N° RG 23/02736 – N° Portalis DBVX-V-B7H-O4OB

Décision du

Tribunal de Commerce de Lyon au fond

du 31 janvier 2023

RG : 2021j01390

ch n°

Fondation FONDATION [J]

C/

Ste Coopérative banque Pop. CREDIT COOPERATIF

RÉPUBLIQUE FRANÇAISE

AU NOM DU PEUPLE FRANÇAIS

COUR D’APPEL DE LYON

3ème chambre A

ARRET DU 26 Février 2026

APPELANTE :

La FONDATION [J],

Fondation fondée par Décret impérial du 5/07/1854 et reconnue d’utilité publique par décret du 23/05/1875, représentée par le Président de la FONDATION [J], Monsieur [T] [K]

Sis [Adresse 1]

[Localité 1]

Représentée par M^e Audrey TURCHINO de la SELARL OCTOPUS AVOCATS, avocat au barreau de LYON, toque : 452

INTIMEE :

CRÉDIT COOPÉRATIF,

société coopérative de banque populaire, immatriculée au RCS de [Localité 2], sous le n° B 349 974 931, agissant poursuites et diligences de ses représentants légaux domiciliés en cette qualité audit siège.

Sis [Adresse 2],

[Localité 3]

Représentée par M^e Alexandre BOIRIVENT de la SELARL BK AVOCATS, avocat au barreau de LYON, toque : 438

* * * * * *

Date de clôture de l’instruction : 14 Octobre 2025

Date des plaidoiries tenues en audience publique : 10 Décembre 2025

Date de mise à disposition : 26 Février 2026

Composition de la Cour lors des débats et du délibéré :

— Sophie DUMURGIER, présidente

— Aurore JULLIEN, conseillère

— Viviane LE GALL, conseillère

assistées pendant les débats de Céline DESPLANCHES, greffière

A l’audience, un membre de la cour a fait le rapport,

Arrêt Contradictoire rendu publiquement par mise à disposition au greffe de la cour d’appel, les parties en ayant été préalablement avisées dans les conditions prévues à l’article 450 alinéa 2 du code de procédure civile,

Signé par Sophie DUMURGIER, présidente, et par Céline DESPLANCHES, greffière, à laquelle la minute a été remise par le magistrat signataire.

* * * *

EXPOSÉ DU LITIGE

La Fondation [J] a pour objet la prise en charge des enfants, adolescents, ou adultes atteints de maladies contagieuses, de déficiences sensorielles profondes ou de déficits intellectuels profonds.

Elle est cliente de la société Crédit Coopératif (la banque).

En avril 2020, M. [U], collaborateur de la Fondation [J] habilité à utiliser le dispositif de sécurité pour procéder aux opérations depuis l’espace bancaire en ligne, indiquait avoir rencontré des difficultés de connexion à l’espace 'banque en ligne’ de la Fondation [J], pour les comptes ouverts auprès du Crédit coopératif.

Les 17 et 18 juin 2020, il a été contacté par une personne qui s’est présentée comme un technicien de la banque et lui a fait procéder à plusieurs manipulations avec son boîtier d’identification et celui de Mme [I], autre collaboratrice également habilitée. Le 23 juin suivant, la Fondation [J] a constaté l’existence de huit virements non rattachables à son activité, réalisés les 17 et 18 juin 2020 pour un montant total de 353.677,01 euros.

Le 24 juin 2020, la Fondation [J] a déposé plainte contre X pour des faits d’escroquerie.

Le 25 juin 2020, la banque a accusé réception de cette notification d’opérations frauduleuses mais a refusé de procéder au remboursement des virements litigieux au motif que les opérations frauduleuses ont été réalisées par un tiers se présentant comme technicien de la banque, qui a obtenu par téléphone la coopération du service comptable.

Par acte introductif d’instance du 1er octobre 2021, la société Fondation [J] a assigné la banque devant le tribunal de commerce de Lyon.

Par jugement contradictoire du 31 janvier 2023, le tribunal de commerce de Lyon a :

— condamné la société Crédit Coopératif à payer à la Fondation [J] la somme de 150.000 euros sans intérêts, à titre de remboursement partiel des huit opérations réalisées,

— débouté la Fondation [J] de sa demande de dommages et intérêts,

— dit qu’il n’y a pas lieu à condamnation en application de l’article 700 du code de procédure civile,

— dit les parties mal fondées quant au surplus de leurs demandes, fins et conclusions et les en a débouté respectivement,

— rappelé que le jugement est exécutoire à titre provisoire,

— dit que les dépens seront partagés par moitié entre les parties.

