N° RG 24/05622 – N° Portalis DBVX-V-B7I-PY54

Décision du

tribunal judiciaire de ROANNE

Au fond

du 10 juin 2024

RG : 23/00053

RÉPUBLIQUE FRANÇAISE

AU NOM DU PEUPLE FRANÇAIS

COUR D’APPEL DE LYON

1ère chambre civile B

ARRET DU 21 Avril 2026

APPELANTE :

S.A. SOCIETE GENERALE

[Adresse 1]

[Localité 1]

Représentée par M^e Cécile ZOTTA de la SCP J.C. DESSEIGNE ET C. ZOTTA, avocat au barreau de LYON, toque : 797

INTIMES :

M. [C] [H]

né le [Date naissance 1] 1974 à [Localité 2]

[Adresse 2]

[Localité 3]

Mme [M] [U] épouse [H]

née le [Date naissance 2] 1975 à [Localité 4]

[Adresse 2]

[Localité 3]

Représentés par M^e Gaël SOURBE de la SCP BAUFUME ET SOURBE, avocat au barreau de LYON, avocat postulant, toque : 1547

ayant pour avocat plaidant M^e Sabine MATHIEUX de la SELARL UDA AVOCATS, avocat au barreau de SAINT-ETIENNE

la société CAISSE DE CREDIT MUTUEL D’ENTRE LOIRE ET RHONE

[Adresse 3]

[Localité 5]

Représentée par M^e Olivier LE GAILLARD de la SELARL BLG AVOCATS, avocat au barreau de ROANNE

* * * * * *

Date de clôture de l’instruction : 15 Janvier 2026

Date des plaidoiries tenues en audience publique : 12 Février 2026

Date de mise à disposition : 21 Avril 2026

Audience présidée par Bénédicte LECHARNY, magistrat rapporteur, sans opposition des parties dûment avisées, qui en a rendu compte à la Cour dans son délibéré, assisté pendant les débats de Elsa SANCHEZ, greffier.

Composition de la Cour lors du délibéré :

— Patricia GONZALEZ, président

— Stéphanie LEMOINE, conseiller

— Bénédicte LECHARNY, conseiller

Arrêt contradictoire rendu publiquement par mise à disposition au greffe de la cour d’appel, les parties présentes ou représentées en ayant été préalablement avisées dans les conditions prévues à l’article 450 alinéa 2 du code de procédure civile,

Signé par Patricia GONZALEZ, président, et par Elsa SANCHEZ, greffier, auquel la minute a été remise par le magistrat signataire.

* * * * *

EXPOSÉ DU LITIGE

M. [C] [H] et Mme [M] [U] épouse [H] (M. et Mme [H]) sont titulaires d’un compte bancaire ouvert auprès de la société Caisse de crédit mutuel d’entre Loire et Rhône (le Crédit mutuel).

Par mail du 29 mars 2022, auquel était joint un relevé d’identité bancaire, ils ont demandé au Crédit mutuel d’effectuer le virement d’une somme de 21 420 euros au profit de la société Harmonia. L’opération a été réalisée le 30 mars 2022.

Deux autres virements ont été effectués les 8 et 19 avril 2022 pour des montants de 4215,80 euros et 208,80 euros.

Soutenant, d’une part, que leur messagerie électronique avait été piratée pour substituer les relevés d’identité bancaire de tiers à celui de la société Harmonia lors du virement du 30 mars 2022 et à celui d’un autre bénéficiaire lors du virement du 19 avril 2022 et, d’autre part, qu’ils n’étaient pas à l’origine de l’ordre de virement du 8 avril 2022, M. et Mme [H] ont déposé une plainte pénale et sollicité la restitution des fonds auprès du Crédit mutuel ainsi que de la Société générale, prestataire de services de paiement du bénéficiaire du premier virement.

La Société générale a recrédité leur compte d’une somme de 5399,27 euros et le Crédit mutuel les a indemnisés à hauteur de 4215,80 euros.

Les 27 décembre 2022 et 13 janvier 2023, M. et Mme [H] ont assigné le Crédit mutuel et la Société générale devant le tribunal judiciaire de Roanne en restitution du surplus des sommes virées et en paiement de dommages et intérêts.

