ARRET N°
du 15 novembre 2022
N° RG 22/00235 - N° Portalis DBVQ-V-B7G-FD3Y
Société CAISSE DE CREDIT MUTUEL [Localité 8]
c/
[H]
Formule exécutoire le :
à :
Me Manuel ZAJARA
la SELARL PELLETIER ASSOCIES
COUR D'APPEL DE REIMS
CHAMBRE CIVILE-1° SECTION
ARRET DU 15 NOVEMBRE 2022
APPELANTE :
d'un jugement rendu le 24 janvier 2022 par le TJ de REIMS
Société CAISSE DE CREDIT MUTUEL [Localité 8]
[Adresse 4]
51100 [Localité 8]
Représentée par Me Manuel ZAJARA, avocat au barreau de REIMS, avocat postulant, et Me Jean-Baptiste ZAAROUR, avocat au barreau de VALENCIENNES, avocat plaidant
INTIME :
Monsieur [I] [H]
[Adresse 3]
[Localité 5]
Représenté par Me Thierry PELLETIER de la SELARL PELLETIER ASSOCIES, avocat au barreau de REIMS
COMPOSITION DE LA COUR LORS DES DEBATS :
Madame Florence MATHIEU, conseillère, a entendu les plaidoiries, les parties ne s'y étant pas opposées ; en a rendu compte à la cour lors de son délibéré.
COMPOSITION DE LA COUR LORS DU DELIBERE :
Madame Elisabeth MEHL-JUNGBLUTH, présidente de chambre
Madame Véronique MAUSSIRE, conseillère
Madame Florence MATHIEU, conseillère
GREFFIER :
Monsieur Nicolas MUFFAT-GENDET, greffier lors des débats et Madame Yelena MOHAMED-DALLAS , greffière lors du prononcé
DEBATS :
A l'audience publique du 03 octobre 2022, où l'affaire a été mise en délibéré au 15 novembre 2022,
ARRET :
Contradictoire, prononcé par mise à disposition au greffe le 15 novembre 2022 et signé par Madame Elisabeth MEHL-JUNGBLUTH, présidente de chambre, et Madame Yelena MOHAMED-DALLAS, greffière, auquel la minute a été remise par le magistrat signataire.
EXPOSE DU LITIGE
Monsieur [I] [H] est sociétaire de la Caisse de Crédit Mutuel [Localité 8].
Il dispose du service de banque à distance qui permet d'effectuer diverses opérations en ligne. Il a également souscrit à l'offre de crédit renouvelable ETALIS qui permet d'échelonner le paiement de certaines opérations en plusieurs mensualités sur une durée de 4 à 18 mois en fonction de leur montant. Le crédit renouvelable, pour se déclencher, suppose l'envoi préalable d'une notification au client (e-mail, SMS ou notification smartphone).
Le 10 août 2020, M. [H] recevait un SMS validant son inscription au service confirmation mobile sur l'application mobile «'crédit mutuel'», avec un code de confirmation.
Le 18 août 2020 à 8h33, Monsieur [I] [H] a reçu plusieurs SMS lui proposant d'étaler quatre achats réalisés par carte bancaire le 14 août 2020, les trois premiers pour un montant de 999,82 euros chacun et le quatrième pour un montant de 390,97 euros.
Monsieur [I] [H] a immédiatement contacté sa conseillère, le 18 août 2020, par courrier électronique pour faire opposition et indiquer que son compte avait fait l'objet d'une fraude, ce dernier déclarant ne pas être à l'origine des paiements.
Monsieur [H] a déposé plainte à la gendarmerie le jour même, son relevé bancaire faisant apparaître cinq virements litigieux pour une somme totale de 3 490,43 euros concernant des achats à [Localité 9] et à [Localité 7].
Monsieur [I] [H] a sollicité sa banque pour que la somme frauduleusement débitée de son compte y soit recréditée. Le Crédit Mutuel refusait le remboursement de la somme réclamée.
Entre les mois de septembre et de novembre 2020, Monsieur [I] [H] a saisi le médiateur du Crédit Mutuel, le défenseur des droits, l'association UFC que choisir, le directeur général de la caisse fédérale du Crédit Mutuel nord europe et une conciliatrice de justice.
Tous ces recours amiables ayant été vains, Monsieur [I] [H], par acte d'huissier en date du 26 février 2021, a fait assigner la Caisse fédérale du Crédit Mutuel Nord Europe devant le juge du contentieux et de la protection de Reims aux fins d'obtenir le remboursement de la somme de 3 490,43 euros ainsi que des dommages et intérêts. Le dossier a été transféré au pôle civil.
