Inscription
7 jours d’essai gratuit.
Inscription en moins d’une minute. Pas de carte de crédit requise.
Cour d'appel de Paris, Pôle 4 chambre 9 a, 25 septembre 2025, n° 24/13440
CA Paris
Infirmation 25 septembre 2025

Arguments

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Signaler une erreur.
  • Accepté
    Manquement de la banque à son obligation de sécurité

    La cour a estimé que la banque n'a pas prouvé que les opérations contestées avaient été authentifiées et que les données de sécurité n'avaient pas été compromises, ce qui justifie le remboursement des sommes indûment prélevées.

  • Accepté
    Négligence de la banque dans la gestion du compte

    La cour a relevé que la banque a manqué à son devoir de vigilance en ne surveillant pas les transactions suspectes, ce qui a contribué à la fraude.

  • Accepté
    Résistance abusive de la banque

    La cour a considéré que la résistance de la banque était abusive et a causé un préjudice moral à Monsieur [X], justifiant l'octroi de dommages et intérêts.

  • Rejeté
    Justification de l'inscription au FICP

    La cour a jugé que l'inscription était justifiée, car Monsieur [X] n'avait pas régularisé son compte avant la fraude.

Résumé par Doctrine IA

Dans cette décision de la Cour d'appel de Paris du 25 septembre 2025, M. [C] [X] conteste le jugement du 30 juillet 2024 qui l'a condamné à payer 10 039,01 euros à la société LCL pour un solde débiteur, tout en déboutant ses demandes de dommages et intérêts et de radiation du FICP. La première instance a jugé que M. [X] avait fait preuve de négligence grave en ne protégeant pas ses données de sécurité. La Cour d'appel, après avoir examiné les obligations de la banque en matière de sécurité des transactions, a infirmé le jugement initial, considérant que la banque n'avait pas prouvé que les opérations contestées avaient été correctement authentifiées. Elle a condamné LCL à rembourser 7 685,80 euros à M. [X] et à lui verser 1 000 euros de dommages et intérêts, tout en confirmant sa dette de 2 353,21 euros.

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Commentaire1

Augmentez la visibilité de votre blog juridique : vos commentaires d’arrêts peuvent très simplement apparaitre sur toutes les décisions concernées. 
1Apple pay : authentification forte et charge de la preuve
Le Bot Avocat
Testez Doctrine gratuitement
pendant 7 jours
Démarrer
Vous avez déjà un compte ?Connexion

Sur la décision

Référence :
CA Paris, pôle 4 ch. 9 a, 25 sept. 2025, n° 24/13440
Juridiction : Cour d'appel de Paris
Numéro(s) : 24/13440
Importance : Inédit
Dispositif : Autre
Date de dernière mise à jour : 5 novembre 2025
Lire la décision sur le site de la juridiction

Sur les parties

Texte intégral

Copies exécutoires RÉPUBLIQUE FRANÇAISE

délivrées aux parties le : AU NOM DU PEUPLE FRANÇAIS

COUR D’APPEL DE PARIS

Pôle 4 – Chambre 9 – A

ARRÊT DU 25 SEPTEMBRE 2025

(n° , 2 pages)

Numéro d’inscription au répertoire général : N° RG 24/13440 – N° Portalis 35L7-V-B7I-CJ2HJ

Décision déférée à la Cour : Jugement du 30 juillet 2024 – Juge des contentieux de la protection de NOGENT SUR MARNE – RG n° 11-24-000232

APPELANT

Monsieur [C] [X]

né le [Date naissance 3] 1967 à [Localité 6] (ALGERIE)

[Adresse 4]

[Localité 7]

représenté et assisté de Me Corinne VALLERY MASSON de l’ASSOCIATION VEIL JOURDE, avocat au barreau de PARIS, toque : T06

INTIMÉE

La société LCL – LE CREDIT LYONNAIS, société anonyme agissant poursuites et diligences de ses représentants légaux domiciliés en cette qualité audit siège

N° SIRET : 954 509 741 00011

[Adresse 1]

[Localité 5]

représentée par Me Eric BOHBOT, avocat au barreau de PARIS

COMPOSITION DE LA COUR :

En application des dispositions des articles 805 et 907 du code de procédure civile, l’affaire a été débattue le 1er juillet 2025, en audience publique, les avocats ne s’y étant pas opposés, devant Mme Sophie COULIBEUF, Conseillère, chargée du rapport.

