TRIBUNAL
JUDICIAIRE
DE PARIS [1]
[1]
Expéditions
exécutoires
délivrées le :
à
Me JAUFFRET
Me LE MERLUS
■
9ème chambre 1ère section
N° RG 22/00411
N° Portalis 352J-W-B7G-CVY5D
N° MINUTE : 2
Assignation du :
21 Décembre 2021
JUGEMENT
rendu le 01 Juillet 2024
DEMANDEURS
Monsieur [I] [J]
et Madame [E] [H], épouse [J]
[Adresse 3]
[Localité 1]
représentés par Maître Nathalie JAUFFRET, avocat au barreau de PARIS, avocat postulant, vestiaire #C1213 et Maître Yves-Marie HERROU de la SELAS FIDAL, avocat au barreau d’Angers, avocat plaidant
DÉFENDERESSE
S.A. HSBC CONTINENTAL EUROPE
[Adresse 4]
[Localité 5] / FRANCE
représentée par Maître Anne-gaëlle LE MERLUS de la SCP LUSSAN, avocats au barreau de PARIS, vestiaire #P0077
Décision du 01 Juillet 2024
9ème chambre 1ère section
N° RG 22/00411 - N° Portalis 352J-W-B7G-CVY5D
COMPOSITION DU TRIBUNAL
Anne-Cécile SOULARD, Vice-présidente
Marine PARNAUDEAU, Vice-présidente
Patrick NAVARRI, Vice-président
assistée de Chloé DOS SANTOS, Greffière lors de l’audience et de la mise à disposition.
DÉBATS
A l’audience du 22 Avril 2024 tenue en audience publique devant Marine PARNAUDEAU, juge rapporteur, qui, sans opposition des avocats, a tenu seule l’audience, et, après avoir entendu les conseils des parties, en a rendu compte au Tribunal, conformément aux dispositions de l’article 805 du Code de Procédure Civile. Avis a été donné aux avocats des parties que la décision serait rendue le 01 Juillet 2024.
JUGEMENT
Rendu publiquement par mise à disposition au greffe
Contradictoire
En premier ressort
EXPOSE DU LITIGE
M. [I] [J] et Mme [E] [J] née [H] sont titulaires d'un compte joint ouvert dans les livres de la société HSBC CONTINENTAL EUROPE.
Ce compte de dépôt a été débité en exécution des ordres de virement énoncés ci-après :
-le 18 mars 2021, d'une somme de 10 000 euros
-le 19 mars 2021, des sommes de 2 990 euros et 2 900 euros.
Contestant avoir ordonné ces virements, Mme [E] [J] née [H] s'est déplacée au sein de son agence bancaire le 19 mars 2021. M. [I] [J] et Mme [E] [J] née [H] ont adressé une lettre de contestation de ces opérations à la société HSBC CONTINENTAL EUROPE par courrier du 19 juillet 2021.
En application de la procédure dite de " recall ", la banque a restitué à M. [I] [J] et Mme [E] [J] née [H] les sommes de 2 990 euros et 2 900 euros.
La société HSBC CONTINENTAL EUROPE n'ayant pas procédé au remboursement du virement contesté du 18 mars 2021, M. [I] [J] et Mme [E] [J] née [H] ont fait assigner devant le tribunal judiciaire de Paris cette dernière en annulation de ce virement et en remboursement de la somme débitée, au visa des articles 1231-1, 1937 du code civil et des articles L.133 -18 et suivants du code monétaire et financier, par acte signifié le 21 décembre 2021.
Aux termes de leurs dernières conclusions notifiées par voie électronique le 19 Avril 2024, M. [I] [J] et Mme [E] [J] née [H] demandent au tribunal, au visa des articles 1231-1, 1937 du code civil et des articles L.133 -18 et suivants du code monétaire et financier, de :
" - CONDAMNER in solidum la société CCF et la société HSBC à payer à Monsieur et Madame [J] la somme de 10.000 €, avec intérêts au taux légal à compter du 19 juillet 2021, date de la mise en demeure ;
- CONDAMNER in solidum la société CCF et la société HSBC à payer à Monsieur et Madame [J] la somme de 7.000 € en application de l'article 700 du Code de procédure civile, ainsi qu'aux entiers dépens ;
- DEBOUTER la société HSBC de ses demandes, fins et conclusions."