La CAISSE DE CREDIT MUTUEL DE [Localité 8] est intervenue volontairement à l'instance.
Par jugement en date du 24 janvier 2022, le tribunal judiciaire de Reims a':
- déclaré la Caisse de crédit mutuel [Localité 8] recevable en son intervention volontaire,
- déclaré Monsieur [I] [H] irrecevable en ses demandes à l'encontre de la CAISSE FEDERALE DU CREDIT MUTUEL NORD EUROPE,
- condamné la CAISSE DE CREDIT MUTUEL DE [Localité 8] à rembourser à Monsieur [I] [H] la somme de 3 490,43€ avec intérêts au taux légal à compter du 26 février 2021,
- débouté Monsieur [I] [H] du surplus de ses demandes,
- condamné la CAISSE DE CREDIT MUTUEL DE [Localité 8] à payer à Monsieur [I] [H] la somme de 1.200 euros à titre d'indemnité pour frais irrépétibles ainsi qu'aux dépens.
Par un acte en date du 11 février 2022, la Société Caisse de Crédit Mutuel [Localité 8] (ci-après désignée le Crédit Mutuel) a interjeté appel de ce jugement.
Aux termes de ses dernières écritures notifiées électroniquement le 15 septembre 2022, la banque Crédit Mutuel conclut à l'infirmation du jugement déféré et demande à la cour de condamner Monsieur [H] à lui payer la somme de 3.000 euros à titre d'indemnité pour frais irrépétibles.
Elle expose que le service «'confirmation mobile'» disponible sur l'application «'crédit mutuelle'» répond aux exigences de sécurité posées par la directive UE 215/2366 dite directive DSP2, et que cette procédure d'authentification forte est une procédure de vérification de l'identité de l'utilisateur avec vérification des opérations de paiement en ligne au moyen d'un élément que seul le client connaît (mot de passe, code...) et d'un élément que seul le client possède (téléphone mobile, carte à puce...).
Elle soutient que les opérations contestées par Monsieur [H] ont été dûment authentifiées, enregistrées et comptabilisées sans défaillance technique.
Elle fait valoir que le téléphone ayant validé les opérations contestées, opération de paiement pré-validées grâce aux données de paiement strictement personnelles de Monsieur [H], est le téléphone de ce dernier enrôlé préalablement à l'opération de paiement via son numéro téléphonique renseigné dans sa banque à distance.
Elle estime que la défaillance trouve sa source dans le comportement de l'utilisateur du service, la fraude étant opérée par l'intermédiaire des données personnelles de connexion, qui sont par définition personnelles et donc uniquement connues du client.
Elle soutient que Monsieur [H] a commis une grave négligence dans la mesure où il est établi que le 15 août 2020 la levée du blocage sécuritaire a été réalisée par l'utilisateur lui-même via les données de connexion et d'authentification de Monsieur [H] combinant les facteurs de connaissance de possession.
Elle ajoute que Monsieur [H] avait déjà utilisé le système de paiement ligne à plusieurs reprises de sorte que c'est à tort que le tribunal a estimé que ce dernier était un consommateur non averti.
Aux termes de ses dernières écritures notifiées électroniquement le 11 juillet 2022, Monsieur [I] [H] conclut à l'infirmation partielle du jugement entrepris et demande à la cour de condamner la banque à lui payer les sommes de':
-3.490,43 euros à titre de remboursement des sommes avec intérêts au taux légal à compter du 26 février 2021, délivrance de l'assignation,
-1.200 euros au titre des frais irrépétibles de première instance,
-3.000 euros à titre de dommages et intérêts en réparation de son préjudice pécuniaire et moral,
-5.385 euros au titre des frais irrépétibles exposés à hauteur d'appel.
Il soutient qu'il appartient à la banque de prouver la faute du client et non à ce dernier de se justifier .
Il explique qu'il a été victime d'une fraude et qu'il résulte des débats que les opérations ont été réalisées à [Localité 7] et à [Localité 9] pour des montants qui ne sont pas en relation avec son niveau de vie et ses habitudes.
Il estime que la banque a résisté de manière abusive à ses demandes en paiement, dans la mesure où il a utilisé toutes les voies amiables et indique que cette situation le mine et qu'il est désormais sous antidépresseurs et sous somnifère.
L'ordonnance de clôture a été rendue le 20 septembre 2022.
MOTIFS DE LA DECISION
Sur la demande en remboursement par Monsieur [H] des sommes prélevées sur son compte bancaire
Aux termes de l'article 1353 du code civil, celui qui réclame l'exécution d'une obligation doit la prouver.
