CA Versailles, ch. civ. 1-6, 27 novembre 2025, n° 24/05267
VERSAILLES
Arrêt
Autre
COMPOSITION DE LA JURIDICTION
Président :
PAGES
Conseillers :
MICHON, NEROT
EXPOSÉ DU LITIGE
A la suite de l'ouverture, le 02 août 2020, d'un compte sur la plateforme blockchain.io (dont la propriétaire et gestionnaire est la société Paymium, prestataire de services sur actifs numériques, enregistrée en cette qualité auprès de l'Autorité des marchés financiers ) et d'opérations de dépôt et de vente d'actifs numériques entre les 09 et 28 août 2020 au terme desquelles son compte était composé de 342.871 Uco (token renvoyant au projet de la société Uniris), monsieur [H] expose qu'il a constaté que de multiples opérations avaient été réalisées sur son compte le 10 octobre 2020 et informé la société Paymium, le 16 octobre 2020, qu'un tiers venait de 'pirater' son compte en lui dérobant ses actifs numériques.
Il relate que cette société lui a indiqué que ces opérations (consistant en l'envoi d'actifs numériques vers des portefeuilles tiers) impliquaient une validation via son adresse email, qu'il a déposé une plainte contre personne non dénommée auprès des services de police le 20 octobre 2020, qu'à la suite d'échanges avec cette société, en mars 2021, il a sollicité, en avril 2021, des informations sur l'ensemble des données et les transactions relatives à son compte et qu'après vaines demandes de restitution des fonds perdus adressées à la société Paymium en raison de l'inexécution à son sens fautive de ses obligations contractuelles, il l'a assignée en réparation de ses préjudices suivant acte du 22 décembre 2021.
Par jugement contradictoire rendu le 31 mai 2024 le tribunal judiciaire de Nanterre, rappelant que l'exécution provisoire de sa décision est de droit, a :
- rejeté la demande d'injonction formée par monsieur [S] [H] à l'encontre de la société Paymium, de produire les courriers électroniques de confirmation du 10 octobre 2020,
- débouté monsieur [S] [H] de l'intégralité de ses demandes formées à l'encontre de la société Paymium,
- condamné monsieur [S] [H] à payer à la société Paymium la somme de 2.100 euros au titre de l'article 700 du code de procédure civile (ainsi qu') aux entiers dépens de l'instance.
Par dernières conclusions (n° 2) notifiées le 05 septembre 2025, monsieur [S] [H], appelant de ce jugement selon déclaration d'appel reçue au greffe le 02 août 2024, demande à la cour, au visa des articles 514, 514-1, 789-5, 142 du code de procédure civile, L 54-10-5, L 133-16 et L 133-18 du code monétaire et financier, 1134, 1171, 1217, 1231-1, 1927 du code civil, 82 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel, L 423, L 111-1, L 212-2, R 212-1, L 121-1 et L 241-1 du code de la consommation:
- d'infirmer le jugement (entrepris),
statuant à nouveau
- de déclarer monsieur [S] [H] recevable et bien-fondé en l'ensemble de ses demandes, fins et conclusions,
avant dire droit
- d'enjoindre Paymium à communiquer l'ensemble des courriers électroniques de confirmation des opérations réalisées le 10 octobre 2020 sur le compte blockchain.io ou sur tout portefeuille que monsieur [S] [H] désignerait à cet effet,
sur le fond
- de juger que Paymium s'est rendue coupable d'une inexécution fautive de ses obligations contractuelles à l'égard de monsieur [S] [H],
- de juger que le dommage subi par monsieur [S] [H] trouve son origine dans l'inexécution fautive par Paymium de ses obligations,
en conséquence
- de condamner Paymium à verser 342.871 Uco sur le compte de monsieur [S] [H] ouvert sur la plateforme Blockchain.io,
- de condamner Paymium au paiement de la somme de 80.300,38 euros à monsieur [S] [H] au titre du gain manqué en raison des transactions non réalisées depuis octobre 2020,
- de condamner Paymium au paiement de la somme de 10.000 euros à monsieur [S] [H] au titre de son préjudice moral,
- de condamner Paymium au paiement de la somme de 10.000 euros à monsieur [S] [H] au titre de l'article 700 du code de procédure civile et des entiers dépens.
