TRIBUNAL
JUDICIAIRE
DE PARIS [1]
[1]
Expéditions
exécutoires
délivrées le :
■
9ème chambre
3ème section
N° RG 23/08019
N° Portalis 352J-W-B7H-CZ3YX
N° MINUTE :
Assignation du :
24 Mai 2023
JUGEMENT
rendu le 30 août 2024
DEMANDERESSES
Madame [I], [B], [P]
[Adresse 3]
[Localité 7]
S.A.R.L. MCM CONSULTING
[Adresse 3]
[Localité 7]
représentées par Maître Marion CHARBONNIER de la SELARL ALEXANDRE BRESDIN CHARBONNIER, avocat au barreau de PARIS, vestiaire #D0947
DÉFENDERESSE
CAISSE DE CREDIT MUTUEL [Localité 9] prise en la personne de son représentant légal
[Adresse 4]
[Localité 6]
représentée par Maître Fanny DESCLOZEAUX de la SELARL CARBONNIER LAMAZE RASLE, avocat au barreau de PARIS, vestiaire #P0298
COMPOSITION DU TRIBUNAL
Madame Béatrice CHARLIER-BONATTI, Vice-présidente,
Madame Anne-Cécile SOULARD, Vice-présidente,
Monsieur Hadrien BERTAUX, Juge,
assistés de Madame Claudia CHRISTOPHE, Greffière lors des débats et de Madame Sandrine BREARD, Greffière lors de la mise à disposition au greffe.
Décision du 30 Août 2024
9ème chambre - 3ème section
N° RG 23/08019 - N° Portalis 352J-W-B7H-CZ3YX
DÉBATS
A l’audience du 07 Juin 2024 tenue en audience publique devant Monsieur Hadrien BERTAUX, juge rapporteur, qui, sans opposition des avocats, a tenu seul l’audience, et, après avoir entendu les conseils des parties, en a rendu compte au Tribunal, conformément aux dispositions de l’article 805 du Code de procédure civile.
JUGEMENT
Rendu par mise à disposition au greffe
Contradictoire
En premier ressort
EXPOSE DU LITIGE
Mme [I] [P] et la société MCM Consulting SARL, dont elle est gérante, sont titulaires de comptes courants ouverts dans les livres de la Caisse de Crédit Mutuel [Localité 9] (ci-après CCMP), soit, respectivement, les comptes n°[XXXXXXXXXX02] et n°[XXXXXXXXXX01], par lesquels ont transité des opérations de paiement par carte bancaire contestées.
Mme [P] a formé plusieurs réclamations auprès de la banque aux fins d’obtenir le remboursement de diverses sommes, lesquelles ont été rejetées.
Par acte du 24 mai 2023, Mme [P] et la société MCM Consulting Sarl ont fait assigner la CCMP devant le tribunal judiciaire de Paris aux fins notamment d’obtenir l’indemnisation de leur préjudice.
Suivant dernières conclusions notifiées par RPVA le 18 janvier 2024, les demandeurs sollicitent du tribunal, à titre principal, de :
“Condamner, sur le fondement des articles L.333-15 et suivants du code monétaire et financier, et pour manquement à ses obligations de vigilance et mise en garde, la société dénommée CAISSE DE CREDIT MUTUEL [Localité 9], RCS PARIS 450402912, prise en la personne de ses représentants légaux en exercice domiciliés au siège social : [Adresse 4]
A payer :
I : à la société MCM CONSULTING SARL, RCS PARIS 501 691 331, agissant poursuites et diligences de sa gérante en exercice domiciliée au siège social [Adresse 3] à [Localité 7] : la somme de 36.829,77 € avec intérêts au taux légal à compter de la date de signification de l’assignation introductive d’instance
II : à Madame [P] [I], [B] née le [Date naissance 5] 1973 à [Localité 8] (17), de nationalité française, gérante de société, demeurant : [Adresse 3] : la somme de 35.412,36 € avec intérêts au taux légal à compter du 7 septembre 2022, subsidiairement à compter de la date de signification de l’assignation introductive d’instance
Condamner par ailleurs la société dénommée CAISSE DE CREDIT MUTUEL DE [Localité 9] à payer :
- À Madame [P] [I], la somme de 6.000 € de dommages-intérêts, avec intérêts au taux légal à compter de la date du jugement à intervenir ;
- Aux requérantes la somme de 5000 € par application de l’article 700 CPC, avec intérêts au taux légal à compter de la date du jugement à intervenir ;
Ordonner la capitalisation des intérêts sur le fondement de l’article 1343-2 du code civil.