Réciproquement, celui qui se prétend libéré doit justifier le paiement ou le fait qui a produit l'extinction de son obligation.
Aux termes de l'article L 133-23 du code monétaire et financier, lorsqu'un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l'opération de paiement n'a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l'opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu'elle n'a pas été affectée par une déficience technique ou autre.
L'utilisation de l'instrument de paiement telle qu'enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l'opération a été autorisée par le payeur ou que celui-ci n'a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière. Le prestataire de services de paiement, y compris, le cas échéant, le prestataire de services de paiement fournissant un service d'initiation de paiement, fournit des éléments afin de prouver la fraude ou la négligence grave commise par l'utilisateur de services de paiement.
L'article L 133-19 du même code prévoit notamment qu'en cas d'opération de paiement non autorisée consécutive à la perte ou au vol de l'instrument de paiement, le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent, entre autres, du fait qu'il n'a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L 113-16 et L 133-17.
L'article L 133-17 est relatif à l'obligation de l'utilisateur de services d'informer sans tarder le prestataire de services en cas de perte ou de vol de sa carte bancaire.
L'article L 133-16 énonce que dès qu'il reçoit un instrument de paiement, l'utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées. Il utilise l'instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation qui doivent être objectives, non discriminatoires et proportionnées.
Si en application des articles L 133-16 et L 133-17, il appartient à l'utilisateur des services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ces dispositifs de sécurité personnalisés et d'informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l'instrument de paiement ou des données qui lui sont liées, c'est à ce prestataire qu'il incombe de rapporter la preuve que l'utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n'a pas satisfait intentionnellement ou par négligence grave à ses obligations. Or, cette preuve ne peut se déduire du seul fait que l'instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisées.
L'utilisation sans défaillance technique ou piratage des services de paiement en cause ne permet pas de présumer la négligence grave de l'utilisateur et ceci sans considération du niveau de sécurité offert par ces services de paiement.
Il résulte des articles L 133-9 IV et L 133-23 que s'il entend faire supporter à utilisateur d'un instrument de paiement doté d'un dispositif de sécurité personnalisé, les pertes occasionnées par une opération de paiement non autorisée rendue possible par un manquement de cet utilisateur, intentionnel par négligence grave, les obligations mentionnées aux articles L 133-16 et L 133-17, le prestataire de services de paiement doit aussi prouver que l'opération en cause a été authentifiée, dûment enregistrée et comptabilisée et qu'elle n'a pas été affectée par une déficience technique ou autre.
Il résulte de la copie de capture d'écran produite aux débats par Monsieur [H] que celui-ci a reçu les messages suivants sur son téléphone portable':
le 10 août à 20h 10':'«'inscription au service confirmation mobile sur l'application mobile «'crédit mutuel'». Code confirmation 362459, utilisable jusqu'à 20h25'»
le 18 août à 8 h33': trois messages identiques «'Etalis': pour étaler votre achat carte de 999,82 E du 14/08:app mobile Crédit mutuel (dans Comptes)cmne.fr ou[XXXXXXXX02] (service 0,12E'/min + prix appel)'; un message «'Etalis':pour étaler votre achat carte de 390,97 E du 14/08:app mobile Crédit mutuel (dans Comptes)cmne.fr ou[XXXXXXXX02] (service 0,12E'/min + prix appel).
Monsieur [H] démontre que dès le 18 août 2020 à 9h20, il a adressé un message à sa conseillère bancaire pour lui signaler qu'il venait d'être piraté pour plus de 4.000 euros. Dans le prolongement, le même jour, il a déposé plainte auprès de la gendarmerie d'[Localité 6] à 14h55. Le déroulement des démarches accomplies par Monsieur [H] établissent que Monsieur [H] a été victime d'un piratage et n'a pas voulu réaliser les opérations bancaires litigieuses.
Il ressort du relevé d'opérations que les transactions litigieuses ont été effectuées et enregistrées':
-le 14 août 2020 à 23h36 à [Localité 9] pour 999,82 euros
-le 14 août 2020 à 23h38 à [Localité 9] pour 999,82 euros
-le 14 août 2020 à 23h39 à [Localité 9] pour 999,82 euros
-le 14 août 2020 à 23h43 à [Localité 9] pour 390,97 euros
-le 15 août 2020 à 1h33 à [Localité 7] pour 100 euros.
