LA COUR DE CASSATION, CHAMBRE COMMERCIALE, a rendu l'arrêt suivant :
COMM.
CC
COUR DE CASSATION
______________________
Audience publique du 23 octobre 2024
Rejet
M. VIGNEAU, président
Arrêt n° 586 FS-B
Pourvoi n° H 23-16.267
R É P U B L I Q U E F R A N Ç A I S E
_________________________
AU NOM DU PEUPLE FRANÇAIS
_________________________
ARRÊT DE LA COUR DE CASSATION, CHAMBRE COMMERCIALE, FINANCIÈRE ET ÉCONOMIQUE, DU 23 OCTOBRE 2024
La société BNP Paribas, société anonyme, dont le siège est [Adresse 2], [Localité 3], a formé le pourvoi n° H 23-16.267 contre l'arrêt rendu le 28 mars 2023 par la cour d'appel de Versailles (13e chambre), dans le litige l'opposant à M. [U] [J], domicilié [Adresse 1], [Localité 4], défendeur à la cassation.
La demanderesse invoque, à l'appui de son pourvoi, un moyen de cassation.
Le dossier a été communiqué au procureur général.
Sur le rapport de M. Calloch, conseiller, les observations de la SCP Rocheteau, Uzan-Sarano et Goulet, avocat de la société BNP Paribas, de la SARL Meier-Bourdeau, Lécuyer et associés, avocat de M. [J], et l'avis de Mme Guinamant, avocat général référendaire, après débats en l'audience publique du 10 septembre 2024 où étaient présents M. Vigneau, président, M. Calloch, conseiller rapporteur, Mme Vaissette conseille doyen, M. Riffaud, Mme Guillou, M. Bedouet, Mme Schmidt, M. Chazalette, Mme Gouarin, conseillers, Mmes Brahic-Lambrey, Champ, M. Boutié, Mmes Coricon, Buquant, conseillers référendaires, Mme Guinamant, avocat général référendaire, et Mme Labat, greffier de chambre,
la chambre commerciale, financière et économique de la Cour de cassation, composée, en application de l'article R. 431-5 du code de l'organisation judiciaire, des président et conseillers précités, après en avoir délibéré conformément à la loi, a rendu le présent arrêt ;
Faits et procédure
1. Selon l'arrêt attaqué (Versailles, 28 mars 2023), le 31 mai 2019, M. [J] a constaté que plusieurs virements frauduleux avaient été réalisés pour un montant de 54 500 euros sur son compte ouvert dans les livres de la société BNP Paribas (la banque).
2. M. [J] a alerté la banque le jour même, soutenant avoir été contacté par téléphone par une personne se faisant passer pour une préposée de l'établissement lui demandant d'ajouter, grâce à ses données personnelles de sécurité, cinq personnes sur la liste des bénéficiaires de virements.
3. M. [J] a assigné la banque en remboursement de ces sommes.
Examen du moyen
Enoncé du moyen
4. La banque fait grief à l'arrêt de la condamner à payer à M. [J] la somme de 54 500 euros avec intérêts au taux légal à compter du 10 octobre 2019 ainsi que la somme de 1 500 euros à titre de dommages et intérêts pour préjudice moral avec intérêts au taux légal alors :
« 1°/ que le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d'une négligence grave de sa part ; que commet une négligence grave, le payeur qui valide à distance et sans la vérifier, une opération dont il n'est pas l'auteur ; qu'en l'espèce, la cour d'appel a relevé que suivant ses déclarations, M. [J] avait été contacté par téléphone par une personne se présentant comme l'assistante de sa conseillère bancaire, qui lui avait expliqué qu'il avait été nécessaire de supprimer des bénéficiaires de virement pour déjouer une attaque informatique et qu'il fallait désormais les réenregistrer, et qu'il était alors resté en ligne avec cette personne et avait reçu sur son téléphone mobile des messages l'invitant à valider des ajouts de bénéficiaires, ce qu'il avait fait en saisissant son code confidentiel ; qu'en retenant que M. [J] n'avait pas été gravement négligent, quand celui-ci avait validé des opérations dont il n'était pas l'auteur sans en vérifier toutes les données, la cour d'appel, qui n'a pas tiré les conséquences légales de ses constatations, a violé l'article L. 133-19 du code monétaire et financier ;