Et débouter la défenderesse de l’ensemble de ses demandes.
Condamner la défenderesse aux entiers dépens”.
Suivant dernières conclusions notifiées par RPVA le 07 mars 2024, la CCMP demande au tribunal, à titre principal, de :
“Vu les articles L.133-16, L.133-17, L.133-18, L.133-19 du Code Monétaire et financier,
Vu les articles 1103, 1104 et 1193, 1231-1, 1231-4, 1353 du Code civil,
Vu les articles 6 et 9 du Code de procédure civile,
Vu la jurisprudence citée,
- DECLARER le CREDIT MUTUEL recevable et bien fondé en toutes ses demandes, fins et conclusions ;
- JUGER que Madame [P] et la société MCM CONSULTING SARL ne contestent pas être à l’origine des opérations litigieuses qui sont des opérations autorisées au sens de l’article L.133-18 du Code monétaire et financier ;
- JUGER que le CREDIT MUTUEL n’était pas tenu d’une obligation de vigilance et de surveillance s’agissant des opérations litigieuses, les opérations contestées ne comportant aucune anomalie matérielle ou intellectuelle ;
- JUGER que Madame [P] et la société MCM CONSULTING SARL ont commis de graves négligences directement et exclusivement à l’origine du préjudice prétendument subi et de nature à écarter leur droit à indemnisation ;
- JUGER que Madame [P] et la société MCM CONSULTING SARL ne rapportent pas la preuve du préjudice prétendument subi et d’un lien de causalité avec les manquements allégués du CREDIT MUTUEL ;
En conséquence,
- DEBOUTER Madame [P] et la société MCM CONSULTING SARL de l’intégralité de leurs demandes ;
En toute hypothèse,
- CONDAMNER solidairement Madame [P] et la société MCM CONSULTING SARL à verser au CREDIT MUTUEL la somme de 5.000 euros au titre de l’article 700 du Code de procédure civile ainsi qu’aux entiers dépens ;
- ECARTER l’exécution provisoire de droit de la décision à intervenir sur les seuls chefs de demande de Madame [P] et la société MCM CONSULTING SARL”.
Pour un plus ample exposé des prétentions et moyens des parties, il sera renvoyé, conformément à l’article 455 du code de procédure civile, à leurs dernières écritures.
L’ordonnance de clôture est intervenue le 10 mai 2024, l’affaire appelée à l’audience du 07 juin et mise en délibéré au 30 août.
MOTIFS DE LA DECISION
Il sera rappelé, à titre liminaire, qu’il n’y a pas lieu de statuer sur les demandes de “juger” qui ne constituent pas des prétentions susceptibles d’entraîner des conséquences juridiques au sens de l’article 4 du code de procédure civile, mais uniquement la reprise des moyens développés dans le corps des conclusions, et qui ne doivent pas, à ce titre, figurer dans le dispositif des écritures des parties.
Il convient de souligner qu’aux termes de l’article 768 du code de procédure civile, “les conclusions doivent formuler expressément les prétentions des parties ainsi que les moyens en fait et en droit sur lesquels chacune de ces prétentions est fondée avec indication pour chaque prétention des pièces invoquées et de leur numérotation. Un bordereau énumérant les pièces justifiant ces prétentions est annexé aux conclusions. Les conclusions comprennent distinctement un exposé des faits et de la procédure, une discussion des prétentions et des moyens ainsi qu'un dispositif récapitulant les prétentions. Les moyens qui n'auraient pas été formulés dans les conclusions précédentes doivent être présentés de manière formellement distincte. Le tribunal ne statue que sur les prétentions énoncées au dispositif et n'examine les moyens au soutien de ces prétentions que s'ils sont invoqués dans la discussion. Les parties doivent reprendre dans leurs dernières conclusions les prétentions et moyens présentés ou invoqués dans leurs conclusions antérieures. A défaut, elles sont réputées les avoir abandonnés et le tribunal ne statue que sur les dernières conclusions déposées”.