Par dernières conclusions notifiées le 27 décembre 2024, la société par actions simplifiée Paymium, visant les articles L 54-10-4, L 133-8 et L 133-16 du code monétaire et financier, 1915 et suivants du code civil, L 221-15 du code de la consommation, 32 et 33 du Règlement (UE) 2016/679, prie la cour :
- de confirmer le jugement (entrepris) en ce qu'il a : rejeté la demande d'injonction formée par monsieur [S] [H] à l'encontre de la société Paymium, de produire les courriers électroniques de confirmation du 10 octobre 2020 // débouté monsieur [S] [H] de l'intégralité de ses demandes formées à l'encontre de la société Paymium // condamné monsieur [S] [H] à payer à la société Paymium la somme de 2.100 euros au titre de l'article 700 du code de procédure civile (ainsi qu') aux entiers dépens de l'instance,
- de débouter monsieur [S] [H] de ses demandes,
y ajoutant
- de condamner monsieur [S] [H] à verser à la société Paymium la somme de 10.000 euros au titre de l'article 700 du code de procédure civile (ainsi qu') aux entiers dépens.
L'ordonnance de clôture a été rendue le 09 septembre 2025.
MOTIFS DE LA DÉCISION
Sur la demande de production de pièces détenues par une partie
Saisi de cette demande par monsieur [H] réclamant la production, sous injonction, de l'ensemble des courriers électroniques de confirmation des opérations litigieuses réalisées sur son compte le 10 octobre 2020 et que la société Paymium affirme lui avoir adressés, le tribunal, visant l'article 142 du code de procédure civile et, observant que les conditions générales d'utilisation qu'il produisait ne prévoyaient aucun délai pour informer le prestataire d'un accès frauduleux, si ce n'est l'emploi de l'adverbe 'rapidement', a rejeté cette demande en retenant une impossibilité de produire du fait que dans la relation entre la société Paymium et son prestataire de services, la société SendGried, il était prévu un délai de conservation de 7 jours, soit avant que monsieur [H] n'en formule la demande, le 02 mars 2021.
L'appelant reprend cette réclamation en s'étonnant qu'il ne reste aucune trace de ces courriels qu'il déclare n'avoir point reçus, compte tenu du nombre de transactions frauduleuses.
Il oppose à son adversaire qui ne s'appuie sur aucun fondement légal relatif au délai de conservation un document de la Commission nationale de l'informatique de des libertés (ou CNIL) prévoyant des délais de conservation des données en raison d'obligations légales en soutenant qu'elle ne peut lui opposer la convention avec son prestataire et qu'elle aurait dû respecter un délai de conservation de 3 ans.
Il estime enfin qu'alertée de la fraude le 16 octobre 2020, soit 6 jours après les faits, elle a commis une faute en ne les conservant pas.
Ceci étant exposé, il y a lieu de considérer que, contrairement à ce qu'affirme l'appelant, l'intimée se prévaut à juste titre de l'article 5 sous e) du Règlement européen sur la protection des données personnelles (ou RGPD) 2016/679 du 27 avril 2016, entré en vigueur en 2018 et que la CNIL a mission de faire respecter.
Si cette instance préconise, en l'absence de texte législatif ou réglementaire, des durées pertinentes de conservation en base active ou d'archivage, elle rappelle le principe général, énoncé à l'article 5 du RGPD, de limitation de la durée de conservation de données à caractère personnel, laquelle doit être cohérente et justifiée au regard de l'objectif de leur traitement ; à l'issue de l'utilisation courante, ces données doivent être effacées.
L'appelant ne démontre pas en quoi la durée de conservation des emails déterminée par SenGrid dans le respect du principe de minimisation contreviendrait aux préconisations de la CNIL.
Il ne peut, par conséquent, poursuivre la production de documents régulièrement effacés dans le souci de protéger ses données personnelles, étant au surplus relevé que s'il évoque à ce stade une faute de son adversaire dans le corps de ses écritures, leur dispositif ne saisit la cour que d'une demande d'injonction de produire avant dire droit, sans prétentions formalisant les éventuelles conséquences juridiques d'un défaut de conservation.
Le jugement mérite, par conséquent, confirmation de ce chef.
