Cour d'appel d'Agen, Chambre civile, 10 décembre 2025, n° 25/00007

TI Condom 4 novembre 2024

CA Agen
Infirmation partielle 10 décembre 2025

Arguments

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Signaler une erreur.

Accepté
Obligations des banques en matière de sécurité des transactions
La cour a estimé que la banque n'a pas prouvé que les virements en litige avaient été authentifiés par le système 'Sécuripass', ce qui justifie la demande de restitution des montants.
Accepté
Absence de validation des opérations contestées
La cour a relevé que la banque n'a pas produit les preuves nécessaires pour établir que les virements avaient été validés par le 'Sécuripass'.
Accepté
Droit à la réparation des frais engagés
La cour a jugé équitable d'allouer des frais irrépétibles à Monsieur [H] en raison de la nature du litige.

Commentaire • 0

Augmentez la visibilité de votre blog juridique : vos commentaires d’arrêts peuvent très simplement apparaitre sur toutes les décisions concernées.

Sur la décision

Référence :	CA Agen, ch. civ., 10 déc. 2025, n° 25/00007
Juridiction :	Cour d'appel d'Agen
Numéro(s) :	25/00007
Importance :	Inédit
Décision précédente :	Tribunal d'instance de Condom, 4 novembre 2024, N° 11-24-000062
Dispositif :	Autre
Date de dernière mise à jour :	19 décembre 2025
Lire la décision sur le site de la juridiction

Sur les parties

Avocat(s) :	Paul CHEVALIERLaurent BRUNEAUFrancois DUFFAU
Cabinet(s) :	MISSIOSELARL BRUNEAU & FAGOTCHEVALLIER FILLASTRE
Parties :	LA CAISSE REGIONALE DE CREDIT AGRICOLE MUTUEL PYRENÉES GASCOGNE

Texte intégral

ARRÊT DU

10 décembre 2025

DB/CH

— --------------------

N° RG 25/00007 -

N° Portalis DBVO-V-B7J-DJXP

— --------------------

[P] [H]

Société CAISSE REGIONALE DE CREDIT AGRICOLE MUTUEL PYRENEE S GASCOGNE

— -----------------

GROSSES le

aux avocats

ARRÊT n°

COUR D’APPEL D’AGEN

Chambre Civile

LA COUR D’APPEL D’AGEN, 1ère chambre dans l’affaire,

ENTRE :

Monsieur [P] [H]

né le [Date naissance 4] 1963 à [Localité 8]

de nationalité française, commercial,

domicilié : [Adresse 5]

[Localité 6]

représenté par M^e Laurent BRUNEAU, CABINET BRUNEAU ET FAGOT AVOCATS; avocat postulant au barreau d’AGEN et par M^e Francois DUFFAU,avocat plaidant au barreau de PAU

APPELANT d’un jugement du juge des contentieux de la protection du tribunal de proximité de CONDOM du 04 novembre 2024, RG 11-24-000062 ;

D’une part,

ET :

LA CAISSE REGIONALE DE CREDIT AGRICOLE MUTUEL PYRENÉES GASCOGNE,

RCS DE TARBES 776 983 546

[Adresse 3]

[Localité 7]

représentée par M^e Anne-laure PRIM, SELARL MISSIO, avocat postulant au barreau du GERS et par M^e Paul CHEVALIER, SCP CHEVALLIER-FILLASTRE, avocat plaidant au barreau de PARIS

INTIMÉE

D’autre part,

COMPOSITION DE LA COUR :

l’affaire a été débattue et plaidée en audience publique le 13 octobre 2025 devant la cour composée de :

Président : André BEAUCLAIR, Président de chambre,

Assesseurs : Dominique BENON, Conseiller, qui a fait un rapport oral à l’audience

Anne Laure RIGAULT, Conseiller

Greffière : Catherine HUC

ARRÊT : prononcé par mise à disposition au greffe de la cour, les parties en ayant été préalablement avisées dans les conditions prévues au deuxième alinéa de l’article 450 du code de procédure civile

' '

FAITS :

[P] [H] est client de la Caisse Régionale de Crédit Agricole Mutuel Pyrénées Gascogne (le Crédit Agricole), dans les livres de laquelle il dispose d’un compte de dépôt particulier n° [XXXXXXXXXX01].

