Cour d'Appel · 1re chambre 2e section — 5 septembre 2023

COUR D'APPEL

 DE 

VERSAILLES





Code nac : 38E



1re chambre 2e section



ARRET N°



CONTRADICTOIRE



DU 05 SEPTEMBRE 2023



N° RG 22/04692 - N° Portalis DBV3-V-B7G-VKGT



AFFAIRE :



M. [J] [X] [U] [Z]

 ...



C/

S.A. BFORBANK





Décision déférée à la cour : Jugement rendu le 17 Juin 2022 par le Tribunal de proximité de COURBEVOIE



N° RG : 11-20-827



Expéditions exécutoires

Expéditions

Copies

délivrées le : 05/09/23

à : 



Me Valérie LEGER 



Me Margaret BENITAH





RÉPUBLIQUE FRANÇAISE



AU NOM DU PEUPLE FRANÇAIS



LE CINQ SEPTEMBRE DEUX MILLE VINGT TROIS,

La cour d'appel de Versailles a rendu l'arrêt suivant dans l'affaire entre : 



Monsieur [J] [X] [U] [Z]

né le [Date naissance 2] 1943 à [Localité 9]

de nationalité Française

[Adresse 3]

[Localité 4]



Représentant : Maître Catherine CIZERON de la SELARL CABINET DE L'ORANGERIE, Postulant et Plaidant, avocat au barreau de VERSAILLES, vestiaire : 404 - N° du dossier 220230



Madame [B] [M] épouse [Z]

née le [Date naissance 1] 1944 à [Localité 8]

de nationalité Française

[Adresse 3]

[Localité 4]



Représentant : Maître Catherine CIZERON de la SELARL CABINET DE L'ORANGERIE, Postulant et Plaidant, avocat au barreau de VERSAILLES, vestiaire : 404 - N° du dossier 220230



APPELANTS

****************



S.A. BFORBANK

Ayant son siège 

[Adresse 10]

[Adresse 10]

[Localité 6]

prise en la personne de ses représentants légaux domiciliés en cette qualité audit siège



Représentant : Maître Margaret BENITAH, Postulant et Plaidant, avocat au barreau de VERSAILLES, vestiaire : C.409



INTIMEE

****************



Composition de la cour :



En application des dispositions de l'article 805 du code de procédure civile, l'affaire a été débattue à l'audience publique du 11 Mai 2023 les avocats des parties ne s'y étant pas opposés, devant Monsieur Jean-Yves PINOY, Conseiller chargé du rapport.



Ce magistrat a rendu compte des plaidoiries dans le délibéré de la cour, composée de :



Monsieur Philippe JAVELAS, Président,

Monsieur Jean-Yves PINOY, Conseiller,

Madame Isabelle BROGLY, Magistrat honoraire,



Greffier, lors des débats : Madame Françoise DUCAMIN,





EXPOSE DU LITIGE



M [J] [Z] est titulaire d'un compte joint avec Mme [B] [M], épouse [Z], ouvert dans les livres de la société Bforbank sous le numéro [XXXXXXXXXX05], associé à une carte de paiement.



Le 26 février 2019, une opération de paiement, d'un montant de 1 323,29 euros, a été réalisée en faveur du commerçant 'Boulanger' sur son site internet.



Par acte d'huissier de justice du 9 novembre 2020, M. [Z] a assigné la société Bforbank devant le tribunal de proximité de Courbevoie aux fins d'obtenir :

- sa condamnation à lui payer la somme de 1 323,29 euros correspondant au montant de l'achat frauduleux réalisé en date du 26 février 2019,

- sa condamnation à rétablir son compte bancaire dans l'état où il se trouvait si l'opération de paiement non autorisée n'avait pas eu lieu,

- sa condamnation à lui payer la somme de 4 000 euros à titre de dommages et intérêts pour le préjudice moral subi,

- sa condamnation à lui payer la somme de 1 500 euros au titre de l'article 700 du code de procédure civile,

- sa condamnation aux entiers dépens,

- dire qu'en cas d'exécution par voie extrajudiciaire, les sommes retenues par l'huissier de justice instrumentaire en application de l'article 10 du décret du 8 mars 2001, seront supportées par la société Bforbank.