Sur l'engagement de la responsabilité du prestataire de services sur actifs numériques (ou : PSAN)
Sur le manquement au devoir de vigilance
Pour rejeter ce grief, le tribunal a d'abord jugé que monsieur [H] ne pouvait se prévaloir du devoir de vigilance renforcé qui s'inscrit dans le cadre de la lutte contre le blanchiment, le narcotrafic et la criminalité organisée avec une finalité d'intérêt général ; que s'il pèse, par ailleurs, une obligation générale de vigilance sur les établissements bancaires en leur qualité de prestataires de services de paiement, ils sont néanmoins tenus à un devoir de non-immixtion sauf à déceler des anomalies apparentes, et qu'il n'est pas démontré que les PSAN soient débiteurs d'une telle obligation ; qu'à assimiler-même l'exploitation de la plateforme blockchain.io à un tel service, la démonstration du caractère inhabituel des transactions n'est pas faite.
Enfin, il a jugé que faute de démonstration de l'existence de prestations spécifiques fournies par la société Paymium, les devoirs d'information et de conseil invoqués n'avaient pas vocation à s'appliquer.
L'appelant se prévaut de la position n° 2020-07 du 22 septembre 2020 de l'Autorité des marchés financiers, laquelle reprenait celle de l'Autorité de Régulation et de contrôle prudentiel (ou : ACPR) n° 2014-P-01 relative au bitcoin et il invoque l'article 3.1 des conditions générales d'utilisation de la plateforme blockchain.io pour dire que la société Paymium doit être qualifiée de prestataire de services de paiement.
Il soutient qu'elle doit donc se voir appliquer les dispositions du code monétaire et financier et la jurisprudence s'y rapportant, en particulier sur la mise en place d'un dispositif sécurisé, sur la sécurité de l'instrument de paiement et sa simple utilisation, sur le devoir de vigilance et sur la restitution des opérations non autorisées.
Factuellement, il met en avant le fait que 312 transactions ont été réalisées le 10 octobre 2020 sur son compte, ce qui le conduit à dire qu'à l'évidence celui-ci a fait l'objet de l'usage frauduleux d'un robot informatique les ordonnant, et qu'un tel débit constituait une anomalie apparente dans le fonctionnement de son compte que la société Paymium (qui prétend avoir mis à la disposition des utilisateurs, sans le démontrer, la possibilité de passer des ordres automatisés, massifs et rapides à l'aide de robots de trading) aurait dû détecter.
Il évoque, pour finir, la réglementation postérieure aux faits de l'espèce issue du Règlement UE 2023/1114 du Parlement européen et du Conseil adopté le 31 mai 2023 concernant les marchés crypto-actifs (dit MiCA) prévoyant notamment la responsabilité des prestataires en cas de pertes résultant d'incidents liés aux technologies de l'information et de la communication, tels les cyber-attaques, les vols ou les dysfonctionnements techniques, estimant que si le présent litige devait être jugé à l'aune de ce règlement, il serait indemnisé de son préjudice.
L'intimée qui approuve le tribunal en sa motivation relative à l'obligation de vigilance renforcée dont sont débiteurs les prestataires de services de paiement, répond à l'argumentation de son adversaire relative au devoir de vigilance de droit commun pour démontrer que les opérations en ligne litigieuses, s'inscrivant dans une pratique de vente et d'achats d'actifs financiers dans le but de tirer profit des variations de prix, n'avaient rien d'une anomalie apparente et échappaient à son contrôle
Ceci étant dit, dans le contexte d'une réglementation applicable aux PNAT devenue de plus en plus précise et contraignante, l'appelant ne peut se prévaloir de textes qui ne disposent que pour l'avenir.
A la date des faits litigieux, les prestataires de services de paiement étaient définis par l'article L 521-1 (1) du code monétaire et financier et par l'ordonnance n° 2017-1252 du 09 août 2017 comme regroupant 'les établissements de paiement, les établissements de monnaie électronique, les établissements de crédit et les prestataires de services d'information sur les comptes'.
A cette date, toujours, sous un titre IV intitulé 'autres prestations de services' (articles L 541-1 à L 54-10-5) et sous un chapitre X (L 54-10-1 à L 54-10-5) concernant les 'prestataires de services sur actifs numériques', l'article L 54-10-1 (applicable) posait un cadre juridique précis relatif à ces actifs en distinguant deux catégories, à savoir ;
' 1° Les jetons mentionnés à l'article L 552-2 à l'exclusion de ceux remplissant les caractéristiques des instruments financiers mentionnés à l'article L 211-1 et des bons de caisse mentionnés à l'article L 223-1.
