance (identifiant et code personnel) et facteurs de possession (numéro de téléphone avec code à usage unique et appareil de confiance nécessitant le téléchargement d'une application LCL), ajoutant qu'afin de renforcer la sécurité de son dispositif, elle a décidé d'un délai de temporisation de sept jours en deçà duquel un virement ne peut être exécuté au moyen d'un appareil de confiance nouvellement enrôlé ; et elle expose que le 03 janvier 2022 (à 16h 35) l'appareil de confiance de monsieur [B] a été désassocié puis qu'a été enrôlé (autrement dit : enregistré) un nouvel appareil dans ce dispositif au moyen de son identifiant et de ses données de sécurité personnalisées.
Elle critique l'imprécision des fondements juridiques de l'action de son adversaire fondée sur l'obligation de vigilance de la banque et, se réclamant d'une décision de la Cour de justice de l'Union européenne (CJUE n° C-337/20, DM et LR contre CRCAM, 02 septembre 2021) appelée à se prononcer sur le régime de responsabilité applicable, elle soutient que le régime de responsabilité de droit commun pour faute est applicable lors d'opérations autorisées, mais que seules sont applicables les dispositions des articles L 133-18 et suivants du code précité lorsqu'il est soutenu, comme en l'espèce, que l'opération n'était pas autorisée, ces deux régimes étant alternatifs et exclusifs l'un de l'autre.
Elle estime que sont recevables, opérants et opposables à monsieur [B] les éléments de preuve techniques issus de son système d'information qu'elle produit puisque pèse sur elle la charge de la preuve, d'autant qu'il les a acceptés comme tels selon l'article 2 des conditions générales et 3.4.2 des dispositions générales de banque ; elle entend démontrer, en explicitant les pièces qu'elle produit, que les opérations contestées ont été authentifiées, dûment enregistrées et comptabilisées, sans être affectées par une 'déficience technique ou autre', selon les termes de l'article L 133-23 du code monétaire et financier.
Elle considère enfin que son système d'authentification forte, destiné à prévenir la fraude, n'a pas permis de réaliser les quatre opérations contestées, contrairement au comportement de monsieur [B] à qui elle reproche de graves négligences en ce qu'il n'a pas satisfait aux exigences des articles L 133-16 et L 133-17 du code monétaire et financier de sorte que doit être écartée sa propre responsabilité, comme le prévoit l'article L 133-19 du même code ; elle lui oppose, de plus, les diverses stipulations relatives aux règles de sécurité qui les liaient, à l'instar du guide de sécurité de la Banque de France qu'elle met à la disposition de ses clients sur son site.
Et, plus précisément, elle se prévaut de deux négligences graves de son client, la première tenant à l'absence de mesures raisonnables pour préserver la sécurité de ses données de sécurité personnalisées, la seconde concernant son tardif signalement du détournement et de l'utilisation non autorisée desdites données.
Ceci étant exposé et s'agissant du devoir de vigilance imposé à tout prestataire de services de paiement qu'invoque de manière lapidaire monsieur [B], c'est à bon droit que la banque soutient qu'a seul vocation à trouver application l'article L 133-18 précité, transposant la directive 2007/64/CE du Parlement et du Conseil du 13 novembre 2007 sur les services de paiement dans le marché intérieur (directive sur les services de paiement ou DSP 1) telle que complétée et qui offre le bénéfice d'un remboursement immédiat des opérations non autorisées signalées par l'utilisateur à la banque.
En toute hypothèse, le principe de non-ingérence de la banque trouve, certes, sa limite dans ses devoirs de surveillance et de vigilance lors du traitement par ce prestataire des ordres de virement de son client et il doit ainsi, en présence d'anomalies apparentes, qu'elles soient matérielles ou intellectuelles, prendre toute précaution utile et alerter son client afin de procéder à des vérifications auprès de lui ; mais en s'abstenant de démontrer le caractère inhabituel de ces ordres de virement ou encore leur inadéquation en regard de ses revenus et en se bornant à exciper du fait que les bénéficiaires étaient domiciliés hors de France et qu'aurait dû attirer son attention le nom des bénéficiaires - '[X] [N] [P]' évoquant l'ancien roi d'Espagne et '[S] [J]' évoquant l'ancien footballeur international de nationalité espagnole [S] [C] - monsieur [B] ne démontre pas à suffisance le caractère apparent d'anomalies qui auraient dû alerter la banque.