Par jugement contradictoire du 17 juin 2022, le tribunal de proximité de Courbevoie a :

- déclaré recevable l'intervention volontaire de Mme [Z],

- débouté M. [Z] de l'ensemble de ses demandes,

- condamné M. [Z] à verser à la société Bforbank la somme de 200 euros au titre de l'article 700 du code de procédure civile,

- condamné M. [Z] aux dépens.



Par déclaration reçue au greffe le 15 juillet 2022, M. et Mme [Z] ont relevé appel de ce jugement. Aux termes de leurs conclusions signifiées le 22 mars 2023, ils demandent à la cour de :

- les recevoir en leur appel, les y déclarer bien fondés,

- infirmer le jugement rendu par le tribunal de proximité de Courbevoie le 17 juin 2022 en ce qu'il : 

* a débouté M. [Z] de l'ensemble de ses demandes,

* a condamné M. [Z] à verser à la société Bforbank la somme de 200 euros au titre de l'article 700 du code de procédure civile,

* a condamné M. [Z] aux dépens,



Statuant de nouveau,



- condamner la société Bforbank à leur payer la somme de 1 486,94 euros,



- condamner la société Bforbank à leur payer une somme de 3 000 euros au titre de l'article 700 du code de procédure civile,



- condamner la société Bforbank aux entiers dépens de première instance et d'appel.





Aux termes de ses conclusions signifiées le 28 mars 2023, la société Bforbank demande à la cour de : 



- juger M. et Mme [Z] mal fondés en leur appel,



- confirmer la décision entreprise,



Y ajoutant, 



- condamner solidairement M. et Mme [Z] au paiement d'une somme de 2 000 euros sur le fondement de l'article 700 du code de procédure civile,



- condamner in solidum M. et Mme [Z] aux entiers dépens.





La clôture de l'instruction a été prononcée le 30 mars 2023.



Conformément à l'article 455 du code de procédure civile, pour plus ample exposé des faits, de la procédure et des moyens soutenus par les parties, la cour se réfère à leurs écritures et à la décision déférée.





MOTIFS DE LA DÉCISION



Sur la demande principale



M. et Mme [Z], appelants, font grief au premier juge d'avoir retenu qu'il ressortait des pièces produites qu'une opération d'achat en ligne litigieuse avait été faite au moyen de données de la carte dont M. et Mme [Z] étaient titulaires et que cette opération avait été validée au moyen des données de sécurité personnalisées, d'authentification forte 3D Secure.



Les appelants lui reprochent d'avoir jugé qu'il ressortait des éléments apportés que M. [Z] avait bien reçu un sms indiquant le code secret 3DSecure n° 8187784 qui lui avait été adressé par la banque et qu'il ne rapportait pas la preuve d'un changement de sa carte SIM ni d'un piratage de cette dernière et que la société Bforbank avait mis en place des mesures de sécurité adéquates en fournissant les moyens nécessaires à l'authentification du payeur, sans que M. [Z] ne rapporte pas la preuve d'agissement frauduleux commis à son encontre.



Ils soutiennent en substance devant la cour qu'il ressort de leurs recherches que : 

 

- le numéro de téléphone de M. [J] [Z] est également celui d'un certain M. [Y] [T], 

 

- la pièce n° 5 versée aux débats par la société Bforbank démontrerait que le code de sécurité a été reçu en réalité sur deux téléphones différents mais disposant du même numéro de sorte que M. [Y] [T] titulaire du même numéro aurait pu valider l'opération sur sa carte bancaire. 



Ils indiquent que le fait que M. [Z] ait reconnu avoir reçu le SMS est insuffisant à démontrer que l'opération a été autorisée par ses soins ou encore qu'il aurait fait preuve de négligence. 