Sur les demandes indemnitaires
Il sera rappelé, à titre liminaire, que les dispositions légales applicables en matière d'instruments de monnaie scripturale autres que le chèque, bancaire ou postal, la lettre de change et le billet à ordre sont les articles L.133-1 et suivants du code monétaire et financier.
Ainsi, il résulte des articles L.133-3, L.133-6 de ce code qu'une opération de paiement initiée par le payeur, qui donne un ordre de paiement à son prestataire de services de paiement, est réputée autorisée uniquement si le payeur a également consenti au montant de l'opération, l’article L.133-7 précisant que le consentement à l’opération de paiement est donné sous la forme convenue entre le payeur et son prestataire de paiement et, qu’en l'absence d'un tel consentement, l'opération ou la série d'opérations de paiement est réputée non autorisée.
Par ailleurs, il ressort des L.133-18 et L.133-19 qu'en cas d'opération de paiement non autorisée, réalisée au moyen d'un instrument de paiement doté de données de sécurité personnalisées, et signalée par l'utilisateur dans les conditions prévues à l'article L.133-24 du code monétaire et financier, le prestataire de services de paiement du payeur rembourse au payeur le montant de l'opération non autorisée, sauf si la responsabilité du payeur est engagée en application de l'article L.133-19 (Com., 30 novembre 2022, pourvoi n° 21-17.614).
L’article L.133-4 précise que, pour l’application du présent chapitre :
“a) Les données de sécurité personnalisées s'entendent des données personnalisées fournies à un utilisateur de services de paiement par le prestataire de services de paiement à des fins d'authentification ;
b) Un identifiant unique s'entend d'une combinaison de lettres, de chiffres ou de symboles indiquée à l'utilisateur de services de paiement par le prestataire de services de paiement, que l'utilisateur de services de paiement doit fournir pour permettre alternativement ou cumulativement l'identification certaine de l'autre utilisateur de services de paiement et de son compte de paiement pour l'opération de paiement ;
c) Un instrument de paiement s'entend, alternativement ou cumulativement, de tout dispositif personnalisé et de l'ensemble de procédures convenu entre l'utilisateur de services de paiement et le prestataire de services de paiement et utilisé pour donner un ordre de paiement ;
d) Un jour ouvrable est un jour au cours duquel le prestataire de services de paiement du payeur ou celui du bénéficiaire exerce une activité permettant d'exécuter des opérations de paiement ;
e) Une authentification s'entend d'une procédure permettant au prestataire de services de paiement de vérifier l'identité d'un utilisateur de services de paiement ou la validité de l'utilisation d'un instrument de paiement spécifique, y compris l'utilisation des données de sécurité personnalisées de l'utilisateur ;
f) Une authentification forte du client s'entend d'une authentification reposant sur l'utilisation de deux éléments ou plus appartenant aux catégories " connaissance " (quelque chose que seul l'utilisateur connaît), " possession " (quelque chose que seul l'utilisateur possède) et " inhérence " (quelque chose que l'utilisateur est) et indépendants en ce sens que la compromission de l'un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d'authentification ;
g) Les données de paiement sensibles s'entendent des données, y compris les données de sécurité personnalisées, qui sont susceptibles d'être utilisées pour commettre une fraude. En ce qui concerne les activités des prestataires de services de paiement fournissant le service d'initiation de paiement et des prestataires de services de paiement fournissant le service d'information sur les comptes, le nom du titulaire du compte et le numéro de compte ne constituent pas des données de paiement sensibles ;”
L’article L.133-23 dispose que “lorsqu'un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l'opération de paiement n'a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l'opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu'elle n'a pas été affectée par une déficience technique ou autre. L'utilisation de l'instrument de paiement telle qu'enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l'opération a été autorisée par le payeur ou que celui-ci n'a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière. Le prestataire de services de paiement, y compris, le cas échéant, le prestataire de services de paiement fournissant un service d'initiation de paiement, fournit des éléments afin de prouver la fraude ou la négligence grave commise par l'utilisateur de services de paiement”.