S'agissant, par conséquent, de se prononcer sur les obligations et responsabilités des parties dans le cadre des opérations en cause, il convient de se référer aux dispositions légales spécifiques et applicables au cas d'espèce des articles L 133-1 et suivants du code monétaire et financier issus de l'ordonnance n° 2009-866 du 15 juillet 2009 transposant la directive 2007/64/CE du 13 novembre 2007 sur les services de paiement.
Faisant application de ces dispositions, la Cour de cassation a pu juger qu'il résulte des articles L. 133-19, IV, et L. 133-23 de ce code monétaire et financier que 's'il entend faire supporter à l'utilisateur d'un instrument de paiement doté d'un dispositif de sécurité personnalisé les pertes occasionnées par une opération de paiement non autorisée rendue possible par un manquement de cet utilisateur, intentionnel ou par négligence grave, aux obligations mentionnées aux articles L. 133-16 et L. 133-17 de ce code, le prestataire de services de paiement doit aussi prouver que l'opération en cause a été authentifiée, dûment enregistrée et comptabilisée et qu'elle n'a pas été affectée par une déficience technique ou autre' (Cass com 12 novembre 2020, pourvoi n° 19-12112, publié au bulletin).
Elle a également énoncé 'que si, aux termes des articles L 133-16 et L 133-17 du code monétaire et financier, il appartient à l'utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d'informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l'instrument de paiement ou des données qui lui sont liées, c'est à ce prestataire qu'il incombe, par application des articles L 133-19, IV, et L 133-23 du même code, de rapporter la preuve que l'utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n'a pas satisfait intentionnellement ou par négligence grave à ses obligations ; que cette preuve ne peut se déduire du seul fait que l'instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés' (Cass com 18 janvier 2017, pourvoi n° 15-18102, publié au bulletin).
En l'espèce, la société Le Crédit Lyonnais qui revendique la mise en place d'un système d'authentification forte conforme aux dispositions de l'article L 133-4 du même code est fondée à opposer à monsieur [B], qui se prévaut du fait qu'elle ne produit que des documents internes pour en justifier, les Dispositions générales de banque (auxquelles renvoie l'article 2 des Conditions générales de ses services en ligne) dont l'article 3.4.2 stipule :
'Dans le cadre de la relation entre le client et LCL, la preuve des connexions, des enregistrements informatiques et d'autres éléments d'identification sera établie, conservée et archivée autant que de besoin à l'appui des journaux de connexion tenus à jour par LCL. Le client et LCL conviennent expressément que LCL pourra se prévaloir, notamment à des fins probatoires, de tout acte, fichier, enregistrement, rapport de suivi, statistiques sur tous supports dont le support informatique établi, reçu ou conservé par ses soins et notamment les éléments décrits ci-avant (...).
Le client et LCL acceptent que les opérations conclues et archivées, les fichiers de preuve, les documents signés ou validés par le client, les résultats des vérifications, les courriers électroniques, éventuellement contenus sur des supports durables, les enregistrements téléphoniques, les accusés de réception échangés entre eux soient admissibles devant les tribunaux et fassent preuve des données et des éléments qu'ils contiennent'. (pièces n° 4 et 6)
Par les autres pièces qu'elle produit, la banque justifie du fait que les virements litigieux ont été réalisés après une authentification forte à double facteur de monsieur [B] au moyen de son identifiant (s'agissant d'un code personnel et confidentiel) et de son code personnel d'accès (facteur de connaissance selon un code à six chiffres que monsieur [B] était seul à connaître) ; que, pour ce faire, a été utilisé l'appareil de confiance qui lui était associé (s'agissant d'un facteur de possession) en faisant valoir que le nouvel appareil de confiance enregistré le 03 janvier 2022, soit plus de sept jours avant le premier virement litigieux intervenu le 11 janvier suivant, avait un numéro correspondant à celui de monsieur [B] (soit le [XXXXXXXX02]); que le code confidentiel à usage unique a été immédiatement envoyé par SMS contenant le message suivant : 'LCL : iPhone (Bouygues Telecom) veut s'enregistrer et accéder à vos comptes, pour l'autoriser saisir dans Mes Comptes le code [XXXXXXXXXX06]" ( pièce n° 8).