Par déclaration reçue au greffe le 30 mars 2023, la Fondation [J] a interjeté appel de ce jugement portant sur l’ensemble des chefs de la décision critiquée.

***

Par conclusions notifiées par voie dématérialisée le 20 décembre 2023, la Fondation [J] demande à la cour, au visa des articles L. 133-16, L. 133-17, L. 133-18, L. 133-19, L. 133-23 et L. 133-24 du code monétaire et financier et 1927 et 1937 du code civil, de :

A titre principal,

— réformer la décision dont appel en ce qu’elle a limité la condamnation du Crédit coopératif au bénéfice de la fondation [J] a la somme de 150.000 euros et, statuant à nouveau :

— condamner la société Crédit coopératif à payer à la Fondation [J] la somme de 353.677,01 euros au titre de remboursement du montant des opérations non autorisées et dûment signalées par ses soins, outre intérêts au taux légal, avec bénéfice d’anatocisme,

— condamner la société Crédit coopératif à payer à la Fondation [J], à titre de dommages et intérêts, un intérêt égal à la rémunération qu’elle aurait pu tirer des fonds détournés et qui auraient dû être remboursés dès le 24 juin 2020, à compter de cette date et jusqu’à la décision à intervenir, au taux légal, le tout avec bénéfice d’anatocisme,

A titre subsidiaire,

— réformer la décision dont appel et, statuant à nouveau :

— condamner la société Crédit coopératif à payer à la Fondation [J] la somme de

353.677,01 euros en réparation du préjudice de perte de chance subi du fait de la violation aggravée, par la banque, de son devoir de vigilance,

En tout état de cause,

— débouter la société Crédit coopératif de son appel incident,

— condamner la société Crédit coopératif à payer à la Fondation [J] la somme de 15.000 euros au titre de l’article 700 du code de procédure civile, au titre de la première instance et de l’instance d’appel,

— condamner la même aux entiers dépens de première instance et d’appel.

***

Par conclusions notifiées par voie dématérialisée le 24 avril 2024, la société Crédit coopératif demande à la cour, au visa des articles L.133-4, L.133-16 et L.133-19 du code monétaire et financier et 1231-1 nouveau (1147) du code civil, de :

— déclarer recevable et bien-fondé Crédit coopératif en son appel incident du jugement rendu le 31 janvier 2023 par le tribunal de commerce de Lyon,

Y faisant droit,

— infirmer ledit jugement entrepris en ce qu’il a condamné Crédit coopératif à payer la somme de 150.000 euros à la Fondation [J] et l’a débouté de ses demandes de condamnation au titre des frais irrépétibles et des dépens,

Et, statuant à nouveau,

— débouter la Fondation [J] de l’intégralité de ses demandes,

— condamner la Fondation [J] au paiement d’une somme de 8.000 euros au titre de l’article 700 du Code de procédure civile,

— condamner la fondation [J] à supporter l’intégralité des dépens,

Y ajoutant,

— condamner la Fondation [J] au paiement d’une somme de 8.000 euros au titre de l’article 700 du code de procédure civile,

— condamner la Fondation [J] à supporter l’intégralité des dépens.

La procédure a été clôturée par ordonnance du 14 octobre 2025, les débats étant fixés au 10 décembre 2025.

Conformément aux dispositions de l’article 455 du code de procédure civile, la cour se réfère, pour un plus ample exposé des moyens et prétentions des parties, à leurs conclusions écrites précitées.

MOTIFS DE LA DÉCISION

Sur la responsabilité du Crédit coopératif

La société Crédit Coopératif sollicite l’infirmation du jugement et le rejet des demandes principales aux motifs que :

— le tribunal a omis de statuer sur le caractère autorisé des opérations, condition préalable indispensable à l’engagement de la responsabilité du prestataire de services de paiement, et a qualifié à tort les opérations d’atypiques alors qu’elles respectaient la procédure d’authentification forte convenue entre les parties ; la responsabilité du prestataire est régie exclusivement par les articles L. 133-1 et suivants du code monétaire et financier, à l’exclusion du droit commun de la responsabilité contractuelle,

— en l’espèce, le contrat COOP@CCES prévoit une authentification forte par carte Sésame et lecteur CAP générant un code unique ; les relevés télématiques, dont la force probante est contractuellement reconnue à l’article 11.3 des conditions générales, démontrent que les

opérations des 17 et 18 juin 2020 ont été réalisées via les cartes de M. [U] et Mme [I] selon le parcours d’authentification convenu,