2° Toute représentation numérique qui n'est pas émise ou garantie par une banque centrale ou par une autorité publique, qui n'est pas nécessairement attachée à une monnaie ayant cours légal et qui ne possède pas le statut juridique d'une monnaie, mais qui est acceptée par des personnes physiques ou morales comme un moyen d'échange et qui peut être transférée, stockée ou échangée électroniquement'.
L'article L 552-2 du code monétaire et financier introduit par la loi dite Pacte n° 2019/486 du 02 mai 2019 précise que 'Constitue un jeton tout bien incorporel représentant, sous forme numérique, un ou plusieurs droits pouvant être émis, conservés ou transférés au moyen d'un dispositif d'enregistrement électronique partagé permettant d'identifier, directement ou indirectement, le propriétaire dudit bien'.
Quant à la 'position-recommandation AMF 2020-07" invoquée, à la lire en son entier (contrairement à la reproduction tronquée de l'appelant), il apparaît que l'AMF répondait alors à la question (§10.1) : la fourniture du service d'achat d'actifs numériques en monnaie ayant cours légal relève-t-elle également du statut de prestataires de services de paiement '
Et, citant la position 2014-P-01de l'AMF selon laquelle 'dans le cadre d'une opération d'achat/vente de bitcoins contre une monnaie ayant cours légal, l'activité d'intermédiaire consistant à recevoir des fonds de l'acheteur de bitcoins pour les transférer au vendeur de bitcoins relève de services de paiement', elle indiquait :
'La fourniture de certains services, comme ceux mentionnés aux 2e et 4e de l'article L 54-10-2 du code monétaire et financier, dès lors qu'elle implique un encaissement de fonds pour le compte de tiers pourrait être qualifiée de fourniture de service de paiement au sens de l'article L 314-1 du code monétaire et financier. Fournir des services de paiement à titre de profession habituelle suppose la délivrance par l'ACPR d'un agrément de prestataire de services de paiement (PSP) (établissements de crédit, établissement de monnaie électronique ou établissement de paiement). Il est également possible pour un PSAN d'être mandaté comme agent/distributeur par un prestataire de services de paiement sur le fondement de l'article L 523-1 du code monétaire et financier. Ce PSP reste responsable des services de paiement fournis et enregistre les agents qu'il mandate auprès de l'ACPR. Un tel agrément n'est toutefois pas requis lorsque le PSAN encaisse des fonds qui lui sont dus. En effet, l'achat et la vente d'actifs numériques ne conduisent pas à l'encaissement de fonds pour le compte de tiers par le PSAN qui est bénéficiaire direct des fonds reçus dans le cadre de ces transactions. Cette activité ne constitue donc pas de la fourniture de service de paiement. (...)'.
Il en résulte que les cryptomonnaies appartiennent à un genre qui leur est propre, qu'un jeton a la nature d'un bien incorporel susceptible d'échanges entre personnes privées et qu'elles se distinguent du régime d'une monnaie ayant cours légal ou d'une monnaie électronique , l'article 1343-3 du code civil disposant que 'Le paiement, en France, d'une obligation de sommes d'argent, s'effectue en euros' et que l'appelant ne peut se fonder, dans les circonstances particulières du présent litige et de l'éclairage de l'AMF, de la position de l'ACPR telle qu'il la présente.
Ainsi, sauf à s'affranchir de ces diverses distinctions, monsieur [H] ne peut se prévaloir de l'assimilation des PSAN aux prestataires de service de paiement et réclamer, comme il le fait, que le régime spécial propre à ces derniers, prévoyant en particulier des obligations de sécurité et de remboursement, soient applicables aux premiers.
Cela étant, s'il est acquis que la responsabilité d'un prestataire de services de paiement est recherchée en raison d'une opération de paiement non autorisée ou mal exécutée, seul est applicable le régime de responsabilité défini aux articles L 133-18 à L 133-24 précités [qui transposent les articles 58, 59 et 60, paragraphe 1, de la directive 2007/64/CE] à l'exclusion de tout régime alternatif de responsabilité résultant du droit national (Cass civ 27 mars 2024, pourvoi n° 22-21200, publié au bulletin), le droit commun a vocation, a contrario, à trouver application du fait de l'éviction de ce régime autonome.