Le 15 mars 2022, M. [H] a déposé plainte à la gendarmerie de [Localité 10] en expliquant qu’après avoir reçu des sms d’alerte émanant du Crédit Agricole, il avait constaté que son compte bancaire était à découvert suite à des virements débitant son compte d’un montant total de 7 785 Euros dont il n’était pas l’auteur, ainsi détaillés :

—  13 mars 2022 : débit de 2 980 Euros intitulé 'Virement WEB Mr [P] [H]',

—  14 mars 2022 : débit de 875 Euros intitulé 'Virement WEB Mr [P] [H]',

—  14 mars 2022 : débit de 1 965 Euros intitulé 'Virement WEB Mr [P] [H]'

—  15 mars 2022 : débit de 1 965 Euros intitulé 'Virement WEB Mr [P] [H]'.

Il s’agit de virements vers un compte dont l’IBAN est le suivant : [XXXXXXXXXX09].

Il s’est rapproché du Crédit Agricole en déclarant, sur le formulaire fourni, qu’il n’avait répondu à aucune demande d’un tiers par courriel, sms ou appel téléphonique, qu’il n’avait pas reçu de sms de la banque avec code à valider ou l’informant de l’ajout d’un IBAN vers lequel faire des virements, et qu’il n’avait pas constaté d’indisponibilité de son téléphone portable.

Le Crédit Agricole a porté au crédit du compte bancaire une somme de 6,91 Euros récupérée sur les virements grâces aux démarches interbancaires, a indiqué ne pas avoir pu obtenir le retour des autres fonds et a refusé d’indemniser M. [H] en expliquant que les virements avaient été validés par le système 'Sécuripass'.

Ce système d’authentification forte fonctionne de la façon suivante :

— activation de la rubrique 'Sécuripass’ dans la rubrique 'espace personnel’ de l’espace client sur internet,

— installation de l’application bancaire dans son smartphone, par le client,

— validation des conditions générales de l’application,

— accès par entrée de codes personnels de connexion,

— activation du système d’authentification forte 'Sécuripass’ :

* saisie d’un code à usage unique envoyé au client par sms,

* choix par le client d’un code à 4 chiffres, dont la banque n’a pas connaissance, enregistré dans l’application qui permettra la validation des opérations futures, ou par apposition de son empreinte digitale.

* personnalisation de l’appareil utilisé pour se connecter à 'Sécuripass',

* réception d’un courriel sur la messagerie sécurisée de l’espace en ligne informant de l’activation du 'Sécuripass'.

M. [H] a contesté le refus d’indemnisation en indiquant qu’il n’avait ni activé le dispositif 'Sécuripass', ni ajouté des bénéficiaires de virements, ni réalisé les virements ; que les montants dépassaient ceux qu’il était en droit de réaliser seul sans validation d’un conseiller bancaire ; et que, réalisés sur 48 heures, les montants dépassaient les autorisations cumulées sur la semaine et le mois sans validation par un conseiller.

M. [H] a saisi le médiateur auprès de la Fédération Bancaire Française.

Par avis du 21 septembre 2023, le médiateur a indiqué ne pouvoir donner une suite favorable à la demande compte tenu que les virements avaient été validés par authentification forte et au vu des éléments suivants :

— L’auteur des virements a nécessairement disposé du code de connexion de M. [H] à son espace en ligne : ce code ne circulant pas par courriel, il n’a pu être intercepté par un tiers.

— Le client est seul détenteur du système 'Sécuripass’ installé sur son téléphone dont il est seul à connaître le code de validation.

— L’enregistrement d’un nouveau bénéficiaire de virements nécessite de le valider par le 'Sécuripass’ et génère l’envoi d’un courriel informant le client de cet ajout, lui indiquant que s’il n’est pas l’auteur de l’opération, il doit contacter le Crédit Agricole.

