Cour d'Appel · Pôle 5 - Chambre 6 — 9 avril 2025

RÉPUBLIQUE FRAN'AISE

AU NOM DU PEUPLE FRAN'AIS





COUR D'APPEL DE PARIS

Pôle 5 - Chambre 6



ARRÊT DU 09 AVRIL 2025



(n° , 9 pages)



Numéro d'inscription au répertoire général : N° RG 22/20204 - N° Portalis 35L7-V-B7G-CGY35



Décision déférée à la Cour : Jugement du 08 Novembre 2022 - tribunal de commerce de Paris 6ème chambre - RG n° 2022000571



APPELANTE

 

S.A. BNP PARIBAS

[Adresse 2]

[Localité 7]

N° SIREN : 662 042 449

agissant poursuites etdiligences de ses représentants légaux domiciliés en cette qualité audit siège



Représentée par Me Nicolas BAUCH-LABESSE de l'AARPI TARDIEU GALTIER LAURENT DARMON associés, avocat au barreau de Paris, toque : R10, avocat plaidant





INTIMÉE 



S.A. [K] ELECTRICITE

[Adresse 3]

[Localité 8]

N° SIREN : [Numéro identifiant 6]

agissant poursuites et diligences de son représentant légal domicilié en cette qualité audit siège



Représentée par Me Benoît DARDEL, avocat au barreau de Paris, toque : D0017

Ayant pour avocat plaidant Me Nicolas DOSTERLYNCK de la SCP PENARD OOSTERLYNCK BEVERAGGI, avocat au barreau d'Avignon





COMPOSITION DE LA COUR :



L'affaire a été débattue le 27 Janvier 2025, en audience publique, devant la Cour composée de :

M. Vincent BRAUD, président de chambre

Mme Pascale SAPPEY-GUESDON, conseillère 

Mme Laurence CHAINTRON, conseillère



qui en ont délibéré, un rapport a été présenté à l'audience par Mme Laurence CHAINTRON dans les conditions prévues par l'article 804 du code de procédure civile.





Greffier, lors des débats : Mme Mélanie THOMAS





ARRÊT :

- contradictoire



- par mise à disposition de l'arrêt au greffe de la Cour, les parties en ayant été préalablement avisées dans les conditions prévues au deuxième alinéa de l'article 450 du code de procédure civile.



- signé par Vincent BRAUD, président de chambre et par Mélanie THOMAS, greffier, présent lors de la mise à disposition.



* * * * *



FAITS, PROCÉDURE ET PRÉTENTIONS DES PARTIES



La société [K] Electricité a pour activité l'exécution de travaux d'installation électrique dans tous locaux. 



Elle est titulaire de deux comptes ouverts dans les livres de la société BNP Paribas sous les numéros [XXXXXXXXXX05] et [XXXXXXXXXX01]. 



Le 9 janvier 2013, la société [K] Electricité a souscrit auprès de la société BNP Paribas un contrat d'abonnement au service bancaire en ligne « BNP NET EVOLUTION ». 



Lors de sa souscription à ce service, la société [K] Electricité s'est vue remettre un numéro d'abonné, une carte à puce personnelle protégée par un code confidentiel et une clé cryptographique, appelée Carte de Transfert Sécurisé (carte TS), et un lecteur de carte TS comportant des touches alphanumériques. 



Aux termes d'un avenant régularisé le 25 février 2015, Mme [O] [K] a été identifiée comme mandataire disposant du numéro abonné [Numéro identifiant 4]. 



Le 22 janvier 2021, Mme [K] a reçu un appel téléphonique d'une personne se présentant comme assistant technique de la société BNP Paribas et disposant d'informations confidentielles. 



Victime d'une 'fraude au faux technicien', Mme [K] a validé douze virements réalisés pour un montant total de 356 598,54 euros au moyen d'un code généré par un terminal de sécurité dédié (carte TS) et d'un code d'accès saisi dans l'espace de connexion.



Mme [K] ayant contacté le jour même la cellule fraude de la banque, un virement a été annulé et deux autres rejetés de telle sorte qu'au final une somme totale de 292 908,54 euros a été détournée au préjudice de la société [K] et au bénéfice de « [P] [R] » en Allemagne et « Handler Consulting Limited » en Irlande.



Le 22 janvier 2021, la société [K] Electricité a déposé plainte. 