A considérer que l'obligation de vigilance suppose la mise en place de mesures concrètes de sécurisation et que le caractère massif, dans un temps restreint, de transfert d'actifs pourrait constituer une anomalie de fonctionnement propre à attirer l'attention, la société Paymium, qui évoque incidemment le principe de non ingérence auquel est tenu le banquier, souligne justement la particularité des faits de l'espèce en faisant valoir que les opérations de trading portent sur des actifs numériques sur une plateforme dédiée et que la circonstance qu'un compte opère, sur un marché très volatile, de nombreuses opérations d'échanges d'actifs numériques contre d'autres actifs numériques dans un délai très court et à des fins spéculatives ne constitue pas, en soi, une circonstance susceptible de laisser supposer qu'il s'agissait d'une anomalie apparente.
Le trading en ligne suppose, en effet, pour parvenir au rendement escompté, une action dynamique et réactive de ceux qui le pratiquent.
Elle est, par ailleurs, fondée à opposer à monsieur [H] qui lui reproche un défaut d'information sur la possibilité de paramétrer son compte pour passer des ordres automatisés à l'aide de robots de trading une documentation disponible en ligne dans sa version de septembre 2019 et à se prévaloir du fait qu'à aucun moment elle n'a été, elle-même, en mesure de contrôler, voire de soupçonner, les agissements malveillants d'un tiers utilisateur.
Semblablement, elle peut lui opposer une faute dans la conservation de son dispositif de sécurité personnalisé en se prévalant du fait qu'il n'avait pas activé le système d'authentification à deux facteurs préconisé par la plateforme.
De sorte qu'en invoquant ce manquement, monsieur [H] n'est pas fondé à solliciter la réparation du dommage résultant des pertes occasionnées.
Sur les manquements aux obligations du professionnel à l'égard du consommateur
L'appelant approuve le tribunal en ce qu'il lui a reconnu la qualité de consommateur, mais ce faisant, incrimine, outre un manquement à son devoir de vigilance de son adversaire (par simple renvoi à son moyen précédent), en premier lieu un manquement à son devoir de sécurité ainsi que la fausse publicité induite du fait de ces manquements, ensuite un manquement à son devoir d'information et de conseil.
sur le devoir de sécurité
S'agissant des fondements juridiques invoqués, les parties visent l'une et l'autre l'article L 421-3 du code de la consommation selon lequel 'Les produits et les services doivent présenter, dans des conditions normales d'utilisation ou dans d'autres conditions raisonnablement prévisibles par le professionnel, la sécurité à laquelle on peut légitimement s'attendre et ne pas porter atteinte à la santé des personnes'.
Il y a toutefois lieu de considérer que ce texte poursuit un objectif préventif permettant aux pouvoirs publics d'intervenir, qu'aux termes de l'article L 421-1 du même code sont visés le producteur et le distributeur dans la chaîne de commercialisation et qu'il ressort de la lettre de cet article L 421-3 comme de la doctrine ou de la jurisprudence qu'il n'a pas vocation à créer un régime de responsabilité autonome (Cass civ 1ère, 09 septembre 2020, pourvoi n° 19-11882).
L'article L 121-1 du même code tel que reproduit par l'appelant et sur lequel il fonde son moyen était relatif au délit de publicité trompeuse.
Lui a été substitué, par la loi du 03 janvier 2008, un texte relatif aux pratiques commerciales trompeuses et il convient de constater, en toute hypothèse, que monsieur [H] se borne à citer de brefs passages du site blockchain.io et de prises de parole de dirigeants de la société Paymium vantant la sécurité de sa technologie sans s'attacher à leur contexte pas plus qu'au caractère substantiel de l'information qui aurait déloyalement privé le consommateur de la possibilité de prendre sa décision en connaissance de cause.
Invoquant enfin l'article L 111.1 du même code selon lequel :
' Avant que le consommateur ne soit lié par un contrat de vente de biens ou de fourniture de services, le professionnel communique au consommateur, de manière lisible et compréhensible, les informations suivantes :
1° Les caractéristiques essentielles du bien ou du service, compte tenu du support de communication utilisé et du bien ou service concerné. (...)',
l'appelant tire argument de la 'facilité déconcertante avec laquelle le 'pirate informatique' a pu détourner les cryptomonnaies sur le compte blockchain.io' pour dire qu'à l'évidence, son adversaire ne dispose pas d'un système de sécurité optimisé qui est la préoccupation principale des utilisateurs de plateformes.