Le 23 octobre 2023, le Crédit Agricole a versé à M. [H], à titre de geste commercial, la somme de 4 122 Euros.

Par acte délivré le 20 mars 2024, M. [H] a fait assigner le Crédit Agricole devant le tribunal de proximité de Condom afin de voir condamner la banque à lui payer, en principal, la somme de 3 656,09 Euros avec l’intérêt au taux légal majoré prévu à l’article L. 133-18 du code monétaire et financier, en expliquant ne pas avoir validé les opérations par le dispositif 'Sécuripass’ ; que la banque ne démontrait pas l’absence de déficience technique ; et qu’il n’avait commis aucune négligence.

Par jugement rendu le 4 novembre 2024, le tribunal de proximité de Condom a :

— rejeté la demande en paiement (de) M. [P] [H] à l’encontre de la Caisse Régionale de Crédit Agricole Mutuel Pyrénées Gascogne,

— débouté la Caisse Régionale de Crédit Agricole Mutuel Pyrénées Gascogne de sa demande reconventionnelle en restitution,

— condamné M. [P] [H] au paiement de la somme de 500 Euros à l’encontre de la Caisse Régionale de Crédit Agricole Mutuel Pyrénées Gascogne, au titre de l’article 700 du code de procédure civile,

— rejeté les demandes plus amples et contraires des parties,

— condamné M. [P] [H] aux entiers dépens de l’instance,

— rappelé que l’exécution provisoire est de droit.

Le tribunal de proximité a retenu que le dispositif 'Sécuripass’ répond à la Directive (UE) 2015/2366 du Parlement Européen et du Conseil du 25 novembre 2015 ; qu’il a été activé par usage du code d’accès personnel à l’espace bancaire après communication d’un numéro de téléphone et d’une adresse courriel appartenant à M. [H] ; que M. [H] a dû utiliser son code personnel ou son empreinte digitale pour valider les opérations et qu’il avait reçu un sms le 5 mars 2022 l’informant de l’ajout d’un IBAN de bénéficiaire de virement de sorte qu’il n’a pas informé sa banque d’une utilisation non consentie de son instrument de paiement dès qu’il en a eu connaissance.

Par acte du 6 janvier 2025, [P] [H] a déclaré former appel du jugement en indiquant que l’appel porte sur l’intégralité du dispositif du jugement, sauf en ce qu’il a rejeté la demande reconventionnelle, qu’il cite dans son acte d’appel.

La clôture a été prononcée le 20 août 2025 et l’affaire fixée à l’audience de la Cour du 13 octobre 2025.

PRETENTIONS ET MOYENS :

Par conclusions d’appelant notifiées le 1er avril 2025, auxquelles il est renvoyé pour le détail de l’argumentation, [P] [H] présente l’argumentation suivante :

— Les textes du code monétaire et financier sont précis et stricts sur les obligations des banques et le client ne commet aucune négligence grave lorsqu’il a été victime d’une manipulation frauduleuse ayant diminué sa vigilance.

— Une banque ne peut opposer une négligence à son client que si elle prouve préalablement que les opérations déniées ont été dépourvues de toute déficience technique.

— Selon le Crédit Agricole, le système 'Sécuripass’ aurait été activé le 5 mars 2022 et un bénéficiaire de virements aurait été ajouté, alors qu’il n’est pas à l’origine de ces opérations.

— Les éléments produits émanent seulement de la banque.

— Les opérations en litige ont été effectuées par détournement, à son insu, de l’instrument de paiement ou des données qui lui sont liées.

— Il lui reste dû 7 778,09 Euros – 4 122 Euros = 3 656,09 Euros.

Au terme de ses conclusions, il demande à la Cour de :

— infirmer le jugement sur les points de son appel,

— condamner le Crédit Agricole à lui payer la somme de 3 656,09 Euros avec intérêts au taux légal majoré tel que prévu à l’article L. 133-18 du code monétaire et financier,

— débouter le Crédit Agricole de ses demandes,

— le condamner à lui payer la somme de 4 800 Euros au titre des frais irrépétibles engagés en première instance et en appel,

— le condamner aux dépens et mettre à sa charge l’intégralité des droits proportionnels de recouvrement et d’encaissement prévus à l’article L. 111-8 du code des procédures civiles d’exécution.

