Internet | Informatique

Paiements frauduleux en ligne : force du système 3D- Secure | 29 juillet 2021

L’existence d’un système 3D- Secure (code à usage unique) rend le client responsable de tous les paiements frauduleux et ne lui permet pas de bénéficier des dispositions favorables des articles L133-18 et s. du code monétaire et financier. Le service 3D-Secure consiste à transmettre, par SMS ou par un appel téléphonique, au numéro de téléphone préalablement communiqué à l’Émetteur par le titulaire de carte « CB », un Code de sécurité à usage unique que ce dernier utilise pour pouvoir réaliser son opération de paiement.

Affaire La Banque Postale

La BANQUE POSTALE a produit une impression des enregistrements sur support informatique des opérations litigieuses dont il ressort que, pour chacune d’elles, l’opération a été authentifiée, ce qui établit que le client qui demandait le remboursement d’opérations frauduleuses, a communiqué chaque fois sur le site de commande en ligne sur lequel l’achat était en train de se faire le code à usage unique permettant de valider le paiement au moyen de sa carte bancaire. Il était en effet le seul à détenir ce code qui n’a été transmis que sur son seul portable, et il n’est pas possible qu’à quatre reprises le système informatique ait faussement enregistré une authentification qui n’aurait pas été effectuée.

Dispositions protectrices du Code monétaire et financier

Pour mémoire, en cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L 133-24, le prestataire de services de paiement du payeur rembourse immédiatement au payeur le montant de l’opération non autorisée et, le cas échéant, rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu (L133-18 du code monétaire et financier).

Le payeur et son prestataire de services de paiement peuvent décider contractuellement d’une indemnité complémentaire.  L’article L133-19 du code monétaire et financier de la même version dispose notamment :

‘II. La responsabilité du payeur n’est pas engagée si l’opération de paiement non autorisée a été effectuée en détournant, à l’insu du payeur, l’instrument de paiement ou les données qui lui sont liées.

Elle n’est pas engagée non plus en cas de contrefaçon de l’instrument de paiement si, au moment de l’opération de paiement non autorisée, le payeur était en possession de son instrument.

IV. Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L.133-16 et L.133-17.’

Conséquences financières résultant d’une fraude

L’article L133-20 du code monétaire et financier applicable le 14 janvier 2015 prévoit :

‘Après avoir informé son prestataire ou l’entité désignée par celui-ci, conformément à l’article L.133-17 aux fins de blocage de l’instrument de paiement, le payeur ne supporte aucune conséquence financière résultant de l’utilisation de cet instrument de paiement ou de l’utilisation détournée des données qui lui sont liées, sauf agissement frauduleux de sa part.’

Par ailleurs, l’article L.133-23 du code monétaire et financier dispose :

‘Lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre.’

Enfin, l’article L 133-6 du code monétaire et financier dispose :

‘Une opération de paiement est autorisée si le payeur a donné son consentement à son exécution.’

L’arrêté du 29 juillet 2009 ‘relatif aux relations entre les prestataires de services de paiement et leurs clients en matière d’obligations d’information des utilisateurs de services de paiement et précisant les principales stipulations devant figurer dans les conventions de compte de dépôt et les contrats-cadres de services de paiement’ prévoit en son article 2-2 c que la convention passée entre le payeur et son prestataire de services de paiement stipule ‘la forme et la procédure pour donner le consentement à l’exécution d’une opération de paiement et pour retirer ce consentement, conformément aux articles L. 133-6 et L. 133-7 du code monétaire et financier.’

Il s’en déduit que le respect de la forme du consentement constitue une condition de validité de l’opération.