Et si monsieur [B] soutient que le système d'identification forte du Crédit Lyonnais est défaillant en ce qu'il aurait dû permettre le blocage de l'envoi de messages électroniques (courriels notamment) à partir d'une adresse IP qui n'était pas celle enregistrée comme lui appartenant, il convient de considérer que l'adresse IP est attribuée à chaque interface avec le réseau de tout matériel informatique connecté à un réseau utilisant l'Internet Protocol comme protocole de communication ou qu'il existe des adresses IP ayant vocation à changer de façon dynamique.
En outre, monsieur [B] ne précise pas quelle était l'adresse enregistrée comme lui appartenant et l'examen de l'historique d'utilisation du contrat produit par la Banque (en pièce n° 13) révèle que plusieurs adresses ont été utilisées sur une période s'étendant du 26 mai 2021 au 06 mai 2022.
La banque verse de plus aux débats les captures d'écran relatives aux quatre virements litigieux réalisés, authentifiés, dûment enregistrés et comptabilisés et prouve que ces opérations n'ont pas été affectées par une déficience technique ou autre.
Elle démontre ainsi qu'il n'existe pas de lien de causalité entre son système d'authentification forte et les opérations arguées de fraude.
Pour autant, il lui appartient de rapporter la preuve de la négligence grave de son client - manquement qui lui permet, selon l'article L 133-19-IV du code monétaire et financier, de ne pas avoir à supporter toutes les pertes occasionnées par des opérations de paiement non autorisées - dès lors que, comme il a été dit, celle-ci ne peut se déduire du seul fait que l'instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés.
A cet égard, l'article L 133-16 du code monétaire et financier invoqué par la société Le Crédit Lyonnais dispose :
' Dès qu'il reçoit un instrument de paiement, l'utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées.
Il utilise l'instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation qui doivent être objectives, non discriminatoires et proportionnées'.
La banque intimée démontre, d'abord, que pour procéder à la connexion d'un nouvel appareil en ligne dans le dispositif d'identification forte, le 03 janvier 2022 à 16h 35, et désassocier l'appareil de confiance de monsieur [B], il a dû être procédé à la saisie de son identifiant et de son code personnel d'accès qui sont des données confidentielles ; qu'en outre, c'est bien au numéro de téléphone portable de celui-ci (considéré comme tel tant dans le cadre de la présente procédure que dans sa plainte) qu'a été reçu un SMS d'authentification de la banque contenant un code confidentiel à usage unique nécessaire à la validation de ce changement de téléphone, immédiatement suivi d'un second SMS de sécurité reçu à 16h 36 sur ce même numéro lui indiquant : 'Pour valider votre connexion LCL.fr depuis France sous Windows 10, saisissez le code [XXXXXXXXXX08]" (relevés d'enregistrements en pièces n° 8 et 14 de l'intimée).
Bien que tenu de prendre 'toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées', il apparaît que monsieur [B] n'a pas satisfait à ce devoir.
En effet, il ne nie pas avoir reçu le premier SMS précité, le 03 janvier 2022, écrivant à son sujet (en page 16/33 de ses dernières conclusions) 'ce SMS ne démontre qu'une tentative d'intrusion dans le fonctionnement du compte bancaire de monsieur [B]. Il s'agit donc d'une demande déterminée à laquelle monsieur [B] n'a pas donné suite'.