* *

Par conclusions d’intimée notifiées le 20 juin 2025, auxquelles il est renvoyé pour le détail de l’argumentation, la Caisse Régionale de Crédit Agricole Mutuel Pyrénées Gascogne présente l’argumentation suivante, après avoir rappelé la réglementation applicable :

— Les utilisateurs de services bancaires à distance sont, depuis plusieurs années, sensibilisés à des règles de prudence élémentaire.

— Elle mène régulièrement des campagnes d’informations envers sa clientèle.

— Un client commet une faute en donnant son accord à une opération dont il n’est pas à l’origine.

— L’authentification forte permettant de vérifier que M. [H] était bien à l’origine des opérations a été appliquée, comme le médiateur l’a reconnu : les codes d’accès ont été adressés à M. [H] sur sa ligne téléphonique personnelle.

— Ni l’espace client de M. [H] ni ses comptes bancaires n’ont été victimes d’un 'craquage informatique'.

— M. [H] reste très discret sur les conditions de l’hameçonnage dont il dit avoir été victime, comme l’a indiqué le médiateur qui a relevé qu’il ne fournit aucun élément de contexte permettant d’apprécier les conditions dans lesquelles les virements contestés ont été effectués de sorte qu’il n’apporte pas la preuve de la fraude dont il a été victime.

— Il prétend ne pas être à l’origine de l’ajout de l’IBAN mais n’a pas contacté son conseiller lorsqu’il a reçu notification de l’opération.

— Au début des discussions, M. [H] avait indiqué que sa boîte mail avait probablement été piratée en suite du dépôt d’une annonce sur le site 'le bon coin’ et, justement, à l’époque il existait une fraude répandue consistant, pour un faux acheteur, à communiquer un lien dans lequel le vendeur était invité à inscrire ses coordonnées bancaires.

— M. [H] est désormais taisant sur cette annonce et il n’a pas répondu aux demandes tendant à solliciter son opérateur téléphonique sur l’existence d’un détournement de sa ligne.

— M. [H] remet en cause le règlement transactionnel ce qui induit qu’il devra restituer la somme de 4 122 Euros perçue à ce titre.

Au terme de ses conclusions, elle demande à la Cour de :

— rejeter les demandes de M. [H],

— confirmer le jugement sauf à condamner M. [H] à lui payer la somme de 4 122 Euros, outre 3 000 Euros au titre de l’article 700 du code de procédure civile,

— condamner M. [H] aux dépens.

— ------------------

MOTIFS :

L’article L. 133-16 du code monétaire et financier dispose :

'Dès qu’il reçoit un instrument de paiement, l’utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées.

Il utilise l’instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation qui doivent être objectives, non discriminatoires et proportionnées.'

L’article L. 133-17 du même code dispose :

'I. ' Lorsqu’il a connaissance de la perte, du vol, du détournement ou de toute utilisation non autorisée de son instrument de paiement ou des données qui lui sont liées, l’utilisateur de services de paiement en informe sans tarder, aux fins de blocage de l’instrument, son prestataire ou l’entité désignée par celui-ci.

II. ' Lorsque le paiement est effectué par une carte de paiement émise par un établissement de crédit, une institution ou un service mentionné à l’article L. 518-1 et permettant à son titulaire de retirer ou de transférer des fonds, il peut être fait opposition au paiement en cas de procédure de redressement ou de liquidation judiciaires du bénéficiaire tant que le compte du prestataire de services de paiement du bénéficiaire n’a pas été crédité du montant de l’opération de paiement.'

L’article L. 133'19-IV du même code dispose :

'Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17.'

Enfin, l’article L. 133-23 du même code dispose :

'Lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre.

