FAITS
Une dame W est titulaire dans les livres de la banque populaire d’Alsace Lorraine d’un compte de dépôt.
Le 2 septembre elle fait opposition sur sa carte bancaire en raison de débits frauduleux sur internet réalisés les 31 Août ou 1 septembre 2016 sur le site du magasin C discount pour 2269,96 € et sur le site Auchan.fr pour 2507,93 €.
Elle indique qu’au moment de ces transactions elle est en possession de sa carte qui est sous son contrôle. Elle sollicite le remboursement des débits ce que sa banque refuse. Elle fait valoir que les paiements ont été effectués sur des sites d’achat sécurisés avec les coordonnées complètes de la carte bancaire et l’utilisation d’un code sécurisé adressé par SMS sur son téléphone portable.
Elle assigne la banque devant le tribunal d’instance de Schiltigheim qui la déboute de sa demande. Elle interjette appel.
POSITION DE LA COUR D’APPEL
« En vertu des dispositions de l'article L. 133-16 du code monétaire et financier, dès qu'il reçoit un instrument de paiement, l'utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées. Il utilise l'instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation qui doivent être objectives, non discriminatoires et proportionnées.
L'article L 133-23 du même code dispose par ailleurs que lorsque l'utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l'opération de paiement n'a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l'opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu'elle n'a pas été affectée par une déficience technique ou autre. L'utilisation de l'instrument de paiement telle qu'enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l'opération a été autorisée par le payeur ou que celui-ci n'a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière. Le prestataire de services de paiement, y compris, le cas échéant, le prestataire de services de paiement fournissant un service d'initiation de paiement, fournit des éléments afin de prouver la fraude ou la négligence grave commise par l'utilisateur de services de paiement.
Il résulte en l'espèce des éléments du dossier que les deux achats litigieux dénoncés par Madame W. ont été réglés par utilisation de la carte bancaire de l'intéressée. Les opérations de paiement ont été certifiées à l'aide du procédé 3D Secure, soit par l'indication d'un code de confirmation, dont l'utilisateur avait été informé par envoi d'un SMS sur le téléphone dont le numéro était associé au nom de Madame W. et à son compte bancaire.
L'appelante étant restée en possession de sa carte bancaire, les opérations litigieuses n'ont pu être effectuées que par une personne en possession du numéro de la carte et des indications y figurant, cette personne ayant en outre accès au téléphone associé à cette carte.
Par mail du 2 septembre 2016, Madame W. a indiqué à la Banque Populaire qu'elle pensait s'être fait pirater son compte via un faux mail de Free. Elle a précisé que ce mail l'informait de ce que le prélèvement n'avait pas abouti et lui demandait de régler sa facture sous peine de suspension de sa ligne'; qu'elle n'a pas pris cela pour une tentative de fraude, les coordonnées de son RIB ayant changé récemment avec la fusion des régions.
Invitée à produire ce mail d'hameçonnage, ainsi que sa réponse contenant les informations divulguées afin de procéder au paiement sollicité, par jugement avant dire droit du 19 mars 2019, Madame W. n'y a pas déféré, se bornant à affirmer n'être pas en mesure de communiquer d'autres informations ou des documents complémentaires.
En appel, elle fait valoir qu'elle a simplement évoqué une hypothèse d'hameçonnage, mais n'a jamais réellement compris ou su comment les prélèvements litigieux avaient pu être effectués sur son compte.
Pour autant, il sera relevé que Madame W. a donné des précisions sur le mail de Free identifié par elle ensuite comme étant faux et a admis y avoir apporté une réponse, de nature à permettre un paiement de facture téléphonique'; qu'elle a donc nécessairement donné des indications confidentielles, sans se renseigner plus avant auprès de son opérateur téléphonique ni vérifier que le prélèvement automatique mis en place n'avait pas fonctionné'; que l'obtention d'un carte Sim correspondant à son numéro de téléphone n'a pu être obtenue que grâce à des informations confidentielles, renseignées lors de la demande opérée depuis une borne interactive le 31 août 2016, ainsi qu'il ressort du courrier de l'assistance Free en date du 18 janvier 2017.
L'envoi sans vérification élémentaire préalable, en réponse à un simple courriel, de données confidentielles ayant permis de mettre un tiers en possession, à la fois de son numéro de carte bancaire et de données autorisant la délivrance d'une carte Sim ouvrant la voie à une authentification d'un paiement dématérialisé, constitue une négligence grave de la part de l'appelante.
Compte tenu de ces éléments, c'est à juste titre que le premier juge a retenu, par des motifs pertinents que la cour adopte, que Madame W. avait manqué à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de paiement et a commis une négligence grave, exonérant la Banque Populaire de son obligation de lui rembourser les utilisations frauduleuses de son compte bancaire qui en ont résulté.
Par ailleurs, Madame W. ne peut arguer d'un manquement de la banque à ses obligations, en ce qu'elle n'aurait pas relevé les anomalies apparentes affectant les deux opérations litigieuses, alors que les sommes prélevées de son compte dépassaient chacune le montant de son propre salaire. En effet, les deux opérations ayant été authentifiées par un SMS envoyé sur le téléphone associé au nom de l'appelante, la banque n'avait pas à contrôler plus avant ces paiements autorisés ».
MISE EN PERSPECTIVE DE LA DECISION
C’est encore une fois le concept de négligence grave qui est au centre des débats et encore une fois ce sont des courriels frauduleux qui ont servi d’appât.
Sur cette question de la négligence grave rappelons qu’il appartient au PSP d’apporter la preuve de la faute du titulaire : Cassation commerciale 2 Octobre 2007 – 05-19889 – que la faute lourde ne se déduit pas (en clair de l’apposition du code querellé) Cassation civile 1. 28 mars 2008 – 07-10186 – même si un arrêt en date du 21 Novembre 2018 de la chambre commerciale – 17-18888 – a pu semer le doute ; Que la haute Cour contrôle la notion Cassation civile 1. 28 mars 2008 précitée ; Nous savons aussi que la banque est débitrice de l’information d’absence de défaillance technique : Cassation commerciale 12 Novembre 2020 – 19-12112.
Les ingrédients de ce contentieux sont tellement factuels que la notion de négligence grave est quasiment impossible à conceptualiser. Nous ne pouvons qu’additionner les cas. Nous savons que la réponse naïve à des courriels approximatifs est une négligence grave : Cassation commerciale 25 octobre 2017 – 16-11644 – 31 Mai 2016 – 14-29906 – Que le fait de laisser sa carte bancaire et son code secret dans un véhicule non fermé est une négligence grave, même sous l’empire des anciens textes (L 132-3 du CMF) Cassation commerciale 16 octobre 2012 – 11-19981.
Dans notre affaire et comme le note la cour : « L'envoi sans vérification élémentaire préalable, en réponse à un simple courriel, de données confidentielles ayant permis de mettre un tiers en possession, à la fois de son numéro de carte bancaire et de données autorisant la délivrance d'une carte Sim ouvrant la voie à une authentification d'un paiement dématérialisé, constitue une négligence grave de la part de l'appelante…. » Tout est dit.
Loïc Belleil, directeur de la recherche juridique de Case Law Analytics
Source : CA Colmar 12 avril 2021, RG 19/03528, L’essentiel du droit bancaire Juin 2021 p.3
Crédit photo : Severine Gutierrez, CC BY-SA 4.0 , via Wikimedia Commons