— la Fondation [J] a reconnu dans sa plainte pénale et ses courriels du 23 juin 2020 que son collaborateur avait saisi et transmis les codes de contrôle au fraudeur, validant ainsi les ajouts de bénéficiaires et les virements ; dès lors que la forme convenue a été respectée, la banque était tenue d’exécuter les ordres sans s’interroger sur leur opportunité,

— la contestation ultérieure par le client ne remet pas en cause la qualification initiale d’opération autorisée, la sécurité et la rapidité des paiements imposées par la directive DSP2 reposant sur une objectivation du consentement au moment de l’ordre,

— elle s’exonère de toute déficience technique au sens de l’article L. 133-23 du code monétaire et financier en prouvant via les enregistrements informatiques que les opérations ont été authentifiées, enregistrées et comptabilisées sans incident ; les déclarations de la Fondation [J] corroborent cette absence de défaillance, la coopération involontaire des salariés résultant d’une technique d’ingénierie sociale étant la seule cause de la fraude,

— le fraudeur n’a pas 'réactivé’ le boîtier défectueux de M. [U], ce dernier ayant utilisé le lecteur CAP de sa collègue Mme [I] selon les relevés télématiques et la plainte pénale ; la connaissance par le fraudeur des difficultés techniques s’explique par un probable piratage des serveurs de la Fondation [J] évoqué par son directeur général dans ses courriels du 23 juin 2020,

— elle a toujours maintenu depuis la première instance que les opérations avaient été réalisées au moyen des cartes de M. [U] et Mme [I], contrairement aux affirmations de mauvaise foi de l’appelante sur un prétendu changement de version.

La Fondation [J] fait valoir que :

— le tribunal de commerce a justement consacré la responsabilité de plein droit de l’établissement de crédit par application des articles L. 133-18 et suivants du code monétaire et financier, lesquels prévoient le remboursement immédiat des opérations non autorisées signalées par le payeur,

— elle a signalé les opérations non autorisées dès le 23 juin 2020, dans le délai de treize mois prévu à l’article L. 133-24 du code monétaire et financier ; la banque a accusé réception de ce signalement le 25 juin 2020 en confirmant avoir lancé une procédure 'recall’ sur les virements contestés, reconnaissant ainsi implicitement le caractère non autorisé des opérations,

— conformément à l’article L. 133-18 du code monétaire et financier, le remboursement aurait dû intervenir au plus tard à la fin du premier jour ouvrable suivant le signalement, soit le 24 juin 2020 ; la banque n’a ni remboursé les sommes, ni notifié de refus, ni communiqué par écrit à la Banque de France un quelconque soupçon de fraude,

— la banque ne rapporte pas la preuve, qui lui incombe en application de l’article L. 133-23 du code monétaire et financier et de la jurisprudence, que les opérations litigieuses n’ont pas été affectées par une déficience technique ou autre,

— le boîtier CAP de M. [U] était défaillant depuis plusieurs semaines et faisait l’objet d’une opération de maintenance en cours portant un numéro d’intervention ; les fonctionnalités de ce boîtier ont pourtant été 'réactivées’ au moment précis de la fraude, sans que la banque n’explique les circonstances de ce rétablissement,

— les deux premiers virements frauduleux, émis le 17 juin 2020 à 16h11 et 16h17, ont été réalisés depuis le profil de M. [U] alors même que son boîtier était censé être inopérant ; la banque a d’abord contesté ce point en première instance avant de l’admettre en appel,

— le séquencement des opérations révèle un faisceau d’indices concordants suggérant que les fraudeurs ont bénéficié d’un accès ou d’un complice au sein des services techniques de la banque : prise de contact au moment opportun, connaissance de la personne concernée par le dysfonctionnement, disposition de sa ligne directe, action au moment même où les moyens d’identification auraient été rétablis,

— le mécanisme de consentement 'objectif’ invoqué par la banque ne peut constituer une présomption irréfragable d’autorisation ; il appartient au prestataire de services de paiement de démontrer positivement l’absence de déficience technique, ce qu’il ne fait pas.

Sur ce,

L’article L. 133-3, I, du code monétaire et financier énonce que 'Une opération de paiement est une action consistant à verser, transférer ou retirer des fonds, indépendamment de toute obligation sous-jacente entre le payeur et le bénéficiaire, initiée par le payeur, ou pour son compte, ou par le bénéficiaire.'