L’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière. Le prestataire de services de paiement, y compris, le cas échéant, le prestataire de services de paiement fournissant un service d’initiation de paiement, fournit des éléments afin de prouver la fraude ou la négligence grave commise par l’utilisateur de services de paiement.'

Ensuite, il résulte des articles L. 133-19, IV, et L. 133-23 alinéa 1er du code monétaire et financier que s’il entend faire supporter à l’utilisateur d’un instrument de paiement doté d’un dispositif de sécurité personnalisé les pertes occasionnées par une opération de paiement non autorisée rendue possible par un manquement de cet utilisateur, intentionnel ou par négligence grave, aux obligations mentionnées aux articles L. 133-16 et L 133-17 de ce code, le prestataire de services de paiement doit au préalable prouver que l’opération en cause a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre (Com. 30 avril 2025 n° 24-10149).

En l’espèce, en premier lieu, il est constant que les virements en litige ont été effectués par connexion internet depuis l’espace client de M. [H] qu’il ne conteste pas avoir ouvert, après ajout de l’IBAN d’un destinataire.

L’accès à cet espace suppose l’entrée du code de connexion et ensuite d’un mot de passe déterminé par M. [H] qui ne lui a pas été fourni par le Crédit Agricole et qui, par suite, n’a pas pu être intercepté par intrusion dans sa boîte courriels.

M. [H] n’allègue d’ailleurs pas que sa boîte courriels aurait été piratée.

En deuxième lieu, le listing technique des opérations informatiques du Crédit Agricole intitulé 'TransactionType, Messageld (…)' produit aux débats par la banque (pièce 5), permet de constater l’envoi, le 5 mars 2022, sur le téléphone de M. [H], et de la réception effective par l’intermédiaire de l’opérateur Orange, des sms contenant les messages suivants :

—  08H44 : 'CREDIT AGRICOLE, code à saisir pour valider votre parcours sur l’application mobile XXXXXX. NE JAMAIS LE COMMUNIQUER A QUI QUE CE SOIT'.

—  08H47 : 'CREDIT AGRICOLE, votre Sécuripass vient d’être activé. Attention, si vous ne l’avez pas fait depuis l’application MA BANQUE, contactez votre conseiller.'

—  09H24 : 'CREDIT AGRICOLE, code à saisir pour valider votre parcours sur l’application mobile XXXXXX. NE JAMAIS LE COMMUNIQUER A QUI QUE CE SOIT'.

—  09H26 : 'CREDIT AGRICOLE, code à saisir pour valider votre parcours sur l’application mobile XXXXXX. NE JAMAIS LE COMMUNIQUER A QUI QUE CE SOIT'.

—  09H31 : 'CREDIT AGRICOLE, votre Sécuripass vient d’être activé. Attention, si vous ne l’avez pas fait depuis l’application MA BANQUE, contactez votre conseiller.'

—  14H27 : 'BONJOUR, VOICI VOTRE CODE PERSONNEL XXXX DEMANDE LE XX/XX/XX-XX:XX, POUR ACCEDER A VOTRE CONTRAT (…) SUR CA EN LIGNE (CAXXX)'.

Le 5 mars 2022 à 19H05, l’IBAN destinataire des virements en litige a été inscrit dans l’espace client de M. [H].

Le listing technique intitulé 'Historique des opérations SécuriPass/Sécuricode', (qui comprend les colonnes suivantes : type de transaction ; détail ; date et heure GMT ; état ; méthode utilisée ; statut) également déposé aux débats par le Crédit Agricole (pièce 6), atteste que cet ajout a été effectué le 5 mars 2022 à 19H05 et que cette opération a été validée par le 'Sécuripass', le listing portant la mention 'authentification réussie'.

Son examen permet également de constater qu’il a enregistré l’envoi des sms du 5 mars 2022 destinés à activer le 'Sécuripass'.

Cette demande d’activation par authentification, tout comme les sms mentionnés plus haut, est arrivée sur le téléphone personnel de M. [H], que lui seul peut inscrire dans son espace client (n° [XXXXXXXX02]).

