Cour d'Appel · 1ère chambre civile A — 12 janvier 2023

N° RG 20/03664 - N° Portalis DBVX-V-B7E-NBHD















Décision du Tribunal Judiciaire de LYON

Au fond du 30 juin 2020

( 4ème chambre)





RG : 18/09716











Ste Coopérative banque Pop. BANQUE POPULAIRE AUVERGNE RHONE ALPES



C/



Association [5]





RÉPUBLIQUE FRANÇAISE

AU NOM DU PEUPLE FRANÇAIS





COUR D'APPEL DE LYON



1ère chambre civile A



ARRET DU 12 Janvier 2023







APPELANTE :



BANQUE POPULAIRE AUVERGNE RHONE ALPES

[Adresse 1]

[Localité 2]



Représentée par la SELARL DE BELVAL, avocat au barreau de LYON, toque : 654









INTIMEE :



[5] DE [Localité 3]

[Adresse 4]

[Localité 3]



Représentée par la SCP YVES HARTEMANN JOSEPH PALAZZOLO, avocat au barreau de LYON, toque : 480













 * * * * * *

 



Date de clôture de l'instruction : 28 Septembre 2021



Date des plaidoiries tenues en audience publique : 19 Octobre 2022



Date de mise à disposition : 12 Janvier 2023



Audience présidée par Anne WYON, magistrat rapporteur, sans opposition des parties dûment avisées, qui en a rendu compte à la Cour dans son délibéré, assisté pendant les débats de Séverine POLANO, greffier.



Composition de la Cour lors du délibéré :

- Anne WYON, président

- Françoise CLEMENT, conseiller

- Julien SEITZ, conseiller







Arrêt Contradictoire rendu publiquement par mise à disposition au greffe de la cour d'appel, les parties présentes ou représentées en ayant été préalablement avisées dans les conditions prévues à l'article 450 alinéa 2 du code de procédure civile,



Signé par Anne WYON, président, et par Séverine POLANO, greffier, auquel la minute a été remise par le magistrat signataire.



* * * * *





Titulaire d'un compte courant auprès de la société Banque populaire Loire Auvergne (ci-après la banque), suivant convention du 10 janvier 2007, l'association [5] de [Localité 3] (ci-après l'association) s'est abonnée, suivant avenant du 9 octobre 2013, au service Internet Cyberplus.



Le 27 juin 2016, l'association a constaté que le 23 juin précédent, il avait été procédé à des virements frauduleux à partir de son compte bancaire, sous la forme de trois virements externes réalisés au profit d'un compte étranger, aux montants respectifs de 4 000 euros pour deux d'entre eux et de 2 000 euros pour le troisième, et qu'un quatrième virement de 4 000 euros avait été effectué dans les mêmes conditions, le lendemain 24 juin 2016.



Le directeur de l'association a déposé plainte auprès des services de gendarmerie le 27 juin 2016 et la plainte a été classée sans suite au motif que l'auteur restait inconnu.



Par lettre recommandée avec accusé de réception du 29 juin 2016, l'association a sollicité auprès de la banque remboursement de la somme de 14'000 euros en application de l'article L 133-18 du code monétaire et financier. 



La banque a refusé de faire droit à cette demande par courrier du 4 août 2016 en exposant que la validation du compte externe bénéficiaire de l'opération avait été effectuée par Internet en utilisant le « lecteur pass Cyberplus Pro » de l'association, destiné à identifier l'utilisateur et que le titulaire du compte devait conserver secret.



L'association a fait citer la banque en paiement devant le tribunal judiciaire de Lyon, par acte d'huissier de justice du 24 septembre 2018, afin d'obtenir principalement le remboursement des sommes ainsi détournées.



Par jugement du 30 juin 2020, le tribunal a, sous le bénéfice de l'exécution provisoire, condamné la banque à payer à l'association la somme de 14 000 euros en remboursement des pertes occasionnées par les opérations frauduleuses, rejeté la demande en dommages-intérêts pour résistance abusive formée par l'association, débouté la banque de l'ensemble de ses demandes en la condamnant aux dépens et au paiement d'une somme de 2 000 euros en application de l'article 700 du code de procédure civile.



