Cour d'appel de Paris, Chambre 5-6, 27 mars 2024, 22/07753

Mots clés
Droit des affaires • Banque - Effets de commerce • Autres actions en responsabilité exercées contre un établissement de crédit • société • banque • transfert • prestataire • service • preuve • virement

Chronologie de l'affaire

Cour d'appel de Paris
27 mars 2024
Tribunal de commerce de Paris
21 mars 2022

Synthèse

  • Juridiction : Cour d'appel de Paris
  • Numéro de pourvoi :
    22/07753
  • Dispositif : Infirme la décision déférée dans toutes ses dispositions, à l'égard de toutes les parties au recours
  • Nature : Arrêt
  • Décision précédente :Tribunal de commerce de Paris, 21 mars 2022
  • Identifiant Judilibre :6605176f82fb0c00084cdf46
Voir plus

Résumé

Vous devez être connecté pour pouvoir générer un résumé. Découvrir gratuitement Pappers Justice +

Suggestions de l'IA

Texte intégral

Copies exécutoires REPUBLIQUE FRANCAISE délivrées aux parties le : AU NOM DU PEUPLE FRANCAIS COUR D'APPEL DE PARIS Pôle 5 - Chambre 6

ARRET

DU 27 MARS 2024 (n° , 12 pages) Numéro d'inscription au répertoire général : N° RG 22/07753 - N° Portalis 35L7-V-B7G-CFVQ4 Décision déférée à la Cour : Jugement du 21 Mars 2022 - tribunal de commerce de Paris - 6ème chambre - RG n° 2020049757 APPELANTE S.A. BNP PARIBAS [Adresse 1] [Localité 5] N°SIRET : 662.042.449 agissant poursuites et diligences de ses représentants légaux domiciliés en cette qualité audit siège Représentée par Me Dominique PENIN du LLP KRAMER LEVIN NAFTALIS & FRANKEL LLP, avocat au barreau de Paris, toque : J008, avocat plaidant INTIMÉE S.A.S. [X]-FONDERIE [Adresse 2] [Localité 4] N°SIRET : 329.360.424 agissant poursuites et diligences en la personne de ses représentants légaux domiciliés en cette qualité audit siège Représentée par Me Stéphane FERTIER de la SELARL JRF AVOCATS & ASSOCIES, avocat au barreau de Paris, toque : L0075 COMPOSITION DE LA COUR : En application des dispositions des articles 805 et 907 du code de procédure civile, l'affaire a été débattue le 20 Février 2024, en audience publique, les avocats ne s'y étant pas opposés, devant M. Marc BAILLY, président de chambre, et M. Vincent BRAUD, président, entendu en son rapport. Ces magistrats ont rendu compte des plaidoiries dans le délibéré de la Cour, composée de : M. Marc BAILLY, président de chambre M. Vincent BRAUD, président chargé du rapport MME Laurence CHAINTRON, conseillère Greffier, lors des débats : Mme Mélanie THOMAS ARRET : - Contradictoire - par mise à disposition de l'arrêt au greffe de la Cour, les parties en ayant été préalablement avisées dans les conditions prévues au deuxième alinéa de l'article 450 du code de procédure civile. - signé par Marc BAILLY, président de chambre et par Mélanie THOMAS, greffier, présent lors de la mise à disposition. * * * * * La société par actions simplifiée [X] Fonderie est titulaire d'un compte courant ouvert dans les livres de BNP Paribas et a adhéré au service « BNP Net Évolution » qui permet de gérer son compte par télétransmission et notamment, grâce à un dispositif de sécurité renforcé composé d'un lecteur sans fil, générant des codes confidentiels à usage unique, associé à une carte à puce nominative et personnelle, dite « carte Transfert sécurisé », d'adresser à la banque des ordres de virement à distance. Le mercredi 24 juin 2020, [H] [F], comptable de la société [X] Fonderie, était contactée par une personne indiquant être technicien pour BNP Paribas, qui lui aurait expliqué qu'il avait diagnostiqué des lenteurs sur l'espace de la banque et l'échec de la réalisation de certains virements, lui proposant de l'assister dans la réalisation de ces virements afin de trouver l'origine du problème. [H] [F] transmettait alors un code volatile. Son correspondant ajoutait alors deux nouveaux bénéficiaires et passait six virements internationaux pour un montant de 96 200 euros au débit du compte de la société par actions simplifiée [X] Fonderie et cinq virements internationaux pour un montant de 75 680 euros au débit de la société civile immobilière [X] Fonderie, soit un montant total de 171 880 euros. À la suite de procédures de rappel des fonds, la banque a remboursé la totalité des virements opérés à partir du compte de la société civile immobilière [X] Fonderie et trois virements sur les six virements opérés à partir du compte de la société par actions simplifiée [X] Fonderie, pour un montant total de 16 200 euros. Le 23 juillet 2020, la société par actions simplifiée [X] Fonderie a mis en demeure la banque de rembourser les sommes frauduleusement prélevées sur son compte et non remboursées, soit 80 000 euros. Le 2 septembre 2020, la banque a délivré à la société une fin de non-recevoir. Par exploit en date du 29 octobre 2020, la société par actions simplifiée [X] Fonderie a assigné la société BNP Paribas devant le tribunal de commerce de Paris afin de la voir condamner à rembourser les sommes frauduleusement prélevées sur son compte. Par jugement contradictoire du 21 mars 2022, le tribunal de commerce de Paris a : Condamné la SA BNP Paribas à rembourser à la SAS [X]-Fonderie la somme de 80 000 euros augmentée des intérêts au taux légal à compter du 23 juillet 2020, date de la mise en demeure et ce, jusqu'à parfait payement, Débouté la SAS [X]-Fonderie de sa demande de dommages et intérêts pour résistance abusive de la SA BNP Paribas, Condamné la SA BNP Paribas à payer à la SAS [X]-Fonderie la somme de 2 000 euros au titre de l'article 700 du code de procédure civile, Condamné la SA BNP PARIBAS aux dépens de l'instance, dont ceux à recouvrer parle greffe, liquidés à la somme de 74,01 € dont 12,12 € de TVA. Par déclaration remise au greffe de la cour le 15 avril 2022, la société anonyme BNP Paribas a interjeté appel du jugement. Par conclusions notifiées par voie électronique le 12 janvier 2024, la BNP Paribas demande à la cour de : Déclarer BNP Paribas recevable et bien fondée en son appel, Infirmer le jugement rendu le 21 mars 2022 par le tribunal de commerce de Paris en ce qu'il a : Condamné BNP Paribas à rembourser à