Cour d'Appel · CHAMBRE 2 SECTION 2 — 12 octobre 2023

République Française

Au nom du Peuple Français





COUR D'APPEL DE DOUAI



CHAMBRE 2 SECTION 2



ARRÊT DU 12/10/2023





****





N° de MINUTE : 

N° RG 22/02263 - N° Portalis DBVT-V-B7G-UIRM



Jugement (N° 2021002432) rendu le 30 mars 2022 par le tribunal de commerce de Lille Métropole







APPELANTE



La Caisse Régionale de Crédit Agricole Mutuel Nord de France (Crédit Agricole Nord de France), agréée en tant qu'établissement de crédit, société de courtage d'assurance, prise en la personne de Madame [V] [I], chef du Service Juridique

ayant son siège social, [Adresse 1]



représentée par Me Martine Mespelaere, avocat au barreau de Lille, avocat constitué





INTIMÉE



SARL Établissement Bertin Electricié en la personne de son représentant légal et gérant, domicilié en cette qualité audit siège

ayant son siège social, [Adresse 3]



représentée par Me Benoît Titran, avocat au barreau de Lille, avocat constitué







DÉBATS à l'audience publique du 13 juin 2023 tenue par Nadia Cordier magistrat chargé d'instruire le dossier qui a entendu seule les plaidoiries, les conseils des parties ne s'y étant pas opposés et qui en a rendu compte à la cour dans son délibéré (article 805 du code de procédure civile). 

Les parties ont été avisées à l'issue des débats que l'arrêt serait prononcé par sa mise à disposition au greffe.



GREFFIER LORS DES DÉBATS : Marlène Tocco



COMPOSITION DE LA COUR LORS DU DÉLIBÉRÉ

Samuel Vitse, président de chambre

Nadia Cordier, conseiller

Agnès Fallenot, conseiller





ARRÊT CONTRADICTOIRE prononcé publiquement par mise à disposition au greffe le 12 octobre 2023 (date indiquée à l'issue des débats) et signé par Nadia Cordier conseiller, en remplacement de Samuel Vitse, président empêché et Marlène Tocco, greffier, auquel la minute a été remise par le magistrat signataire.



ORDONNANCE DE CLÔTURE DU : 23 mai 2023



****





La SARL Établissements Bertin électricité exerce une activité artisanale dans le domaine de l'installation, de l'entretien et du dépannage électrique.

La SARL Établissements Bertin électricité dispose de plusieurs comptes bancaires à la Caisse régionale de crédit agricole mutuel Nord de France.



Le 30 juin 2020, la banque a clôturé le compte courant n° [XXXXXXXXXX04] dénommé « Sarl BERTIN ELECTRICITE  compte excédent de trésorerie » et ouvert un compte épargne trésorerie n°[XXXXXXXXXX05] sur lequel, le 10 juillet 2020, elle a transféré les fonds du compte clôturé et l'a adossé au compte courant n°[XXXXXXXXXX02].



Le 15 septembre 2020, la SARL Établissements Bertin électricité a reçu un SMS de demande de confirmation d'enregistrement d'un nouveau bénéficiaire de virement.

Le 29 septembre 2020, la SARL Établissements Bertin électricité a constaté l'existence de débits, intervenus depuis le nouveau compte excédent trésorerie (884) vers le compte de dépôt classique (402), qu'elle considérait frauduleux, puis de ce dernier compte vers celui d'une personne inconnue, auteur de ces supposés détournements.



Le 29 septembre 2020, la SARL Établissements Bertin électricité a adressé au Crédit agricole une attestation de contestation relative à diverses opérations intervenues sur ses comptes.

La société Établissements Bertin électricité a réitéré sa demande par lettre recommandée avec accusé de réception en date du 20 octobre 2020.



Par un courrier du 3 novembre 2020, la banque a notifié à la SARL Établissements Bertin électricité son refus de procéder au remboursement.

Par lettre recommandée avec accusé de réception en date du 9 décembre 2020, la SARL Établissements Bertin électricité a mis la banque en demeure de lui rembourser une somme de 39 830 euros, ce que cette dernière a refusé par courrier du 24 décembre 2020.



Par exploit d'huissier du 18 février 2021. la SARL Établissements Bertin électricité a assigné la Caisse régionale de crédit agricole mutuel Nord de France en remboursement et en réparation de son préjudice. 