L’article L. 133-6, I, du même code dispose que 'Une opération de paiement est autorisée si le payeur a donné son consentement à son exécution.'

Il est jugé, sur le fondement de ces textes, qu’une opération de paiement initiée par le payeur, qui donne un ordre de paiement à son prestataire de service de paiement, est réputée autorisée uniquement si le payeur a également consenti à son bénéficiaire et à son montant.

En l’espèce, il résulte des échanges d’e-mails produits aux débats, ainsi que du dépôt de plainte effectué par la Fondation [J] le 24 juin 2020, que les huit virements litigieux ont été réalisés par l’intermédiaire de M. [U], employé de la Fondation [J] qui croyait répondre aux demandes d’un technicien de la banque. Il s’avère ainsi que ces virements n’ont pas été consentis par la Fondation [J], tant au titre de leurs bénéficiaires qu’au titre de leurs montants. Les virements litigieux constituent donc des opérations de paiement non autorisées.

Or, dès lors que la responsabilité d’un prestataire de services de paiement est recherchée en raison d’une opération non autorisée ou mal exécutée, seul est applicable le régime de responsabilité défini aux articles L. 133-18 à L. 133-24 du code monétaire et financier, qui transposent les articles 58, 59 et 60, paragraphe 1, de la directive 2007/64/CE, à l’exclusion de tout régime alternatif de responsabilité résultant du droit national.

L’article L. 133-16 du code monétaire et financier énonce que 'Dès qu’il reçoit un instrument de paiement, l’utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées.

Il utilise l’instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation qui doivent être objectives, non discriminatoires et proportionnées.'

L’article L. 133-17, I, ajoute que 'Lorsqu’il a connaissance de la perte, du vol, du détournement ou de toute utilisation non autorisée de son instrument de paiement ou des données qui lui sont liées, l’utilisateur de services de paiement en informe sans tarder, aux fins de blocage de l’instrument, son prestataire ou l’entité désignée par celui-ci.'

L’article L. 133-19, IV précise que 'Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17.'

Et l’article L. 133-23 dispose que 'Lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre.

L’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière. Le prestataire de services de paiement, y compris, le cas échéant, le prestataire de services de paiement fournissant un service d’initiation de paiement, fournit des éléments afin de prouver la fraude ou la négligence grave commise par l’utilisateur de services de paiement.'

Il résulte de ces deux derniers textes que s’il entend faire supporter à l’utilisateur d’un instrument de paiement doté d’un dispositif de sécurité personnalisé, les pertes occasionnées par une opération de paiement non autorisée rendue possible par un manquement de cet utilisateur, intentionnel ou par négligence grave, aux obligations mentionnées aux articles L. 133-16 et L 133-17 de ce code, le prestataire de services de paiement doit au préalable prouver que l’opération en cause a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre.

Dès lors, préalablement à l’examen de la négligence grave alléguée par la banque, il convient d’examiner la déficience technique invoquée par la Fondation [J].

En l’espèce, il résulte du relevé des connexions au compte de la Fondation [J] (pièce n° 5 de la banque), que les 17 et 18 juin 2020, l’utilisateur 9, qui correspond à M. [U], et l’utilisateur 10, qui correspond à Mme [I], se sont authentifiés et qu’après cette authentification, des ajouts de comptes externes ont été effectués puis des modifications de codes confidentiels. Ainsi, un premier compte externe a été ajouté le 17 juin 2020 à 16h04 puis un second à 16h36, et selon le relevé des virements (pièce n° 6 de la banque), les cinq virements litigieux effectués ce jour-là ont été réalisés entre 16h11 et 16h43. Les trois virements litigieux effectués le lendemain, 18 juin 2020, ont été réalisés à 8h39 et 10h37 alors qu’il est établi par le relevé des connexions que l’utilisateur 10 s’est authentifié à ces heures, et le dernier virement litigieux a été réalisé à 14h19 alors qu’un troisième compte externe a été ajouté par l’utilisateur 10 à 14h15.

Ces éléments techniques corroborent le dépôt de plainte effectué par le dirigeant de la Fondation [J], selon lequel M. [U] a rentré les codes fournis par les boîtiers à son interlocuteur, provoquant ainsi les virements.

Il s’avère donc que les virements ont systématiquement eu lieu après la connexion authentifiée de l’utilisateur 9 comme de l’utilisateur 10. Il en résulte que M. [U], identifié comme l’utilisateur 9 et qui a fait usage du matériel d’authentification de Mme [I] identifiée comme l’utilisateur 10, a validé l’ensemble des opérations ayant permis les virements litigieux, ce qui exclut que ces virements puissent résulter d’une déficience technique, et établit également que ces opérations ont été authentifiées, dûment enregistrées et comptabilisées.