la SAS [X]-Fonderie la somme de 80.000 € augmentée des intérêts au taux légal à compter du 23 juillet 2020, date de la mise en demeure et ce, jusqu'à parfait paiement Condamné BNP Paribas à payer à la SAS [X]-Fonderie la somme de 2.000 € au titre de l'article 700 du Code de procédure civile Condamné BNP Paribas aux dépens de l'instance, dont ceux à recouvrer par le greffe, liquidés à la somme de 74,01 € dont 12,12 € de TVA Et statuant à nouveau : Débouter la SAS [X]-Fonderie de l'intégralité de ses demandes à toutes fins qu'elles comportent. Condamner la SAS [X]-Fonderie à rembourser à BNP Paribas les sommes payées au titre de l'exécution provisoire. Condamner la SAS [X]-Fonderie à verser à BNP Paribas la somme de 5.000 € au titre de l'article 700 du Code de procédure civile ainsi qu'aux entiers dépens. Par conclusions notifiées par voie électronique le 18 novembre 2022, la société par actions simplifiée [X] Fonderie demande à la cour, au visa des articles L. 133-16 et suivants du code monétaire et financier, de : Confirmer le jugement rendu par le Tribunal de Commerce de Paris le 21 Mars 2022 en ce qu'il a condamné BNP Paribas à rembourser à la société [X] Fonderie la somme de 80.000€ ; Infirmer le jugement en ce qu'il a débouté la société [X] Fonderie de sa demande de paiement de la somme de 20.000€ en réparation du préjudice subi par [X] Fonderie ; Et, statuant à nouveau Condamner la société BNP Paribas à régler à la société [X] Fonderie la somme de 20.000€ en réparation du préjudice subi. En tout état de cause, Condamner la société BNP Paribas au paiement de la somme de 10.000 € sur le fondement de l'article 700 du code de procédure civile, ainsi qu'aux entiers dépens de première instance et d'appel dont le recouvrement sera effectué par la SELARL JRF & Associes représentée par Maître Stéphane Fertier conformément aux dispositions de l'article 699 du CPC. Pour l'essentiel, les parties développent les moyens et arguments suivants. Sur la preuve La SA BNP Paribas fait valoir que la SAS [X] Fonderie ne démontre pas que le fraudeur aurait été connecté sur son compte bancaire et que cette allégation est à la fin contredite par l'aveu du président de la société [X] Fonderie qui, lors de son dépôt de plainte, a précisé que sa comptable avait donné à l'escroc « les identifiants de son ordinateur » lui ouvrant ainsi un accès direct à l'espace personnel bancaire en ligne. La SAS [X] Fonderie fait valoir que l'article L133-23 du code monétaire et financier dispose notamment que « l'utilisation de l'instrument de paiement telle qu'enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l'opération a été autorisée par le payeur ou que celui-ci n'a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière » et la jurisprudence rappelle régulièrement que la preuve du fait que l'utilisateur a agi frauduleusement ou n'a pas satisfait intentionnellement ou par négligence grave à ses obligations ne peut se déduire du simple fait que les données liées aux dispositifs de sécurité personnalisés ont été utilisées. Or en l'espèce, la SAS [X] Fonderie n'a eu de cesse de démontrer que ces opérations n'étaient pas autorisées puisqu'elle n'a communiqué qu'un seul code lequel, valable deux minutes pour une unique opération n'a pu servir à valider les 16 opérations litigieuses. BNP Paribas procède par voie d'affirmation en prétendant que la société [X] Fonderie a « nécessairement » communiqué plusieurs codes au fraudeur, sans pour autant prouver que lesdits codes ont été générés et communiqués. Ainsi la banque ne respecte pas l'article L.133-23 du code monétaire et financier. Sur l'exécution des ordres de virements La SA BNP Paribas fait valoir qu'en application des articles L133-23 et L133-16 du code monétaire et financier, la banque est déchargée si elle démontre, au moyen d'un faisceau d'indices, que l'utilisateur a été négligent. Or il n'est pas contesté que les opérations litigieuses ont été réalisées grâce à la carte Transfert sécurisé (CTS) de M. [X], de sorte que ce dernier a nécessairement manqué à ses obligations contractuelles d'utilisation et de conservation de sa carte personnelle et de maintien de la confidentialité du Code PIN associé, et n'a pas dès lors pris toutes les mesures raisonnables pour préserver la sécurité du dispositif de sécurité personnalisé qui lui avait été remis puisqu'il a confié à Mme [F] la soin de réaliser et valider les virements au moyen du dispositif CTS alors même qu'elle ne pouvait en aucune manière utiliser la carte CTS de l'entreprise [X]-Fonderie et que les conditions contractuelles d'utilisation de la carte CTS interdisaient de déléguer cette carte et le code PIN associé. La société [X] Fonderie, titulaire du compte, a donc donné son consentement aux opérations de virement et en communicant les « codes volatiles » a commis une faute exclusive du dommage, comme le retient la jurisprudence. De plus en l'absence de l'utilisation d'un lecteur sécurisé sans fil, d'une carte Transfert sécurisé et la connaissance du code PIN de cette carte, il est impossible de se connecter au compte personnel de la société [X] Fonderie, de créer un bénéficiaire de virements et de lui virer des fonds. Il est ainsi impossible pour la société [X] Fonderie d'avoir validé trois ordres de virement avec un seul « code challenge » ou un « code réponse ». Or cette déclaration de la société [X] Fonderie n'est corroboré par aucune pièce. Mme [F] a nécessairement réalisé personnellement les virements en utilisant la carte Transfert sécurisé et le code PIN de M. [X] et l'on ne voit pas en quoi BNP Paribas se serait montrée défaillante. Seul le défaut de vigilance et l'extrême imprudence de Mme [F], qui s'est laissée surprendre par un escroc se faisant passer pour un technicien de BNP Paribas, explique la fraude. Conformément aux conditions générales de BNP Net Évolution, les trois ordres télématiques ordonnés au moyen du processus d'authentification forte ont été réputés avoir été autorisés par la société [X] Fonderie. La société [X] Fonderie ne contestant pas la validité et