Par jugement contradictoire et en premier ressort en date du 30 mars 2022, le tribunal de commerce de Lille Métropole a statué en ces termes : 

« DEBOUTE la banque Crédit Agricole de sa demande de sursis à statuer

CONDAMNE la banque Crédit Agricole à payer à la SARL établissement Bertin électricité la somme de 24 506,86 €

DEBOUTE la SARL établissements Bertin électricité de ses demandes plus amples 

DEBOUTE la banque Crédit agricole de toutes ses demandes plus amples

CONDAMNE la banque Crédit agricole à payer à la SARL Établissement Bertin électricité la somme de 3 000 € sur le fondement des dispositions de l'article 700 du code de procédure civile ; 

CONDAMNE la banque Crédit agricole aux entiers dépens, taxés et liquidés à la somme de 69,59 € (en ce qui concerne les frais de greffe) ».



Par déclaration en date du 6 mai 2022, la Caisse régionale de crédit agricole mutuel Nord de France a interjeté appel de la décision reprenant dans son acte d'appel l'ensemble des chefs de la décision, hormis celui déboutant la SARL Établissements Bertin électricité de ses demandes plus amples.





MOYENS ET PRÉTENTIONS



Par conclusions remises au greffe et notifiées entre parties par voie électronique en date du 2 août 2022, la Caisse régionale de Crédit agricole mutuel Nord de France demande à la cour de : 

« Réformer le jugement rendu par le Tribunal de commerce de LILLE METROPOLE en date du 30 mars 2022 (RG 2021002432) en ce qu'il :

 « DEBOUTE la banque Crédit Agricole de sa demande de sursis à statuer. »

 « CONDAMNE la banque Crédit Agricole à payer à la SARL Établissement Bertin électricité la somme de 24 506,86 €. »

 « DEBOUTE la banque Crédit Agricole de toutes ses demandes plus amples. »

 « CONDAMNE la banque Crédit Agricole à payer à la SARL Établissement Bertin électricité la somme de 3000 € sur le fondement de l'article 700 du code de procédure civile. » 

 « CONDAMNE la banque Crédit Agricole aux entiers dépens, taxés et liquidés à la somme de 69,59 € (en ce qui concerne les frais de greffe). »

Et, statuant à nouveau,

A titre principal, 

- Voir débouter la Société BERTIN ELECTRICITE de l'ensemble de ses demandes fins et conclusions 

Subsidiairement,

- Surseoir à statuer dans l'attente de l'issue de la procédure pénale ou à tout le moins du résultat des mesures d'investigations menées dans le cadre de l'enquête préliminaire 

Très subsidiairement, avant dire droit sur les demandes principales, vu les articles 143, 144 et 232 et 263 du Code de Procédure Civile,

- Désigner tel expert informaticien qu'il plaira à la Cour avec mission d'examiner les ordinateurs et téléphones portables de la Société BERTIN ELECTRICITE, de façon à identifier l'origine de la fuite des données ayant permis la connexion par le fraudeur sur l'espace en ligne du compte bancaire détenu par la Société BERTIN ELECTRICITE dans les livres du Crédit Agricole Nord de France

Et en conséquence, 

- Surseoir à statuer dans l'attente du dépôt du rapport d'expertise ;

En tout état de cause, 

- Condamner la Société BERTIN ELECTRICITE au paiement de la somme de 2000€ sur le fondement de l'article 700 du Code de Procédure Civile ;

- La condamner aux entiers frais et dépens »



La banque fait valoir que :

- la SARL Établissements Bertin électricité a transmis des informations personnelles notamment à la suite d'un ajout d'un nouveau bénéficiaire ;

- la SARL Établissements Bertin électricité a été informée de cet ajout par SMS et mail et n'a pas pour autant réagi rapidement, puisqu'il lui a fallu 12 jours pour informer la banque de l'existence de ces virements frauduleux ;

- dès la connaissance de ce fait, la banque a fait une demande de Recall auprès de la banque postale, qui n'a permis, compte tenu du délai, d'appréhender que la somme de 8 423,14 euros, d'ores et déjà reversée à la SARL Établissements Bertin électricité.