 

M. [Z] précise en outre qu'il existe d'autres procédés de piratage comme l'installation d'un logiciel espion à distance permettant de réceptionner des SMS en lieu et place du destinataire, n'impliquant pas nécessairement une ré- émission de carte SIM, et de ce fait, la désactivation de sa ligne téléphonique. 

 

Ils sollicitent l'infirmation du jugement entrepris et la condamnation de la société Bforbank au remboursement de l'achat frauduleux effectué à leur insu.

 

La société Bforbank intimée, fait valoir qu'au sens de l'article L.133-18 du Code Monétaire et Financier, en cas d'opération de paiement non autorisée signalé par un utilisateur, l'établissement bancaire du payeur doit rembourser ce même payeur. 

 

Elle indique que si l'article L133-19, II, du Code Monétaire et Financier prévoit que la responsabilité du payeur n'est pas engagée si l'opération de paiement non autorisée a été effectuée en détournant, à l'insu du payeur, l'instrument de paiement ou les données qui lui sont liées, cette disposition est tempérée par le IV de ce même article qui prévoit que le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d'un agissement frauduleux de sa part ou s'il n'a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17. 

 

L'intimée relève que l'opération de paiement contestée est un achat effectué à distance sur un site internet au moyen de la carte bancaire de M. [Z], nécessitant que soient renseignées les données de la carte et que l'opération soit validée au moyen du système d'authentification forte 3D Secure qui a généré l'envoi d'un sms, au numéro de téléphone portable communiqué par le client à la banque lors de l'ouverture de son compte de dépôt, contenant un code à usage unique permettant de finaliser l'opération. 

 

Elle soutient que dans ses courriers des 4 Mars et 15 Mai 2019 M. [Z] reconnaît avoir reçu le SMS contenant le code 3D Secure sur son numéro de téléphone portable et prétend seulement ne pas avoir validé l'opération qui aurait pu être réalisée par un tiers qui aurait obtenu en usurpant son identité, une ré-émission de sa carte SIM afin de réceptionner et intercepter les sms contenant les codes secrets 3D Secure. 

 

Elle fait valoir que si certains opérateurs de téléphonie mobile n'exigent pas une identification de leur client lors d'une demande de changement de carte SIM, de sorte qu'une tierce personne peut ainsi obtenir une carte SIM avec le numéro de ce client, la ré-émission d'une carte SIM entraîne de manière simultanée la désactivation de l'ancienne carte SIM. Elle en déduit que M. [Z] n'aurait matériellement pas pu recevoir ni prendre connaissance du SMS contenant le code 3D Secure et aurait connu des désagréments avec sa ligne téléphonique, chose dont il ne fait pas état. 

 

Elle soutient que s' il appartient à l'établissement bancaire de rapporter la preuve qu'un client, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n'a pas satisfait intentionnellement ou par négligence grave à ses obligations, M. [Z] admet avoir reçu le SMS contenant le code de validation de la transaction. 

 

Elle indique qu'en dépit de ses demandes par courrier du 22 Juillet 2019, M. [Z] n'a fourni aucune attestation de son opérateur téléphonique établissant l'émission de nouvelles cartes SIM et aucun justificatif ne démontre qu'il y aurait eu un piratage de la carte SIM. 

 

Elle soutient que pour réaliser cette opération, il aurait fallu que le fraudeur connaisse les informations liées à la ligne téléphonique de M. [Z], notamment des éléments d'identification personnels auprès de son opérateur téléphonique pour obtenir une carte SIM. Il aurait également fallu que le fraudeur connaisse les chiffres recto et du verso de la carte bancaire, ce qui supposait qu'il avait eu accès à ces données. 



La société Bforbank conclut au débouté de la demande de remboursement de la somme de 1.315,72 euros, et de la demande tendant à la voir condamner à rétablir le compte bancaire de M. [Z] dans l'état où il se trouvait si l'opération de paiement non autorisée n'avait pas eu lieu. 