le respect des procédures, elle ne peut reprocher à la banque d'avoir effectuée les ordres donnés, ceux-ci n'étant ni frauduleux ni douteux d'un point de vue purement technique. Elle a commis une négligence grave en ce qu'elle a communiqué à un tiers les trois « codes réponse » (générés successivement par le boitier) permettant de valider les trois ordres de virement. La SAS [X] Fonderie fait valoir qu'elle n'a pas autorisé ces opérations et qu'un dysfonctionnement a affecté l'instrument « carte CTS » puisque dans son fonctionnement normal, un code volatile doit être généré pour chaque opération. Néanmoins, alors que la SAS [X] Fonderie n'a communiqué qu'un unique code challenge, supposé être valable deux minutes, le fraudeur est parvenu à réaliser, sur une durée de 2 heures 30, seize opérations (confirmation de deux nouveaux comptes, pour la SAS et la SCI, et de douze virements frauduleux à partir deux comptes), que BNP Paribas recense elle-même dans son courrier de septembre 2020. La défaillance du système de BNP est donc patente. L'article L.133-23 du code monétaire et financier impose à la BNP Paribas dans un premier temps de démontrer que l'opération en question « a été authentifiée, dûment enregistrée et comptabilisée et qu'elle n'a pas été affectée par une déficience technique ou autre » et dans un second temps, si la première condition est satisfaite, étant donné que l'utilisation de l'outil ne suffit pas nécessairement à démontrer que l'opération a été autorisée par le payeur, le prestataire doit, à ce moment-là, établir la négligence grave pour faire porter à son utilisateur la responsabilité des opérations. Or la BNP Paribas n'a pas démontré que l'instrument avait généré suffisamment de codes pour entreprendre les opérations et que chaque opération avait été autorisée par un code distinct. La société [X] Fonderie n'a communiqué qu'un code « challenge » et l'instrument ayant été affecté d'une déficience qui fait qu'à l'aide de ce seul code, le fraudeur a pu réaliser 16 opérations au lieu d'une, sur une durée de 2 heures 30 au lieu de deux minutes et pour se dédouaner la BNP Paribas tente d'inverser la charge de la preuve. Si la cour considérait que la société BNP Paribas est parvenue à démontrer que son instrument n'avait pas été affectée d'une déficience technique, la SAS [X] Fonderie n'a commis, en tout état de cause, aucune négligence grave susceptible de faire obstacle à l'obligation de remboursement de BNP Paribas. L'utilisation de la carte transfert par Mme [F] est légitime et connue puisqu'elle est la comptable unique de l'entreprise. Il s'agit d'un mode de gestion des affaires d'une société usuel et en tout cas non fautif, d'autant que la BNP Paribas avait une parfaite connaissance du fonctionnement comptable interne de la SAS [X]-Fonderie et du rôle de Mme [F]. Par ailleurs BNP Paribas ne démontre pas en quoi [X] Fonderie aurait dû identifier l'appel comme étant frauduleux puisque Mme [F] constatait d'importantes lenteurs sur son espace BNP Paribas, cette personne lui précisait le montant exact des sommes se trouvant sur les comptes des sociétés ainsi que le nom et l'adresse de certains fournisseurs de la société. Le contexte et les modalités de prise de contact ne permettaient pas à la SAS [X] Fonderie, comme à toute personne raisonnablement attentive, d'avoir un quelconque doute sur la licéité de cet appel. De plus, la jurisprudence a considéré que ne constituait pas un comportement gravement négligent le fait pour un utilisateur, en réaction à la réception d'un courriel, de compléter le fichier reçu par courriel, d'avoir livré son identifiant de connexion, son code confidentiel personnel, ses clés confidentielles et ses coordonnées personnelles, permettant ainsi au fraudeur d'accéder à son compte pour effectuer des payements. En ne communiquant qu'un seul code, les conséquences auraient donc dû s'en trouver limitées et, le préjudice de la SAS [X] Fonderie, en réalité, inexistant. La BNP Paribas affirme, sans le prouver que plusieurs codes ont été transmis. Dès lors elle ne remplit pas non plus la seconde condition posée par l'article L133-23 du code monétaire et financier, à savoir démontrer une négligence grave. Sur la faute de la BNP Paribas La SA BNP Paribas fait valoir qu'elle n'a commis aucune faute et que c'est la société [X] Fonderie qui a réalisé les ordres de virements sans qu'elle demande à la BNP Paribas de les valider ou de les exécuter. Il est établi que Mme [F] a utilisé la CTS, permis à l'escroc de prendre la main sur son ordinateur et confié à l'escroc les « codes réponse » du dispositif CTS. De plus, elle n'a pas manqué à son devoir de vigilance car si le banquier est tenu d'un tel devoir qui lui impose de s'opposer à toute opération qui présenterait une anomalie et d'en alerter son client, ce devoir se doit d'être combiné avec le principe de non-ingérence auquel est tenu le banquier, de sorte que ce dernier n'est tenu de relever que les anomalies apparentes. En l'absence d'anomalie apparente, il n'appartenait pas à la banque de vérifier le bien-fondé des virements réalisés par la société cliente au bénéfice de deux personnes physiques fussent-elles situées en Allemagne, BNP Paribas devant s'abstenir de s'immiscer dans la gestion du compte de la société ou dans la gestion de la société elle-même. Enfin la BNP Paribas a fait le nécessaire pour procéder aux demandes de « recall » auprès de la banque allemande, Solaris Bank, le 25 juin 2020 qui n'y a malheureusement pas répondu favorablement en sa totalité. Si une partie des fonds a pu être rapatriée au bénéfice de [X] Fonderie, ce n'est pas en raison d'un quelconque remboursement de BNP Paribas (et donc un prétendu aveu de responsabilité) mais uniquement car la demande de « recall », qu'elle avait mise en 'uvre, a fonctionné. La SAS [X] Fonderie fait valoir que la BNP Paribas a manqué à son devoir de vigilance en validant des virements douteux qui auraient dû attirer son attention, dans la mesure où ils étaient à destination de l'Allemagne alors que la SAS [X] Fonderie