Elle conteste que sa responsabilité puisse être engagée, soulignant que :

- à la date des faits, les acteurs bancaires disposaient encore d'un délai pour mettre en place l'authentification forte ;

- l'avis de l'autorité bancaire européenne d'octobre 2019 ne correspond pas à la jurisprudence actuelle, qui accepte cette tolérance, dès lors qu'un dispositif de sécurité existe ; 

- des mesures de sécurité existaient et encadraient les opérations litigieuses, à savoir l'accès sécurisé à l'espace client et l'envoi d'un code par SMS ;

- la société Établissements Bertin électricité se contredit puisque désormais elle conteste l'existence d'un SMS, qu'elle admettait dans ses écritures de première instance avoir reçu le 15 septembre 2020 à 17h20 comportant un code de sécurité pour l'ajout d'un bénéficiaire de virement ; 

- le tribunal a inversé la charge de la preuve, lorsqu'il demande à la banque d'apporter la preuve que la société Établissements Bertin électricité était à l'origine de la demande d'ajout du bénéficiaire ;

- le préjudice de la SARL Établissements Bertin électricité trouve sa source dans la négligence grave dont elle a fait preuve.



La banque estime qu'un certain nombre d'événements troublants justifient la demande de sursis à statuer dans l'attente de l'issue de la procédure pénale et subsidiairement le débouté des demandes. 

Elle plaide que :

- les opérations n'ont été possibles que parce qu'il a été permis au fraudeur d'accéder à l'espace en ligne de la société, ce qui permet de penser que le dirigeant (ou des personnes de son entourage) a divulgué ses identifiants et code d'accès au besoin en répondant à un mail l'invitant à le faire ;

- à la suite du mail reçu lui demandant de confirmer son numéro de mobile, il est vraisemblable que la société Établissements Bertin électricité a cliqué sur le mail, communiquant son numéro de mobile mais aussi ses identifiants et ses codes d'accès à l'espace personnel de son compte bancaire ;

- le fait que le mail ait été adressé sur l'adresse personnelle du gérant, et non à l'adresse de la société, avec laquelle elle a pour habitude de dialoguer, ainsi que la demande de numéro de mobile, auraient dû éveiller les soupçons de la SARL Établissements Bertin électricité ; 

- cette négligence transparaît également dans le fait qu'elle ne l'a pas alertée en temps utile, que ce soit à l'ajout non autorisé d'un bénéficiaire inconnu, ou à la réalisation des différents virements.



Elle conclut que l'issue de la procédure pénale suite à la plainte pour escroquerie et abus de confiance est susceptible d'influer sur la responsabilité des intervenants. Il est à tout le moins nécessaire de surseoir jusqu'aux résultats de l'exploitation technique des ordinateurs et téléphones portables des différents intervenants au sein de la société Établissements Bertin électricité.



À titre subsidiaire, au vu des négligences graves commises par la SARL Établissements Bertin électricité à plusieurs niveaux, le débouté des demandes de cette dernière se justifie. Il n'est pas justifié du préjudice invoqué et notamment de l'habitude de réaliser des placements avec l'excèdent de trésorerie.



Enfin à titre très subsidiaire, l'appelante sollicite une expertise informatique.





Par conclusions remises au greffe et notifiées entre parties par voie électronique en date du 1er novembre 2022, la SARL Établissements Bertin électricité demande à la cour de : 

« Vus les articles L. 133-1 et suivants du code monétaire et financier

Confirmer le jugement entrepris en ce qu'il a

Débouté la banque CRCAM de sa demande de sursis à statuer

Condamné la banque Crédit agricole à payer à la SARL Établissement Bertin électricité la somme de 24 506.86 €

Condamné la banque Crédit agricole à payer à la SARL Établissement Bertin électricité la somme de 3000 € sur le fondement des dispositions de l'article 700 du code de procédure civile

Rejeté toutes les demandes de la banque CRCAM

Condamné la banque CRCAM aux dépens taxés et liquidés à la somme de 69.59 €.

Réformer le jugement en ce qu'il a rejeté la demande de la SARL établissement Bertin électricité visant la condamnation de la banque CRCAM à lui payer la somme de 2470 €

Y ajoutant

Condamner la banque Crédit agricole à payer à la SARL établissement Bertin électricité la somme de 2470 € en réparation du préjudice subi à raison de la perte résultant de l'absence possible de placement des fonds détournés

Condamner la banque CRCAM à payer à la SARL établissement Bertin électricité la somme de 4000 € sur le fondement des dispositions de l'article 700 du code de procédure civile

Condamner la banque Crédit agricole aux dépens d'appel. ».