Par jugement du 10 juin 2024, le tribunal a :

— condamné in solidum le Crédit mutuel et la Société générale à payer M. et Mme [H] la somme de 16 020,73 euros,

— débouté M. et Mme [H] de leur demande portant sur la somme de 208,80 euros,

— débouté M. et Mme [H] de leur demande de dommages-intérêts pour résistance abusive,

— condamné in solidum le Crédit mutuel et la Société générale à payer M. et Mme [H] la somme de 2000 euros sur le fondement de l’article 700 du code de procédure civile,

— condamné in solidum le Crédit mutuel et la Société générale aux dépens, avec recouvrement direct au pro’t des avocats qui le demandent, aux conditions de l’article 699 du code de procédure civile,

— débouté M. et Mme [H] de leur demande fondée sur l’article A. 444-32 du code de commerce,

— dit n’y avoir lieu d’écarter l’exécution provisoire.

Par déclaration du 8 juillet 2024, la Société générale a relevé appel du jugement.

Aux termes de ses dernières conclusions notifiées le 9 avril 2025, elle demande à la cour de :

— recevoir son appel comme régulier en la forme,

— infirmer le jugement en ce qu’il :

* l’a condamnée in solidum avec le Crédit mutuel à payer à M. et Mme [H] la somme de 16 020,73 euros,

* l’a condamnée in solidum avec le Crédit mutuel à payer à M. et Mme [H] la somme de 2000 euros sur le fondement de l’article 700 du code de procédure civile,

* l’a condamnée in solidum avec le Crédit mutuel aux dépens, avec recouvrement direct au profit des avocats qui le demandent, aux conditions de l’article 699 du code de procédure civile.

Statuant à nouveau,

— débouter M. et Mme [H] de toutes leurs demandes à son encontre,

— les débouter de leur appel incident,

— confirmer pour le surplus le jugement,

— condamner solidairement M. et Mme [H] à lui payer la somme de 4000 euros au titre de l’article 700 du code de procédure civile,

— condamner solidairement ces derniers, ou qui mieux le devra aux dépens de première instance et d’appel, et admettre la SCP J.C. Desseigne et Cécile Zotta au bénéfice de l’article 699 du code de procédure civile,

— rejeter toutes demandes, fins et conclusions contraires.

Aux termes de leurs dernières conclusions notifiées le 16 décembre 2025, M. et Mme [H] demandent à la cour de :

— faire droit à l’appel incident,

— réformer le jugement en ce qu’il les a déboutés de leurs demandes :

* portant sur la somme de 208,80 euros,

* de dommages-intérêts pour résistance abusive,

Et statuant à nouveau de ces chefs:

— condamner in solidum (sic) le Crédit mutuel à leur payer la somme de 208,80 euros au titre de la restitution de la somme frauduleusement débitée sur leur compte en date du 19 avril 2022,

— condamner in solidum le Crédit mutuel et la Société générale à leur payer la somme de 5000 euros à titre de dommages-intérêts pour résistance abusive,

— confirmer pour le surplus,

Et en conséquence,

— condamner in solidum le Crédit mutuel et la Société générale à leur payer la somme de 16 020,73 euros au titre de la restitution du solde de la somme frauduleusement débitée sur leur compte en date du 30 mars 2022,

— débouter le Crédit mutuel et la Société générale de leurs demandes, fins et conclusions,

— condamner in solidum les deux mêmes à leur payer la somme de 7000 euros chacun au titre des dispositions de l’article 700 du code de procédure civile,

— condamner in solidum les deux mêmes aux entiers dépens, dont distraction au profit de la SCP Baufume, sur son affirmation de droit conformément à l’article 699 du code de procédure civile.