Et, contrairement à ce qu'il affirme, la société Le Crédit Lyonnais rapporte la preuve de l'envoi d'un second SMS d'authentification à 16h 36.
La banque évoquant, par ailleurs, avec suspicion l'argumentation adverse selon laquelle monsieur [B] a été victime d'une escroquerie puisqu'elle écrit 'à supposer qu'il n'aurait pas lui-même saisi ces identifiants/codes précités' ou fait état d'un 'prétendu fraudeur' (pages 29 et 30/43 de ses dernières conclusions), il peut être constaté sur ce point que monsieur [B] ne s'en explique pas.
Il laisse sans réponse l'observation du Crédit Lyonnais relevant qu'il n'indique pas dans sa plainte (versée en pièce n° 3 par l'appelant, lequel se borne à relater, peut-il être relevé, 'une escroquerie en date du 11/01/2022" et à affirmer : 'je ne suis pas à l'origine de ces virements bancaires, je n'ai pas été avisé de ces faits par ma banque LCL') la perte ou l'utilisation frauduleuse de son téléphone portable et, plus précisément, la carte SIM associée à son numéro de téléphone.
Pas plus qu'il n'explicite les conditions dans lesquelles a pu être communiqué, le 03 janvier 2022, son code d'accès personnel qu'il est seul à connaître.
Et pas davantage se prononce-t-il sur un virement intitulé 'copro [Adresse 10] // assurance 2022 copro [Adresse 10]' d'un montant de 65,10 euros qui apparaît dans l'historique des opérations enregistrées par la banque le 03 janvier 2022 à 16h 39 et dont elle tire argument (pièce n° 1 de l'appelant, n° 9 de l'intimée).
Ainsi, la société Le Crédit Lyonnais, qui écarte avec pertinence l'argumention de l'appelant selon lequel un courriel de confirmation de ce SMS aurait dû lui être adressé dès lors que ni la réglementation ni les dispositions contractuelles n'imposent une telle correspondance, est-elle fondée à se prévaloir à tout le moins d'une grave négligence de monsieur [B] qui n'a pas pris les mesures raisonnables pour préserver la sécurité de ses données de sécurité personnalisées.
La banque se prévaut ensuite d'une seconde négligence grave de monsieur [B] tenant au fait qu'il lui a tardivement signalé, le 04 février 2022, le détournement et l'utilisation non autorisée de ses données de sécurité personnalisés qui ont permis l'enrôlement, le 03 janvier 2022, de l'appareil de confiance litigieux alors que l'article L 133-17 -I du code monétaire et financier dispose :
'Lorsqu'il a connaissance de la perte, du vol, du détournement ou de toute utilisation non autorisée de son instrument de paiement ou des données qui lui sont liées, l'utilisateur de services de paiement en informe sans tarder, aux fins de blocage de l'instrument, son prestataire ou l'entité désignée par celui-ci'.
Si monsieur [B] pourrait se prévaloir des dispositions de l'article L 133-24 du code monétaire et financier par lequel le législateur impose à l'utilisateur, à peine de se voir opposer la forclusion, de signaler 'sans tarder' une opération non autorisée en instituant un délai de 13 mois pour ce faire, il convient de relever que la chambre commerciale de la Cour de cassation, par arrêt du 08 novembre 2023 ( pourvoi n° 22-14822 //demande de décision préalable - affaire C-665/23), sursoyant sur le pourvoi, a renvoyé à la Cour de justice de l'Union européenne les questions préjudicielles suivantes :
' 1°) Les articles 56, 58, 60 et 61 de la directive 2007/64/CE du 13 novembre 2007 concernant les services de paiement dans le marché intérieur, modifiant les directives 97/7/CE, 2005/60/CE ainsi que 2006/48/CE et abrogeant la directive 97/5/CE doivent-ils être interprétés en ce sens que le payeur est privé du droit au remboursement du montant d'une opération non autorisée lorsqu'il a tardé à signaler à son prestataire de services de paiement l'opération de paiement non autorisée, quand bien même il l'a fait dans les treize mois suivant la date de débit '
2°) en cas de réponse positive à la première question, la privation du droit du payeur au remboursement est-elle subordonnée au fait que la tardiveté du signalement est intentionnelle ou est la suite d'une négligence grave du payeur '
3°) en cas de réponse positive à la première question, le payeur est-il privé du droit au remboursement de toutes les opérations ou seulement de celles qui auraient pu être évitées si le signalement n'avait pas été tardif ''.