n'avait jamais effectué de virements internationaux ; étaient adressés à des personnes physiques étrangères à la société ; étaient de montant important ; étaient anormalement répétitifs sur une période de trois heures et étaient identifiés comme étant « urgents » alors que jamais la SAS [X] Fonderie ne passe de virements urgents. De plus, une irrégularité bancaire a eu lieu dès le troisième virement (à 11 heures 59) et s'est reproduite au septième virement (à 12 heures 13), sur les douze virements litigieux (le dernier virement étant passé à 14 heures 17). En effet, les virements de 25 000 et 23 680 euros, prélevés sur le compte de la SCI [X] Fonderie, étaient réceptionnés et contrôlés par BNP Paribas le 24 juin. Or ces deux virements n'étaient exécutés par BNP Paribas que le 27 juin et comptabilisés le 29 juin 2020, soit plusieurs jours après l'alerte à la fraude donnée par la société [X] Fonderie. BNP Paribas a donc exécuté des virements qu'elle savait être frauduleux, puisqu'elle avait été alertée en ce sens, depuis plusieurs jours, par la société [X] Fonderie, et que cette dernière a elle-même été alertée par un technicien de BNP Paribas. La BNP Paribas indique sans en apporter la preuve, avoir elle-même averti ses clients quelques mois auparavant sur les risques de fraudes dans le contexte de la crise sanitaire puisque le courriel produit ne fait état d'aucun destinataire ; ne fait mention d'aucune pièce jointe alors que le kit de sensibilisation est un fichier pdf qui aurait donc dû être joint et ne démontre pas que ce courriel ait été envoyé à la SAS [X] Fonderie, et encore moins reçu par celle-ci. De plus, la BNP Paribas savait pertinemment qu'elle était tenue à une obligation de vigilance, et doutait de la régularité des mouvements de fonds puisque c'est le service des fraudes de BNP Paribas qui a prévenu la SAS [X] Fonderie ; la BNP Paribas a contacté spontanément la société [X] Fonderie ; la majorité des virements a été remboursée dans les jours suivants la fraude. Mais ces démarches ont eu lieu trop tard pour qu'il soit considéré que BNP Paribas a bien accompli son devoir de vigilance. Par ailleurs BNP Paribas n'a pas immédiatement fait le nécessaire pour procéder aux demandes de « recall » auprès de la banque allemande, Solaris Bank, puisqu'elles ont eu lieu le lendemain de l'information de BNP Paribas de la fraude. C'est la tardiveté dans la demande de « recall », imputable à BNP Paribas, qui a empêché que les sommes prélevées frauduleusement soient restituées à la SAS [X] Fonderie. De plus BNP Paribas n'a, malgré les demandes, toujours pas modifié les identifiants et mots de passe de [X] Fonderie pour accéder à ses comptes, empêche aujourd'hui [X] Fonderie d'avoir accès à des instruments permettant de passer elle-même ses virements, et facture une intervention humaine chaque fois que [X] Fonderie passe un virement. Enfin, la BNP Paribas a reconnu sa responsabilité en remboursant la majorité des fonds et reconnaît que [X] Fonderie a été victime d'une fraude. Sur le préjudice moral et la résistance abusive La SA BNP Paribas fait valoir que la société [X] Fonderie ne produit aucun élément probant à l'appui de sa demande de réparation d'un prétendu préjudice moral ou de la résistance abusive de la BNP Paribas. Ni le quantum, ni la réalité de l'existence de ce prétendu préjudice moral ne sont explicités et démontrés, quant à la prétendue résistance abusive, il conviendrait que la société [X] Fonderie caractérise une faute de BNP Paribas. De plus la BNP Paribas apporte la preuve d'une négligence manifestement grave de la société [X] Fonderie, ou à tout le moins d'une autorisation des opérations de payement à l'aide d'un dispositif sécurisé, ce qui justifie qu'elle n'était ni juridiquement ni légalement tenue de prendre en charge le remboursement. La SAS [X] Fonderie fait valoir que la BNP Paribas a remboursé sans aucune contestation les virements frauduleux opérés lorsqu'ils étaient inférieurs à 10 000 euros, mais refuse de manière parfaitement infondée de rembourser les virements de plus grande importance, alors même que sa responsabilité est engagée au même titre pour tous les virements opérés. De plus la mauvaise foi et la résistance abusive de la société BNP Paribas ont abouti à une indisponibilité des fonds sur les comptes de la SAS [X] Fonderie pendant près de deux ans et a placé la société dans une situation délicate pour faire face aux dépenses courantes. Enfin la SAS [X] Fonderie a subi un préjudice moral et organisationnel. L'ordonnance de clôture a été rendue le 16 janvier 2024 et l'audience fixée au 20 février 2024. CELA EXPOSÉ, Il est établi par les pièces versées aux débats que les parties sont liées par un contrat de service permettant au client de consulter ses comptes et d'émettre des ordres en ligne, comprenant les conditions générales BNP Net Évolution (pièce no 17 de l'appelante), et les conditions générales de fonctionnement de la carte de transfert sécurisé (pièce no 4 de l'appelante). Lors de sa souscription audit service, la société cliente s'est vu remettre : ' un numéro d'abonné, ' une carte à puce personnelle, appelée carte de transfert sécurisé, protégée par un code confidentiel, ' un lecteur de carte de transfert sécurisé. Destinée à protéger les actions réalisées par la société cliente depuis son espace bancaire en ligne, la carte de transfert sécurisé utilisée avec son lecteur crée, à la demande de l'utilisateur, des clefs d'accès uniques et temporaires permettant de se connecter, d'ajouter des bénéficiaires ou d'effectuer des virements. Pour se connecter à l'espace bancaire en ligne, le titulaire de la carte de transfert sécurisé doit suivre les étapes suivantes. 1re étape, dans l'espace en ligne : ' Se rendre sur le site internet « Ma Banque Entreprise » ; ' Dans l'espace de connexion, indiquer son numéro d'abonné ; 2e étape, avec le lecteur : ' Allumer le boîtier et insérer la carte ; ' Appuyer sur la touche « CODE » du boîtier ; ' Saisir son code confidentiel sur le boîtier, qui affiche alors une clef d'accès numérique ; 3e étape, dans l'espace en ligne : ' Saisir la clef d'accès dans l'espace de connexion. Après s'être ainsi connecté, l'ajout de bénéficiaires ou la validation de virements n'est possible qu'en suivant, pour chacune de ces actions, les étapes suivantes. 