Livv
Décisions

CA Colmar, ch. 3 a, 29 janvier 2024, n° 22/03496

COLMAR

Arrêt

Autre

CA Colmar n° 22/03496

29 janvier 2024

MINUTE N° 24/63

Copie exécutoire à :

- Me Thierry CAHN

- Me Laurence FRICK

Le

Le greffier

REPUBLIQUE FRANCAISE

AU NOM DU PEUPLE FRANCAIS

COUR D'APPEL DE COLMAR

TROISIEME CHAMBRE CIVILE - SECTION A

ARRET DU 29 Janvier 2024

Numéro d'inscription au répertoire général : 3 A N° RG 22/03496 - N° Portalis DBVW-V-B7G-H5N3

Décision déférée à la cour : jugement rendu le 23 août 2022 par le tribunal judiciaire de Mulhouse

APPELANT :

Monsieur [M] [F]

[Adresse 3]

[Adresse 3]

Représenté par Me Thierry CAHN, avocat au barreau de COLMAR

INTIMÉE :

S.A. SOCIETE GENERALE Société Anonyme au capital de 1.046.405.540 €, ayant pour numéro unique d'identification : 552 120 222 RCS PARIS.

Prise en la personne de sa Direction Commerciale Régionale de STRASBOURG, représentée par son Directeur domicilié audit siège.

[Adresse 1]

[Adresse 1]

Représentée par Me Laurence FRICK, avocat au barreau de COLMAR

COMPOSITION DE LA COUR :

L'affaire a été débattue le 20 novembre 2023, en audience publique, devant la cour composée de :

Mme MARTINO, Présidente de chambre

Mme FABREGUETTES, Conseillère

Mme DESHAYES, Conseillère

qui en ont délibéré.

Greffier lors des débats : M.BIERMANN

ARRET :

- contradictoire

- prononcé publiquement par mise à disposition de l'arrêt au greffe de la cour, les parties en ayant été préalablement avisées dans les conditions prévues au deuxième alinéa de l'article 450 du code de procédure civile.

- signé par Mme Annie MARTINO, présidente et M. Jérôme BIERMANN, greffier, auquel la minute de la décision a été remise par le magistrat signataire.

*****

FAITS CONSTANTS ET PROCEDURE

Monsieur [M] [F] est titulaire d'un compte joint n° [XXXXXXXXXX02] ouvert dans les livres de l'agence Mulhouse Europe de la Sa Société Générale.

Faisant valoir que le 18 mars 2020, il a été victime d'un virement frauduleux au débit de son compte, d'un montant de 7 500 €, qu'il n'a pas ordonné et auquel il n'a jamais consenti, Monsieur [M] [F] a, par acte du 19 mai 2021, assigné la Sa Société Générale devant le tribunal judiciaire de Mulhouse, aux fins de la voir condamner à lui verser la somme de 7 500 € en remboursement du virement frauduleux avec intérêts au taux légal à compter de la mise en demeure du 21 avril 2020, la somme de 1 000 € en réparation du préjudice moral subi ainsi que la somme de 1 000 € au titre de l'article 700 du code de procédure civile.

Il a expliqué avoir été victime d'un SMS frauduleux le 18 mars 2020 émanant de la Société Générale, l'invitant à réactiver son compte via un lien ; que ce lien l'a redirigé sur le site de sa banque en ligne sur laquelle il a renseigné ses identifiants ; que le SMS et le site étaient en réalité frauduleux ; qu'il a fait part de cette fraude au support téléphonique de la Société Générale dès qu'il a été informé du virement, afin qu'il soit annulé ou contre-passé ; que cependant, la banque, qui ne pouvait ignorer le caractère frauduleux du virement en raison de sa nature, de son montant et du fait qu'il n'avait jamais réalisé une opération d'une telle importance vers l'Allemagne, lui a réclamé le remboursement du virement, manquant ainsi à son devoir de vigilance.