Le tribunal a essentiellement considéré qu'il appartenait à la banque, en tant que prestataire de services de paiement, de prouver que les opérations litigieuses ont été authentifiées, dûment enregistrées et comptabilisées et qu'elles n'ont pas été affectées par une déficience technique, de sorte qu'elles ont découlé d'une négligence grave de l'association ; que la banque n'a pas démontré la négligence grave de l'association, en ne prouvant ni que l'association aurait été destinataire du courrier électronique de phishing remis aux gendarmes dans le cadre de l'enquête ni qu'elle aurait divulgué ses données sécurisées.



Par déclaration du 10 juillet 2020, la banque a relevé appel de cette décision, sans énoncer le chef de jugement ayant rejeté la demande de l'association en dommages-intérêts pour résistance abusive.







Aux termes de ses dernières conclusions déposées et notifiées le 17 mai 2021, elle conclut à la réformation du jugement et demande en substance à la cour de débouter l'association de toutes ses demandes et de la condamner aux dépens et au paiement d'une indemnité de 3 000 euros au titre de l'article 700 du code de procédure civile.



Par conclusions déposées et notifiées le 13 novembre 2020, l'association conclut à la confirmation du jugement et demande à la cour de condamner la banque aux dépens et à lui payer une somme de 3 000 euros en application de l'article 700 du code de procédure civile.



L'ordonnance de clôture de la procédure a été rendue le 28 septembre 2021.



Il convient de se référer aux conclusions des parties pour plus ample exposé de leurs prétentions et moyens.





MOTIFS ET DECISION





La cour constate qu'aucune des parties ne critique le chef de jugement ayant rejeté la demande de l'association en dommages-intérêts pour résistance abusive, lequel est désormais irrévocable.



La banque soutient que l'association a reçu un mail constitutif d'un phishing auquel elle a répondu ; qu'elle a en cela commis une négligence grave par son manque de vigilance et la divulgation de ses codes confidentiels d'accès, ne prenant ainsi pas toutes les mesures raisonnables et nécessaires afin de préserver la sécurité de ses données ; elle considère n'avoir quant à elle commis aucun manquement à ses obligations légales et ne pas avoir à procéder au remboursement réclamé, se considérant comme étrangère au préjudice invoqué.



L'association fait quant à elle valoir qu'il n'est pas établi par la banque qu'elle ait répondu à un courriel frauduleux, et que quand bien même tel aurait été le cas, la banque ne démontre pas qu'elle ait fait preuve d'une grave négligence, refusant toujours de produire l'adresse IP depuis laquelle le bénéficiaire a été créé et les virements réalisés, ce qui lui permettrait de démontrer ses allégations ; elle fait observer que la Cour de cassation se réfère dans ses arrêts au comportement de l'utilisateur par rapport à la situation litigieuse, seul un manque de vigilance étant sanctionné.



Elle ajoute enfin que le mail d'avertissement dont se prévaut la banque a été émis postérieurement aux opérations frauduleuses dont elle a été victime.



I Sur la demande en remboursement des sommes ayant fait l'objet des virements frauduleux :



Aux termes de l'article L.133-16 du code monétaire et financier dans sa version applicable au présent litige, dès qu'il reçoit un instrument de paiement, l'utilisateur de services de paiement prend toutes mesures raisonnables pour préserver la sécurité de ces dispositifs de sécurité personnalisés.



L'article L.133-18 du même code, dans sa version applicable au présent litige, précise qu'en cas d'opérations de paiement non autorisé signalées par l'utilisateur dans les conditions prévues à l'article L.133-24, le prestataire de services de paiement du payeur rembourse immédiatement au payeur le montant de l'opération non autorisée et, le cas échéant, rétablit le compte débité dans l'état où il se serait trouvé si l'opération de paiement non autorisée n'avait pas eu lieu.