M. [I] [J] et Mme [E] [J] née [H] contestent avoir autorisé un quelconque virement ou achat le 18 mars 2021.
Ils observent que la banque ne rapporte pas la preuve qu'ils ont effectué des achats en ligne ni qu'ils ont transmis leur numéro de carte, le cryptogramme puis le code de validation à un tiers. Mme [J] expose avoir reçu, le 17 mars 2021, un courriel électronique émanant de la banque HSBC CONTINENTAL EUROPE l'invitant à se connecter au portail " Ma banque en ligne " afin de consulter un message relatif à " HSBC Secure Key " disponible sur sa messagerie et s'être simplement connectée à son espace personnel en ligne afin d'en prendre connaissance. Elle déclare également qu'après avoir constaté qu'aucun message ne lui avait été adressé, elle s'est immédiatement déconnectée de son espace sans effectuer aucune autre manipulation. Elle précise que le lendemain, soit le 18 mars 2021, elle a été destinataire d'un courriel l'informant que le compte bancaire se terminant par 695153 avait été ajouté à ses bénéficiaires et qu'elle s'est déplacée physiquement au sein de son agence bancaire HSBC CONTINENTAL EUROPE aux fins de signaler, comme indiqué dans ledit courriel, qu'elle n'était pas à l'origine de cette opération. Le lendemain de son déplacement, soit le 19 mars 2021, Mme [J] souligne avoir reçu un SMS l'informant qu'un virement de 10000 euros avait échoué au motif qu'il excédait le plafond journalier. C'est dans ces conditions que les demandeurs s'apercevaient que trois virements frauduleux avaient été débités de leur compte bancaire pour les sommes de 10 000 euros, 2 900 euros, 2 999 euros. Procédant à une nouvelle alerte de leur conseiller bancaire, les demandeurs obtenaient le remboursement des sommes de 2 900 euros et 2 999 euros. Seule la somme de 10 000 euros ne leur était pas restituée.
Ils ajoutent qu'en s'abstenant d'effectuer toutes les vérifications même les plus élémentaires et ce malgré le signalement diligent de Mme [J], la banque a manqué à son devoir de vigilance.
Mme [J] réfute avoir divulgué à un tiers ses informations confidentielles. Elle conteste donc avoir fait preuve de négligence dans l'utilisation et la conservation de ses moyens de paiement et soutient avoir été victime de manœuvres frauduleuses.
Les demandeurs font valoir que la défenderesse se borne à évoquer l'hypothèse d'un " hameçonnage " en prétendant que Mme [J] aurait répondu au courriel frauduleux qui lui a été adressé et communiqué ses données personnalisées de sécurité permettant notamment de procéder à l'enregistrement d'un IBAN, sans toutefois en apporter la démonstration. Ils en déduisent que la banque n'apporte pas la preuve que Mme [J] aurait manqué, par négligence grave, à son obligation de préserver la sécurité de ses données de sécurité personnalisées. Ils concluent ainsi au bien-fondé de leur action en responsabilité.
Par conclusions récapitulatives notifiées par voie électronique le 18 avril 2024, la société CCF venant aux droits de la société HSBC CONTINENTAL EUROPE à la suite de la réalisation, le 1er janvier 2024, de l'apport partiel d'actif soumis au régime des scissions par lequel la société HSBC CONTINENTAL EUROPE a apporté son activité de banque de détail en France à la société CCF, est intervenue volontairement à l'instance. Elle demande au tribunal, au visa de l'article 1240 du code civil, Vu l'article L.133-19 IV du code monétaire et financier, de :
" - DEBOUTER purement et simplement Monsieur [I] [J] et Madame [E] [H], épouse [J], de l'ensemble de leurs demandes, fins, moyens et conclusions
- CONDAMNER solidairement Monsieur [I] [J] et Madame [E] [H], épouse [J] à verser à CCF, venant aux droits de HSBC Continental Europe, une somme de 5.000 € au titre de l'article 700 du code de procédure civile ;
- CONDAMNER solidairement les mêmes aux entiers dépens.
En tout état de cause,
- ECARTER l'exécution provisoire de toute condamnation qui pourrait par extraordinaire être mise à la charge de HSBC Continental Europe."
Déclinant toute responsabilité, la défenderesse affirme tout d'abord que les époux [J] ne sauraient valablement remettre en cause le virement objet de la présente procédure qui constitue une opération "autorisée" au sens du code monétaire et financier. Elle relève que ladite opération a été initiée via l'outil de sécurisation HSBC Secure Key Mobile fourni par HSBC CONTINENTAL EUROPE, et dont l'utilisation, grâce aux données personnelles de connexion, formalise le consentement des parties.
Elle observe ensuite que l'enregistrement d'un IBAN nouveau, de même que le virement litigieux, ont été ordonnés au moyen des outils sécurisés permettant de s'assurer du caractère autorisé desdites opérations, au sens des articles L.133-1 et suivants du code monétaire et financier, et de leur caractère irrévocable. Elle souligne également que les demandeurs ne produisent pas aux débats le procès-verbal de dépôt de leur plainte qui permettrait d'expliciter les manipulations réalisées par Mme [J].