La société Établissements Bertin électricité revient sur le fait que : 

- le fonctionnement des deux comptes était étranger à la gestion quotidienne de sa trésorerie et très peu mouvementé, la banque ayant de plus viré le solde du compte de gestion vers un nouveau compte, opération faite sans information du client et sans son consentement ;

- cette opération n'a été perçue qu'à l'issue des congés d'été en septembre 2020 ;

- le mail de demande de confirmation des coordonnées téléphoniques ainsi que le SMS de demande de confirmation d'enregistrement d'un nouveau bénéficiaire ont été, dans ce cadre, interprété comme une action s'inscrivant dans une logique de paramétrage de ce nouveau compte ;

- elle n'a jamais reçu aucun email l'informant de l'ajout d'un nouveau bénéficiaire ;

- 13 opérations de virements, dont 5 vers un compte interne, et 8 vers un compte externe, ont été frauduleusement réalisées en quelques jours sans qu'aucun mécanisme d'authentification forte, ni même le simple envoi d'un code OTP ne soit mobilisé pour aucune de ces 13 opérations frauduleuses.



Elle fait valoir que : 

- elle valide l'évaluation faite par la banque du solde du montant détourné et non remboursé, de 24 506,86 euros ;

- la réglementation impose aux prestataires de paiement en ligne la mise en 'uvre d'un système permettant de transférer des fonds régis par des procédures formelles standardisées comprenant un niveau de sécurité élevé ;

- la banque n'a mis en 'uvre aucun dispositif d'authentification forte pour les virements litigieux, ni émis le moindre SMS contenant un code à usage unique, lequel aurait dû en outre établir un lien dynamique entre l'opération, le montant et le bénéficiaire ;

- la banque ne peut se prévaloir d'un différé autorisé par l'autorité bancaire européenne, laquelle ne dispose d'aucun pouvoir pour décider de la date d'entrée en vigueur d'une directive de l'Union européenne ;

- cet avis en outre ne se réfère qu'aux transactions de paiement électronique par carte bancaire et non aux virements directement ordonnés à partir des services bancaires en ligne mis à disposition par une banque ;

- enfin ce report ne concerne que les sanctions encourues par les opérateurs ne se conformant pas à la directive mais non les règles de responsabilité de ces opérateurs à l'égard de leurs clients, l'avis excluant d'ailleurs de son champ le régime de responsabilité ;

- seule la fraude avérée imputable au payeur lui-même fait exception à l'exonération, si aucune authentification forte n'a été mise en 'uvre.



Elle conteste se contredire quand elle indique qu'elle n'a jamais reçu un SMS d'ajout d'un bénéficiaire (sans lien dynamique) et aucun SMS lui demandant de confirmer chaque virement litigieux. 

Elle ajoute qu'en tout état de cause, la banque n'établit pas au travers de ses explications que les opérations auraient pu être authentifiées, dûment enregistrées et comptabilisées sans être affectées par une déficience technique ou autre au sens des dispositions de l'article L. 133-23 alinéa 1er du code monétaire et financier. Même en se basant sur les dispositions contractuelles invoquées par la banque, celle-ci ne dispose d'aucun enregistrement de données de sécurité personnalisées comprenant la trace, a minima, de l'envoi d'un code OTP par SMS pour chaque ordre de virement qu'elle a traité.



La société Établissements Bertin électricité réfute, à titre subsidiaire, toute négligence grave, confirmant avoir reçu le SMS de validation d'un nouveau bénéficiaire, qu'elle n'a jamais utilisé, et en aucun cas reçu la moindre confirmation ni de l'ajout de ce bénéficiaire ni des virements opérés. Elle conteste que quiconque dans la société n'ait déféré à la demande que contenait le mail adressé sur l'adresse personnelle du gérant. À supposer même qu'il en fût autrement, aucune négligence grave de nature à exonérer la banque de sa responsabilité quant à l'exécution de chacun des 13 virements ne pourrait en être déduite. La banque a elle-même entretenu à la même époque un flou sur la tenue des comptes qui était de nature à déjouer sa vigilance. 

Aucune négligence ne peut lui être reprochée pour avoir dénoncé tardivement les virements alors que les dispositions de l'article L 133-24 du code monétaire et financier laissent à l'utilisateur un délai de 13 mois pour signaler une opération non utilisée. À supposer que les conditions générales de la convention de compte lui soient opposables, elles ne sauraient faire échec aux dispositions d'ordre public précitées. L'affirmation de la banque selon laquelle elle aurait cliqué sur le lien et donné ses informations personnelles n'est que supputation.