La Sa Société Générale a conclu au rejet des demandes et à la condamnation du demandeur à lui payer la somme de 2 000 € par application de l'article 700 du code de procédure civile, relevant que Monsieur [M] [F] ne produisait pas de dépôt de plainte pénale ; que la lecture du SMS permettait de déduire facilement qu'il ne s'agissait pas d'un message de la banque, en ce

qu'il présente des anomalies et formule une demande incohérente ; que le demandeur a commis une négligence grave en communiquant ses identifiants, code secret, mot de passe temporaire permettant au tiers frauduleux de disposer de sa signature électronique ; que le demandeur ne peut lui faire grief de ne pas avoir pu récupérer les fonds, la réception de l'ordre de virement par le banquier récepteur le rendant irrévocable ; qu'elle a tenté en vain d'appliquer la procédure dite de Recall.

Par jugement du 23 août 2022, le tribunal judiciaire de Mulhouse a :

-débouté Monsieur [M] [F] de la totalité de ses prétentions,

-condamné Monsieur [M] [F] à verser à la Sa Société Générale la somme de 1 000 € sur le fondement de l'article 700 du code de procédure civile,

-condamné Monsieur [M] [F] aux entiers dépens,

-rappelé que l'exécution provisoire du jugement est de droit.

Pour se déterminer ainsi, le premier juge a retenu que l'opération de paiement de la somme de 7500 € a bien été autorisée par Monsieur [M] [F] ; que le SMS l'invitant à cliquer sur un lien présentait lui-même des anomalies ; qu'il ne peut reprocher à la banque un manquement à son devoir de vigilance, en ce qu'il a bien entré la totalité des codes de confirmation après les avoir sollicité auprès de sa banque et a suivi entièrement le processus d'authentification ; qu'il procédait régulièrement à des opérations à destination de l'Allemagne, de sorte que la destination du virement était insuffisante pour permettre à la banque de conclure au caractère frauduleux de l'opération ; que le compte du demandeur fait apparaître des virements réguliers de plusieurs milliers d'euros, de sorte que l'opération litigieuse ne pouvait en elle-même sembler disproportionnée.

Monsieur [M] [F] a interjeté appel de cette décision le 14 septembre 2022.

Par écritures notifiées le 30 octobre 2023, il conclut ainsi qu'il suit :

-recevoir l'appel et le dire bien fondé,

-rejeter l'intégralité des demandes, fins et conclusions de la Sa Société Générale,

-infirmer le jugement en toutes ses dispositions,

Statuant à nouveau,

-déclarer que la Sa Société Générale a manqué à son devoir de vigilance,

-condamner la Sa Société Générale à rembourser à Monsieur [M] [F] le montant du virement litigieux, à savoir la somme de 7 500 €, outre les intérêts légaux à compter de la mise en demeure du 21 avril 2020,

-condamner la Sa Société Générale à payer à Monsieur [M] [F] la somme de 1 000 € au titre de son préjudice moral du fait de la privation de jouissance de la somme correspondant au virement litigieux opéré, outre les intérêts légaux à compter du jugement déféré,

-condamner la Sa Société Générale à payer à Monsieur [M] [F] la somme de 3 000 € au titre de l'article 700 du code de procédure civile, dont 1 000 € pour la première instance et 2 000 € pour la procédure d'appel,

-condamner la Sa Société Générale aux entiers frais et dépens de première instance et d'appel, y compris ceux de l'article 10 du décret n° 96- 1080 du 12 décembre 1996 modifié par le décret n° 2001- 212 du 8 mars 2001.

Il rappelle avoir reçu de la Société Générale un SMS l'informant que son compte était temporairement verrouillé et qu'il devait le réactiver via un lien joint ; qu'il a réalisé l'opération de déverrouillage en entrant ses codes identifiant et code confidentiel ; qu'il ne s'est aperçu du caractère frauduleux du SMS et du site proposé au travers du lien que lorsqu'il a reçu un SMS de sa banque l'informant de la réalisation du virement litigieux ; que le jour même, il a informé la Société Générale qu'il n'était pas donneur d'ordre du virement et a demandé remboursement de la somme virée ; que l'intimée ne s'est pas exécuté malgré mise en demeure.