1re étape, dans l'espace en ligne : ' Saisir le relevé d'identité bancaire du bénéficiaire ou les détails du virement dans l'espace en ligne, ce qui a pour effet de créer un « code challenge » dans l'espace en ligne ; 2e étape, avec le lecteur : ' Appuyer sur la touche « SIGN » du boîtier ; ' Saisir sur le boîtier le code « challenge » ; ' Saisir son code confidentiel sur le boîtier, qui affiche en réponse un code numérique ; 3e étape, dans l'espace en ligne : ' Saisir dans l'espace de connexion le code numérique. Seul [V] [X] était habilité à utiliser la carte de transfert sécurisé no [Numéro identifiant 3], laquelle était en fait utilisée par [H] [F] (pièce no 7 de l'appelante : plainte du 15 mai 2020). La société intimée sollicite de la société BNP Paribas la restitution des fonds sur le fondement des articles L. 133-16 et suivants du code monétaire et financier. 1) Sur le caractère autorisé des opérations de payement : Aux termes de l'article L. 133-6, paragraphe premier, alinéa premier, du code monétaire et financier dans sa rédaction applicable à l'espèce, une opération de payement est autorisée si le payeur a donné son consentement à son exécution. L'article L. 133-7, alinéas 1 et 2, du même code dispose : « Le consentement est donné sous la forme convenue entre le payeur et son prestataire de services de paiement. « En l'absence d'un tel consentement, l'opération ou la série d'opérations de paiement est réputée non autorisée. » L'article L. 133-23 du même code dispose : « Lorsqu'un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l'opération de paiement n'a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l'opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu'elle n'a pas été affectée par une déficience technique ou autre. « L'utilisation de l'instrument de paiement telle qu'enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l'opération a été autorisée par le payeur ou que celui-ci n'a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière. » En l'occurrence, l'intimée nie avoir autorisé les virements litigieux. Pour sa part, l'appelante invoque l'article 11.2 Validation des ordres et instructions ' Convention de preuve des conditions générales BNP Net Entreprises qui stipule : « Le client reconnaît et accepte en conséquence que l'utilisation de ces modes d'authentification et la saisie du mot de passe associé prouvent le consentement de chaque utilisateur aux instructions et ordres émis, et garantissent l'intégrité de celles-ci jusqu'à leur traitement et, à ce titre, l'engagent pleinement, dans la limite des pouvoirs consentis à chaque utilisateur. « En conséquence, toute consultation, instruction ou ordre émis dans le cadre du service est réputée de façon irréfragable émaner du client lui-même ou de l'un des utilisateurs. » En outre l'article 11.1 Preuve des opérations des même conditions générales stipule : « La banque apporte la preuve des opérations effectuées par l'intermédiaire du service, et la justification de leur comptabilisation au niveau des comptes banque, au moyen du récapitulatif des transactions établi quotidiennement et automatiquement par ses systèmes et conservé par elle sur support informatique. » Devant la cour, la société BNP Paribas verse aux débats le tableau des connexions du mandataire [Numéro identifiant 3] à l'espace personnel de la société [X] Fonderie (pièce no 21 de l'appelante). Elle prouve ainsi que les opérations en question ont été authentifiées au moyen de la carte de transfert sécurisé no [Numéro identifiant 3], dûment enregistrées et comptabilisées et qu'elles n'ont pas été affectées par une déficience technique ou autre. Est corrélativement réfutée l'affirmation de l'intimée selon laquelle la communication à l'escroc d'un seul code volatile aurait permis la réalisation de toutes les opérations frauduleuses. Par suite, en application de l'article L. 133-7, alinéa premier, précité et des clauses contractuelles liant les parties, les opérations de payement litigieuses sont présumées être autorisées par la société cliente. Cette présomption établie au profit du prestataire de services de payement ne saurait toutefois être qu'une présomption simple, conformément à l'article 1356, alinéa 2, du code civil selon lequel les contrats sur la preuve sont valables lorsqu'ils portent sur des droits dont les parties ont la libre disposition, mais ne peuvent établir au profit de l'une des parties une présomption irréfragable. Or, il est reconnu par la société BNP Paribas que la société [X] Fonderie a été victime d'une fraude au technicien (pièce no 9 de l'intimée : lettre de la banque du 2 septembre 2020), pour laquelle sa cliente a déposé une plainte (pièce no 7 de l'appelante). C'est d'ailleurs la banque elle-même qui a alerté la société [X] Fonderie de l'existence des virements en cause. Aussi bien l'appelante oppose-t-elle à la partie adverse « le défaut de vigilance et l'extrême imprudence de madame [F], qui s'est laissée surprendre par un escroc ». La présomption selon laquelle les opérations de payement litigieuses sont autorisées est ainsi renversée. Il résulte à suffisance de la plainte déposée, des réclamations de la société cliente et des réponses de la banque, que la société [X] Fonderie n'a pas consenti aux virements litigieux au sens des articles L. 133-6 et L. 133-7 précités. Il ne s'agit donc pas d'opérations de payement autorisées. Aux termes de l'article L. 133-18, alinéa premier, du code monétaire et financier, en cas d'opération de payement non autorisée signalée par l'utilisateur dans les conditions prévues à l'article L. 133-24, le prestataire de services de payement du payeur rembourse immédiatement au payeur le montant de l'opération non autorisée et, le cas échéant, rétablit le compte débité dans l'état où il se serait trouvé si l'opération de payement non autorisée n'avait pas eu lieu. Toutefois, aux termes de l'article L. 133-19, paragraphe IV, du même code, le payeur supporte toutes les pertes occasionnées par des opérations de payement non autorisées si ces pertes résultent d'un agissement frauduleux de sa part ou s'il n'a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17. 