Outre les sommes détournées, elle se prévaut d'un préjudice, soulignant procéder aux placements d'une partie de son excédent de trésorerie dans un souci de bonne gestion, ce détournement l'ayant privé de profit d'intérêts évalués sur 15 mois, soit la somme de 2470 euros.



Elle s'oppose à la demande de sursis, soulignant que l'issue de la procédure pénale sera sans influence sur les responsabilités des intervenants dans leurs rapports entre eux. La demande d'expertise n'est pas plus justifiée.





****



L'ordonnance de clôture a été rendue le 23 mai 2023.



A l'audience du 13 juin 2023, le dossier a été mis en délibéré au 12 octobre 2023.





MOTIVATION



- Remarques procédurales



A titre liminaire, il sera observé que la Caisse de crédit agricole Nord de France a hiérarchisé ses demandes, dans un ordre qui défie toute logique, puisqu'elle n'envisage qu'à titre subsidiaire la demande de sursis à statuer et d'expertise, si la cour ne s'estimait pas suffisamment éclairée sur les faits, après avoir conclu à titre principal, au vu des faits établis, au débouté de la société Établissements Bertin Electricité.

Il sera ajouté qu' hors les cas où cette mesure est prévue par la loi, l'opportunité d'un sursis à statuer est appréciée discrétionnairement et se justifie dans l'intérêt d'une bonne administration de la justice lorsque le résultat d'une procédure à venir est susceptible d'avoir une incidence directe sur la solution du litige et l'affaire en cours, l'alinéa 3 de l'article 4 du code de procédure pénale rappelant que la mise en mouvement de l'action publique n'impose pas la suspension du jugement des autres actions exercées devant la juridiction civile, de quelque nature qu'elles soient, même si la décision à intervenir au pénal est susceptible d'exercer, directement ou indirectement, une influence sur la solution du procès civil.



Cependant, la demande en l'espèce est d'autant moins opportune, qu'il n'est nullement démontré qu'une quelconque action pénale ait été valablement mise en mouvement, la photocopie du dépôt de plainte en septembre 2020 de la société Établissements Bertin Electricité et la copie d'une plainte avec constitution de partie civile de la banque entre les mains de M. le procureur de la République, non datée, non signée, sans preuve en outre de son dépôt, et sans justificatif ni pour l'une ni pour l'autre des suites données, étant manifestement insuffisantes pour ce faire.



La décision querellée est donc confirmée en ce qu'elle a débouté la banque de sa demande de sursis à statuer.





Sur les demandes en paiement de la société Établissements Bertin électricité



1) sur la demande en remboursement des sommes :



Aux termes de l'article L133'16 du code monétaire et financier, dès qu'il reçoit un instrument de paiement, l'utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées. Il utilise l'instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation qui doivent être objectives, non discriminatoires et proportionnées.



Aux termes de l'article L133'17 du code monétaire et financier, lorsqu'il a connaissance de la perte, du vol, du détournement ou de toute utilisation non autorisée de son instrument de paiement ou des données qui lui sont liées, l'utilisateur de services de paiement en informe sans tarder, aux fins de blocage de l'instrument, son prestataire ou l'entité désignée par celui-ci. 



Aux termes de l'article L133'18 du code monétaire et financier, en cas d'opérations de paiement non autorisées signalées par l'utilisateur dans les conditions prévues à l'article L133'24, le prestataire de services de paiement du payeur rembourse au payeur le montant de l'opération non autorisée immédiatement après avoir pris connaissance de l'opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, sauf s'il a de bonnes raisons de soupçonner une fraude de l'utilisateur du service de paiement et s'il communique ses raisons par écrit à la banque de France. 

Le cas échéant, le prestataire de services de paiement du payeur rétablit le compte débité dans l'état où il se trouvait si l'opération de paiement non autorisée n'avait pas eu lieu.



Conformément aux dispositions de l'article L 133-44 du code monétaire et financier, I ' Le prestataire de services de paiement applique l'authentification forte du client définie au f de l'article L. 133-4 lorsque le payeur :

1° Accède à son compte de paiement en ligne ;

2° Initie une opération de paiement électronique ;

3° Exécute une opération par le biais d'un moyen de communication à distance, susceptible de comporter un risque de fraude en matière de paiement ou de toute autre utilisation frauduleuse.

II. ' Pour les opérations de paiement électronique à distance, l'authentification forte du client définie au f de l'article L. 133-4 comporte des éléments qui établissent un lien dynamique entre l'opération, le montant et le bénéficiaire donnés.