Sur ce,



L'article L 133-19 du Code monétaire et financier dispose qu' en cas d'opération de paiement non autorisée consécutive à la perte ou au vol de l'instrument de paiement, le payeur supporte les pertes liées à l'utilisation de cet instrument, dans la limite d'un plafond de 50 euros. Toutefois, la responsabilité du payeur n'est pas engagée en cas d'opération de paiement non autorisée effectuée sans utilisation des données de sécurité personnalisées. Sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si le prestataire de services de paiement ne fournit pas de moyens appropriés permettant l'information aux fins de blocage de l'instrument de paiement. Sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si l'opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement du payeur n'exige une authentification forte du payeur.



L'article 133-44 du même code, dispose que le prestataire de services de paiement applique l'authentification forte du client lorsque le payeur accède à son compte de paiement en ligne, initie une opération de paiement électronique, exécute une opération par le biais d'un moyen de communication à distance, susceptible de comporter un risque de fraude en matière de paiement ou de toute autre utilisation frauduleuse. Pour les opérations de paiement électronique à distance, l'authentification forte du client définie au f de l'article L. 133-4 comporte des éléments qui établissent un lien dynamique entre l'opération, le montant et le bénéficiaire donnés. En ce qui concerne l'obligation du I, les prestataires de services de paiement mettent en place des mesures de sécurité adéquates afin de protéger la confidentialité et l'intégrité des données de sécurité personnalisées des utilisateurs de services de paiement.



En l'espèce, la société B Bforbank produit aux débats :



 - La convention d'ouverture de compte, un courriel électronique du 28 février 2019,

 - Le détail de l'opération d'achat validée et du ticket d'appel ,

 - Les courriers de M. [Z] des 4 mars et 15 mai 2019 attestant avoir reçu le code secret qui lui a été adressé par sms sur son portable.



Il ressort de ces pièces produites que l'opération d'achat en ligne a été faite au moyen de données de la carte dont M. et Mme [Z] étaient titulaires et que l'opération contestée a été validée au moyen des données de sécurité personnalisées, en l'espèce au moyen du système d'authentification forte 3D Secure.



Il ressort également des pièces versées que M. [Z] a bien reçu un sms indiquant le code secret 3D Secure n°8187784 qui lui a été adressé par la banque, ce qu'il ne conteste pas.



M. [Z] admet ainsi avoir reçu en temps réel le SMS précisant : " pour finaliser votre transaction chez boulanger.com d'un montant de 1.323,29 €, saisissez le code de sécurité suivant: 818784 ". 

 

Il ressort des pièces produites que l'opération a été validée par le système 3D Secure le 26 février 2019 à 12 h 09, alors que M. [Z] a fait opposition à sa carte bancaire seulement le 28 février 2019 au motif d'un " vol/utilisation frauduleuse ", soit 2 jours après la prétendue opération frauduleuse et sans qu'il n'ait agit pour former opposition immédiatement après avoir reçu la notification de son achat de 1323, 29 euros par SMS reçu sur son téléphone le 26 février 2019 à 12h09. 



L'affirmation selon laquelle de simples recherches sommaires sur le moteur de recherche Google permettraient d'établir que le numéro de téléphone de M [Z] demeurant [Adresse 3], serait le même que celui d'un tiers M. [Y] [T], demeurant [Adresse 7], alors même que des numéros de téléphones peuvent toujours être ré-attribués après décès ou clôture de l'abonnement de leur titulaire, n'est pas suffisante en soit pour établir l'existence d'une ligne en doublon, ni la preuve que M. [T] aurait reçu par erreur la notification de l'achat du 26 février 2019.



M. [Z] ne fournit à cet égard aucune attestation de son opérateur téléphonique établissant l'émission de nouvelles cartes SIM et aucun justificatif ne démontre ainsi qu'il y aurait eu un piratage de la carte SIM de son téléphone.