L’article L.133-44 de ce code prévoit en outre : “I. – Le prestataire de services de paiement applique l'authentification forte du client définie au f de l'article L. 133-4 lorsque le payeur :
1° Accède à son compte de paiement en ligne ;
2° Initie une opération de paiement électronique ;
3° Exécute une opération par le biais d'un moyen de communication à distance, susceptible de comporter un risque de fraude en matière de paiement ou de toute autre utilisation frauduleuse.
II. – Pour les opérations de paiement électronique à distance, l'authentification forte du client définie au f de l'article L. 133-4 comporte des éléments qui établissent un lien dynamique entre l'opération, le montant et le bénéficiaire donnés.
III. – En ce qui concerne l'obligation du I, les prestataires de services de paiement mettent en place des mesures de sécurité adéquates afin de protéger la confidentialité et l'intégrité des données de sécurité personnalisées des utilisateurs de services de paiement.
IV. – Le prestataire de services de paiement gestionnaire du compte autorise le prestataire de services de paiement fournissant un service d'initiation de paiement et le prestataire de services de paiement fournissant le service d'information sur les comptes à se fonder sur ses procédures d'authentification lorsqu'ils agissent pour l'un de leurs utilisateurs conformément aux I et III et, lorsque le prestataire de services de paiement fournissant le service d'initiation de paiement intervient, conformément aux I, II et III”.
La Cour de cassation rappelle, d’une part, qu’il résulte des articles L.133-19, IV, et L.133-23, que s'il entend faire supporter à l'utilisateur d'un instrument de paiement doté d'un dispositif de sécurité personnalisé les pertes occasionnées par une opération de paiement non autorisée rendue possible par un manquement de cet utilisateur, intentionnel ou par négligence grave, aux obligations mentionnées aux articles L.133-16 et L.133-17 de ce code, le prestataire de services de paiement doit aussi prouver que l'opération en cause a été authentifiée, dûment enregistrée et comptabilisée et qu'elle n'a pas été affectée par une déficience technique ou autre (Com., 12 novembre 2020, pourvoi n°19-12.112) et, d’autre part, qu’au visa des mêmes textes, qu'il incombe au prestataire de services de paiement de rapporter la preuve que l'utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n'a pas satisfait intentionnellement ou par négligence grave à ses obligations, cette preuve ne pouvant se déduire du seul fait que l'instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés (Com., 18 janvier 2017, pourvoi n° 15-18.102, Bull. 2017, IV, n° 6 ; Com., 9 mars 2022, pourvoi n°20-12.376).
Enfin, il convient de rappeler que ladite Cour juge qu’en application des articles L.133-19, V, et L.133-44 du code monétaire et financier dans leur rédaction issue de l'ordonnance n° 2017-1252 du 9 août 2017, qu’il appartient au tribunal de rechercher si l'opération de paiement litigieuse a été exécutée avec authentification forte du payeur, l’absence d’une telle authentification s’opposant à ce que la banque se prévale de la négligence grave du titulaire (Com., 30 août 2023, pourvoi n° 22-11.707).
En l’espèce, il ressort du dépôt de plainte de Mme [P] que cette dernière :
- a été destinataire de plusieurs messages SMS la renvoyant vers le site de l’assurance maladie aux fins d’actualisation de ses données, celle-ci n’y ayant, dans un premier temps, pas donné suite, ce, avant de recevoir un autre message le 04 août 2022 l’informant de la disponibilité de sa nouvelle carte vitale et nécessitant de compléter un formulaire, celle-ci ayant cliqué sur le lien figurant dans ce dernier message puis payé une somme de 0,75 euros pour le renouvellement de sa carte,
- a été ensuite contactée le 10 août 2022 par une personne se présentant comme faisant partie de la direction générale des fraudes du Crédit Mutuel, lui expliquant avoir été “piratée” en ayant cliqué sur le lien de renouvellement et que des opérations frauduleuses étaient en cours sur ses comptes bancaires,
- a reçu de cette personne plusieurs codes de confirmation aux fins d’annuler lesdites opérations et les a validés, puis a communiqué ses identifiants bancaires et numéros de carte, ajoutant dans sa plainte : “au début les montants étaient de 05 euros, puis nous avons effectué cela pour des opérations de 500, 1000 ou 2000 euros. Je ne sais plus combien de fois” et ce, avant de remettre ses cartes bancaires à un “coursier” mandaté pour les récupérer.