L'examen du relevé bancaire de Monsieur [H] pour la période du 21 juillet au 20 août 2020 met en évidence le fait que ce dernier, âgé de 71 ans, bénéficie d'une retraite de 1.500 euros et réalise des opérations banales, à l'exception des transactions contestées effectuées à l'étranger.
En l'espèce, la banque estime que Monsieur [H] a commis une négligence grave dans la mesure où, d'une part, le téléphone ayant validé les opérations contestées est le téléphone de ce dernier, et d'autre part, Monsieur [H] ne fournit aucun élément probant sur les conditions dans lesquelles un fraudeur aurait pu être en possession de l'intégralité des données relatives à la connexion à sa banque à distance, de sa carte et de son téléphone. La banque Crédit mutuel expose que le service "confirmation mobile" disponible sur l'application "crédit mutuel" répond aux exigences de sécurité posées par la directive UE 215/2366 dite directive DSP2, et que cette procédure d'authentification forte est une procédure de vérification de l'identité de l'utilisateur avec véri{ication des opérations de paiement en ligne au moyen d'un élément que seul le client connaît (mot de passe, code...) et d'un élément que seul le client possède (téléphone mobile, carte à puce...).
Elle précise qu'après l'adhésion à l'application "confirmation mobile" l'authentification des paiements en ligne se fait comme suit :
-le sociétaire entre ses coordonnées de carte bancaire sur le site marchand (numéro de carte, nom du titulaire, numéro du cryptogramme visuel),
-il reçoit une notification sur l'application crédit mutuel du téléphone portable précédemment enrôlé qui reprend les caractéristiques de l'opération et que l'utilisatcur doit valider en renseignant le code confidentiel à six chiffres qu'il a choisi.
Elle souligne que les opérations contestées par Monsieur [I] [H] ont été dûment authentifiées enregistrées et comptabilisées sans défaillance technique en ce que :
- le l0 août 2020 à 20h10, un appareil a été enrôlé au service «'confirmation mobile'» ce qui signifie qu'une connexion a eu lieu via l'application mobile au service de banque à distance de Monsieur [I] [H] et qu'un code de confirmation à six chiffres a été envoyé par SMS sur son numéro de téléphone mobile : le [XXXXXXXX01] ;
- le code à six chiffres envoyé sur le numéro de téléphone mobile de Monsieur [I] [H] a été enregistré le l0 août 2020 à 20h11, validant ainsi la vérification de l'identité du sociétaire ;
- le 15 août 2020 à 00h26 un déplafonnement de la carte bancaire de Monsieur [H] a eu lieu via l'accès banque à distance, pour un montant de 4.500 euros à la place de 3. 000 euros ;
- le 15 août 2020 à 00h30 une nouvelle connexion avec authentification forte au service banque à distance a eu lieu ;
- le 15 août 2020 à 01 h31 un paiement de 100 euros a été enregistré ;
- le 15 août 2020 à 01h33 trois tentatives de paiement ont été bloquées par les contrôles sécuritaires, les transactions internet apparaissant suspectes
- le 15 août 2020 à 01h34 le blocage sécuritaire a été levé en réactivant les paiements à distance via l'application mobile en renseignant l'identifiant, le mot de passe et le code choisi pour faire fonctionner l'application "confirmation mobile";
- le 15 août 2020 de 01h36 à 01h42, quatre des cinq paiement contestés par Monsieur [H] ont été enregistrés pour un montant de 3.390.43 euros. La Caisse Crédit Mutuel communique les captures d'écran des connections et opérations enregistrées qui démontrent que les transactions litigieuses ont été effectuées à distance dans le cadre d'une procédure d'identification forte grâce à l'identifiant de Monsieur [H], au code adressé par SMS sur son téléphone portable (qu'il a effectivement reçu le 14 août 2020 pour l'adhésion au service «'confirmation mobile'» puisque Monsieur [H] le verse lui-même aux débats) et au code choisi lors de l'adhésion au service confirmation mobile.
S'il résulte des pièces produites par la banque que celle-ci démontre que les opérations litigieuses ont été soumises à sa procédure d'authentification, ont été enregistrées et comptabilisées et qu'il n'est justifié par Monsieur [H] d'aucune déficience technique ou autre, toutefois il convient de rappeler que c'est sur la banque que pèse la charge de la preuve s'agissant de la négligence grave commise par l'utilisateur à ses obligations. En effet, cette preuve ne peut se déduire du seul fait que l'instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisées.