______________________________________________________________________________________________________

REPUBLIQUE FRANCAISE

AU NOM DU PEUPLE FRANÇAIS

COUR D’APPEL DE DIJON

2e chambre civile

ARRÊT DU 29 AVRIL 2021

N° RG 19/00321 – N° Portalis DBVF-V-B7D-FGPS

Décision déférée à la Cour : au fond du 18 février 2019, rendue par le tribunal d’instance de Dijon

RG : 1117000614

APPELANTE :

SA LA BANQUE POSTALE immatriculé au RCS de PARIS sous le n° 421 100 645 prise en la personne de ses dirigeants sociaux domiciliés en cette qualité au siège social sis :

[…]

[…]

représentée par Me Claire GERBAY, avocat au barreau de DIJON, vestiaire : 126

assistée de Me Jean-Philippe GOSSET, membre de la SELARL CABINET GOSSET, avocat au barreau de PARIS

INTIMÉ :

Monsieur Y X

né le […] à […]

domicilié :

[…]

[…]

(bénéficie d’une aide juridictionnelle partielle numéro 2019/002747 du 24/05/2019 accordée par le bureau d’aide juridictionnelle de Dijon)

représenté par Me Géraldine GARON, membre de la SCP GAVIGNET ET ASSOCIES, avocat au barreau de DIJON, vestiaire : 53

COMPOSITION DE LA COUR :

L’affaire a été débattue le 25 février 2021 en audience publique devant la cour composée de :

Françoise VAUTRAIN, Présidente de Chambre, Président, ayant fait le rapport,

Sophie DUMURGIER, Conseiller,

Michèle BRUGERE, Conseiller,

qui en ont délibéré.

GREFFIER LORS DES DÉBATS : Maud DETANG, Greffier

DÉBATS : l’affaire a été mise en délibéré au 29 Avril 2021,

ARRÊT : rendu contradictoirement,

PRONONCÉ : publiquement par mise à disposition de l’arrêt au greffe de la cour, les parties en ayant été préalablement avisées dans les conditions prévues au deuxième alinéa de l’article 450 du code de procédure civile,

SIGNÉ : par Françoise VAUTRAIN, Présidente de Chambre, et par Maud DETANG, greffier auquel la minute de la décision a été remise par le magistrat signataire.

FAITS ET PROCÉDURE :

Par acte d’huissier du 11 août 2017, Monsieur Y X assigne la SA BANQUE POSTALE devant le tribunal d’instance de Dijon aux fins d’obtenir sa condamnation à lui verser les sommes de :

—  1 800 € au titre des paiements indûs,

—  1 600 € correspondant au découvert de son compte bancaire,

—  926,26 € au titre des ‘frais de réapprovisionnement de son compte pour pallier aux frais bancaires indûment prélevés’,

—  10,40 € de frais de recommandé,

—  5 000 € en dédommagement ‘pour les rejets de prélèvement des impôts et le traitement en direct pour éviter des frais de taxation ou d’avis à tiers détenteur, les rejets des prélèvements de crédit et les menaces de déchéance du terme, la résiliation de son assurance vie pour cause de non paiement de ses mensualités ( perte de chance)… et tous les désagréments occasionnés.’

—  1 000 € sur le fondement de l’article 700 du code de procédure civile.

Il demande en outre que soit ordonné à la banque de lever tout fichage Banque de France dans les meilleurs délais ‘si des inscriptions sont toujours en cours’.

Monsieur X expose qu’il a ouvert auprès de la BANQUE POSTALE un compte bancaire

avec carte de paiement, et qu’en janvier 2015, il a fait l’objet d’un usage frauduleux de cette carte ; qu’en effet le 14 janvier 2015, il a reçu 6 messages douteux sur son téléphone portable faisant état de transactions pour des achats qu’il n’avait pas effectués ; qu’il a immédiatement fait opposition à sa carte, opposition enregistrée sous le n° 01-44-48-03, puis a déclaré cet usage frauduleux en gendarmerie le 16 janvier suivant ; que toutefois 4 de ces 6 opérations ont abouti, et que 1 800 € lui ont été retirés de son compte ; que la banque n’a pas donné de suite à sa demande de remboursement et, au contraire, lui a adressé des courriers de relance faisant état du solde débiteur de son compte courant à hauteur de 1 500 €, puis a rejeté les prélèvements.

