Cour d'Appel · 1ère Chambre civile — 26 juillet 2022

ARRET 

N°





[I]





C/



S.A. BNP PARIBAS













MS/VB





COUR D'APPEL D'AMIENS



1ERE CHAMBRE CIVILE



ARRET DU VINGT SIX JUILLET 

DEUX MILLE VINGT DEUX





Numéro d'inscription de l'affaire au répertoire général de la cour : N° RG 21/00815 - N° Portalis DBV4-V-B7F-H735 



Décision déférée à la cour : JUGEMENT DU JUGE DES CONTENTIEUX DE LA PROTECTION DE PERONNE DU TROIS DECEMBRE DEUX MILLE VINGT





PARTIES EN CAUSE :



Monsieur [C] [I]

né le [Date naissance 2] 1986 à [Localité 6]

de nationalité Française

[Adresse 1]

[Localité 5]



Représenté par Me Clotilde GRAVIER de la SCP DERREUMAUX-GRAVIER, avocat au barreau de LAON



APPELANT



ET



S.A. BNP PARIBAS agissant poursuites et diligences de son représentant légal domicilié en cette qualité audit siège 

[Adresse 3]

[Localité 4]



Représentée par Me Sarah DELVAL, avocat au barreau D'AMIENS

Plaidant par Me Pierre NICOLET substituant Me Dominique PENIN, avocats au barreau de PARIS



INTIMEE



 



DEBATS :



A l'audience publique du 24 mai 2022, l'affaire est venue devant Mme Myriam SEGOND, magistrat chargé du rapport siégeant sans opposition des avocats en vertu de l'article 805 du Code de procédure civile. Ce magistrat a avisé les parties à l'issue des débats que l'arrêt sera prononcé par sa mise à disposition au greffe le 26 juillet 2022.



La Cour était assistée lors des débats de Mme Vitalienne BALOCCO, greffier et de Mme Chloé GOULAIN, juriste assistante.



COMPOSITION DE LA COUR LORS DU DELIBERE :



Le magistrat chargé du rapport en a rendu compte à la Cour composée de M. Pascal BRILLET, Président, M. Vincent ADRIAN et Mme Myriam SEGOND, Conseillers, qui en ont délibéré conformément à la Loi.





PRONONCE DE L'ARRET :



Le 26 juillet 2022, l'arrêt a été prononcé par sa mise à disposition au greffe et la minute a été signée par M. Pascal BRILLET, Président de chambre, et Mme Vitalienne BALOCCO, greffier.







*

* *



DECISION :



EXPOSE DES FAITS ET DE LA PROCEDURE



M. [I] est titulaire d'un compte ouvert dans les livres de la société BNP Paribas.



Le 2 août 2019, M. [I] a, par l'intermédiaire d'une application dédiée sur son smartphone, validé l'ajout d'un nouveau bénéficiaire de virement, intitulé 'Service BNP Paribas', son compte bancaire ayant finalement été débité, les 2, 5 et 6 août 2019, des sommes de 5 984 euros, 6 000 euros et 5 970 euros au profit de '[S] [Y]'.



Le 6 août 2019, M. [I] a porté plainte puis a sollicité amiablement auprès de sa banque le remboursement des virements au motif qu'ils étaient frauduleux. La banque a procédé au remboursement des sommes de 6 000 euros et 5 970 euros mais a refusé celui de la somme de 5 984 euros.



Par acte du 20 mai 2020, M. [I] a assigné la banque en remboursement de cette somme et, à titre subsidiaire, en réparation. 



Par jugement du 8 octobre 2020, le juge des contentieux de la protection du tribunal de proximité de Peronne a débouté M. [I] qui, par déclaration du 11 février 2021, a fait appel.



L'instruction a été clôturée le 3 novembre 2021 et l'affaire a été fixée à l'audience des débats du 24 mai 2022.



EXPOSE DES PRETENTIONS ET DES MOYENS



Dans ses dernières conclusions du 21 juillet 2021, M. [I] demande à la cour :



- d'infirmer le jugement,

- condamner la banque à lui rembourser la somme de 5 984 euros et à titre subsidiaire à lui payer la même somme à titre de dommages-intérêts,

- en tout état de cause, condamner la banque à lui payer la somme de 3 000 euros à titre de dommages-intérêts et la même somme au titre de l'article 700 du code de procédure civile.





Au soutien de ses prétentions, il indique que la banque ne prouve pas de négligence de sa part et conteste avoir communiqué à l'escroc ses données personnelles. Il précise que dans le cadre de son changement de domiciliation bancaire, il a demandé à la BNP de s'occuper des transferts des virements vers son nouveau compte et que la demande de validation de l'ajout d'un bénéficiaire par l'escroc s'est 'glissée' entre des bénéficiaires légitimes et honnêtes. Sur le fondement de la responsabilité délictuelle, il soutient que l'accès par l'escroc à son espace personnel démontre que le dispositif mis en place par la banque n'est pas suffisamment sécurisé, ce qui lui a causé un préjudice. 