La question n'est donc pas tranchée au jour où la présente cour statue.
Cela étant, l'espèce qui lui est soumise présente des particularités qui permettent de s'interroger sur le défaut de diligence de monsieur [B] pour signaler à son prestataire de services de paiement une opération qui aurait dû lui apparaître douteuse, s'agissant du défaut de réaction sus-évoqué à réception d'un SMS dénué d'obscurité, contrairement à ce qu'il affirme, l'informant, le 03 janvier 2022, de l'opération portant sur la substitution d'un téléphone de confiance.
Par ailleurs, le système de sécurité mis en place par Le Crédit Lyonnais introduisait un délai de temporisation de sept jours avant lequel ne peut être exécuté un virement, par l'intermédiaire d'un appareil de confiance nouvellement enrôlé.
Les virements litigieux n'ont été effectués qu'à compter du 11 janvier 2023, soit passé ce délai de sept jours, et la banque intimée peut prétendre qu'il aurait pu être évité, comme les trois opérations suivantes, si monsieur [B] s'était manifesté dans ledit délai de temporisation.
Il s'évince de tout ce qui précède qu'il est démontré par la banque que les opérations qui ont permis les virements litigieux ne peuvent lui être imputés à faute dès lors qu'elle a exécuté les ordres en conformité avec le système d'authentification forte mis en place, exempt de défaillance technique, pour authentifier, enregistrer et comptabiliser les opérations mais qu'elles ont été rendues possibles par les manquements de son utilisateur, monsieur [B], que ses négligences graves soient prises isolément ou éventuellement cumulées.
Et qu'elles sont en lien de causalité directe avec l'ensemble des pertes occasionnées par lesdits virements.
Par suite, monsieur [B] sera débouté de son appel et le jugement confirmé en ce qu'il en décide ainsi.
De même qu'il sera confirmé en ce qu'il le déboute de toutes ses demandes comprenant, comme à nouveau présentés devant la cour, le prononcé d'une astreinte, la condamnation à titre indemnitaire de la banque venant sanctionner sa résistance abusive et son préjudice moral ainsi que sa demande de publication du communiqué tel que rédigé par ses soins dans divers organes de presse.
Sur les autres demandes
L'équité conduit à condamner monsieur [B] à verser à la société Le Crédit Lyonnais la somme de 5.000 euros par application de l'article 700 du code de procédure civile.
Débouté de ce dernier chef de demande, monsieur [B] qui succombe supportera les dépens d'appel.
PAR CES MOTIFS
La Cour, statuant publiquement, contradictoirement et par mise à disposition au greffe ;
CONFIRME le jugement entrepris et, y ajoutant ;
Condamne monsieur [D] [B] à verser à la société anonyme Le Crédit Lyonnais la somme de 5.000 euros par application de l'article 700 du code de procédure civile et à supporter les dépens d'appel avec faculté de recouvrement conformément aux dispositions de l'article 699 du même code.
Arrêt prononcé par mise à disposition de l'arrêt au greffe de la cour, les parties en ayant été préalablement avisées dans les conditions prévues au deuxième alinéa de l'article 450 du code de procédure civile, signé par Madame Fabienne PAGES, Président et par Madame Mélanie RIBEIRO, Greffier, auquel la minute de la décision a été remise par le magistrat signataire.
Le greffier, Le président,