Ce magistrat a rendu compte des plaidoiries dans le délibéré de la Cour, composée de :

Mme Muriel DURAND, Présidente de chambre

Mme Laurence ARBELLOT, Conseillère

Mme Sophie COULIBEUF, Conseillère

Greffière, lors des débats : Mme Camille LEPAGE

ARRÊT :

— CONTRADICTOIRE

— par mise à disposition de l’arrêt au greffe de la Cour, les parties en ayant été préalablement avisées dans les conditions prévues au deuxième alinéa de l’article 450 du code de procédure civile.

— signé par Mme Muriel DURAND, Présidente et par Mme Camille LEPAGE, Greffière à laquelle la minute de la décision a été remise par le magistrat signataire.

FAITS, PROCÉDURE ET PRÉTENTIONS DES PARTIES

M. [C] [X] est titulaire depuis le 28 janvier 2022 d’un compte bancaire ouvert dans les livres de la société LCL-Crédit Lyonnais n° [XXXXXXXXXX02].

Entre le 16 et le 21 juillet 2022, 64 transactions étaient effectuées sur le compte de M. [X] pour une somme totale de 7 300,24 euros.

Le 3 octobre 2022, M. [X] a déposé plainte au commissariat de police de [Localité 7] pour utilisation frauduleuse d’un moyen de paiement contrefait et falsifié.

Par courrier recommandé en date du 16 février 2023, la société LCL-Crédit Lyonnais a mis en demeure M. [X] de s’acquitter du solde débiteur du compte résultant de sa clôture effectuée le 1er février 2023.

Suivant jugement contradictoire rendu le 30 juillet 2024 auquel il convient de se référer pour un exposé plus ample du litige, le juge des contentieux de la protection du tribunal de proximité de Nogent-sur-Marne saisi en demande de paiement par la société LCL-Crédit Lyonnais a :

— déclaré recevable l’action en paiement,

— constaté la résiliation de la convention de compte n° [XXXXXXXXXX02] en date du 28 janvier 2022 signé entre la société LCL-Crédit Lyonnais d’une part et M. [X] d’autre part,

— condamné M. [X] à payer à la société LCL-Crédit Lyonnais la somme de 10 039,01 euros arrêtée au 1er février 2023 au titre du solde débiteur du compte bancaire n° [XXXXXXXXXX02] majorée des intérêts au taux légal à compter du présent jugement,

— débouté M. [X] de sa demande de levée de son inscription au FICP,

— débouté M. [X] de sa demande de dommages et intérêts,

— condamné M. [X] aux dépens et à payer à la société LCL-Crédit Lyonnais la somme de 300 euros au titre de l’article 700 du code de procédure civile,

— débouté les parties du surplus de leurs prétentions,

— rappelé que l’exécution provisoire est de droit.

Après avoir estimé l’action en paiement de la banque recevable, le juge a considéré que M. [X] avait manqué par négligence grave à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées et que cette négligence le privait de son droit à remboursement des sommes débitées sur son compte entre le 16 et le 21 juillet 2022 à hauteur de 7 300,24 euros, transactions dont il contestait être à l’origine.

Pour statuer ainsi, le juge a relevé qu’il ressortait des débats, de l’avis du médiateur de la banque du 21 novembre 2023 et des relevés bancaires de M. [X] que l’activation de sa carte bancaire dans le « wallet apple pay » avait fait l’objet d’une validation par authentification forte via le téléphone portable désigné comme appareil de confiance de M. [X] alors que celui-ci ne contestait pas en être le propriétaire et n’invoquait pas qu’il ait été volé au moment de l’enregistrement contesté.

Le juge a retenu que le code à usage unique transmis sur ce téléphone avait été saisi afin d’autoriser l’enregistrement de la carte bancaire sur l’application Apple Pay et que même si M. [X] soutenait ne jamais avoir répondu aux deux SMS lui demandant de valider l’enregistrement de sa carte bancaire sur le « wallet apple pay », il ne fournissait aucune explication sur la saisie de ce code.

Il a ajouté que selon les recherches menées au sein de la banque par le médiateur LCL, il apparaissait que le code secret adressé au client avait été communiqué à des tiers et enregistré sur six appareils différents dont celui de M. [X].

Il a considéré que ce constat permettait de dire que contrairement aux déclarations de M. [X], sa carte bancaire avait été enrôlée sur l’application Apple Pay de son téléphone portable et sur cinq autres.

Il a estimé également que M. [X] avait réagi tardivement à la demande d’enregistrement de sa carte bancaire le 16 juillet 2022, opération pouvant s’apparenter à une tentative de fraude, puisqu’il n’avait fait une réclamation à sa banque que le 26 juillet 2022 pour opposition.