Il fait valoir qu'il était extrêmement difficile de déceler les prétendus anomalies contenues dans le SMS ; que l'intimée soutient à tort qu'un code secret à usage unique serait communiqué aux clients aux fins d'ajouter un bénéficiaire ou pour confirmer un virement ; qu'en l'espèce, l'authentification a été effectuée sur un portable qui n'était pas le sien avec un numéro qui n'était pas le sien, ce qui ne correspond pas aux exigences d'une authentification forte ; que la banque aurait d'autant plus dû être alertée sur le risque de fraude que le code de sécurité a été adressé sur un numéro autre que celui qui était renseigné sur son compte ; qu'il est de même inexact qu'il effectue régulièrement des

opérations à destination de l'Allemagne, d'autant plus pour un tel montant ; qu'au regard de l'importance de l'opération litigieuse, la banque aurait nécessairement dû l'interroger sur la nature de l'opération ; que l'article L 561-6 du code monétaire et financier mets à la charge de la banque un devoir de vigilance constante et d'examen attentif des opérations effectuées ; que la seule preuve de l'utilisation des identifiants par le client ne peut suffire à la décharger de sa responsabilité ; que la banque n'a pas procédé à la vérification du nom du bénéficiaire du virement frauduleux, ce qui lui aurait pourtant permis de détecter l'anomalie clairement apparente quant à la qualité du bénéficiaire ; que l'ajout du bénéficiaire et l'ordre de virement ont été exécutés de manière quasi simultanée ; que la concomitance des opérations va à l'encontre de la procédure d'identification forte ; que seuls les paiements via Internet sont sécurisés par une telle identification ; que le virement litigieux était instantané et que les fonds sont partis immédiatement sans besoin d'authentification, au bénéfice d'une banque Online à l'étranger.

Par écritures notifiées le 31 octobre 2023, la Sa Société Générale a conclu ainsi qu'il suit :

-déclarer Monsieur [M] [F] mal fondé en son appel,

-rejeter l'appel,

-débouter Monsieur [M] [F] de l'intégralité de ses fins, conclusions et demandes,

-confirmer le jugement en toutes ses dispositions,

-condamner Monsieur [M] [F] à payer à la Sa Société Générale la somme de 3 000 € au titre de l'article 700 du code de procédure civile,

-condamner Monsieur [M] [F] aux entiers dépens d'appel.

Elle fait valoir qu'avant que le virement litigieux soit effectué, l'appelant a reçu plusieurs SMS de sa part, dont un SMS contenant un code d'authentification à usage unique permettant l'activation du Pass Sécurité, qu'il a communiqué au fraudeur ; qu'après avoir renseigné ses identifiants et son code secret, il a transmis le code à usage unique communiqué par la banque ; qu'il a ensuite reçu un SMS confirmant l'activation du Pass sécurité, auquel il n'a pas réagi ; que l'ajout du compte bénéficiaire a été validé via le pass sécurité du client, ce dont Monsieur [F] a été immédiatement informé par SMS et de la possibilité de faire un virement sur ce compte ; qu'il n'a réagi que deux heures après que le virement frauduleux a été effectué, de sorte qu'il était trop tard pour annuler l'opération malgré la procédure qu'elle a engagée.

Elle fait valoir que Monsieur [F] a commis une négligence grave, au regard des dispositions de l'article L 133- 16 du code monétaire et financier ; qu'outre les code et identifiant remis au client pour l'accès aux services, des processus de sécurité supplémentaires sont obligatoires pour valider des opérations sensibles en ligne, tels que l'ajout d'un compte de bénéficiaire, à savoir le code sécurité et le pass sécurité, strictement confidentiels ; qu'aux termes de ses conditions générales, une fois l'authentification effectuée, la saisie du code secret ainsi que celle d'un code de sécurité et/ou l'utilisation d'un pass sécurité lorsqu'il est requis vaudra signature de l'abonné ; que l'exécution du virement nécessite au préalable que soit enregistré le Rib du compte du bénéficiaire, nécessitant l'usage du Pass sécurité ; qu'elle a donc exécuté un ordre de virement dûment authentifié, enregistré et comptabilisé, non affecté d'une déficience technique ; que seule une personne en possession du téléphone du titulaire du compte peut confirmer l'enregistrement du compte bénéficiaire.