 

S'agissant de l'allégation d'un piratage du téléphone de M. [Z], une telle action supposerait également que le fraudeur ait eu accès avant son opération de piratage aux informations relatives à la carte bancaire de M. [Z] portant sur les numéros au recto, la date d'expiration ainsi que le cryptogramme, ce qui n'est pas démontré. Il est au contraire établi que l'opération en cause a été authentifiée, dûment enregistrée et comptabilisée par la société Bforbank qui l'a notifiée par SMS à M. [Z] en temps réel le 26 février 2019, de sorte que l'opération en cause n'a été affectée par aucune déficience technique ou autre imputable à la société Bforbank.

 

Par ailleurs, l'opposition à la carte bancaire n'est intervenue que le 28 février 2019 alors que l'achat contesté du 26 février 2019 a fait l'objet d'une notification reçue par SMS le même jour en temps réel, de sorte que toutes les opérations effectuées à compter du 26 février 2019 auraient du être contestées par M. [Z] qui n'a procédé à la contestation que d'une seule opération alors même qu'il prétend qu'un tiers aurait eu accès à son téléphone et aux informations relatives à sa carte de paiement à compter de l'achat du 26 février 2019. 



L'absence de contestation auprès de la banque dès la notification de l'achat contesté reçu par SMS par M. [Z] le 26 février 2019 à 12h 09 ou dans les heures qui suivent, lequel admet l'avoir bien reçu en temps réel, mais a cependant attendu deux jours pour former opposition à sa carte bancaire le 28 février seulement, constitue en soit une négligence grave de sa part.



En conséquence, eu égard aux éléments évoqués et à la multitude d'informations nécessaires à la réalisation et à la validation de l'opération de paiement contestée, le remboursement de l'opération ne peut être mis à la charge de Bforbank qui établit une négligence grave de M. [Z], ainsi que l'authentification, enregistrée et comptabilisée d'une opération d'achat qui n'est affectée par aucune déficience technique ou autre. 

 

La société B Bforbank a mis en place des mesures de sécurité adéquates en fournissant les moyens nécessaires à l'authentification du payeur. En conséquence, l'opération d'achat en ligne ayant été validée par le système d'authentification 3D Secure le 26 février 2019, les demandes de M. [Z] seront rejetées et le jugement confirmé en toutes ses dispositions.



sur la demande de dommages-intérêts pour préjudice moral:



M. et Mme [Z] sollicitent des dommages-intérêts en réparation d'un préjudice moral qu'ils estiment consécutif à une faute de la société Bforbank. La responsabilité de la société Bforbank n'étant pas établie et les époux [Z] étant déboutés de leurs demandes de remboursement de l'achat en cause, il y a lieu de les débouter également de leur demandes de dommages et intérêts en l'absence de démonstration d'une faute et d'un préjudice consécutif.



sur les autres demandes



Les dispositions du jugement sur les dépens et l'indemnité de procédure sont confirmées. 



M. [Z] est condamné à payer à la société Bforbank la somme de 500 euros d'indemnité pour la procédure devant la cour.



M. et Mme [Z] sont condamnés in solidum aux dépens d'appel. 





PAR CES MOTIFS, 



La cour, statuant contradictoirement et par mise à disposition au greffe,



CONFIRME le jugement entrepris en toutes ses dispositions,



Y Ajoutant,



CONDAMNE in solidum M. [J] [Z] et Mme [B] [Z] à payer à la société Bforbank la somme de 500 euros sur le fondement de l'article 700 du code de procédure civile;











CONDAMNE in solidum M. [J] [Z] et Mme [B] [Z] aux dépens d'appel.





- prononcé hors la présence du public par mise à disposition de l'arrêt au greffe de la cour, les parties en ayant été préalablement avisées dans les conditions prévues au deuxième alinéa de l'article 450 du code de procédure civile.



- signé par Monsieur Philippe JAVELAS, Président et par Madame Françoise DUCAMIN, Greffier, auquel la minute de la décision a été remise par le magistrat signataire.





Le greffier, Le président,