Il a ensuite considéré que la banque n’avait pas manqué à son devoir de vigilance eu égard à l’obligation de non-ingérence de toute banque dans les affaires de ses clients quand bien même les opérations litigieuses portaient sur un montant élevé au regard des dépenses effectuées habituellement.

Il a rejeté la demande formée par M. [X] de radiation du FICP puisque ce dernier n’était pas à jour du remboursement intégral des sommes dues, ainsi que toute demande de dommages et intérêts pour préjudice moral puisqu’aucune faute ne pouvait être reprochée à la banque.

M. [X] a interjeté appel de ce jugement par déclaration enregistrée le 1er août 2024.

Par ordonnance en date du 19 décembre 2024, le premier président de la cour d’appel de Paris a débouté M'. [X] de sa demande de suspension de l’exécution provisoire au motif qu’il ne présentait pas de moyen sérieux d’infirmation du jugement.

Par ordonnance en date du 20 mai 2025, le magistrat en charge de la mise en état a déclaré la demande de radiation présentée le 12 mai 2024 par la société LCL-Crédit Lyonnais, irrecevable.

Aux termes de ses conclusions n° 2 déposées par voie électronique le 26 mars 2025, il demande à la cour :

— de réformer intégralement le jugement rendu par le juge des contentieux de la protection,

— en conséquence, statuant à nouveau,

— de débouter la société LCL – Crédit Lyonnais de sa demande à concurrence de la somme de 7 685,80 euros correspondant au montant des prélèvements frauduleux,

— de lui donner acte qu’il ne s’oppose pas au règlement de la somme de 2 353,15 euros,

— d’ordonner à la société LCL- Crédit Lyonnais de lever son inscription au fichier de la banque de France sous astreinte non comminatoire de 500 euros par jour de retard à compter de la signification du jugement à intervenir,

— de condamner la société LCL – Crédit Lyonnais à lui verser les sommes suivantes :

—  5 000 euros au titre du préjudice moral,

—  10 000 euros sur le fondement de l’article 700 du code de procédure civile ainsi qu’aux dépens d’instance.

Au soutien de ses prétentions, il conteste toute négligence et considère qu’en vertu de l’article L. 133-15 I du code monétaire et financier, la banque a l’obligation de veiller à ce que les données de sécurité personnalisées soient uniquement accessibles à l’utilisateur demandeur autorisé à user de l’instrument de paiement, que le premier juge a inversé la charge de la preuve puisqu’il appartenait à la banque d’exiger une authentification forte du payeur dans le cadre d’opérations de paiement réalisées via une application comme Apple Pay.

Il estime qu’il appartenait à la banque de fournir des preuves concrètes et irréfutables du bon fonctionnement de l’authentification qu’elle avait mise en place et de l’absence de déficience technique.

Il rappelle que c’est sans demande préalable de sa part que la banque lui a transmis par SMS un code d’authentification à usage unique permettant l’enregistrement de sa carte sur l’application Apple Pay, que le délai de 19 jours entre le dernier paiement litigieux et son signalement à sa banque n’est pas tardif puisqu’il a contesté les transactions litigieuses le 26 juillet 2022 soit dix jours après la première opération frauduleuse et seulement quatre jours après le dernier paiement auquel il a fait opposition, que le jugement de première instance fait peser sur lui la responsabilité de cette fraude alors que c’est la banque qui a communiqué le code secret unique à six numéros d’appel distinct et non à l’unique numéro de confiance communiqué par lui ou en tout cas a permis à l’escroc d’intervenir pour pirater ce code, en principe à usage unique, que c’est ce comportement fautif de la banque qui est à l’origine de la fraude.

Il considère que la banque n’explique pas comment sa carte bancaire a pu se retrouver enregistrée sur cinq autres appareils que celui qu’il avait donné comme étant l’appareil de confiance et qu’elle ne démontre pas l’absence de défaillance technique dans la mise en place de l’authentification forte pour les six opérations d’enregistrement de la carte bancaire sur Apple Pay et pour les 64 opérations de paiement, comme elle en avait la charge, qu’ainsi c’est la société LCL-Crédit Lyonnais qui a commis des négligences.

Il ajoute que la banque, sur laquelle pèse la charge de la preuve, n’a jamais démontré que le code à usage unique ait été envoyé à son seul numéro et comment un code à usage unique a permis l’enregistrement de six appareils différents.

Il indique également que la banque était soumise à un devoir de vigilance et aurait dû opérer un examen attentif des opérations effectuées sur son compte en veillant à ce qu’elles soient cohérentes et ne présentent aucune anomalie apparente ; qu’ en l’espèce les transactions ont été effectuées au profit des mêmes destinataires situés dans l’Hexagone qui n’avaient jamais bénéficié de transactions auparavant et à une fréquence qui n’avait jamais été réalisée antérieurement ; qu’au surplus ces bénéficiaires étaient en France alors qu’à l’époque il justifie qu’il était en Suède.