Aux termes de ses dernières conclusions notifiées le 3 décembre 2024, le Crédit mutuel demande à la cour de :

— infirmer le jugement en ce qu’il :

* l’a condamné in solidum avec la Société générale à payer à M. et Mme [H] la somme de 16 020,73 euros,

* l’a condamné in solidum avec la Société générale à payer à M. et Mme [H] la somme de 2000 euros en application de l’article 700 du code de procédure civile,

* l’a condamné in solidum avec la Société générale aux dépens avec recouvrement direct au profit des avocats qui le demandent, aux conditions de l’article 699 du code de procédure civile,

— le confirmer pour le surplus,

En conséquence et statuant à nouveau':

— débouter M. et Mme [H] de l’ensemble de leurs demandes, fins et conclusions,

— condamner in solidum M. et Mme [H] à lui payer une somme de 3000 euros au titre des dispositions de l’article 700 du code de procédure civile,

— condamner in solidum M. et Mme [H] aux entiers dépens.

L’ordonnance de clôture est intervenue le 15 janvier 2026.

Conformément aux dispositions de l’article 455 du code de procédure civile, la cour se réfère, pour un plus ample exposé des moyens et prétentions des parties, à leurs conclusions écrites précitées.

MOTIFS DE LA DÉCISION

1. Sur la demande en paiement de la somme de 16'020,73 euros

1.1. Sur la demande formée à l’encontre du Crédit mutuel

M. et Mme [H] font valoir essentiellement que :

— en application de l’article 1231-1 du code civil, le Crédit mutuel était tenu d’un devoir de vigilance, notamment en présence d’anomalies apparentes,

— en l’espèce, la falsification du relevé d’identité bancaire étant particulièrement visible, le Crédit mutuel, qui aurait dû remarquer ces anomalies, a commis une faute engageant sa responsabilité,

— c’est le Crédit mutuel qui a établi lui-même l’ordre de virement, M. [H] s’étant contenté de solliciter la réalisation d’un virement et de transmettre un relevé d’identité bancaire par mail,

— leur boîte mail ayant été piratée de sorte que le relevé d’identité bancaire reçu de la société Harmonia a été modifié avant réalisation de l’opération, cette dernière n’est pas autorisée au sens de l’article L. 133-6 du code monétaire et financier,

— il convient donc de faire application des dispositions de l’article L. 133-18 du code monétaire et financier,

— l’opération de paiement non autorisée a été effectuée sans utilisation d’un dispositif de sécurité personnalisé,

— la responsabilité du Crédit mutuel est également engagée car il ne justifie pas des démarches entreprises pour récupérer les fonds, conformément à l’alinéa 3 de l’article L. 133-21 du code monétaire et financier.

Le crédit mutuel réplique essentiellement que :

— l’opération a été réalisée après réception d’une demande de virement provenant de la boîte mail habituelle de M. [H], à laquelle était annexée le relevé d’identité bancaire du bénéficiaire,

— M. [H] ne conteste pas être à l’origine de cette opération,

— il confirme avoir donné l’ordre d’exécution de l’opération et le relevé d’identité bancaire bénéficiaire,

— il convient de faire application de l’article L. 133-21 du code monétaire et financier, selon lequel si le relevé d’identité bancaire communiqué par le client s’avère inexact et que les fonds sont virés à un mauvais bénéficiaire, la banque ne peut être tenue pour responsable de la mauvaise exécution de l’ordre de virement,

— les fonds ont été virés au bénéfice d’un compte ouvert dans les livres de la Société Générale et non d’une banque étrangère ou d’une néobanque, lesquelles servent usuellement de support à ce type d’escroquerie.

Réponse de la cour

En premier lieu, le courrier électronique du 29 mars 2022 par lequel M. [H] a demandé à son conseiller bancaire au Crédit mutuel « d’effectuer le virement de 21'420 € sur le RIB ci-joint à partir de [s]on compte courant » constitue bien un ordre de virement donné à la banque, et il ne peut être considéré que c’est le Crédit mutuel qui a établi lui-même l’ordre de virement.

En deuxième lieu, l’ordre de virement ayant été donné par mail, c’est vainement que M. et Mme [H] allèguent l’absence d’utilisation d’un dispositif de sécurité personnalisé pour rechercher la responsabilité du Crédit mutuel.

En troisième lieu, la responsabilité contractuelle de droit commun résultant de l’article 1231-1 du code civil n’est pas applicable en présence d’un régime de responsabilité exclusif.