M. [H] a admis, dans le formulaire qui lui a été fourni par le Crédit Agricole, que son téléphone a toujours été en sa possession et, lors de sa plainte à la gendarmerie, n’a pas indiqué qu’il lui aurait été dérobé.

Il en résulte nécessairement, d’une part, qu’il a reçu les sms et, d’autre part, qu’il a lui-même activé le 'Sécuripass', étant rappelé que cette manoeuvre imposait d’avoir son téléphone entre les mains.

En effet, l’activation du 'Sécuripass’ implique que le porteur du téléphone inscrive, dans l’application bancaire qu’il a installée dans son téléphone, un mécanisme d’identification par code de 4 chiffres, ou apposition de son empreinte digitale, mécanisme qu’il est seul à déterminer, intrinsèquement lié au téléphone, et dont la banque n’a pas connaissance.

D’ailleurs, M. [H] n’a donné aucune suite à la demande formée par le conseil du Crédit Agricole du 30 mai 2024 réclamant production de ses relevés téléphoniques du mois de mars 2022.

L’examen de ces éléments atteste que l’activation du 'Sécuripass’ et l’entrée de l’IBAN [XXXXXXXXXX09] en qualité de nouveau destinataire de virements dans l’espace client ont été authentifiées, dûment enregistrées et comptabilisées et qu’elles n’ont pas été affectées par une déficience technique.

Toutefois, en troisième lieu, le Crédit Agricole ne dépose pas aux débats le listing informatique 'Historique des opérations Sécuripass/Sécuricode’ relatif aux quatre virements effectués les 13, 14 et 15 mars 2022, qui doit attester que ces opérations ont été validées par le 'Sécuripass’ de par la mention 'authentification réussie', et ce à partir de l’application bancaire installée dans le téléphone de M. [H].

En l’absence d’un tel élément (que ne constitue pas le simple bordereau d’opérations 'liste opérations virement SEPA/émis’ figurant au verso de la pièce 6), le Crédit Agricole n’apporte pas la preuve que les quatre virements en litige ont effectivement fait l’objet d’une authentification forte.

Dès lors M. [H], qui nie avoir autorisé ces virements, est bien fondé à en solliciter restitution des montants, soit 7 785 Euros (= montant total des virements) – 6,91(= montant récupéré) – 4 122 Euros (remboursement amiable accepté par la banque) = 3 656,09 Euros.

La demande reconventionnelle présentée par le Crédit Agricole est sans objet.

Le jugement doit être infirmé en ce sens.

Enfin, d’une part, l’équité permet d’allouer à l’appelant la somme de 2 500 Euros en application de l’article 700 du code de procédure civile et, d’autre part, il n’y a pas lieu de se prononcer actuellement sur les droits proportionnels de recouvrement ou d’encaissement dont l’exposé reste hypothétique.

PAR CES MOTIFS :

— La Cour, après en avoir délibéré conformément à la loi, statuant publiquement, par arrêt contradictoire prononcé par mise à disposition au greffe, et en dernier ressort

— INFIRME le jugement SAUF en ce qu’il a débouté la Caisse Régionale de Crédit Agricole Mutuel Pyrénées Gascogne de sa demande reconventionnelle en restitution ;

— STATUANT A NOUVEAU,

— CONDAMNE la Caisse Régionale de Crédit Agricole Mutuel Pyrénées Gascogne à payer à [P] [H] la somme de 3 656,09 Euros avec les intérêts institués à l’article L. 133-18 du code monétaire et financier ;

— CONDAMNE la Caisse Régionale de Crédit Agricole Mutuel Pyrénées Gascogne à payer à [P] [H] la somme de 2 500 Euros en application de l’article 700 du code de procédure civile ;

— CONDAMNE la Caisse Régionale de Crédit Agricole Mutuel Pyrénées Gascogne aux dépens de 1ère instance et d’appel.

Le présent arrêt a été signé par André BEAUCLAIR, président, et par Catherine HUC, greffière, à laquelle la minute de la décision a été remise par le magistrat signataire.

LE GREFFIER LE PRÉSIDENT