Par courriel du 27 janvier 2021, la société BNP Paribas a confirmé avoir engagé toutes les procédures auprès des banques réceptrices des virements pour tenter de récupérer les fonds transférés.



La société [K] n'a toutefois pas pu recouvrer le montant de la totalité des virements frauduleux et par lettre recommandée avec demande d'avis de réception du 4 février 2021, a mis en demeure la société BNP Paribas de procéder au remboursement de la somme de 292 908,54 euros. 



Par courrier du 24 février 2021, la société BNP lui a opposé une fin de non-recevoir. 



Par exploit d'huissier du 24 mars 2021, la société [K] Electricité a fait assigner la société BNP Paribas devant le tribunal de commerce Paris.



Par jugement contradictoire rendu le 8 novembre 2022, ce tribunal a :


condamné la SA BNP Paribas à payer à la SA [K] Electricité la somme de 131 416,27 euros, majorée des intérêts au taux légal à compter du 4 février 2021 ;

débouté les parties de leur demande d'article 700 du code de procédure civile ;

rappelé que l'exécution provisoire est de droit ;

débouté les parties de leurs demandes autres, plus amples ou contraires ;

condamné la SA BNP Paribas aux dépens.




Par déclaration du 1er décembre 2022, la société BNP Paribas a relevé appel de cette décision.



Par conclusions notifiées par voie électronique le 30 août 2023, la société BNP Paribas demande, au visa des articles L. 133-1 et suivants du code monétaire et financier et des articles 699 et 700 du code de procédure civile, à la cour de :

- infirmer le jugement dont appel en ce qu'il a : 


condamné la SA BNP Paribas à payer à la SA [K] Electricité la somme de 131 416,27 euros, majorée des intérêts au taux légal à compter du 4 février 2021 ;

débouté les parties de leur demande d'article 700 du code de procédure civile ;

débouté la SA BNP Paribas de ses demandes autres, plus amples ou contraires ;

condamné la SA BNP Paribas aux dépens ;


Et, statuant à nouveau, 

- débouter la société [K] Electricité de l'intégralité de ses demandes ; 

 - condamner la société [K] Electricité au paiement d'une somme de 8 000 euros au titre de l'article 700 du code de procédure civile ; 

 - condamner la société [K] Electricité à supporter l'intégralité des dépens de première instance et d'appel.



Par conclusions notifiées par voie électronique le 15 mai 2023, la société [K] Electricité demande à la cour de :

- débouter la SA BNP Paribas de toutes ses demandes, fins et conclusions, 

 - confirmer le jugement entrepris sur le principe de sa créance,

 - réformer le jugement dont appel sur le quantum de la créance et sur le rejet de ses demandes au titre des dispositions de l'article 700 du code de procédure civile, 

 Statuant à nouveau de ces chefs, 

 - condamner la SA BNP Paribas à lui payer la somme de 262 832,54 euros outre intérêts au taux légal à compter du 4 février 2021, date de la mise en demeure, 

 - condamner la SA BNP Paribas à lui payer une somme de 5 000 euros sur le fondement des dispositions de l'article 700 du code de procédure civile,

 Y ajoutant, 

 - condamner la SA BNP Paribas à lui payer une somme de 5 000 euros sur le fondement des dispositions de l'article 700 du code de procédure civile en cause d'appel, ainsi qu'aux dépens d'appel. 





MOTIFS



Sur la responsabilité de la banque





Sur le caractère autorisé des virements litigieux 



La société BNP Paribas soutient, en premier lieu, au visa des articles L. 133-6, L. 133-7 et L. 133-13 du code monétaire et financier que les virements litigieux étaient autorisés et que les dispositions de ce code sont d'application exclusive de tout autre régime national de responsabilité civile. 