Dans son arrêt du 16 mars 2023, Beobank (C-351/21), la Cour de justice a interprété en ces termes les articles 58, 59 et 60 de la directive 2007/64/CE du 13 novembre 2007 concernant les services de paiement dans le marché intérieur :

« 37 […] le régime de responsabilité des prestataires de services de paiement prévu à l’article 60, paragraphe 1, de la directive 2007/64 ainsi qu’aux articles 58 et 59 de cette directive a fait l’objet d’une harmonisation totale. Cela a pour conséquence que sont incompatibles avec ladite directive tant un régime de responsabilité parallèle au titre d’un même fait générateur qu’un régime de responsabilité concurrent qui permettrait à l’utilisateur de services de paiement d’engager cette responsabilité sur le fondement d’autres faits générateurs (voir, en ce sens, arrêt du 2 septembre 2021, C-337/20, CRCAM, […] points 42 et 46).

En effet, le régime harmonisé de responsabilité pour les opérations non autorisées ou mal exécutées établi dans la directive 2007/64 ne saurait être concurrencé par un régime alternatif de responsabilité prévu dans le droit national reposant sur les mêmes faits et le même fondement qu’à condition de ne pas porter préjudice au régime ainsi harmonisé et de ne pas porter atteinte aux objectifs et à l’effet utile de cette directive (arrêt du 2 septembre 2021, C-337/20, CRCAM, […] point 45). »

Il s’ensuit que, dès lors que la responsabilité d’un prestataire de services de paiement est recherchée en raison d’une opération de paiement non autorisée ou mal exécutée, seul est applicable le régime de responsabilité défini aux articles L. 133-18 à L. 133-24 du code monétaire et financier, qui transposent les articles 71 à 74 de la directive (UE) 2015/2366 du 25 novembre 2015 concernant les services de paiement dans le marché intérieur, modifiant les directives 2002/65/CE, 2009/110/CE et 2013/36/UE et le règlement (UE) n° 1093/2010, et abrogeant la directive 2007/64/CE, à l’exclusion de tout régime alternatif de responsabilité résultant du droit national.

M. et Mme [H], qui recherchent la responsabilité du Crédit mutuel en raison d’une opération de paiement non autorisée, sont donc mal fondés à agir sur le fondement d’un manquement de ce dernier à son obligation de vigilance.

En quatrième lieu, selon l’article L. 133-21 du code précité, qui transpose l’article 88 de la directive du 25 novembre 2015, un ordre de paiement exécuté conformément à l’identifiant unique fourni par l’utilisateur du service de paiement est réputé dûment exécuté pour ce qui concerne le bénéficiaire désigné par l’identifiant unique. Si l’identifiant unique fourni par l’utilisateur du service de paiement est inexact, le prestataire de services de paiement n’est pas responsable de la mauvaise exécution ou de la non-exécution de l’opération de paiement.

En l’espèce, M. et Mme [H] versent aux débats, en pièce n° 2, une copie du courrier électronique adressé à leur conseiller bancaire au Crédit mutuel le 29 mars 2022, auquel est annexé le relevé d’identité bancaire substitué à celui de la société Harmonia, qui mentionne l’identifiant unique d’un compte ouvert à la Société générale.

L’identifiant unique ayant été fourni par M. et Mme [H] et le virement ayant été exécuté conformément à cet identifiant unique, le Crédit mutuel n’est pas responsable de la mauvaise exécution de l’opération de paiement.

En dernier lieu, s’il est exact que le Crédit mutuel ne justifie pas avoir mis en 'uvre la procédure de « recall », dans le but de satisfaire à l’obligation énoncée à l’alinéa 3 de l’article L. 133-21 du code monétaire et financier, la cour observe, d’une part, qu’il a été informé de la fraude par un courrier électronique de M. [H] du 9 avril 2022, alors que l’opération de paiement avait été exécutée le 30 mars 2022, soit dix jours auparavant, d’autre part, qu’il a nécessairement informé la Société générale du caractère frauduleux du paiement puisque cette dernière a pu restituer à M. et Mme [H] la somme de 5399,27 euros qu’elle avait bloquée. Il en résulte qu’aucun préjudice en lien avec un éventuel manquement du Crédit mutuel dans la mise en oeuvre de la procédure de « recall » n’est démontré.