Ainsi, la cour comme le premier juge estime que la banque ne peut déduire que Monsieur [H] a commis une négligence grave en s'abstenant de lui signaler qu'il avait reçu le 10 août 2020 à 20h10 un SMS contenant un code de confirmation indispensable à la souscription du service «' confirmation mobile'» (dont il est établi que Monsieur [H] a pris connaissance notamment après avoir reçu un autre SMS qui apparaît sur le même écran et relatif un paiement à distance qu'il reconnaît avoir effectué) s'il n'était pas à l'origine de cette demande d'inscription de service.
Le SMS reçu le 10 août 2020 à 20h10 est ainsi libellé':'«'inscription au service confirmation mobile sur l'application mobile «'crédit mutuel'».Code de confirmation 362459', utilisable jusqu'à 20h25'». Lorsque Monsieur [H] affirme que ce SMS n'a pas été de nature à l'inquiéter puisqu'il émanait de sa banque, qu'il pouvait s'agir d'une sollicitation commerciale, et que n'ayant rien demandé il n'a pas jugé utile de jour là d'y répondre ou de prendre contact avec sa banque, la banque Crédit Mutuel ne peut qualifier cette attitude de négligence grave. En effet, la négligence grave n'est caractérisée que lorsque le titulaire du compte a communiqué les données personnelles du dispositif de sécurité en réponse à un message qui contient des indices permettant à un utilisateur normalement attentif de douter de sa provenance.
Au cas présent, force est de constater que la banque Crédit Mutuel ne rapporte pas cette preuve qui lui incombe.
Dans ces conditions, aucune négligence grave n'étant établie à l'encontre de Monsieur [H], la banque est tenue de rembourser à son client la somme globale de 3.490,43 euros correspondante aux sommes indûment prélevées sur le compte bancaire de ce dernier, avec intérêts au taux légal à compter de la délivrance de l'assignation en date du 26 février 2021.
Par conséquent, il convient de confirmer le jugement déféré de ce chef.
Sur la demande en paiement de dommages et intérêts
Il résulte des pièces produites aux débats que la banque, par son attitude, a contraint Monsieur [H] à faire délivrer une assignation en paiement à son encontre, ce qui a engendré pour ce dernier des frais financiers et un indéniable préjudice moral. En effet, Monsieur [H] justifie':
-d'une part, de ce que la banque ne s'est pas rendue aux convocations ni devant le médiateur du crédit Mutuel ni devant le conciliateur de justice, adoptant par principe une attitude de résistance,
-d'autre part, qu'il a dû contracter le 2 octobre 2020 auprès de la banque Crédit Mutuel un plan d'apurement avec autorisation de découvert d'un montant de 2.000 euros pour faire face aux prélèvements frauduleux,
-et enfin qu'il a adressé de nombreux courriers et déployé une énergie considérable pour faire valoir ses droits, étant précisé que le montant des sommes engagées pour assurer sa défense (factures de frais d'avocat pour un montant total de 5.745 euros) est supérieur au montant de la fraude, ce qui est incontestablement générateur d'anxiété.
Dans ces conditions, la cour estime que la banque, par son attitude a causé à Monsieur [H] un préjudice financier et moral qu'il convient de réparer en allouant à ce dernier la somme de 2.000 euros à titre de dommages et intérêts.
Par conséquent, il convient d'infirmer la décision de ce chef.
*Sur les autres demandes
Conformément à l'article 696 du code de procédure, la Société Caisse de crédit mutuel [Localité 8] succombant, elle sera tenue aux dépens d'appel.
Les circonstances de l'espèce commandent de condamner la Société Caisse de crédit mutuel [Localité 8] à payer à Monsieur [H] la somme de 3.000 euros à titre d'indemnité pour frais irrépétibles et de la débouter de sa demande en paiement de ce chef.
PAR CES MOTIFS
La cour statuant publiquement et contradictoirement,
Infirme le jugement rendu le 24 janvier 2022 par le tribunal judiciaire de Reims, en ce qu'il a débouté Monsieur [I] [H] de sa demande en paiement de dommages et intérêts en réparation de son préjudice moral et financier,
Et statuant à nouveau,
Condamne la Société Caisse de Crédit Mutuel [Localité 8] à payer à Monsieur [H] la somme de 2.000 euros à titre de dommages et intérêts en réparation de son préjudice moral et financier,
Le confirme pour le surplus,
Y ajoutant,
Condamne la Société Caisse de Crédit Mutuel [Localité 8] à payer à Monsieur [I] [H] la somme de 3.000 euros à titre d'indemnité pour frais irrépétibles,
Condamne la Société Caisse de Crédit Mutuel [Localité 8] aux dépens d'appel.
LA GREFFIERE LA PRESIDENTE