Elle fait valoir que :

- Mme [K] a directement transmis des codes challenges au tiers fraudeur, lui permettant d'accomplir l'authentification forte requise à chaque étape de connexion, d'ajout de bénéficiaire et de réalisation du paiement, ainsi qu'en atteste l'enregistrement de l'appel au service fraude de la banque le 22 janvier 2021, 

- le relevé télématique confirme et précise que les opérations litigieuses ont été initiées par le tiers fraudeur, puis validées par la société [K], à l'aide de la carte de transfert sécurisé et de son lecteur sécurisé, 

- contrairement à ce qu'a retenu le tribunal pour considérer que les virements n'étaient pas autorisés, la mention « inconnu » ne signifie pas que la création et la validation de bénéficiaire n'a pas été permise par la carte TS de Mme [K] dès lors que la colonne « mandataire » fait apparaître le numéro [Numéro identifiant 4], qui est bien le numéro attaché à la carte TS en possession de Mme [K], 

- seule l'exécution d'un ordre de paiement constitue une opération de paiement, l'ajout d'un bénéficiaire n'étant pas une composante de l'opération de paiement, de sorte qu'il ne peut intervenir dans l'appréciation du caractère autorisé ou non autorisé de l'opération et aucune disposition du code monétaire et financier n'exige le respect d'une procédure d'authentification forte s'agissant de l'ajout d'un bénéficiaire de virement.



Mme [K] soutient, notamment au visa des dispositions de l'article L. 133-6 du code monétaire et financier, qu'elle n'a jamais donné un quelconque consentement aux virements frauduleux, ce dont elle a fait part à sa banque immédiatement. 

Elle fait valoir que :

- elle a été victime d'une fraude au faux technicien, reconnue plusieurs fois par sa banque, consistant dans le fait d'avoir été contactée par une personne prétendant être un technicien ou employé de la SA BNP Paribas, étant parfaitement informée de la nature et des opérations réalisées sur le compte bancaire, qui a créé deux bénéficiaires en faveur desquels douze virements ont été réalisés, au moyen d'un code généré par un terminal dédié et d'un code d'accès saisi dans l'espace de connexion,

- ces opérations ont été réalisées de manière frauduleuse, en dépit du dispositif de sécurité personnalisé mis en place par le biais d'un secret d'identification et de validation des ordres de virement, par piratage du compte de la société [K] Electricité et détournement de ses données confidentielles,

- en reconnaissant à plusieurs reprises l'existence de la fraude au faux technicien, la SA BNP Paribas a reconnu l'absence d'agissement frauduleux ou de négligence grave de sa cliente et était parfaitement consciente d'une faille possible des sécurités dont bénéficiait le dispositif sécurisé mis à sa disposition,

- la banque ne rapporte pas la preuve que l'opération litigieuse a été, dûment enregistrée et comptabilisée et n'a pas été affectée par une déficience technique ou autre,

- elle ne rapporte pas davantage la preuve que la création des deux bénéficiaires frauduleux a été faite avec une authentification forte, tant au moment de la création du bénéficiaire que de la validation de cette création, la carte TS n'ayant pas été authentifiée pour chacune des opérations dès lors que l'état des transactions fait apparaître spécifiquement la mention « inconnu » au lieu de la mention carte TS dans la colonne authentification,

- l'ajout de bénéficiaire(s) constitue une opération de paiement consistant à transférer des fonds.



Selon l'article L. 133-6 I du code monétaire et financier, 'Une opération de paiement est autorisée si le payeur a donné son consentement à son exécution.' 



L'article L. 133-7 alinéa 1 de ce code précise que : 'Le consentement est donné sous la forme convenue entre le payeur et son prestataire de services de paiement.'



L'article L. 133-23 dispose que : 'Lorsqu'un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l'opération de paiement n'a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l'opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu'elle n'a pas été affectée par une déficience technique ou autre.

L'utilisation de l'instrument de paiement telle qu'enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l'opération a été autorisée par le payeur ou que celui-ci n'a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière.

Le prestataire de services de paiement, y compris, le cas échéant, le prestataire de services de paiement fournissant un service d'initiation de paiement, fournit des éléments afin de prouver la fraude ou la négligence grave commise par l'utilisateur de services de paiement.'



L'article L. 133-2 du code monétaire et financier prévoit que : 'Sauf dans les cas où l'utilisateur est une personne physique agissant pour des besoins non professionnels, il peut être dérogé par contrat aux dispositions ['] des articles ['] L. 133-23...'



Il ressort des pièces et des déclarations des parties que les 9 virements restant en litige d'un montant respectif de 23 500 euros, 24 700 euros et 32 500 euros réalisés au profit de la société « [P] [R] » située en Allemagne et de 34 500 euros, 35 000 euros, 44 800 euros, 20 000 euros, 32 908,54 euros et 45 000 euros réalisés au profit de la société « HANDLER CONSULTING LIMITED » située en Irlande ont été effectués à distance le 22 janvier 2021, au moyen de l'instrument de sécurité personnalisé que constitue la 'carte TS' prévu dans le contrat télématique conclu le 9 janvier 2013. 