Au vu de ce qui précède, la cour infirme le jugement déféré en ce qu’il a retenu la faute du Crédit mutuel et l’a condamné à restituer à M. et Mme [H] la somme de 16'020,73 euros

1.2. Sur la demande formée à l’encontre de la Société générale

M. et Mme [H] font valoir essentiellement que :

— la Cour de cassation juge que la banque réceptionnaire d’un ordre de virement est tenue d’un devoir de vigilance au titre duquel elle doit vérifier le nom du bénéficiaire et la régularité des opérations,

— la Société générale aurait dû contrôler la correspondance entre le nom du bénéficiaire et les coordonnées bancaires indiquées sur l’ordre de virement, et s’apercevoir que le numéro IBAN communiqué ne correspondait pas à celui du compte de la société Harmonia,

— le montant de l’opération caractérisait une circonstance inhabituelle, de sorte que la Société générale était tenue de vérifier les conditions essentielles de la régularité de l’opération,

— la société Harmonia n’est pas cliente de la Société générale,

— le numéro unique transmis par M. [H] apparaissait manifestement falsifié puisqu’il était grisé,

— la responsabilité de la Société générale est pleinement engagée.

La Société générale réplique essentiellement que :

— sa responsabilité ne peut pas être engagée, conformément à l’article L. 133-21, alinéa 1er, du code monétaire et financier et à la jurisprudence de la Cour de cassation,

— ni le prestataire de services de paiement du donneur d’ordre ni celui du bénéficiaire n’est responsable de la mauvaise exécution d’une opération de paiement si l’IBAN fourni par l’utilisateur de services de paiement est inexact,

— elle a dûment crédité le compte dont le Crédit mutuel lui avait indiqué l’identifiant unique,

— elle n’avait pas à vérifier la concordance des informations communiquées et seul prévalait l’identifiant unique communiqué par le Crédit mutuel.

Réponse de la cour

En premier lieu, la cour a rappelé que dès lors que la responsabilité d’un prestataire de services de paiement est recherchée en raison d’une opération de paiement non autorisée ou mal exécutée, seul est applicable le régime de responsabilité défini aux articles L. 133-18 à L. 133-24 du code monétaire et financier, qui transposent les articles 71 à 74 de la directive (UE) 2015/2366 du 25 novembre 2015 concernant les services de paiement dans le marché intérieur, modifiant les directives 2002/65/CE, 2009/110/CE et 2013/36/UE et le règlement (UE) n° 1093/2010, et abrogeant la directive 2007/64/CE, à l’exclusion de tout régime alternatif de responsabilité résultant du droit national.

Dès lors, la responsabilité délictuelle résultant de l’article 1240 du code civil n’est pas applicable en présence de ce régime de responsabilité exclusif.

En second lieu, selon l’article L. 133-21 du code monétaire et financier, cité plus avant, applicable tant à l’égard du prestataire de services de paiement du donneur d’ordre qu’à celui du bénéficiaire, un ordre de paiement exécuté conformément à l’identifiant unique fourni par l’utilisateur du service de paiement est réputé dûment exécuté pour ce qui concerne le bénéficiaire désigné par l’identifiant unique et si l’identifiant unique fourni par cet utilisateur est inexact, le prestataire de services de paiement n’est pas responsable de la mauvaise exécution ou de la non-exécution de l’opération de paiement.

Contrairement à ce que soutiennent M. et Mme [H], il ne résulte du premier alinéa de cet article aucune obligation pour la banque réceptionnaire d’un ordre de virement de vérifier le nom du bénéficiaire.

En l’espèce, le virement a été exécuté par la Société générale au vu de l’identifiant unique qui avait été fourni par M. [H] en sa qualité de donneur d’ordre et la mauvaise exécution de l’opération de paiement résulte, non d’une erreur de retranscription de l’identifiant par la banque, mais de la fourniture par le donneur d’ordre d’un relevé d’identité bancaire frauduleux.

Il résulte de ce qui précède que la Société générale ne peut être déclarée responsable de la mauvaise exécution de l’ordre. Le jugement est donc infirmé en ce qu’il a retenu un manquement fautif de la Société générale et l’a condamnée, in solidum avec le Crédit mutuel, au paiement de la somme de 16'020, 73 euros.