L'article L.133-19, dans sa version applicable au présent litige, prévoit encore que :



- la responsabilité du payeur n'est pas engagée si l'opération de paiement non autorisée a été effectuée en détournant, à l'insu du payeur, l'instrument de paiement ou les données qui lui sont liées,



- le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si cette perte résulte d'un agissement frauduleux de sa part ou s'il n'a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L.133-16 et L.133-17.



Enfin, aux termes de l'article L.133-23 du code monétaire et financier, dans sa version applicable au présent litige, lorsqu'un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l'opération de paiement n'a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l'opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu'elle n'a pas été affectée par une déficience technique ou autre.



Il ressort en l'espèce de la convention de compte professionnel du 10 janvier 2007 et de l'avenant du 9 octobre 2013 que l'association s'est vue donner accès aux services de paiement Cyberplus, après avoir initialement conclu un contrat de carte Déposia.



Selon le dépôt de plainte du 27 juin 2016, l'association a indiqué avoir constaté que des opérations non autorisées avaient été effectuées sur son compte les 23 et 24 juin 2016, consistant en des virements d'un montant total de 14'000 euros à destination d'un bénéficiaire externe « EUROVIR [Y] [XXXXXXXXXX06]/FREF 526946 », virements dont la réalité est confirmée par les extraits de relevés de compte versés aux débats.



La banque a été informée par lettre recommandée avec accusé de réception du 29 juin 2016 que ces opérations n'avaient pas été autorisées par l'association.



En application des dispositions susvisées, en sa qualité de prestataire de services de paiement, il appartient à la banque, dès lors que l'utilisateur nie avoir autorisé ces opérations, de prouver que celles-ci ont été authentifiées, dûment enregistrées et comptabilisées, et qu'elles n'ont pas été affectées par une déficience technique, de sorte qu'elles ont découlé d'une négligence grave de la part de l'association.



Le premier juge a alors très justement retenu, dans des termes pertinents qui répondent aux moyens soulevés en appel et que la cour adopte, que la banque échoue à démontrer qu'une telle négligence peut être imputée à l'association dans la mesure où il n'est nullement démontré ni que cette dernière aurait été destinataire du courrier électronique de phishing évoqué et remis par la banque aux gendarmes, ni qu'elle ait divulgué ses données sécurisées, alors même qu'un courrier électronique de la banque, intitulé « alerte phishing et connexion frauduleuse », destiné aux clients de la banque, ayant pour objet d'alerter ces derniers, a été émis postérieurement aux virements litigieux, ni enfin qu'une violation des règles de préservation de la sécurité des dispositifs sécurisés personnalisés aurait été commise par l'association du fait d'une gestion incertaine.



La cour ajoute que malgré la demande présentée en ce sens par l'association et les services de gendarmerie, la banque n'a jamais produit d'éléments permettant de constater à partir de quelle adresse IP ont été validés l'identification du nouveau bénéficiaire des virements frauduleux et les ordres de virement, lesquels auraient éventuellement permis de confirmer ses accusations, alors même qu'elle ne prétend pas que l'identification de cette adresse IP serait inopérante dans le processus d'hameçonnage qu'elle invoque.



Confirmant le jugement critiqué, il convient des lors de condamner la banque a rembourser à l'association la somme de 14'000 euros correspondant aux pertes occasionnées par les opérations non autorisées.





II Sur les demandes des parties au titre de l'article 700 du code de procédure civile:



L'équité commande l'allocation d'une indemnité supplémentaire de 3 000 euros en cause d'appel au bénéfice de l'association en application de l'article 700 du code de procédure civile.





PAR CES MOTIFS





La cour, statuant publiquement, contradictoirement et en dernier ressort, 



Statuant dans les limites de l'appel,



Confirme le jugement rendu le 30 juin 2020 par le tribunal judiciaire de Lyon,



Y ajoutant,



Condamne la société Banque populaire Loire Auvergne aux dépens,



Déboute la société Banque populaire Loire Auvergne de sa demande au titre de l'article 700 du code de procédure civile et la condamne à payer à l'association [5] de [Localité 3] une indemnité de 3 000 euros de ce chef.





LE GREFFIER LE PRESIDENT