III. ' En ce qui concerne l'obligation du I, les prestataires de services de paiement mettent en place des mesures de sécurité adéquates afin de protéger la confidentialité et l'intégrité des données de sécurité personnalisées des utilisateurs de services de paiement.

IV. ' Le prestataire de services de paiement gestionnaire du compte autorise le prestataire de services de paiement fournissant un service d'initiation de paiement et le prestataire de services de paiement fournissant le service d'information sur les comptes à se fonder sur ses procédures d'authentification lorsqu'ils agissent pour l'un de leurs utilisateurs conformément aux I et III et, lorsque le prestataire de services de paiement fournissant le service d'initiation de paiement intervient, conformément aux I, II et III.



L'article L 133-4 du même code précise : « Pour l'application du présent chapitre :

a) Les données de sécurité personnalisées s'entendent des données personnalisées fournies à un utilisateur de services de paiement par le prestataire de services de paiement à des fins d'authentification ;

b) Un identifiant unique s'entend d'une combinaison de lettres, de chiffres ou de symboles indiquée à l'utilisateur de services de paiement par le prestataire de services de paiement, que l'utilisateur de services de paiement doit fournir pour permettre alternativement ou cumulativement l'identification certaine de l'autre utilisateur de services de paiement et de son compte de paiement pour l'opération de paiement ;

c) Un instrument de paiement s'entend, alternativement ou cumulativement, de tout dispositif personnalisé et de l'ensemble de procédures convenu entre l'utilisateur de services de paiement et le prestataire de services de paiement et utilisé pour donner un ordre de paiement ;

d) Un jour ouvrable est un jour au cours duquel le prestataire de services de paiement du payeur ou celui du bénéficiaire exerce une activité permettant d'exécuter des opérations de paiement ;

e) Une authentification s'entend d'une procédure permettant au prestataire de services de paiement de vérifier l'identité d'un utilisateur de services de paiement ou la validité de l'utilisation d'un instrument de paiement spécifique, y compris l'utilisation des données de sécurité personnalisées de l'utilisateur ;

f) Une authentification forte du client s'entend d'une authentification reposant sur l'utilisation de deux éléments ou plus appartenant aux catégories ' connaissance ' (quelque chose que seul l'utilisateur connaît), ' possession ' (quelque chose que seul l'utilisateur possède) et ' inhérence ' (quelque chose que l'utilisateur est) et indépendants en ce sens que la compromission de l'un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d'authentification ;

g) Les données de paiement sensibles s'entendent des données, y compris les données de sécurité personnalisées, qui sont susceptibles d'être utilisées pour commettre une fraude. En ce qui concerne les activités des prestataires de services de paiement fournissant le service d'initiation de paiement et des prestataires de services de paiement fournissant le service d'information sur les comptes, le nom du titulaire du compte et le numéro de compte ne constituent pas des données de paiement sensibles ;

h) Un groupe s'entend de l'ensemble formé par une société et celles qu'elle contrôle au sens de l'article L. 233-16 du code de commerce ou d'établissements au sens des articles 4,5,6 et 7 du règlement délégué (UE) n° 241/2014 de la Commission européenne qui sont liés entre eux par une relation au sens de l'article 10, paragraphe 1, ou de l'article 113, paragraphe 6 ou 7, du règlement (UE) n° 575/2013 ».



Aux termes de l'article L 133'23 du code monétaire et financier, lorsqu'un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l'opération de paiement n'a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l'opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu'elle n'a pas été affectée par une déficience technique ou autre. L'utilisation de l'instrument de paiement tel qu'enregistré par le prestataire de services de paiement ne suffit pas nécessairement en tant que tel à prouver que l'opération a été autorisée par le payeur ou que celui-ci n'a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière. Le prestataire de services de paiement, y compris, le cas échéant, le prestataire de services de paiement fournissant un service d'initiation de paiement, fournit des éléments afin de prouver la fraude ou la négligence grave commise par l'utilisateur de services de paiement. 



Les conditions générales de fonctionnement du compte prévoient en l'espèce que « pour les opérations ne donnant lieu à signature (cas où le titulaire utilise les services téléphoniques, informatiques et télématiques de la caisse régionale) les parties conviennent que les enregistrements dématérialisés, et notamment les traces informatiques produites par elles pour l'exécution des opérations, sont admissibles et valables en tant que preuves devant les tribunaux compétents. 