Il cite, à titre de comparaison, une plateforme concurrente qui conditionne le transfert et le retrait de tout actif à la mise en place d'une authentification à double facteur en reprochant à la société de ne pas satisfaire à cette obligation.
Mais, outre le fait que cet appelant paraît perdre de vue le manquement précis qu'il incrimine, à savoir la méconnaissance de l'obligation précontractuelle d'information sur la sécurité, il laisse sans réponse l'argumentation de l'intimée qui, pour démontrer qu'elle a satisfait à son obligation, lui oppose l'article 7.2 des conditions générales d'utilisation intitulé 'risque de perte des identifiants' qui stipule :
'l'utilisateur comprend et accepte que la perte, l'accès non autorisé, le vol ou la destruction de son portefeuille, de ses informations d'identification ou de ses clés privées peut entraîner la perte irrécupérable et permanente des cryptomonnaies et des jetons associés au compte ou au portefeuille applicable et que ni blockchain.io ni personne d'autre ne pourra accéder ou utiliser les cryptomonnaies et jetons associés',
outre sa communication mettant en relief la nécessité, pour les clients, de sécuriser l'accès à leurs comptes en ayant en particulier recours à l'activation d'une double authentification (dénommée 2FA) ou en complexifiant et diversifiant ses mots de passe.
Si bien que le grief articulé par monsieur [H] ne peut être retenu.
sur le devoir d'information et de conseil
L'appelant fait sur ce point valoir que la société Paymium, professionnelle débitrice de tels devoirs à l'égard du novice tel qu'il se dépeint, avait une parfaite connaissance des pratiques malveillantes sur sa plateforme, que ses informations et conseils étaient donc essentiels et qu'ils se sont révélés insuffisants faute d'attirer son attention sur le niveau de sécurité nécessaire, voire en contradiction avec les informations diffusées auprès du public ou même fausses dès lors que n'est pas assurée une sécurité optimale.
Mais l'intimée qui se prévaut, sans être démentie, du respect des standards contemporains de la profession en produisant (en pièce n° 9) les conditions générales d'utilisation d'une société concurrente renommée qui prévoyait, comme elle, le recours optionnel à une double authentification, est fondée à lui opposer l'article 5 de ses propres conditions générales d'utilisation selon lequel :
'Les risques essentiels sont liés à l'utilisation de l'identifiant et du mot de passe. Les clients ne doivent communiquer leurs mots de passe à aucune tierce personne et sont tenus de préserver leur confidentialité en toutes circonstances.
Ils sont également tenus, lorsqu'ils utilisent internet ou internet mobile, de prendre les mesures nécessaires pour préserver un niveau de sécurité élevé sur leur matériel informatique, en particulier il leur est conseillé d'activer un deuxième facteur d'authentification dont ils ne doivent confier l'accès à aucune personne.
Paymium ne saurait être responsable des conséquences du partage, de la perte ou du vol des identifiants, mots de passe ou 2FA du client qui lui sont strictement personnels'.
Dans le contexte des faits de l'espèce desquels il ressort qu'aucune faille informatique n'est incriminée mais que le sont l'absence de renforcement de la sécurité par le recours à l'option 2FA et la préservation d'un niveau de sécurité élevé sur le matériel utilisé, comme cela ressort de la plainte pénale déposée, la société Paymium est fondée à prétendre que la cause du préjudice de monsieur [H] ne réside pas dans le manquement à ses devoirs de conseil et d'information qui lui est vainement reproché.
Sur les manquements fondés sur la qualité de dépositaire de l'intimée
Pour rejeter ce moyen, le tribunal a rappelé les termes des articles 1915 et 1937 du code civil et les conditions de mise en oeuvre de la responsabilité du dépositaire en jugeant que les éléments soumis à son appréciation conduisent à retenir non point la faute du dépositaire défaillant dans son obligation de restitution mais uniquement la particulière négligence de monsieur [H] dont l'adresse électronique avait par deux fois fait l'objet de piratage, qui n'avait pas recouru à la double authentification ou contrôlé son compte durant plusieurs jours en considérant que ce dernier devait répondre de sa propre négligence.