2°/ que le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d'une négligence grave de sa part ; que commet une négligence grave, le payeur qui, à la demande d'une personne qui l'a contacté par téléphone en se présentant comme son conseiller bancaire, valide à distance et sans la vérifier une opération dont il n'est pas l'auteur en dépit d'indices permettant à un utilisateur normalement attentif de douter de l'identité de son interlocuteur ; qu'en l'espèce, la cour d'appel a relevé que suivant ses déclarations, M. [J] avait été contacté par téléphone par une personne se présentant comme l'assistante de sa conseillère bancaire, qui lui avait expliqué qu'il avait été nécessaire de supprimer des bénéficiaires de virement pour déjouer une attaque informatique et qu'il fallait désormais les réenregistrer, qu'il était alors resté en ligne avec cette personne et avait reçu sur son téléphone mobile des messages l'invitant à valider des ajouts de bénéficiaires, ce qu'il avait fait en saisissant son code confidentiel, et qu'il lui avait enfin été expliqué qu'il n'aurai[t] plus accès à [son] compte et qu['il] allai[t] recevoir par la poste un nouvel identifiant de compte et un nouveau mot de passe " ; qu'en retenant que M. [J] n'avait pas été gravement négligent quand l'identité de son interlocutrice, qui prétendait être non pas sa conseillère bancaire mais l'assistante de celle-ci, l'objet de l'appel, qui tendait à réenregistrer des bénéficiaires de virement, ce qui pouvait pourtant se faire sans intervention d'un employé de la banque et ne présentait au surplus aucune urgence dans la mesure où M. [J] n'aurait plus accès à son compte en ligne pendant plusieurs jours, et les explications qui lui avaient été fournies, suivant lesquelles l'attaque informatique dont il aurait été victime avait pu être déjouée par la suppression des bénéficiaires de virement qu'il lui fallait réenregistrer avant que l'accès en ligne à son compte soit bloqué et qu'un nouvel identifiant et un nouveau mot de passe lui soient adressés par voie postale, constituaient des indices permettant à un utilisateur normalement attentif de suspecter une fraude, la cour d'appel, qui n'a pas tiré les conséquences légales de ses constatations, a violé l'article L. 133-19 du code monétaire et financier ;
3°/ que même de bonne foi, le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d'une négligence grave de sa part ; qu'en se fondant, pour écarter toute négligence grave de M. [J], sur la circonstance inopérante que « l'utilisation du "spoofing", soit littéralement une usurpation d'identité, a mis M. [J] en confiance et a diminué sa vigilance », la cour d'appel a privé sa décision de base légale au regard de l'article L. 133-19 du code monétaire et financier.
Réponse de la Cour
5. Après avoir exactement énoncé qu'il incombe au prestataire de services de paiement de rapporter la preuve d'une négligence grave de son client, l'arrêt constate que le numéro d'appel apparaissant sur le téléphone portable de M. [J] s'était affiché comme étant celui de Mme [Y], sa conseillère BNP et retient qu'il croyait être en relation avec une salariée de la banque lors du réenregistrement et nouvelle validation qu'elle sollicitait de bénéficiaires de virement sur son compte qu'il connaissait et qu'il a cru valider l'opération litigieuse sur son application dont la banque assurait qu'il s'agissait d'une opération sécurisée. Il ajoute que le mode opératoire par l'utilisation du « spoofing » a mis M. [J] en confiance et a diminué sa vigilance, inférieure, face à un appel téléphonique émanant prétendument de sa banque pour lui faire part du piratage de son compte, à celle d'une personne réceptionnant un courriel, laquelle aurait pu disposer de davantage de temps pour s'apercevoir d'éventuelles anomalies révélatrices de son origine frauduleuse.
6. De ces constatations et appréciations, la cour d'appel a pu déduire que la négligence grave de M. [J] n'était pas caractérisée.
7. Le moyen n'est donc pas fondé.
PAR CES MOTIFS, la Cour :
REJETTE le pourvoi ;
Condamne la société BNP Paribas aux dépens ;
En application de l'article 700 du code de procédure civile, rejette la demande formée par la société BNP Paribas et la condamne à payer à M. [J] la somme de 3 000 euros ;
Ainsi fait et jugé par la Cour de cassation, chambre commerciale, financière et économique, et prononcé par le président en son audience publique du vingt-trois octobre deux mille vingt-quatre.