Dans ses dernières conclusions du 4 mai 2021, la banque demande à la cour de confirmer le jugement et de condamner M. [I] à lui payer la somme de 2 000 euros au titre de l'article 700 du code de procédure civile.



Elle indique que l'application dont dispose M. [I] est dotée d'un système de clé digitale, assurant une authentification forte, que l'ajout d'un bénéficiaire de virement par l'escroc suppose que ce dernier ait eu accès à l'espace client de M. [I] par ses identifiant et mot de passe, qu'il s'en déduit que M. [I] les lui a communiqués suite au courriel du 2 août 2019 non produit à la procédure. Elle ajoute qu'outre cette négligence, M. [I] a ensuite validé sur son téléphone mobile l'ajout du bénéficiaire, ce qui a permis à l'escroc de réaliser un virement à son profit au moyen de ses données personnelles préalablement communiquées. Elle conclut donc qu'en communiquant ses identifiant et mot de passe et en validant l'ajout d'un bénéficiaire sans vérifier qu'il était à l'origine de l'opération, M. [I] a commis une négligence grave le privant de tout droit à remboursement.



MOTIVATION



Vu les articles L. 133-16, L. 133-17, L. 133-19, IV, et L. 133-23 du code monétaire et financier :



Il résulte de ces textes que si, aux termes des deux premiers, il appartient à l'utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées et d'informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l'instrument de paiement ou des données qui lui sont liées, c'est à ce prestataire qu'il incombe, par application des deux derniers, de rapporter la preuve que l'utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n'a pas satisfait intentionnellement ou par négligence grave à ses obligations. Cette preuve ne peut se déduire du seul fait que l'instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés.



M. [I] dispose d'un espace personnel sécurisé en ligne, au moyen duquel il peut réaliser des virements au profit de tiers.



Selon les documents internes de la banque destinés à sa clientèle, la procédure de virement en ligne permettant une authentification forte se décompose en quatre étapes : 1. Le client se rend sur son espace sécurisé en ligne au moyen de ses identifiant et mot de passe. 2. Il procède à l'ajout d'un bénéficiaire de virement. 3. Il reçoit une notification de sa banque et doit ensuite valider l'ajout du bénéficiaire en saisissant son code confidentiel. 4. Il procède au virement sur son espace sécurisé en ligne.



M. [I], qui reconnaît avoir, le 2 août 2019, accepté l'ajout d'un bénéficiaire de virement sur son espace sécurisé en ligne, conteste avoir préalablement communiqué ses données personnelles. La banque fournit le courriel du 2 août 2019 à 12h24, confirmant l'ajout d'un bénéficiaire et indiquant la marche à suivre en cas d'opération non initiée par le client. Ainsi, l'étape 3 aurait fonctionné mais le tiers auteur du virement frauduleux serait entré sur l'espace sécurisé en ligne sans connaître les identifiant et mot de passe permettant normalement de se connecter.



L'étape 3 ayant fonctionné, il s'en déduit que le système de sécurisation de l'espace en ligne n'était pas affecté d'une déficience technique et que le tiers n'a pu entrer dans l'espace personnel de M. [I] qu'au moyen de ses identifiant et mot de passe préalablement communiqués. 



M. [I] étant le seul à connaître ses données personnelles, il s'en déduit que c'est ce dernier qui les a communiquées à l'auteur du virement frauduleux.





A défaut d'information donnée par M. [I] sur les conditions dans lesquelles ces données ont été communiquées, il y a lieu de présumer une négligence de sa part.



La négligence de M. [I] est corroborée par la validation de la demande d'ajout de bénéficiaire alors qu'il n'en était pas à l'origine.



Comme l'a indiqué le premier juge, M. [I] ne peut raisonnablement soutenir avoir cru que l'ajout d'un bénéficiaire résultait d'une demande de la banque dans le contexte d'un changement de domiciliation bancaire, seul l'utilisateur pouvant réaliser cette opération. 



La validation de la demande d'ajout d'un bénéficiaire non initiée par M. [I], faisant suite à la communication de ses données personnelles, constitue une négligence grave qu'un utilisateur normalement attentif aurait pu éviter. 



Il est donc établi que M. [I] a manqué, par négligence grave, à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées , cette négligence le privant de son droit à remboursement de la somme débitée.



Enfin, sur le fondement de la responsabilité délictuelle de la banque, il n'est pas établi de faute de celle-ci, en l'absence de déficience du dispositif de sécurité mis en place par la banque.



En conséquence, le jugement sera confirmé en toutes ses dispositions.





PAR CES MOTIFS



La cour, statuant publiquement, par arrêt contradictoire et en dernier ressort,



- Confirme le jugement en toutes ses dispositions,



Y ajoutant :



- Condamne [C] [I] aux dépens d'appel,





- Vu l'article 700 du code de procédure civile, condamne [C] [I] à payer à la société BNP Paribas la somme de 1 500 euros.







LE GREFFIERLE PRESIDENT