S’agissant de la négligence grave alléguée par la banque, il ressort des e-mails échangés les 29 mai, 4 et 8 juin 2020 entre M. [U] et Mme [N], responsable financière de la Fondation [J], que l’accès de M. [U] au compte de la Fondation auprès du Crédit coopératif était bloqué. Mme [N] a signalé cette anomalie à deux personnes de la banque, dans des e-mails du 8 juin 2020, et a procédé à une relance le 12 juin suivant. Il s’avère ainsi, que M. [U] était dans l’attente d’un appel téléphonique du service technique de la banque pour lui permettre de résoudre la difficulté, et cette circonstance est de nature à avoir diminué sa vigilance.

Toutefois, dans son e-mail du 22 juin 2020 adressé à Mme [N], M. [U] explique que son interlocuteur, peu sympathique depuis le début de l’intervention, ne se présentait 'pas ou à peine’ puis lui a enfin dit s’appeler M. [Y] mais ne lui a pas donné de numéro d’intervention et a commencé à hausser la voix. M. [U] lui a alors dit qu’il était sceptique et a demandé à son interlocuteur d’où il l’appelait car le numéro qui s’affichait était anormalement long. La conversation s’étant envenimée, M. [U] a raccroché. Ainsi, bien que M. [U] ait été dans l’attente d’un appel téléphonique du service technique de la banque, plusieurs éléments l’ont alerté sur l’identité de son interlocuteur. Or, en dépit de ses doutes, il a transmis à celui-ci les codes ayant permis l’ajout des bénéficiaires et la réalisation des virements litigieux. De plus, à la demande de cet interlocuteur, M. [U] a fait usage de la carte de sa collègue, Mme [I], alors même que le système Coop@ccess mis en place par la banque prévoit une authentification forte, chaque utilisateur devant faire un usage personnel de la carte d’authentification et de son code confidentiel. Cet usage du dispositif de sa collègue a permis l’ajout de deux bénéficiaires et la réalisation de plusieurs virements frauduleux.

Dès lors, la négligence grave est caractérisée et justifie que le payeur supporte les pertes occasionnées, conformément à l’article L. 133-19 précité.

En conséquence, la demande de la Fondation [J] tendant à être remboursée des sommes détournées doit être rejetée en son intégralité. Le jugement sera ainsi infirmé en ce qu’il condamne la banque à payer à la Fondation [J] la somme de 150.000 euros, mais confirmé en ce qu’il déboute la Fondation [J] de sa demande de dommages-intérêts.

Sur le manquement de la banque au devoir de vigilance

La Fondation [J] soutient que si la cour devait estimer que la banque était recevable à opposer une cause exonératoire de sa responsabilité de plein droit, elle devra la condamner au titre de la violation de son obligation de vigilance. En ce sens, elle fait valoir que :

— l’établissement de paiement, en qualité de dépositaire des fonds de ses clients au sens des articles 1927 et 1937 du code civil, est tenu à leur restitution et répond des fautes commises dans l’exécution de cette obligation ; la banque doit vérifier l’absence d’irrégularités matérielles évidentes et d’anomalies intellectuelles décelables, son défaut de vigilance privant le client de la possibilité de faire échec à la fraude,

— les opérations frauduleuses recèlent de nombreuses anomalies évidentes ; elles ont été effectuées alors que M. [U] avait signalé la défaillance persistante de ses moyens d’authentification depuis plusieurs semaines, pour des montants inhabituels, au profit de bénéficiaires aux profils atypiques, et à une fréquence inhabituelle,

— au regard de l’accumulation de ces anomalies aisément décelables et du soudain fonctionnement d’outils défaillants sans notification préalable de leur résolution, la banque aurait dû suspendre sans délai l’exécution des huit opérations totalisant 353.677,01 euros et prendre immédiatement contact avec la Fondation [J] pour confirmer leur légitimité,

— la banque invoque son devoir de non-ingérence et l’autonomie des titulaires permise par les dispositifs de sécurisation sans intervention de la banque, laissant entrevoir des motivations exonératoires ; elle n’apporte toutefois aucun élément justifiant qu’elle ait opéré une appréciation spécifique de ses obligations dans les circonstances de l’espèce, alors même que Mme [M] [O] était en charge du suivi sans avoir même un regard sur ces opérations,