Invoquant les dispositions des articles L 133-18, L 133-19 et L 133-20 du code monétaire et financier, il soutient qu’il incombait à la banque de procéder au remboursement immédiat de la somme de 1 800 € et des frais bancaires dès lors qu’il avait signalé dans les conditions prévues par l’article L 133-24 du même code les opérations de paiement non autorisées ; qu’en ne le faisant pas, elle est responsable des préjudices résultant des rejets de prélèvements.

La BANQUE POSTALE conclut au rejet de l’ensemble des prétentions de Monsieur X, soutenant qu’il a autorisé les paiements contestés dès lors qu’il a été recouru au processus d’exécution de l’opération à distance avec utilisation d’un code à usage unique. Elle demande sa condamnation à lui verser 1 000 € sur le fondement de l’article 700 du code de procédure civile

Par jugement du 18 février 2019, le tribunal d’instance de Dijon condamne la SA BANQUE POSTALE à payer à Monsieur X les sommes réclamées sauf à ramener à 3 000 € celle octroyée à titre de dommages intérêts.

La Banque est également condamnée à verser à Monsieur X 1 500 € sur le fondement de l’article 700 du code de procédure civile,

Le tribunal ordonne par ailleurs ‘la levée immédiate du FICP’.

Le tribunal retient que si la Banque Postale produit des pièces selon lesquelles les opérations litigieuses ont été effectuées depuis l’Allemagne, Monsieur X établit par des attestations que le 14 janvier 2015 il était en France.

Il retient également que si Monsieur X, dans le formulaire de réclamation bancaire, indique s’être entretenu avec une personne inconnue qui lui a donné le n° exact de sa carte bancaire, celui de sa carte d’identité, des feuilles d’impôt et des relevés CAF, il ne peut pas s’en déduire qu’il aurait commis une imprudence dès lors qu’il ressort de cette déclaration que ce n’est pas lui qui a donné ces renseignements que son interlocutrice détenait déjà.

******

La SA BANQUE POSTALE fait appel par déclaration reçue au greffe de la cour d’appel le 28 février 2019.

Par conclusions d’appel récapitulatives n° 1 déposées le 20 mai 2020, elle demande à la cour d’appel de :

‘ Vu les articles L.133-6, L.133-16 et L. 133-23 du code monétaire et financier,

Vu l’arrêté du 29 juillet 2009,

Vu les pièces versées aux débats,

— Recevoir LA BANQUE POSTALE en ses conclusions, l’y déclarant bien fondée,

— Infirmer le jugement rendu par le tribunal d’instance de Dijon en date du 18 février 2019 en ce qu’il :

— condamne la SA LA BANQUE POSTALE à payer à Monsieur Y X la somme de mille huit cents euros (1 800 euros) avec intérêts au taux légal à compter du 16 janvier 2015,

— condamne la SA LA BANQUE POSTALE à payer à Monsieur Y X la somme de mille six cents euros (1 600 euros),

— condamne la SA LA BANQUE POSTALE à payer à Monsieur Y X la somme de neuf cent vingt six euros et vingt six centimes (926,26 euros),

— condamne la SA LA BANQUE POSTALE à payer à Monsieur Y X la somme de dix euros et quarante centimes (10,40 euros),

— condamne la SA LA BANQUE POSTALE à payer à Monsieur Y X la somme de trois mille euros (3 000 euros),

— ordonne la levée immédiate du FICP,

— condamne la SA LA BANQUE POSTALE à payer à Monsieur Y X la somme de mille cinq cents euros (1 500 euros) au titre de l’article 700 du CPC avec distraction au profit de Maître GARON,

— condamne la SA LA BANQUE POSTALE aux entiers dépens,

En conséquence, statuant à nouveau :

— Dire et juger en conséquence que LA BANQUE POSTALE n’a commis aucun manquement contractuel de nature à engager sa responsabilité à l’encontre de Monsieur X,

— Débouter ainsi Monsieur X de l’intégralité de ses demandes, fins et prétentions,

En tout état de cause :

— Condamner Monsieur X à verser à LA BANQUE POSTALE la somme de 2.000 € au titre des dispositions de l’article 700 du code de procédure civile,

— Condamner Monsieur X aux entiers dépens dont distraction au profit de Me Claire GERBAY, avocat aux offres de droit en application de l’article 699 du code de procédure civile.’