Il ajoute que l’examen de son compte aurait dû permettre à la banque de constater qu’en seulement cinq jours 64 opérations avaient été effectuées alors qu’en moyenne il en réalise 32 sur un mois, que son montant moyen de dépenses par carte bancaire est de 1 144,78 euros par mois et non de 7 300,24 euros comme ça été le cas en juillet 2022 sur cinq jours, que 43 des opérations ont eu lieu dans des bars ou débits de tabac faisant PMU, ce qui ne correspond pas à ses habitudes.

Il considère donc que la banque n’a pas été normalement diligente et a commis une faute contractuelle lui ayant causé un préjudice important pour lequel il doit être dédommagé à hauteur de 5 000 euros.

Aux termes de ses dernières conclusions déposées par voie électronique le 22 janvier 2025, la société Crédit Lyonnais demande à la cour :

— de débouter M. [X] de toutes ses demandes, fins et conclusions,

— de confirmer le jugement rendu par le juge des contentieux de la protection du tribunal de proximité de Nogent-sur-Marne le 30 juillet 2024 en toutes ses dispositions,

— y ajoutant,

— de condamner M. [X] au paiement d’une somme de 10 000 euros en application de l’article 700 du code de procédure civile et aux entiers dépens.

Elle expose tout d’abord que M. [X] a laissé son compte fonctionner en position débitrice à compter du 10 mars 2022 sans jamais le régulariser malgré le courrier de relance qui lui a été adressé le 20 octobre 2022, que c’est la raison pour laquelle elle a dû procéder à sa clôture le 1er février 2023.

Elle ajoute que M. [X] n’a jamais réagi avant l’audience devant le premier juge.

Elle estime qu’alors que M. [X] ne conteste pas avoir reçu un premier SMS lui demandant d’enregistrer un code sur Apple Pay puis un second SMS lui indiquant que la validation avait eu lieu, il n’a jamais cru devoir l’informer de ces opérations dont il dit ne pas être à l’origine.

Elle considère que M. [X] est à l’origine de la demande tendant à enregistrer sa carte bancaire sur l’application Apple Pay et qu’en tout état de cause il a engagé sa responsabilité.

Elle explique la procédure d’authentification forte à double facteur qu’elle a mise en place conformément à l’article L. 133-4 du code monétaire et financier avec la création d’un identifiant et d’un code personnel d’accès correspondant à un facteur de connaissance, l’enregistrement d’un numéro de téléphone dans le dossier client de la banque et le code à usage unique comme étant un facteur de possession, et un appareil de confiance sur lequel est téléchargée l’application « LCL mes comptes » qui est un facteur de connaissance.

Elle précise qu’à l’issue d’un délai de temporisation de sept jours le client ne reçoit plus de code à usage unique par SMS pour effectuer un virement mais doit saisir son identifiant et son code personnel d’accès sur son appareil de confiance pour valider ces opérations.

Elle ajoute que M. [X] a commis une négligence grave en ne réagissant pas à un SMS reçu à la suite d’une opération non sollicitée par lui, qu’un utilisateur normalement attentif aurait pu éviter cette communication de données personnelles.

Elle soulève par ailleurs que M. [X] affirme dans ses écritures ne jamais avoir sollicité la banque pour pouvoir enregistrer l’application Apple Pay sur son téléphone portable alors qu’il reconnaissait devant le médiateur disposer de cette application sur son smartphone.

Elle ajoute que dans ses conclusions M. [X] n’est pas affirmatif sur le fait d’avoir validé le code reçu puisqu’il indique qu'« il ne se souvient pas avoir actionné ce code » puis que « ce second SMS l’informait donc de l’enregistrement de sa carte bancaire sur un smart phone ce qui lui échappait en partie mais n’était pas en mesure de l’inquiéter ».

Elle considère donc que M. [X] a été négligent et a engagé sa responsabilité puisque de surcroît il ne l’a pas immédiatement informée de la demande d’enregistrement dont il n’était pas à l’origine.

Enfin, elle indique que, contrairement à ce que déclare M. [X], le premier juge, comme le premier président de la cour d’appel de Paris, ont répondu à son argumentation sur le non-respect par la banque de son devoir de vigilance’ et qu’en tout état de cause elle n’a pas à s’ingérer dans les affaires de son client et n’a donc pas à effectuer des recherches pour s’assurer que les opérations qu’un client souhaite réaliser sont régulières, ne lui sont pas préjudiciables et ne sont pas susceptibles de nuire à des tiers.