— au moment des faits, la banque n’avait pas mis en 'uvre la temporisation de l’activation des nouveaux bénéficiaires que d’autres établissements avaient déjà déployée pour permettre aux clients d’empêcher la réalisation immédiate d’opérations frauduleuses,

— alertée des caractéristiques douteuses des ordres et du dysfonctionnement technique, la Fondation [J] aurait immédiatement infirmé les ordres ; la perte de chance de ne pas subir la fraude est totale et fixée à 100 %, justifiant la condamnation de la banque à lui payer la somme de 353.677,01 euros en réparation du préjudice subi du fait de la violation aggravée de son devoir de vigilance.

La société Crédit Coopératif conteste tout manquement à son devoir de vigilance au motif que :

— selon la jurisprudence, le régime de responsabilité des prestataires de services de paiement prévu par le code monétaire et financier est exclusif de tout autre régime de responsabilité ; un utilisateur ne peut donc contester des opérations de paiement sur le fondement du devoir de vigilance mais uniquement en cas de défaut d’autorisation ou de mauvaise exécution,

— le dysfonctionnement du lecteur CAP de M. [U] n’imposait aucune surveillance accrue, le lecteur étant un simple dispositif de lecture autonome dont la défaillance n’affecte pas la sécurité du service en ligne ; la banque avait au demeurant engagé des opérations de maintenance pour résoudre ce dysfonctionnement,

— le service COOP@CCES est conçu pour permettre l’autonomie des clients professionnels via une authentification forte, dispensant la banque d’intervenir ou de temporiser les opérations sans obligation légale ou contractuelle de mise en place d’une temporisation de l’activation des bénéficiaires,

— les virements respectaient les plafonds convenus et le compte demeurait créditeur ; la jurisprudence constante retient que des montants élevés ou une fréquence soutenue ne constituent pas en soi des anomalies apparentes pour un compte suffisamment provisionné,

— les virements vers l’Allemagne et la Roumanie, États membres de l’Union européenne, ne peuvent être refusés sur le seul critère de leur destination en vertu du principe de non-discrimination bancaire prévu par le règlement européen n° 260/2012 ; la banque n’a pas à juger de l’opportunité des opérations ni de la dénomination des bénéficiaires sous peine de violer son devoir de non-ingérence dans les affaires de sa cliente,

— elle a satisfait à son obligation de vigilance en vérifiant l’authenticité des ordres dûment authentifiés par le dispositif de sécurité convenu, sans avoir à s’immiscer dans les opérations sous-jacentes.

Sur ce,

Comme il l’a été précédemment retenu, les virements litigieux constituent des opérations non autorisées.

Or, comme il l’a également été rappelé supra, dès lors que la responsabilité d’un prestataire de services de paiement est recherchée en raison d’une opération non autorisée ou mal exécutée, seul est applicable le régime de responsabilité défini aux articles L. 133-18 à L. 133-24 du code monétaire et financier, qui transposent les articles 58, 59 et 60, paragraphe 1, de la directive 2007/64/CE, à l’exclusion de tout régime alternatif de responsabilité résultant du droit national (en ce sens, Com., 15 janvier 2025, pourvoi n° 23-13.579, publié ; Com., 19 novembre 2025, pourvoi n° 24-17.780, publié).

Il en résulte que la Fondation [J] ne peut pas rechercher la responsabilité de la banque au titre de ses obligations de vigilance et de surveillance de ses systèmes.

La demande subsidiaire en paiement formée par la Fondation [J] doit donc être rejetée.

Sur les dépens et l’article 700 du code de procédure civile

La Fondation [J] succombant à l’instance, elle sera condamnée aux dépens de première instance et d’appel.

En application de l’article 700 du code de procédure civile, elle sera condamnée à payer à la banque la somme de 3.000 euros, au titre des frais irrépétibles exposés tant en première instance qu’en appel.

PAR CES MOTIFS

La cour, statuant publiquement et contradictoirement,

Infirme le jugement déféré, sauf en ce qu’il déboute la Fondation [J] de sa demande de dommages-intérêts ;

Statuant à nouveau et y ajoutant,

Rejette l’ensemble des demandes de la Fondation [J] ;

Condamne la Fondation [J] aux dépens de première instance et d’appel ;

Condamne la Fondation [J] à payer à la société Crédit coopératif la somme de 3.000 euros au titre de l’article 700 du code de procédure civile.

LA GREFFIERE LA PRESIDENTE