Par conclusions d’intimé n° 1 déposées le 17 juillet 2019, Monsieur Y X demande à la cour de :

‘ Vu les articles L13-18 ( sic) et suivants du code monétaire et financier,

Vu la jurisprudence,

Vu les faits précédemment exposés,

Vu le jugement du 18 février 2019

— Dire et juger Monsieur Y X recevable et bien fondé en ses demandes,

— Confirmer le jugement du 18 février 2019 en toutes ses dispositions,

— Ordonner la levée immédiate du fichage FICP et y ajouter une astreinte de 500 € par jour de retard à compter de la décision à intervenir,

— Condamner la Banque Postale à la somme de 1.500 € sur le fondement de l’article 700 du CPC en cause d’appel, avec distraction au profit de Me GARON ainsi qu’aux entiers dépens.’

L’ordonnance de clôture est rendue le 19 janvier 2021.

En application des articles 455 et 634 du code de procédure civile, la cour se réfère, pour un plus ample exposé des prétentions et des moyens des parties, à leurs dernières conclusions sus-visées.

MOTIVATION :

Il est établi par les pièces produites que le 14 janvier 2015, six demandes de paiement à destination du même commerçant identifié sous le nom de EMP E-VOUCHER avec une adresse IP en Allemagne ont été successivement enregistrées sur le CCP de Monsieur X entre 12h11 pour le premier et 12h37 pour le dernier, et que quatre de ces demandes ont été exécutées par la BANQUE POSTALE, soit :

—  300 € correspondant à l’opération de 12h36,

—  500 € correspondant à l’opération de 12h16,

—  500 € correspondant à l’opération de 12h13,

—  500 € correspondant à l’opération de 12h11.

Il est également constant que ces quatre opérations ont été effectuées au moyen de la carte bancaire liée au CCP de Monsieur X avec utilisation du système 3D – Secure auquel il avait adhéré.

Monsieur X conteste être l’auteur d’un quelconque achat auprès de ce commerçant et avoir validé les demandes de paiement. Il invoque à son profit les dispositions des articles L 133-18, L 133-19 et L 133-20 du code monétaire et financier.

L’ article L133-18 du code monétaire et financier en sa version applicable aux faits prévoit :

‘ En cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L 133-24, le prestataire de services de paiement du payeur rembourse immédiatement au payeur le montant de l’opération non autorisée et, le cas échéant, rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu.

Le payeur et son prestataire de services de paiement peuvent décider contractuellement d’une indemnité complémentaire.’

L’article L133-19 du code monétaire et financier de la même version dispose notamment :

‘II. La responsabilité du payeur n’est pas engagée si l’opération de paiement non autorisée a été effectuée en détournant, à l’insu du payeur, l’instrument de paiement ou les données qui lui sont liées.

Elle n’est pas engagée non plus en cas de contrefaçon de l’instrument de paiement si, au moment de l’opération de paiement non autorisée, le payeur était en possession de son instrument.

(…)

IV. Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L.133-16 et L.133-17.’.

L’article L133-20 du code monétaire et financier applicable le 14 janvier 2015 prévoit :

‘Après avoir informé son prestataire ou l’entité désignée par celui-ci, conformément à l’article L.133-17 aux fins de blocage de l’instrument de paiement, le payeur ne supporte aucune conséquence financière résultant de l’utilisation de cet instrument de paiement ou de l’utilisation détournée des données qui lui sont liées, sauf agissement frauduleux de sa part.’

Par ailleurs, l’article L.133-23 du code monétaire et financier dispose :

‘Lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre.’

Enfin, l’article L 133-6 du code monétaire et financier dispose :

‘Une opération de paiement est autorisée si le payeur a donné son consentement à son exécution.’