De même l'enregistrement de l'utilisation de données de sécurité personnalisées permet à la caisse régionale d'imputer l'opération au titulaire et d'apporter la preuve de son consentement aux opérations ».



La directive 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur est, contrairement à ce que prétend la Caisse régionale de crédit agricole mutuel Nord de France, entrée en vigueur le 14 septembre 2019, sans qu'aucun instrument normatif n'en ait retardé l'application. Il s'ensuit que les versions des articles du code monétaire et financier, dans leur version précitée, portant transposition de la directive, sont bien applicables au présent litige.



Pour fonder son refus de remboursement des opérations litigieuses, la Caisse de crédit agricole mutuel Nord de France produit des pièces lacunaires et parcellaires ne permettant en aucune manière de retracer les différentes étapes mises en 'uvre pour parvenir à l'ajout du bénéficiaire et aux virements.



Si les conditions générales de fonctionnement du compte peuvent déroger, s'agissant de clients professionnels, aux dispositions de l'article L133-23 du code monétaire et financier, elles ne dispensent pas toutefois le service de paiement d'apporter la preuve que ce soit bien avec l'utilisation des données permettant l'authentification forte du client qu'ont pu être effectuées les opérations litigieuses.



Faute de verser ces éléments qui sont en sa possession, s'agissant éventuellement de traces informatiques des opérations sollicitées et de l'adresse IP dont elles émanent, ou à tout le moins un commencement de preuve desdites opérations autre que des extraits de listing dont l'auteur et l'origine ne sont nullement identifiables d'ailleurs, aucune demande d'expertise ne saurait prospérer, une mesure d'instruction ne pouvant être ordonnée en vue de suppléer la carence de la partie dans l'administration de la preuve qu'elle détient. 



Or, aucun des documents produits ne permet d'expliquer les opérations effectuées pour l'ajout du bénéficiaire et si cet ajout a bien été effectué par le biais d'une connexion à l'espace personnel de la société Établissements Bertin électricité avec l'entrée des identifiants de cette dernière, à savoir le numéro de compte identifiant à 11 caractères ainsi que le code personnel de 6 caractères.



Il n'est pas plus justifié que l'ajout du bénéficiaire ait bien été réalisé avec l'aide du code temporaire transmis par SMS le 15 septembre 2020. 

En effet, la banque s'archane à prouver l'existence même du SMS en produisant la copie écran d'un SMS reçu et retransmis par la SARL Établissements Bertin électricité relatif au code de sécurité pour saisir un nouveau bénéficiaire ainsi qu'un extrait d'un listing, issu de l'outil Netsize qui permettrait de visualiser les SMS envoyés et permettant de s'identifier, alors même que la SARL Établissements Bertin électricité ne conteste pas avoir été destinataire du SMS. 

Cette dernière indique seulement ne pas avoir reçu de SMS d'activation pour chacun des virements successifs effectués auprès de ce nouveau bénéficiaire et n'avoir en aucun cas utilisé le code envoyé et reçu par SMS pour finaliser l'opération d'ajout d'un bénéficiaire.



Quant à l'extrait de tableau relatif à l'envoi d'un mail dont l'objet indiqué serait « votre demande d'ajout d'un nouveau compte bénéficiaire », intégré dans le corps des écritures, sans qu'il soit possible d'en déterminer l'auteur et l'origine, l'absence de production dudit mail ne permet de connaître ni le statut de ce mail, et notamment s'il a été réceptionné, ni son contenu précis, ce qui aurait en outre permis de mesurer s'il était susceptible d'alerter la société Établissements Bertin électricité sur l'éventualité d'une opération suspecte.



La Caisse de crédit agricole mutuel Nord de France ne verse par ailleurs aucun élément permettant d'identifier les traces informatiques des différents virements effectués au profit de ce nouveau bénéficiaire.



 La banque ne peut reprocher à la société Établissements Bertin électricité de ne pas l'avoir alertée rapidement suite au mail sur l'ajout d'un compte bénéficiaire, dont il n'est nullement démontré qu'il ait été reçu, ou encore suite au SMS comportant un code temporaire pour une opération dont elle n'était pas l'auteur. 

Les pièces démontrent en effet que des opérations avaient pu être effectuées pendant la période estivale par la banque sur les comptes mêmes de la société, notamment avec la création d'un nouveau compte et le virement d'un important excédent de trésorerie, sans que le client n'en soit préalablement informé, la société Établissements Bertin électricité ayant « avoué être un peu perdue » à son conseiller bancaire au vu de ces changements dans le suivi de ces comptes dans un mail du 4 septembre 2020, ce qui rend plausible la croyance invoquée par le gérant d'une opération due à un paramétrage en lien avec le nouveau compte. 