Il ressort de l'enregistrement de l'appel téléphonique de Mme [K] du 22 janvier 2021 à la cellule fraude de la société BNP Paribas reproduit ci-après que Mme [K] a directement transmis des codes challenge au tiers fraudeur lui permettant d'effectuer les opérations nécessaires lors des étapes de la connexion :

Agent BNP : « Voilà pour juste récupérer les informations et après il vous appelle, il vous met en confiance. Grâce à ces informations, et là quand il va vous demander après les codes du lecteur, parce que c'est ça qu'il a besoin, c'est pour ça qu'il appelle. Il a besoin des codes qui s'affichent sur le lecteur. »

Mme [K] « oui le challenge ». 

Agent BNP « Oui, parce que là vous en avez donné. Ou pas des ' »

Mme [K] « Et oui et oui. Du coup, je me suis fait piéger comme une béotienne, comme une bleue. Je me suis fait piéger après c'est quand il m'a dit attendez, on risque d'être coupés parce qu'on n'a pas plus d'une demi-heure de connexion. Je vous rappelle, c'est moi qui vous rappelle ça m'a mis la puce à l'oreille. Je dis, mais non, ce n'est pas lui qui appelle, c'est moi qui appelle. Et puis effectivement, on a été coupés. Il m'a, il m'a rappelé. Moi j'ai raccroché parce que je me suis dit, c'est trop dangereux. Mais entre-temps, il m'avait déjà escroqué 3, 4 challenges, 1, 2, 3, 4, 5 challenges' »



Il est constant que les procédures engagées par la société BNP Paribas auprès des banques réceptrices ont permis à la société [K] Electricité de récupérer le montant de trois virements frauduleux.



Pour justifier son refus de remboursement des virements litigieux, la banque a indiqué à sa cliente par courrier du 24 février 2021 que :

« La chronologie des opérations montre que ces virements ont été émis par la société [K] Electricité sur le site Mabanque Entreprise dans le cadre du contrat télématique dont elle dispose et au moyen exclusif de la carte de transfert sécurisé, moyen d'authentification forte dont est titulaire Mme [K].

Cette carte à puce est protégée par un code PIN personnalisé et dont seul a connaissance le titulaire de la carte dont l'utilisation est obligatoire pour se connecter au site, créer un bénéficiaire et valider un virement. » (pièce de l'intimée n° 10) 



Aux termes du contrat télématique signé le 9 janvier 2013, la société [K] Electricité a souscrit au service « BNP Net Evolution » et s'est vue remettre un numéro d'abonné, une carte à puce personnelle, appelée carte de transfert sécurisée, protégée par un code confidentiel et un lecteur de carte de transfert sécurisé. Elle a par ailleurs reconnu avoir reçu un exemplaire des conditions générales de BNP Net entreprises et en avoir accepté l'ensemble des dispositions. 



Aux termes de l'avenant du 25 février 2015, Mme [K] a été identifiée comme mandataire disposant du numéro abonné [Numéro identifiant 4] et a déclaré pour le compte de la société [K] Electricité avoir pris connaissance des conditions générales BNP Net Evolution et de ses annexes ainsi que des conditions de fonctionnement de la carte de transfert sécurisé et les accepter.



Il ressort de l'article 5 des conditions générales « BNP Net Evolution » que :

« L'accès au Service nécessite la saisie par le Client d'un numéro d'identification ainsi que d'un mot de passe alphanumérique confidentiel et personnel qui sont tous deux attribués par la Banque lors de la souscription au Service.

'

Le ou les codes sont strictement confidentiels et personnels, en conséquence le Client est donc responsable de leur conservation et de leur utilisation.

' 

Il est également expressément convenu que toute consultation ou tout ordre effectué, soit au moyen de la carte Transfert Sécurisé et validé à l'aide du code confidentiel qui lui est attaché, soit lors de la saisie de la double clé (identifiant / mot de passe), est réputé de façon irréfragable émaner du Client lui-même ou de l'un de ses Mandataires tels que définis à l'article 6 des présentes. Le Client est donc seul responsable des éventuelles consultations ou manipulations frauduleuses réalisées à l'aide du Service. » (Pièce n° 2 de l'appelante).