Elle maintient que le SMS frauduleux présentait un caractère incongru et des anomalies permettant de déterminer qu'elle n'en n'était pas l'auteur ; qu'elle-même communique régulièrement des conseils pour éviter le phishing ; que l'appelant a commis une négligence grave justifiant que l'opération soit laissée à sa charge ; que dans son dépôt de plainte, il a reconnu avoir bien été destinataire des notifications opérées par la banque, sur le mobile qui était enregistré comme téléphone de sécurité.

Elle décline toute faute dans l'exécution de l'ordre de virement, l'opération ayant été authentifiée et validée ; qu'elle n'a pas manqué à son devoir de vigilance et que l'argumentation fondée sur les dispositions du code monétaire et financier relatives à la lutte contre le blanchiment et le financement du terrorisme est dénuée de pertinence ; qu'elle-même ne disposait d'aucune information lui permettant de détecter une fraude, l'opération ne présentant pas d'anomalie apparente ; que le compte présentait un solde suffisant pour permettre l'opération et que Monsieur [M] [F] avait déjà effectué des opérations depuis des comptes situés à l'étranger ou effectués en Allemagne ; que le devoir de non-ingérence du banquier lui faisait interdiction de se renseigner sur l'objet de virement litigieux, en l'absence d'anomalie apparente.

MOTIFS

Vu les dernières écritures des parties ci-dessus spécifiées auxquelles il est expressément référé pour plus ample exposé de leurs prétentions et moyens en application de l'article 455 du code de procédure civile ;

Le banquier est tenu à un devoir général de vigilance, lequel implique que ce dernier prête attention à certaines opérations réalisées par ses clients et qui transitent par leur compte bancaire dès lors qu'elles présentent un caractère anormal.

En vertu des articles L 133-6 et L 133-7 du code monétaire et financier, une opération de paiement est autorisée si le payeur a donné son consentement à son exécution. Le consentement est donné sous la forme convenue entre le payeur et son prestataire de services de paiement.

Aux termes des conditions générales de banque à distance applicable entre les parties, l'accès aux services n'est possible qu'au moyen de code, identique pour les accès par service Internet ainsi que par les services mobiles et le service client, soit, un code client de huit chiffres remis à l'abonné par son agence, également indiqué sur les relevés de comptes bancaires et un code secret de six chiffres, envoyé par courrier à l'abonné après acceptation de sa souscription au service par la Société Générale. De plus, des processus de sécurité supplémentaires sont obligatoires pour valider des opérations sensibles en ligne (ajout d'un compte de bénéficiaire, confirmation d'un paiement en ligne sécurisé') ou via le service client (ordre de virement...) ou accéder à des services sensibles (transfert par SMS, Paylib ou l'authentification par empreintes digitales ou faciales) : le code sécurité et le pass sécurité. Le code sécurité est communiqué à l'abonné soit par SMS, soit par un appel téléphonique selon le type de numéro de téléphone déclaré, sur le téléphone enregistré au préalable par l'abonné. Le pass sécurité doit être au préalable activé par l'abonné, l'activation étant validée par la saisie d'un code sécurité. La passation d'un ordre de virement instantané se fait exclusivement via le service Internet ou les services mobiles et nécessite la détention préalable d'un pass sécurité.

Le processus mis en place contractuellement entre les parties correspond à une authentification forte au sens de l'article L 133-4 du code monétaire et financier.

Il est constant que le 18 mars 2020, Monsieur [M] [F] a été destinataire à 16h28 d'un SMS dont le contenu est le suivant : « Bonjour Cher Client, Votre compte de Société Générale est temporairement verrouillé, veuillez le réactiver via le lien ci-dessous : [04] ».

L'appelant admet avoir suivi le lien et avoir entré son code client et son code secret en vue de débloquer son compte.

Lors d'un dépôt de plainte qu'il n'a effectué que le 12 octobre 2020, il admet avoir reçu deux notifications de sa banque, dont la deuxième précisait qu'un compte bénéficiaire a été ajouté ; qu'étant au travail, il n'a pas fait attention à ces notifications ; que vers 19h30, il a lu plus attentivement les messages et a constaté qu'un bénéficiaire avait été ajouté sur son compte vers 17h50, puis qu'un virement de 7 500 € avait été effectué entre 17h55 et 18 heures ; qu'il a alors contacté sa banque.