Enfin, la Caisse de crédit agricole mutuel Nord de France ne procède que par pures affirmations, sans le moindre commencement de preuve, lorsqu'elle invoque la négligence de la société Établissements Bertin électricité caractérisée par la communication de ses données personnelles en produisant un mail, transmis sur l'adresse personnelle du gérant, et non sur l'adresse structurelle de la société qu'elle indique, sans le démontrer, toujours utilisée, qui invite le client à reconfirmer son numéro de portable et en déduit qu'« à l'évidence à réception de ce mail, la SARL Bertin a communiqué non seulement son numéro de mobile mais également ses identifiants en ligne puisque peu de temps après ce mail, un bénéficiaire a été ajouté. On peut difficilement croire que la sarl Bertin électricité n'aurait pas cliqué sur le lien contenu dans ce mail, puisque manifestement, le fraudeur est parvenu à obtenir son numéro de téléphone portable mais aussi ses identifiants et code d'accès à l'espace personnel du compte bancaire de la société ». Il sera ajouté que rien dans le contenu du mail ne pouvait alerter sur un quelconque manque d'authenticité, dont la banque ne fait qu'insinuer qu'il serait frauduleux.



Ainsi, en ne prouvant pas l'utilisation même des identifiants et code d'accès à partir de l'espace personnel en vue d'ajouter le bénéficiaire, ni l'emploi du code temporaire, la Caisse régionale de crédit agricole mutuel Nord de France échoue dans la preuve qui lui incombe d'une opération réalisée conformément aux dispositifs d'authentification forte et pouvant être imputée au client. 



En conséquence, au vu des motifs ci-dessus, la confirmation de la décision entreprise en ce qu'elle a condamné la Caisse régionale de crédit agricole mutuel Nord de France à payer à la société Établissements Bertin électricité la somme de 24 506,86 €, s'impose.



2 ) sur la demande de dommages et intérêts :



La société Établissements Bertin électricité sollicite la réparation de son préjudice constitué par l'impossibilité de percevoir les fruits des placement à due concurrence des sommes détournées.



Conformément aux dispositions des articles 6 et 9 du code de procédure civile, à l'appui de leurs prétentions, les parties ont la charge d'alléguer les faits propres à les fonder et il leur incombe de prouver conformément à la loi les faits nécessaires au succès de leurs prétentions.



En l'espèce, la société Établissements Bertin électricité se contente de verser une évaluation des intérêts qu'elle eût été amenée à percevoir au titre d'un placement assurance-vie Agipi, sans nullement démontrer l'habitude dont elle se prévaut d'un placement régulier d' « une partie de son excédent de trésorerie dans un souci de bonne gestion », ce que contredisent les faits de ce dossier, et notamment la présence d'un solde du compte excédent de trésorerie de plus de 163 020,16 euros en juillet 2020.



Dès lors le jugement en ce qu'il a débouté la société Établissements Bertin électricité de cette demande est confirmé.





Sur les dépens et accessoires



En application des dispositions de l'article 696 du code de procédure civile, la Caisse régionale de crédit agricole mutuel Nord de France succombant en ses prétentions, il convient de la condamner aux dépens.



Les chefs de la décision querellée relatifs aux dépens et à l'indemnité procédurale sont confirmés.



Le sens du présent arrêt justifie que la Caisse régionale de crédit agricole mutuel Nord de France soit condamnée à payer à la société Établissements Bertin électricité la somme de 3 000 euros sur le fondement de l'article 700 du code de procédure civile.



La demande d'indemnité procédurale de la Caisse régionale de crédit agricole mutuel Nord de France est rejetée.















PAR CES MOTIFS





CONFIRME le jugement du tribunal de commerce de Lille Métropole en date du 30 mars 2022 en toutes ses dispositions ; 



y ajoutant, 



CONDAMNE la Caisse régionale de crédit agricole mutuel Nord de France à payer à la société Établissements Bertin électricité la somme de 3 000 euros sur le fondement de l'article 700 du code de procédure civile ; 



DEBOUTE la Caisse régionale de crédit agricole mutuel Nord de France de sa demande d'indemnité procédurale ; 



LA CONDAMNE aux dépens d'appel.









Le greffier







Marlène Tocco







P/le président







Nadia Cordier