L'article 8 des conditions générales de fonctionnement de la carte TS stipule que : 

 « Le Client est tenu solidairement et indivisément responsable de toutes les conséquences financières résultant de l'utilisation et de la conservation de la Carte par son Détenteur jusqu'à sa restitution à BNP Paribas ou jusqu'à sa mise en opposition dans les conditions prévues précédemment. (Pièce n° 4 de l'appelante).



Ces clauses contractuelles dérogent valablement aux dispositions du code monétaire et financier et permettent de présumer par la seule utilisation du dispositif de sécurité personnalisé, que les virements litigieux ont été valablement effectués sous la responsabilité du client, dès lors que ce dernier est responsable de la conservation de ses données personnelles.



De surcroît, il ressort du relevé informatique versé aux débats par la banque que les opérations de virements en cause ont été authentifiées, dûment enregistrées et comptabilisées et qu'elles n'ont pas été affectées par une déficience technique ou autre (pièce n° 8). 



Si comme le relève l'intimée la mention « inconnu » apparaît dans la colonne « Auth » pour l'ajout de bénéficiaires, la colonne « Mandataire » fait apparaître le numéro de la carte TS [Numéro identifiant 4] qui a servi à la validation de l'ensemble des actions réalisées le même jour et qui est celui de la carte de Mme [K]. 



En tout état de cause, l'opération de paiement est définie à l'article 133-3 I. du code monétaire et financier comme « une action consistant à verser, transférer ou retirer des fonds, indépendamment de toute obligation sous-jacente entre le payeur et le bénéficiaire, initiée par le payeur ou pour son compte, ou par le bénéficiaire », de sorte que seule l'exécution d'un ordre de paiement constitue une opération de paiement.



Il sera donc retenu que les virements litigieux ont été effectués avec la carte de transfert sécurisé de la société [K] Electricité et qu'ils ont été autorisés.



Sur le manquement au devoir de vigilance de la banque



La société BNP Paribas soutient que :

- aucun manquement au devoir de vigilance ne peut être reproché à la banque du payeur en cas d'exécution d'opérations de paiement autorisées,

- la société [K] Electricité ne démontre pas la prétendue connaissance par le fraudeur de données bancaires confidentielles attachées à son compte,

- la société [K] Electricité a toujours eu un interlocuteur privilégié au sein de la banque,

- les conditions générales « BNP NET EVOLUTION » et les conditions de fonctionnement de la « CARTE TRANSFERT SECURISE » qui contiennent, notamment, une clause exclusive de responsabilité en cas « d'éventuelles consultations ou manipulations frauduleuses réalisées à l'aide du Service », sont opposables à la société [K] Electricité, de sorte qu'elle n'a commis aucun manquement à son devoir de vigilance,

- or, les opérations de paiement en cause ont été validés à l'aide des codes confidentiels générés par Mme [K] au moyen de sa carte TS et à la demande du fraudeur, de sorte qu'aucun manquement à son devoir de vigilance ne saurait lui être reproché.



A titre principal, la société [K] Electricité soutient, en premier lieu, que les clauses des conditions générales invoquées par la SA BNP Paribas pour s'exonérer de toute responsabilité sont nulles dès lors qu'elles privent d'effet l'obligation essentielle du débiteur. En effet, toute clause contractuelle qui fait reposer sur le client la responsabilité des opérations frauduleuses réalisées à partir des données confidentielles que la banque doit sécuriser, vide de sa substance cette obligation essentielle et doit être réputée non-écrite. 

En second lieu, elle expose que la clause d'exonération de responsabilité invoquée par la banque ne pourrait avoir pour effet de l'exonérer qu'à la condition que celle-ci démontre que l'ajout des bénéficiaires et leur validation ont été exécutés soit au moyen de la carte de transfert sécurisé et validés à l'aide du code confidentiel qui lui est attaché, soit lors de la saisie de la double clé, identifiant/mot de passe, ce qu'elle ne démontre pas, de sorte que cette clause est inapplicable.