Ce que conteste l'appelant qui se réclame liminairement d'une doctrine admettant que le contrat de prestation de services peut être également un contrat de dépôt ou d'une jurisprudence selon laquelle le dépositaire, même accessoire et pour peu qu'il soit rémunéré pour chaque transaction, doit démontrer qu'il a mis en oeuvre toutes les diligences propres à éviter la disparition de la chose.
Pour caractériser ce manquement, il renvoie la cour aux moyens précédemment présentés et critique l'argument de l'intimée se prévalant de la fourniture d'un service de conservation d'actifs et non point de dépôt ; il lui reproche de n'avoir pas mis en place les mécanismes de surveillance et de conservation appropriés pour éviter une introduction frauduleuse dans son système en manquant ainsi à ses obligations de dépositaire.
Selon lui, cette société aurait dû imposer à ses clients un système de double authentification, soutient-il à nouveau.
L'intimée rappelle, de son côté, que le contrat de dépôt postule la détention matérielle de la chose confiée, qu'il s'agit d'une obligation de moyens et estime que la qualification de contrat de dépôt est 'sujette à caution' dans la mesure où monsieur [H] conservait la pleine possibilité de réaliser des opérations, transferts et échanges, sans son intervention.
En toute hypothèse, ajoute-t-elle, elle n'a commis aucune faute ni aucune négligence en se prévalant cumulativement des faits de vol par un tiers malveillant reconnus par l'appelant dans sa plainte, de l'existence d'une double authentification sur la plateforme à laquelle celui-ci s'est 'souverainement' abstenu de recourir et de la nécessaire validation par courriels des opérations de retrait d'actifs.
Ceci étant dit, il convient de considérer que la convention liant les parties qui ne mentionne ni ne se réfère au contrat de dépôt, peine à être assimilée au 'dépôt en général' régi par les articles 1935 et suivants du code civil, en particulier du fait du caractère momentané et précaire de la détention ou du caractère particulier de l'obligation de restitution.
Il n'en reste pas moins qu'aux termes de l'article 1194 (nouveau) du code civil 'les contrats obligent non seulement à ce qui est exprimé mais encore à toutes les suites que leur donnent l'équité, l'usage ou la loi'.
Comme cela résulte de ce qui précède, la société Paymium peut se prévaloir de la mise en place d'un système de conservation des cryptomonnaies inscrites en compte, comme elle peut opposer à son client la convention qui les liait et qui prévoyait des modalités particulières destinées à sécuriser les ordres reçus qu'elle était tenue d'exécuter.
Si monsieur [H] soutient que la société Paymium aurait dû le lui imposer, comme c'est le cas actuellement au constat de l'importance croissante de la fuite de données, il ne démontre pas que lorsque sa relation avec la société Paymium a été nouée, soit en août 2020, s'imposait une telle exigence à laquelle celle-ci se serait soustraite. Le choix de ne pas recourir au dispositif de la double authentification que proposait effectivement la plateforme blockchain.io ressort de son libre arbitre.
De même qu'aucune faute de négligence ne peut être reprochée à l'intimée dans la conservation des actifs numériques dès lors qu'elle s'est conformée, comme elle le devait, aux ordres reçus qui présentaient l'apparence de la régularité et a procédé aux diligences auxquelles elle était contractuellement tenue ; que l'incapacité dans laquelle elle se trouve de restituer ces actifs trouve sa cause dans le transfert opéré par un tiers malveillant ayant usé d'une faille de monsieur [H] dans la sécurisation de son matériel informatique qu'il était pourtant tenu d'assurer, aux termes de l'article 5 précité.
Cet autre moyen sera, par conséquent, rejeté.
Sur le moyen tiré du manquement de l'intimée à ses obligations en sa qualité de détentrice de données personnelles
Saisi de ce grief fondé sur l'article 32 du Règlement UE 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (dit RGPD) relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation des données, le tribunal ne l'a pas retenu en renvoyant à sa motivation précédente relative à l'absence de négligence imputée à faute à la société Paymium, en rappelant les faits de piratage et en considérant que la société Paymium n'est pas l'hébergeur de son adresse électronique.