De plus, la banque précise que les demandeurs ne rapportent pas la preuve que l' agissement dont ils se disent victimes, est une infraction pénale. Elle ajoute qu'ils ne justifient pas également du préjudice dont ils se prévalent et qu'ils sont mal fondés à exciper de la procédure dite de recall pour justifier du bien-fondé de leurs prétentions.
La banque soutient enfin qu'en l'absence de preuve d'une anomalie apparente affectant l'ordre de virement litigieux et qu'au regard de son devoir de non-immixtion et de sa qualité de mandataire, elle n'a commis aucune faute, en exécutant ledit virement.
Elle ajoute que la négligence grave de Mme [J] découlant de la mise en place d'un système d'authentification forte, exonère la banque de son obligation de remboursement de la somme litigieuse.
Conformément aux dispositions de l'article 455 du code de procédure civile, il est fait expressément référence aux écritures des parties visées ci-dessus quant à l'exposé de leurs moyens.
L'ordonnance de clôture est intervenue le 15 janvier 2024.
EXPOSE DES MOTIFS
Sur la demande de remboursement des virements litigieux
L'article L. 133-7 alinéa 1 du code monétaire et financier dispose que "Le consentement est donné sous la forme convenue entre le payeur et son prestataire de services de paiement. (...) En l'absence d'un tel consentement, l'opération ou la série d'opérations de paiement est réputée non autorisée".
L'article L.133-18 alinéa 1 du code monétaire et financier, dans sa rédaction applicable au litige, dispose que : "En cas d'opération de paiement non autorisée signalée par l'utilisateur dans les conditions prévues à l'article L. 133-24, le prestataire de services de paiement du payeur rembourse au payeur le montant de l'opération non autorisée immédiatement après avoir pris connaissance de l'opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, sauf s'il a de bonnes raisons de soupçonner une fraude de l'utilisateur du service de paiement et s'il communique ces raisons par écrit à la Banque de France. Le cas échéant, le prestataire de services de paiement du payeur rétablit le compte débité dans l'état où il se serait trouvé si l'opération de paiement non autorisée n'avait pas eu lieu."
En application des articles L.133-19 IV et L.133-23 du code monétaire et financier, lorsqu'un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, il incombe à son prestataire de services de paiement de prouver que l'opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu'elle n'a pas été affectée par une déficience technique ou autre, et il appartient également à la banque, qui se prévaut des articles L.133-16 et L.133-17 du code monétaire et financier imposant à l'utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d'informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l'instrument de paiement ou des données qui lui sont liées, de prouver que l'utilisateur a agi frauduleusement ou n'a pas satisfait intentionnellement ou par négligence grave à ses obligations. Cette preuve ne peut se déduire du seul fait que l'instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés.
Il ressort de l'article L. 133-19, V, du code monétaire et financier, dans sa rédaction issue de l'ordonnance n° 2017-1252 du 9 août 2017, que, sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si l'opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement du payeur n'exige une authentification forte du payeur prévue par le second de ces textes.
Il résulte de l'article 34, VIII, 3°, de l'ordonnance n° 2017-1252 du 9 août 2017, que l'article L. 133-44 du code monétaire et financier, dans sa rédaction issue de l'ordonnance n° 2017-1252 du 9 août 2017, auquel renvoie l'article L. 133-19, V, est entré en vigueur le 14 septembre 2019, dix-huit mois après l'entrée en vigueur du règlement délégué (UE) 2018/389 de la Commission du 27 novembre 2017 complétant la directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 par des normes techniques de réglementation relatives à l'authentification forte du client et à des normes ouvertes communes et sécurisées de communication.
En l'espèce, Mme [E] [J] née [H] a contesté auprès de la société HSBC CONTINENTAL EUROPE le 19 mars 2021 le virement d'un montant de 10 000 euros du 18 mars 2021, et les virements d'un montant respectif de 2 999 euros et 2 900 euros exécutés le 19 mars 2021, depuis le compte de dépôt qu'elle détient en indivision avec son époux. Par ce courrier, elle a informé la société HSBC CONTINENTAL EUROPE de sa connexion à son espace bancaire en ligne à la suite de la réception d'un message de l'établissement bancaire le 18 mars 2021 et à sa déconnexion immédiate, aucun message n'ayant été reçu.
Mme [E] [J] née [H] contestant être l'auteur du virement d'un montant de 10 000 euros et faute pour la banque d'en apporter la preuve contraire, il convient de juger que le virement litigieux est une opération non autorisée.