A titre subsidiaire, la société [K] Electricité soutient que la banque a manqué à son devoir général de vigilance et de prudence au motif que les opérations litigieuses présentaient des anomalies apparentes dans la mesure où 12 virements unitaires ont été exécutés en moins de 20 minutes pour le moins suspects et ne correspondant pas à ses pratiques habituelles : 

- à partir d'un compte (de gestion) qui n'enregistre aucun virement externe et qui est dédié à alimenter le compte principal de la société exclusivement, 

- à partir du compte principal qui n'enregistre aucun virement à un fournisseur isolé, 

- à destination de pays avec lesquels la société [K] Electricité, PME régionale, n'a aucune relation commerciale identifiée. 

Elle ajoute qu'aucun conseiller n'était dédié au suivi de ses comptes.



C'est vainement que la société [K] Electricité, sans préciser le fondement juridique de sa demande, fait valoir le caractère abusif des clauses contractuelles précitées au motif qu'elles videraient de toute substance l'obligation de la banque alors qu'instaurant cette présomption simple que l'utilisation des dispositifs de sécurité personnalisés répute l'opération autorisée et qu'il incombe au client, auquel ils sont confiés, une obligation de préservation des instruments de paiement, le contrat ne fait que décliner les obligations incombant au payeur prévues aux articles L. 133-19 et L. 133-16 qui disposent, notamment et respectivement, que 'IV. ' Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d'un agissement frauduleux de sa part ou s'il n'a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17" et que 'Dès qu'il reçoit un instrument de paiement, l'utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées. Il utilise l'instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation qui doivent être objectives, non discriminatoires et proportionnées'.



Aucune des clauses évoquées par la banque n'est une clause élusive de responsabilité en cas de défaillance de la procédure de sécurité du prestataire de services de paiement dès lors qu'il s'agit soit de clauses relatives à l'aménagement de la preuve (identification et consentement de l'utilisateur du service de paiement), soit de clauses relatives à la responsabilité du client pour les seuls faits qui relèvent de lui (conservation et utilisation de ses modes d'authentification et de ses mots de passe, utilisation abusive ou inappropriée du service).

Il n'en ressort donc pas un déséquilibre significatif entre les droits et obligations des parties et ces clauses ne privent pas de sa substance l'obligation essentielle de la banque, prestataire de services de paiement.



Il ressort des développements qui précèdent que les virements litigieux ont été autorisés et correctement exécutés. Dès lors que la responsabilité de la société BNP Paribas n'est pas recherchée en raison d'une opération de paiement non autorisée ou mal exécutée, la société [K] Electricité peut l'engager sur le fondement d'un régime de responsabilité autre que celui qui est prévu par les articles L. 133-1 et suivants du code monétaire et financier, et

notamment sur le fondement du régime de droit commun de la responsabilité contractuelle.

En application de l'article 1147 ancien, devenu 1231-1, du code civil, le débiteur est condamné, s'il y a lieu, au paiement de dommages et intérêts soit à raison de l'inexécution de l'obligation, soit à raison du retard dans l'exécution, s'il ne justifie pas que l'exécution a été empêchée par la force majeure.



Sauf disposition légale contraire, la banque est tenue à une obligation de non-ingérence dans les affaires de son client, quelle que soit la qualité de celui-ci, et n'a pas à procéder à de quelconques investigations sur l'origine et l'importance des fonds versés sur ses comptes ni même à l'interroger sur l'existence de mouvements de grande ampleur, dès lors que ces opérations ont une apparence de régularité et qu'aucun indice de falsification ne peut être décelé (Com., 25 sept. 2019, no 18-15.965, 18-16.421). Ainsi, le prestataire de services de paiement, tenu d'un devoir de non-immixtion dans les affaires de son client, n'a pas, en principe, à s'ingérer, à effectuer des recherches ou à réclamer des justifications des demandes de paiement régulièrement faites aux fins de s'assurer que les opérations sollicitées ne sont pas périlleuses pour le client ou des tiers.



S'il est exact que ce devoir de non-ingérence trouve une limite dans l'obligation de vigilance de l'établissement de crédit prestataire de services de payement, c'est, à la condition que l'opération recèle une anomalie apparente, matérielle ou intellectuelle, soit des documents qui lui sont fournis, soit de la nature elle-même de l'opération ou encore du fonctionnement du compte.



Ni les habitudes antérieures de la société intimée quant aux opérations qu'elle pratiquait sur son compte, ni le montant des virements, ni leur nombre, ni leur fréquence, ni leur destination vers des comptes détenus dans les livres de banques dûment agréées au sein d'un pays membre de l'Espace économique européen, ne constituaient des anomalies devant retenir la vigilance de la société BNP Paribas.