2) Sur la faute du payeur : L'article L. 133-16 du code monétaire et financier dispose : « Dès qu'il reçoit un instrument de paiement, l'utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés. « Il utilise l'instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation. » L'article L. 133-23, alinéa 2, du même code dispose : « L'utilisation de l'instrument de paiement telle qu'enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l'opération a été autorisée par le payeur ou que celui-ci n'a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière. Le prestataire de services de paiement, y compris, le cas échéant, le prestataire de services de paiement fournissant un service d'initiation de paiement, fournit des éléments afin de prouver la fraude ou la négligence grave commise par l'utilisateur de services de paiement. » En l'occurrence, l'article III Code confidentiel, paragraphe premier, des conditions générales de fonctionnement de la carte de transfert sécurisé stipule : « Un code personnel est communiqué confidentiellement par BNP Paribas au détenteur. « Le détenteur doit prendre toutes les mesures propres à assurer la sécurité de la carte et du code confidentiel qui lui est attaché. « Il doit donc tenir son code confidentiel absolument secret et ne le communiquer à quiconque. Il ne doit notamment pas l'inscrire sur la carte ni sur tout autre document et doit le composer à l'abri des regards indiscrets. » L'article VII Responsabilité du détenteur des mêmes conditions générales stipule : « Le détenteur est responsable de l'utilisation et de la conservation de la carte et du code confidentiel qui y est associé et de leur utilisation conformément aux présentes conditions de fonctionnement. « La responsabilité du détenteur est engagée jusqu'à la notification (par ses soins) à son agence, d'une opposition formulée dans les conditions ci-dessus. » L'article VIII Responsabilité du client des mêmes conditions générales stipule : « Le client est tenu solidairement et indivisément responsable de toutes les conséquences financières résultant de l'utilisation et de la conservation de la carte par son détenteur jusqu'à sa restitution à BNP Paribas ou jusqu'à sa mise en opposition dans les conditions prévues précédemment. » Il est constant que [H] [F] a utilisé la carte de transfert sécurisé personnelle d'[V] [X] (pièce no 1 de l'appelante), suivant le mode de gestion des affaires de la société [X] Fonderie destiné à permettre à son unique comptable de réaliser ses missions. Ce faisant, la société [X] Fonderie n'a pas satisfait intentionnellement aux obligations mentionnées à l'article L. 133-16 précité, puisqu'elle a délibérément utilisé l'instrument de payement en violation des conditions régissant sa délivrance et son utilisation. Si les échanges électroniques versés aux débats montrent que [H] [F] était l'interlocuteur opérationnel de la société BNP Paribas, il n'apparaît pas que la banque ait été informée de l'usage prohibé que la comptable faisait de la carte de transfert sécurisé de la société [X] Fonderie (pièce no 13 de l'intimée). Le tribunal a procédé à une juste appréciation des faits en considérant que la société [X] Fonderie avait nécessairement manqué à ses obligations contractuelles d'utilisation et de maintien de la confidentialité du code associé à la carte de transfert sécurisé. Un second manquement intentionnel aux obligations mentionnées à l'article L. 133-16 précité est établi en l'espèce, puisqu'il ressort de la plainte déposée par la société [X] Fonderie que la comptable a donné les identifiants de l'ordinateur à l'escroc, qui a alors pris en main l'ordinateur (pièce no 7 de l'appelante). L'intimée reconnaît à tout le moins que [H] [F] a communiqué à son correspondant un code volatile fourni par le lecteur de carte personnel. Quand bien même l'employée de la société [X] Fonderie était persuadée d'avoir affaire à un technicien de la banque, elle n'avait à lui révéler aucun code confidentiel. Au surplus, une telle divulgation ne pouvait se justifier si l'on suit l'intimée qui prétend que le fraudeur était connecté aux comptes de la société avant même d'entrer en contact avec elle. Dans ces circonstances, la société [X] Fonderie n'a pas pris toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés, et n'a pas utilisé l'instrument de payement conformément aux conditions régissant sa délivrance et son utilisation. Néanmoins la faute retenue contre l'utilisateur de services de payement ne le prive pas du droit d'invoquer le manquement du banquier à ses propres obligations en application des règles du droit commun de la responsabilité contractuelle (Com., 17 mai 2017, no 15-28.209). 3) Sur la faute du banquier : En application de l'article 1231-1, du code civil, le débiteur est condamné, s'il y a lieu, au payement de dommages et intérêts soit à raison de l'inexécution de l'obligation, soit à raison du retard dans l'exécution, s'il ne justifie pas que l'exécution a été empêchée par la force majeure. a) Sur le devoir du vigilance : Sauf disposition légale contraire, la banque est tenue à une obligation de non-ingérence dans les affaires de son client, quelle que soit la qualité de celui-ci, et n'a pas à procéder à de quelconques investigations sur l'origine et l'importance des fonds versés sur ses comptes ni même à l'interroger sur l'existence de mouvements de grande ampleur, dès lors que ces opérations ont une apparence de régularité et qu'aucun indice de falsification ne peut être décelé (Com., 25 sept. 2019, no 18-15.965, 18-16.421). Ainsi, le prestataire de services de payement, tenu d'un devoir de non-immixtion dans les affaires de son client, n'a pas, en principe, à s'ingérer, à