L’arrêté du 29 juillet 2009 ‘relatif aux relations entre les prestataires de services de paiement et leurs clients en matière d’obligations d’information des utilisateurs de services de paiement et précisant les principales stipulations devant figurer dans les conventions de compte de dépôt et les contrats-cadres de services de paiement’ prévoit en son article 2-2 c que la convention passée entre le payeur et son prestataire de services de paiement stipule ‘la forme et la procédure pour donner le consentement à l’exécution d’une opération de paiement et pour retirer ce consentement, conformément aux articles L. 133-6 et L. 133-7 du code monétaire et financier.’

Il s’en déduit que le respect de la forme du consentement constitue une condition de validité de l’opération.

La BANQUE POSTALE produit les conditions générales de la Convention de compte courant postal dont l’article IV prévoit :

‘Les Parties (le titulaire de la carte « CB » et l’Émetteur) conviennent que le titulaire de la carte « CB » donne son consentement pour réaliser une opération de paiement avant ou après la détermination de son montant :

‘ Dans le système CB : (‘) à distance, par la communication et/ou confirmation des données liées à l’utilisation de sa carte « CB » ;

‘ Hors du système « CB » : (‘) à distance, par la communication et/ou confirmation des données liées à l’utilisation de sa carte « CB » et le cas échéant via un portefeuille numérique interbancaire agréé’.

Enfin l’article III.2 des mêmes conditions générales précise :

‘ 2. – Autres dispositifs de sécurité personnalisés :

L’utilisation d’un dispositif de sécurité personnalisé autre que le code confidentiel peut être nécessaire pour réaliser une opération de paiement en ligne.

Pour effectuer de telles opérations, l’Émetteur met à disposition du titulaire de la carte « CB » le service 3D-Secure consistant à transmettre, par SMS ou par un appel téléphonique, au numéro de téléphone préalablement communiqué à l’Émetteur par le titulaire de carte « CB », un Code de sécurité à usage unique que ce dernier devra utiliser pour pouvoir réaliser son opération de paiement.

L’utilisation du dispositif nécessite de disposer d’une ligne de téléphonie mobile ou fixe ainsi que d’un abonnement permettant son utilisation. L’utilisation d’une ligne de téléphonie fixe est permise aux clients résidant à l’étranger.

Pour enregistrer ou modifier le numéro de téléphone sur lequel il souhaite recevoir son Code de sécurité à usage unique, le titulaire de la carte « CB » doit se rendre dans son bureau de poste.

Un Code de sécurité à usage unique sera automatiquement envoyé au numéro de téléphone enregistré dès que sa communication sera nécessaire à la réalisation d’une opération de paiement en ligne.

Lorsque l’utilisation d’un Code de sécurité à usage unique est requise, le nombre d’essais successifs de composition du Code de sécurité à usage unique est limité à 3 (trois). Au troisième essai infructueux, le titulaire de la carte « CB » provoque le blocage du dispositif 3D-Secure. Le titulaire de la carte « CB » peut demander à tout moment le déblocage de ce dispositif en appelant le 09 69 320 004 (coût des communications selon tarif des opérateurs de télécommunication en vigueur).

Tout autre dispositif de sécurité personnalisé permettant au titulaire de la carte « CB » d’effectuer des opérations de paiement en ligne sera mentionné sur le site internet www.labanquepostale.fr.’

En l’espèce, Monsieur X est formel pour indiquer d’une part qu’il n’a jamais perdu sa carte bancaire, laquelle était en sa possession le 14 janvier 2015, et d’autre part que le portable dont le numéro avait été communiqué à la BANQUE POSTALE pour recevoir le code à usage unique prévu par le système 3D- Secure était lui aussi en sa possession ce jour-là.