Par ailleurs, il est constant que les opérations de paiement concernées, autres que par prélèvement au distributeur automatique de billets, ont été validées selon un processus d’authentification forte, les demandeurs ne discutant pas au surplus ce point et rappelant, aux termes de ladite plainte qu’un “code de confirmation” avait été donné à une personne tierce “soit [pour] annuler soit [pour] valider l’opération” ainsi que les “identifiants bancaires” et “numéros de carte”.
Il résulte de l’ensemble de ces éléments que les opérations de paiement non autorisées ont été réalisées au moyen d'un instrument de paiement doté d'un dispositif de sécurité personnalisé, aucune erreur technique n’étant susceptible d’être relevée, Mme [P] confirmant elle-même avoir procédé à l’ensemble des confirmations/annulations dématérialisées, ces opérations ayant été rendues possibles en raison de sa négligence grave dès lors que celle-ci a admis avoir procédé à un nombre très important d’opérations, bien que frauduleusement mise en confiance par une tierce personne, alors que leur montant devenait de plus en plus important, les opérations passant de 05 à 500, puis 1 000 jusqu’à 2 000 euros selon ses propres déclarations, le processus ayant en outre duré pendant deux heures au téléphone selon les termes de la plainte, la plaignante expliquant avoir, face à ces signes d’alerte, remis ses identifiants et numéros de carte et ce, malgré sa méfiance concernant les premiers mails dont elle doutait de l’origine et de l’authenticité. Enfin, Mme [P] admet d’elle-même avoir remis, sans procéder, a minima à leur destruction, ses cartes à un coursier, cet élément relevant d’une imprudence manifeste.
Ainsi, au regard de ce faisceau d’indices graves, Mme [P] a fait preuve d’une négligence grave ayant permis la réalisation de son préjudice.
En conséquence, il conviendra de rejeter l’ensemble des demandes, le moyen subsidiaire tiré de la violation de l’obligation contractuelle de vigilance du banquier étant inopérant en ce qu’ il résulte de l'arrêt de la Cour de justice de l'Union européenne du 16 mars 2023, (Beobank, C-351/21) que, dès lors que la responsabilité de la banque, prestataire de services de paiement, est recherchée sur le fondement d'une opération de paiement non autorisée, est seul applicable le régime de responsabilité défini aux articles L.133-18 à L.133-20 du code monétaire et financier, transposant les articles 58, 59 et 60, paragraphe 1, de la directive 2007/64/CE, à l'exclusion de tout régime alternatif de responsabilité résultant du droit national (Com., 2 mai 2024, pourvoi n°22-18.074).
Sur les autres demandes
Mme [P] et la société MCM Consulting, parties succombantes à l’instance, seront condamnées in solidum aux dépens.
Toutefois, pour des motifs d’équité, il serait manifestement excessif de mettre à la charge de ces dernières les frais irrépétibles exposés par la banque et non compris dans les dépens, de sorte que la demande au titre de l’article 700 sera rejetée.
PAR CES MOTIFS
Le tribunal, statuant publiquement, par jugement contradictoire mis à disposition au greffe, et en premier ressort,
DEBOUTE Mme [I] [P] et la société MCM Consulting SARL de l’ensemble de leurs demandes indemnitaires et au titre de l’article 700 du code de procédure civile ;
DEBOUTE la Caisse de Crédit Mutuel [Localité 9] de sa demande au titre de l’article 700 du code de procédure civile ;
DEBOUTE les parties du surplus de leurs demandes ;
CONDAMNE in solidum Mme [I] [P] et la société MCM Consulting SARL aux dépens ;
Fait et jugé à Paris le 30 août 2024.
La Greffière La Présidente