L'appelant reprend ce moyen en reproduisant divers articles du RGPD et de la loi informatique et libertés ; il fait valoir que la plateforme blockchain contenait de nombreuses données l'identifiant, qu'elle doit donc être qualifiée de responsable de leur traitement et qu'elle devait assurer, à ce titre, leur sécurité.
En tant que professionnelle, estime-t-il, elle ne pouvait ignorer le risque fort et omniprésent de piratage qui aurait dû entraîner une sécurisation renforcée de sa plateforme.
En réponse à la motivation du tribunal, il soutient que si c'est bien son adresse électronique qui a été piratée, pour autant ce n'est pas la cause du préjudice qu'il subit, uniquement rendu possible par l'absence de sécurisation du site Paymium et il en veut pour preuve le fait que le site de son établissement bancaire n'a pas été piraté.
Ceci dit, s'il est acquis que l'un des piliers du RGPD évoqués par l'appelant consiste à responsabiliser les acteurs économiques en leur imposant un devoir d'auto-régulation en matière de traitement des données à caractère personnel consistant en la mise en oeuvre de mesures techniques et organisationnelles appropriées, force est de considérer, en l'espèce, que monsieur [H] ne caractérise pas les défaillances techniques qui auraient pu affecter ou survenir dans ce traitement.
Il ne démontre pas davantage que le système d'accès sécurisé à ses données personnelles par la société Paymium, dont l'activité consistait à fournir un service de plateforme en ligne, soit la cause du dommage dont il poursuit la réparation alors que, comme jugé par le tribunal, il résulte de la prise de contrôle de sa messagerie électronique par un individu malveillant ; à cet égard, l'intimée est fondée à lui opposer sa propre négligence dans la conservation de ses données personnelles, voire son choix de ne pas recourir à une double authentification de nature à en renforcer la protection, d'autant qu'elle démontre que tant en 2018 qu'en 2019, il avait déjà fait l'objet de fuites de données (pièce n°9).
Le jugement sera par conséquent confirmé sur cet autre point.
Sur la demande indemnitaire
Afin de réclamer la triple condamnation de la société Paymium à verser sur son compte ouvert sur la plateforme blockchain.io 342.871 Uco (soit la valeur de 17.246,41 euros au 10 octobre 2020) qu'il avait acquis dans un but spéculatif et à lui payer les sommes de 80.300,38 euros et de 10.000 euros en réparation, respectivement, des gains manqués du fait de son absence de transactions depuis octobre 2020 ainsi que de la valorisation des jetons Uco et, de plus, du préjudice moral subi, monsieur [H] fait valoir que ses préjudices trouvent leur origine dans les manquements précédemment dénoncés et, pour le dernier, dans le défaut d'assistance de la société Paymium dont il a 'littéralement imploré l'aide'.
Mais, sans qu'il soit nécessaire de se prononcer sur les développements que consacre l'intimée à la perte de chance en matière de placements financiers, il y a lieu de considérer que la solution donnée au présent litige conduit à débouter monsieur [H] de l'entièreté de ses prétentions dès lors qu'il ne peut se prévaloir d'une faute imputable à son adversaire.
Sur les frais de procédure
L'équité conduit à condamner monsieur [H] à verser à l'intimée la somme complémentaire de 2.500 euros en application des dispositions de l'article 700 du code de procédure civile.
Débouté de ce dernier chef, l'appelant qui succombe supportera les dépens d'appel.
PAR CES MOTIFS
La Cour, statuant publiquement, contradictoirement et par mise à disposition au greffe,
CONFIRME le jugement entrepris et, y ajoutant ;
Condamne monsieur [S] [H] à verser à la société par actions simplifiée Paymium la somme complémentaire de 2.500 euros par application des dispositions de l'article 700 du code de procédure civile et à supporter les dépens d'appel avec faculté de recouvrement conformément aux dispositions de l'article 699 du même code.
Arrêt prononcé par mise à disposition de l'arrêt au greffe de la cour, les parties en ayant été préalablement avisées dans les conditions prévues au deuxième alinéa de l'article 450 du code de procédure civile, signé par Madame Fabienne PAGES, Présidente et par Madame Mélanie RIBEIRO, Greffière, auquel la minute de la décision a été remise par le magistrat signataire.
La Greffière La Présidente