effectuer des recherches ou à réclamer des justifications des demandes de payement régulièrement faites aux fins de s'assurer que les opérations sollicitées ne sont pas périlleuses pour le client ou des tiers. S'il est exact que ce devoir de non-ingérence trouve une limite dans l'obligation de vigilance de l'établissement de crédit prestataire de services de payement, c'est à la condition que l'opération recèle une anomalie apparente, matérielle ou intellectuelle, soit des documents qui lui sont fournis, soit de la nature elle-même de l'opération ou encore du fonctionnement du compte. La société [X] Fonderie invoque un manquement de la société BNP Paribas à son obligation de vigilance en ce que la banque n'a pas relevé les anomalies intellectuelles qui affectaient les virements litigieux, à savoir : ' ils étaient à destination de l'Allemagne alors que la société [X] Fonderie n'avait jamais effectué de virements internationaux ; ' ils étaient adressés à des personnes physiques étrangères à la société ; ' ils étaient de montant important ; ' ils étaient anormalement répétitifs sur une période de trois heures ; ' ils étaient identifiés comme étant « urgents » alors que jamais la société [X] Fonderie ne passe de virements urgents. Il est cependant constant que le service des fraudes de la société BNP Paribas a alerté sa cliente sur les virements litigieux. Contrairement à ce que prétend l'intimée, la banque a agi sans retard. La société [X] Fonderie a en effet exposé dans sa plainte : « Le technicien a alors pris en main l'ordinateur et peu de temps après un autre technicien BNP Paribas, qui était cette fois-ci un vrai technicien a appelé en expliquant qu'il y avait un grand nombre de virements anormaux qui s'effectuaient sur nos trois comptes ». L'intimée précise que le service des fraudes l'a interrogée à 14 heures 40 (pièce no 1 de l'intimée : relevé téléphonique). Or, les virements litigieux ont été réalisés entre 11 heures 57 et 14 heures 18 (pièce no 21 de l'appelante). La société BNP Paribas a ainsi satisfait à son devoir de surveillance. b) Sur le rappel des fonds : La société [X] Fonderie critique le retard avec lequel la société BNP Paribas a demandé le retour des fonds virés. À la suite de l'alerte donnée par le service des fraudes de la banque, la société [X] Fonderie a tenté de joindre son agence bancaire par téléphone à 14 heures 44 (pièce no 1 de l'intimée). N'y parvenant pas, elle signalait la fraude par un courriel à 14 heures 55. La société BNP Paribas a demandé le retour des fonds le lendemain 25 juin 2020, à 10 heures 31 (pièce no 8 de l'appelante). Le 1er juillet 2020, la banque destinataire des virements répondait que la provision du compte était insuffisante pour retourner trois des virements frauduleux, de 29 600 euros, 32 900 euros et 17 500 euros (pièce no 9 de l'appelante). À le tenir pour fautif, il n'est toutefois pas acquis que le délai écoulé entre le 24 juin 2020 à 14 heures 55 et le 25 juin 2020 à 10 heures 31 soit la cause de l'impossibilité de rappeler les trois virements susdits. En effet, huit des onze virements frauduleux ont néanmoins pu être annulés. Étant observé que les trois virements restants sont les trois premiers à avoir été ordonnés par la société par actions simplifiée [X] Fonderie le 24 juin 2020 entre 11 heures 56 et 12 heures 1, il n'est pas certain que le solde des comptes bénéficiaires aurait permis, trois heures plus tard, de rappeler les fonds. Le lien de causalité entre la faute imputée à la banque et le dommage subi par sa cliente n'est donc pas établi. Par ailleurs, le rappel partiel des fonds obtenu par la société BNP Paribas ne saurait valoir de sa part reconnaissance de responsabilité. c) Sur l'absence de modification des identifiants et des mots de passe : La société [X] Fonderie reproche à la banque de n'avoir toujours pas modifié ses identifiants et mots de passe pour accéder à ses comptes, malgré ses demandes (pièce no 15 de l'intimée : lettre officielle du 15 juin 2022). La faute ainsi reprochée est sans lien avec le dommage dont la société [X] Fonderie demande réparation, qu'il s'agisse du montant des virements litigieux, du préjudice moral né du refus de la banque de rembourser lesdits virements, ou de l'indisponibilité de ces fonds. La responsabilité de la société BNP Paribas n'étant pas engagée, le payeur doit supporter toutes les pertes occasionnées par les opérations de payement non autorisées, conformément aux dispositions du code monétaire et financier précitées. Le jugement critiqué sera infirmé en conséquence. Cette infirmation entraîne de plein droit la restitution des sommes versées en exécution du jugement, sans qu'il soit besoin de statuer de ce chef. Sur les dépens et les frais irrépétibles : Aux termes de l'article 696, alinéa premier, du code de procédure civile, la partie perdante est condamnée aux dépens, à moins que le juge, par décision motivée, n'en mette la totalité ou une fraction à la charge d'une autre partie. La société [X] Fonderie en supportera donc la charge. En application de l'article 700 du code de procédure civile, le juge condamne la partie tenue aux dépens ou qui perd son procès à payer : 1o À l'autre partie la somme qu'il détermine, au titre des frais exposés et non compris dans les dépens ; 2o Et, le cas échéant, à l'avocat du bénéficiaire de l'aide juridictionnelle partielle ou totale une somme au titre des honoraires et frais, non compris dans les dépens, que le bénéficiaire de l'aide aurait exposés s'il n'avait pas eu cette aide. Dans ce cas, il est procédé comme il est dit aux alinéas 3 et 4 de l'article 37 de la loi no 91-647 du 10 juillet 1991. Dans tous les cas, le juge tient compte de l'équité ou de la situation économique de la partie condamnée. Il peut, même d'office, pour des raisons tirées des mêmes considérations, dire qu'il n'y a pas lieu à ces condamnations. Les parties peuvent produire les justificatifs des sommes qu'elles demandent. La somme allouée au titre du secundo ne peut être inférieure à la part contributive de l'État majorée de 50 %.