Cependant, la mention « inconnu » dans la colonne « Auth » pour l'ajout de bénéficiaires réalisé avant les virements litigieux, constituait une anomalie matérielle apparente qui était de nature à attirer l'attention de la banque et aurait dû l'inciter à se rapprocher de sa cliente, ce qu'elle n'a pas fait.



La société BNP Paribas a ainsi manqué à son devoir de vigilance et de diligence et a donc commis une faute engageant sa responsabilité.



Sur la responsabilité de la société [K] Electricité



A titre subsidiaire, la banque fait valoir que la société [K] Electricité a commis une négligence grave. 

Elle soutient que :

- la société [K] électricité précise que le tiers fraudeur disposait au téléphone d'informations confidentielles (numéro d'abonné, dernier virement réalisé) qui s'explique par un phishing (hameçonnage) préalable sur le matériel informatique de la société victime, qui a été reconnu au cours d'un échange entre la conseillère BNP Paribas et le fils de Mme [K] le 22 janvier 2021, 

- la société [K] Electricité a été gravement négligente en communiquant des codes challenges à un tiers,

- cette négligence est d'autant plus grave que la société [K] Electricité avait fait l'objet d'une prévention spécifique contre le type de fraude dont elle se prétend précisément avoir été victime, par mail du 22 décembre 2020, accompagné des « kit de sensibilisation ».

Elle en déduit que la négligence grave de la société [K] Electricité est donc caractérisée et exclut toute responsabilité de sa part. 



La société [K] Electricité réplique que l'allégation de la banque selon laquelle elle aurait été victime d'hameçonnage résulte des seules déclarations de Mme [E] (salariée de la société BNP Paribas) à partir d'une prétendue déclaration du fils de Mme [K] qui est contestée et cette seule circonstance est insuffisante à elle seule pour en tirer la conclusion que l'utilisateur a commis une négligence grave. Le fait qu'elle ait donné ou non les codes « challenge » est également insuffisant.

Elle forme un appel incident et sollicite en conséquence la réparation de son entier préjudice correspondant à la somme détournée.



Ainsi qu'indiqué, il ressort de l'enregistrement de l'appel téléphonique de Mme [K] à la cellule fraude de la société BNP Paribas que l'intimée a reconnu avoir communiqué ses codes challenge au fraudeur.



Mme [K] a donc commis une faute en donnant à un tiers ses codes confidentiels et personnels, et ce, alors que la société [K] Electricité avait été destinataire un mois auparavant par mail du 22 décembre 2020, d'un « kit de sensibilisation Entreprise Fraude » et d'un « kit Fraude Technicien » (pièce n° 9 de l'appelante).



C'est donc à juste titre que le tribunal a opéré un partage de responsabilité par moitié entre la société BNP Paribas et la société [K] Electricité. 



Le jugement sera par conséquent confirmé en ce qu'il a condamné la société BNP Paribas à payer à la société [K] Electricité la somme de 131 416,27 euros, majorée des intérêts au taux légal à compter du 4 février 2021. 



Sur les dépens et les frais irrépétibles



Aux termes de l'article 696, alinéa premier, du code de procédure civile, la partie perdante est condamnée aux dépens, à moins que le juge, par décision motivée, n'en mette la totalité ou une fraction à la charge d'une autre partie. L'appelante sera donc condamnée aux entiers dépens d'appel.



En application de l'article 700 du code de procédure civile, le juge condamne la partie tenue aux dépens ou qui perd son procès à payer à l'autre partie la somme qu'il détermine, au titre des frais exposés et non compris dans les dépens. Sur ce fondement, la société BNP Paribas sera condamnée à payer la somme de 3 000 euros à la société [K] Electricité.





PAR CES MOTIFS,



CONFIRME le jugement du tribunal de commerce de Paris du 8 novembre 2022 ; 



Y ajoutant,



CONDAMNE la société BNP Paribas à payer à la société [K] Electricité la somme de 3 000 euros sur le fondement de l'article 700 du code de procédure civile ;



CONDAMNE la société BNP Paribas aux entiers dépens d'appel ;



REJETTE toute autre demande.





* * * * *



 Le greffier Le président