M. et Mme [H] sont donc déboutés de leur demande en paiement de cette somme.

2. Sur la demande en paiement de la somme de 208,80 euros

M. et Mme [H] font valoir essentiellement que :

— un virement d’une somme de 208,80 euros a été réalisé le 19 avril 2022 au bénéfice de Mme [T],

— ils ont été victimes d’un prélèvement frauduleux,

— il s’agit d’une opération de paiement non autorisée, qui a été effectué sans la moindre utilisation d’un dispositif de sécurité personnalisé.

Le Crédit mutuel réplique essentiellement que :

— il n’a commis aucune faute,

— l’opération a été exécutée après réception d’une demande de virement émanant de la boîte mail habituelle de M. [H],

— le relevé d’identité bancaire du bénéficiaire était reproduit dans le corps du mail,

— M. [H] a confirmé être à l’origine de cette opération.

Réponse de la cour

À l’appui de leur demande en paiement, M. et Mme [H] versent aux débats :

— un relevé de leur compte joint au Crédit mutuel mentionnant, au débit, un virement effectué au profit de Mme [W] [T] de 208 euros le 19 avril 2022,

— la copie d’un procès-verbal d’audition de Mme [H] du 27 avril 2022 dans lequel elle indique que :

dans le cadre de la location d’un appartement à [Localité 6], le couple a effectué le 19 avril 2022 un virement de 208 euros sur un compte identifié par le numéro IBAN suivant : [XXXXXXXXXX01],

Mme [T], la bailleresse, les a informés par mail qu’elle n’avait pas reçu le virement et leur a « donn[é] un autre IBAN, à savoir le [XXXXXXXXXX02] »,

ils ont décidé de ne pas refaire le virement de 208 euros,

ils pensent avoir subi un nouveau piratage de leur messagerie électronique.

D’une part, ces seules pièces sont insuffisantes pour établir le caractère frauduleux du virement.

D’autre part, l’ordre de virement ayant été donné par mail, M. et Mme [H] ne sont pas fondés à alléguer l’absence d’utilisation d’un dispositif de sécurité personnalisé pour rechercher la responsabilité du Crédit mutuel.

Enfin, le virement, tel que décrit par Mme [H] dans son audition, a été exécuté par le Crédit mutuel au vu de l’identifiant unique fourni par M. et Mme [H], en leur qualité de donneur d’ordre, et la mauvaise exécution de l’opération de paiement, à la supposée établie, résulte, non d’une erreur de retranscription de l’identifiant par la banque, mais de la fourniture par le donneur d’ordre d’un relevé d’identité bancaire frauduleux.

Par conséquent, et au vu de ce que la cour a rappelé plus avant, la cour confirme le jugement en ce qu’il a débouté M. et Mme [H] de ce chef de demande.

3. Sur la demande indemnitaire pour résistance abusive

Compte tenu de la solution donnée au litige en appel, M. et Mme [H] ne peuvent qu’être déboutés de leur demande de dommages-intérêts pour résistance abusive.

Le jugement est confirmé sur ce point.

4. Sur les frais irrépétibles et les dépens

M. et Mme [H], partie perdante, sont condamnés aux dépens de première instance et d’appel.

Il n’apparaît pas contraire à l’équité, en revanche, de laisser à la charge du Crédit mutuel et de la Société Générale leur frais irrépétibles.

PAR CES MOTIFS

La cour,

Confirme le jugement déféré en ce qu’il a :

débouté M. et Mme [H] de leur demande portant sur la somme de 208,80 euros,

débouté M. et Mme [H] de leur demande de dommages-intérêts pour résistance abusive,

débouté M. et Mme [H] de leur demande fondée sur l’article A. 444-32 du code de commerce,

L’infirme pour le surplus,

Statuant à nouveau des chefs infirmés et ajoutant au jugement,

Déboute M. et Mme [H] de leur demande en paiement de la somme de 16'020,73 euros,

Dit n’y avoir lieu à application de l’article 700 du code de procédure civile,

Condamne solidairement M. et Mme [H] aux dépens de première instance et d’appel.

La greffière La présidente