Sur ce

fondement, la société [X] Fonderie sera condamnée à payer à la société BNP Paribas la somme de 2 000 euros au titre des frais irrépétibles. LA COUR,

PAR CES MOTIFS

, INFIRME le jugement ; Statuant à nouveau, DÉBOUTE la société [X] Fonderie de ses demandes ; CONDAMNE la société [X] Fonderie à payer à la société BNP Paribas la somme de 2 000 euros sur le fondement de l'article 700 du code de procédure civile ; CONDAMNE la société [X] Fonderie aux entiers dépens. * * * * * LE GREFFIER LE PRÉSIDENT
Note...

Décisions d'espèce similaires

Cour d'appel de Versailles, Chambre 13, 11 octobre 2022, 21/05906
Confirme la décision déférée dans toutes ses dispositions, à l'égard de toutes les parties au recours
Cour d'appel de Paris, Chambre 5-6, 20 décembre 2023, 22/03679
Confirme la décision déférée dans toutes ses dispositions, à l'égard de toutes les parties au recours
Cour d'appel de Paris, Chambre 5-6, 12 juin 2024, 22/10551
Confirme la décision déférée dans toutes ses dispositions, à l'égard de toutes les parties au recours
Cour d'appel de Paris, Chambre 5-6, 22 novembre 2023, 22/04074
Infirme partiellement, réforme ou modifie certaines dispositions de la décision déférée
Cour d'appel de Paris, Chambre 5-6, 8 novembre 2023, 21/20107
Confirme la décision déférée dans toutes ses dispositions, à l'égard de toutes les parties au recours