Il produit par ailleurs en sa pièce n° 1 le relevé de tous les messages qu’il a reçus sur ce portable le 14 janvier 2015, relevé dont il ressort que, pour chacune des demandes de paiement, il a été destinataire d’un message comportant un code à 6 chiffres différent à chaque fois suivi de la mention ‘si vous n’avez pas fait ce paiement, appelez la Banque Postale au 0969 320 004″ ;

La BANQUE POSTALE pour sa part produit une impression des enregistrements sur support informatique des opérations litigieuses dont il ressort que, pour chacune d’elles, l’opération a été authentifiée, ce qui établit que Monsieur X a communiqué chaque fois sur le site de commande en ligne sur lequel l’achat était en train de se faire le code à usage unique permettant de valider le paiement au moyen de sa carte bancaire. Il était en effet le seul à détenir ce code qui n’a été transmis que sur son seul portable, et il n’est pas possible qu’à quatre reprises le système informatique ait faussement enregistré une authentification qui n’aurait pas été effectuée.

D’ailleurs, Monsieur X, qui était en possession pour chacune des opérations prétendument frauduleuses d’un numéro de téléphone à utiliser pour signaler qu’il n’avait pas fait le paiement pour lequel le code à usage unique lui était adressé, n’a selon ses propres explication pas utilisé cette possibilité et a attendu 16h15 pour faire opposition à sa carte bancaire.

Son affirmation selon laquelle sa carte bancaire a fait l’objet d’un ‘détournement à son insu car il n’a jamais confirmé les codes indiqués par sms’ est inopérante puisqu’il faudrait à la fois que les éléments portés sur sa carte bancaire aient été détournés et que le ou les auteurs de ce détournement aient également accès aux messages qu’il recevait sur son téléphone portable.

Il importe peu de savoir où Monsieur X se trouvait lors de l’authentification de chacune des opérations litigieuses et dans quel pays est domicilié le commerçant, l’usage d’un site en ligne pour effectuer une acquisition et d’un téléphone portable pour recevoir le code à usage unique destiné à authentifier le paiement permettant sans aucune difficulté des opérations commerciales transfrontalières.

Enfin les explications données par Monsieur X concernant la conversation qu’il dit avoir eue (à une date par ailleurs difficilement déterminable au regard du contenu du formulaire de réclamation bancaire qu’il produit en pièce n° 2) avec une dame se faisant faussement passer pour une employée de la Banque de France sont totalement incohérentes dès lors que l’on perçoit pas quel aurait été l’intérêt pour cette dame d’effectuer un tel appel si, comme le soutient l’intimé, elle était déjà en possession de tous les renseignements nécessaires le concernant.

C’est au surplus par une mauvaise appréciation que le premier juge a estimé que ces déclarations de Monsieur X établissaient qu’il n’avait pas divulgué des informations concernant sa carte bancaire alors que, par cette déclaration dans le formulaire de réclamation, l’intimé se constituait une preuve à lui même.

Si Monsieur X relève à juste titre que la banque n’explique pas pour quelles raisons elle n’a pas effectué les deux autres paiements demandés dans les mêmes conditions, il n’en demeure pas moins qu’il est suffisamment établi que les quatre paiements litigieux ont été authentifiés par Monsieur X qui a ainsi donné son accord à la BANQUE POSTALE pour qu’elle effectue les paiements concernés.

Le jugement ne peut dans ces conditions qu’être infirmé et Monsieur X sera débouté de toutes ses prétentions à l’encontre de la BANQUE POSTALE.

PAR CES MOTIFS :

Infirme le jugement du tribunal d’instance de Dijon du 18 février 2019 en toutes ses dispositions,

Statuant à nouveau,

Déboute Monsieur Y X de toutes ses prétentions à l’encontre de la SA LA BANQUE POSTALE,

Condamne Monsieur Y X aux entiers dépens de première instance et d’appel dont distraction pour ceux d’appel au profit de Maître Claire GERBAY, avocat, conformément aux dispositions de l’article 699 du code de procédure civile,

Vu les dispositions de l’article 700 du code de procédure civile,

Déboute les parties de leurs demandes respectives au titre de leurs frais irrépétibles.

Le Greffier, Le Président,

Haut
error: Content is protected !!