Il appartient donc à la société HSBC CONTINENTAL EUROPE d'apporter la preuve que les virements contestés ont été exécutés par suite du manquement intentionnel ou provoqué par une négligence grave du titulaire du compte à son obligation de prendre toute mesure raisonnable pour préserver la sécurité des dispositifs de sécurité personnalisés d'accès au compte bancaire sur lequel les virements ont été opérés.
Il est établi par les pièces produites aux débats que :
- Mme [J] a été destinataire d'un courriel électronique le 17 février 2023 émanant de HSBC
"[Courriel 6] " faisant apparaitre qu' " un nouveau message à propos votre HSBC Secure key est disponible sur votre messagerie sécurisée " et l'informant que pour le consulter, elle devait cliquer sur le lien " connectez-vous à Ma banque en ligne ",
- Mme [J] a effectué " la manipulation " requise comme elle l'a reconnu dans son courrier de contestation du 19 mars 2021 à 10h29,
- la banque a envoyé, le 18 mars 2021 à 10h20, par SMS un code de validation à usage unique au numéro de téléphone ([XXXXXXXX02]) qui est celui de Mme [J] à la lecture de la convention d'entrée en relation " particuliers " signée le 7 juin 2004,
- l'ajout du bénéficiaire a été sollicité le 18 mars 2021 à 10 h27 depuis l'espace client,
- la société HSBC CONTINENTAL EUROPE a informé Mme [J] de l'ajout d'un nouveau bénéficiaire " 695153 " par courriel électronique du 18 mars 2021,
- le 18 mars 2021, le compte bancaire des époux [J] a été débité d'une somme de 10000 euros en lien avec l' " achat matérielle ".
Force est d'observer que l'envoi d'un code à usage unique afin d'authentifier le virement d'un montant de 10 000 euros n'est pas explicité.
De surcroît, il est constant que Mme [J], à l'instar de son époux, est restée en possession de son téléphone portable et de ses moyens de paiement.
Il en résulte que Mme [J] a effectué la démarche positive comme indiquée dans le mail, à savoir la connexion à son espace en ligne via le lien, en dépit d'une adresse mail qui ne saurait correspondre à celle de son établissement bancaire d'une part, et malgré les erreurs d'orthographe et de syntaxe contenues dans ce courriel d'autre part.
Dès lors que Mme [J] conteste avoir ajouté un nouveau bénéficiaire et validé cet ordre de virement, il y a lieu de considérer qu'un tiers a pu se connecter au compte bancaire des époux [J] pour effectuer le virement litigieux.
Il découle de ce qui précède que Mme [J] qui ne présente aucune cause de vulnérabilité en raison de son âge, de ses facultés intellectuelles ou de son état de santé, a, au vu du déroulement des faits rappelés ci-dessus, manqué, par négligence grave, à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés, en communiquant les données personnelles de ce dispositif de sécurité (identifiant et mot de passe permettant d'accéder à son compte en ligne) en réponse à une demande contenue dans un courriel frauduleux. De tels indices auraient permis à un utilisateur normalement prudent et diligent de douter de l'authenticité de ce courriel électronique, peu important qu'il soit ou non avisé des techniques de hameçonnage.
Par suite, le virement litigieux effectué le 18 mars 2021 trouve sa source dans la négligence grave commise par Mme [J] dans la protection des données de sécurité personnalisées associées à son compte bancaire.
Les époux [J] seront donc déboutés de leur demande de remboursement de la somme totale de 10 000 euros correspondant au virement effectué depuis son compte de dépôt le 18 mars 2021.
Sur les demandes accessoires
Succombant, les époux [J] seront condamnés in solidum aux dépens.
Pour ce motif, ils seront déboutés de leur demande indemnitaire formée sur le fondement de l'article 700 du code de procédure civile.
En considération de l'issue du procès et de la situation économique respective des parties, l'équité ne commande pas qu'il soit fait application des dispositions de l'article 700 du code de procédure civile au profit de la défenderesse.
La présente décision est revêtue de droit de l'exécution provisoire conformément à l'article 514 du code de procédure civile dans sa version applicable dès le 1er janvier 2020.
PAR CES MOTIFS
Le tribunal, statuant par jugement contradictoire, en premier ressort et publiquement par mise à disposition au greffe,
DÉBOUTE M. [I] [J] et Mme [E] [J] née [H] de l'intégralité de leurs demandes ;
CONDAMNE in solidum M. [I] [J] et Mme [E] [J] née [H] aux dépens ;
DÉBOUTE la société CCF, venant aux droits de la société HSBC CONTINENTAL EUROPE de sa demande formée au titre de l'article 700 du code de procédure civile ;
RAPPELLE l'exécution provisoire de droit de la présente décision.
Fait et jugé à Paris le 01 Juillet 2024.
LA GREFFIERELA PRÉSIDENTE