L'intimée justifie par la production des conditions générales du contrat, puis par des captures d'écran détaillant le process relatif à l'ajout d'un compte bénéficiaire et à l'exécution d'un virement, que ces opérations nécessitaient une validation de la part du client via son pass sécurité.

Monsieur [M] [F] affirme sans en rapporter aucune preuve que le code aurait été adressé sur un téléphone qui n'était pas celui qu'il avait déclaré auprès de sa banque pour la réception des codes de sécurité et pass sécurité et il sera relevé que cette affirmation est en contradiction avec les déclarations faites devant les services de police, par lesquelles il a admis avoir reçu des notifications de sa banque, qui communiquait donc bien avec lui sur son téléphone mobile.

Il a été par ailleurs relevé à juste titre par le premier juge que le message l'invitant à réactiver son compte présentait des anomalies, en ce que les noms communs sont affectés de majuscules aléatoires et que le lien proposé ne correspond pas à la Société Générale, mais à Socgeneral, ce qui aurait dû attirer l'attention de son destinataire et l'inciter à se rendre sur le site officiel de sa banque plutôt que de suivre le lien contenu dans le SMS adressé par « SocGene-ACV », expéditeur dont le seul intitulé aurait dû l'amener à adopter une attitude prudente et méfiante.

De même, Monsieur [M] [F] ne peut s'exonérer de sa responsabilité en faisant valoir qu'il se trouvait à son bureau et qu'il n'a plus prêté attention aux notifications de sa banque, alors qu'il était pourtant tout autant à son travail lorsqu'il a choisi de répondre au message de « SocGene-ACV » et de renseigner sans précaution des identifiants et codes remis par sa banque, dont il se devait d'assurer la confidentialité ; qu'il a de même été négligent en ne contactant sa banque que plus d'une heure et demie après avoir effectué l'opération litigieuse, alors que le deuxième SMS qu'il admet avoir reçu précisait qu'un compte bénéficiaire avait été ajouté ; que selon les dispositions de l'article L 133- 17 I du code monétaire et financier, l'utilisateur de services de paiement doit informer sans tarder, aux fins de blocage de l'instrument, son prestataire lorsqu'il a connaissance de la perte, du vol, du détournement ou de l'utilisation non autorisée de son instrument de paiement et des données qui lui sont liées.

Par ailleurs, l'examen des extraits du compte bancaire de l'intéressé permet de constater que ce dernier, qui disposait d'une adresse en Allemagne lors de l'ouverture de son compte en décembre 2011, a effectué courant 2020 différents virements par mandat pour des montants relativement conséquents, notamment 4 600 € le 6 janvier 2020, 61 820 € le 3 février 2020, de sorte qu'au regard des mouvements habituels de ce compte, dont la provision permettait d'effectuer le virement, l'opération litigieuse ne présentait pas de caractère apparemment anormal, de sorte que la banque ne pouvait refuser d'exécuter le virement dûment authentifié et n'avait pas à s'immiscer dans les affaires de son client.

Au regard de l'imprudence manifeste de l'appelant et de l'absence de manquement de la banque à son devoir de vigilance, le jugement déféré sera en conséquence confirmé en ce qu'il a rejeté les prétentions de l'appelant.

Sur les frais et dépens :

Les dispositions du jugement déféré quant aux frais et dépens seront confirmées.

Partie perdante, Monsieur [M] [F] sera condamné aux dépens de l'instance d'appel, débouté de sa demande au titre des frais irrépétibles et condamné à payer à l'intimée la somme de 1 000 € par application des dispositions de l'article 700 du code de procédure civile.

PAR CES MOTIFS

LA COUR, statuant publiquement, par arrêt contradictoire,

CONFIRME le jugement déféré,

Y ajoutant,

CONDAMNE Monsieur [M] [F] à payer à la Sa Société Générale la somme de 1 000 € par application des dispositions de l'article 700 du code de procédure civile,

DEBOUTE Monsieur [M] [F] de sa demande fondée sur l'article 700 du code de procédure civile,

CONDAMNE Monsieur [M] [F] aux dépens de l'instance d'appel.

Le Greffier La Présidente