Elle ajoute que les opérations litigieuses ont eu lieu entre le 16 et le 21 juillet 2022 en France alors que M. [X] justifie avoir effectué des dépenses à [Localité 8] le 20 juillet 2022 puis entre le 22 et le 25 juillet 2022.

Elle estime qu’il ne peut être exclu que M. [X] ait remis sa carte bancaire ou l’appareil sur lequel a été installée l’application à un tiers en France ou encore qu’il ait pu remettre sa carte bancaire à un de ses amis qui aurait voyagé avec, en Suède.

Elle déduit de l’ensemble de ces éléments qu’en l’absence d’anomalie apparente elle n’avait pas à exercer une vigilance particulière sur les opérations de M. [X].

S’agissant de la demande de dommages et intérêts, elle considère qu’elle ne pourra qu’être rejetée puisqu’elle n’a commis aucune faute et que l’inscription au FICP de M. [X] était justifiée puisqu’il a été débiteur d’une somme à tout le moins de 2 353,51 euros, ce qu’il ne conteste pas.

Pour un plus ample exposé des faits, moyens et prétentions des parties, il est renvoyé aux écritures de celles-ci conformément aux dispositions de l’article 455 du code de procédure civile.

L’ordonnance de clôture a été rendue le 17 juin 2025 et l’affaire a été appelée à l’audience du 18 juin 2025 pour être mise en délibéré au 25 septembre 2025 par mise à disposition au greffe.

MOTIFS DE LA DÉCISION

La cour relève qu’aucune des parties ne conteste la condamnation à paiement par M. [X] de la somme de 2 353,51 euros due au titre du solde du compte bancaire n° [XXXXXXXXXX02] et qu’ainsi même si M. [X] demande la réformation totale du jugement, sa condamnation au paiement de cette somme ne donnera lieu à aucun développement et sera confirmée.

Il n’est en réalité contesté à hauteur d’appel que les moyens et prétentions liés aux manquements de la banque à l’impératif d’assurer la sécurité et la confidentialité des données d’authentification personnalisées du client et à son devoir de vigilance, et à la négligence grave de M. [X].

Sur le manquement de la banque à l’impératif d’assurer la sécurité et la confidentialité des données d’authentification personnalisées

Il résulte des articles L. 133-3, L. 133-6 et L. 133-7 du code monétaire et financier que la détermination du caractère autorisé d’une opération ne dépend pas de l’obligation sous-jacente qui est sans conséquence sur la validité de l’ordre, mais du consentement du payeur lequel est donné « sous la forme convenue entre le payeur et son prestataire ».

Une des formes convenues envisagée par la loi est l’usage d’un dispositif de paiement avec données de sécurité personnalisées défini à l’article L. 133-4 du code monétaire et financier qui permettent d’authentifier son auteur. En vertu de l’article L.133-44 du même code, le prestataire de services de paiement applique l’authentification forte du client définie au f de l’article L. 133-4 lorsque le payeur :

1° accède à son compte de paiement en ligne ;

2° initie une opération de paiement électronique ;

3° exécute une opération par le biais d’un moyen de communication à distance, susceptible de comporter un risque de fraude en matière de paiement ou de toute autre utilisation frauduleuse.

Les articles L. 133-16 et L. 133-17 du même code imposent à la banque qui délivre un instrument de paiement :

— de s’assurer que les données de sécurité personnalisées telles que définies à l’article L. 133-4 ne sont pas accessibles à d’autres personnes que l’utilisateur autorisé à utiliser cet instrument,

— de mettre en place, à titre gratuit, les moyens appropriés permettant à l’utilisateur de procéder à tout moment à l’information prévue à l’article’L. 133-17,

— et d’empêcher toute utilisation de l’instrument de paiement après avoir été informé, conformément aux dispositions de l’article L. 133-17, de sa perte, de son vol, de son détournement ou de toute utilisation non autorisée de l’instrument de paiement ou des données qui lui sont liées.

De son côté l’utilisateur doit :

— aux termes de l’article L. 133-16 du même code, prendre toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées et utiliser l’instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation qui doivent être objectives, non discriminatoires et proportionnées,

— aux termes de l’article L. 133-17 du même code, dès qu’il en a connaissance prévenir sa banque de toute perte, vol, détournement ou de toute utilisation non autorisée de son instrument de paiement ou des données qui lui sont liées aux fins de blocage.

Il résulte des dispositions de l’article L. 133-23 du code monétaire et financier :

— que lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre,

— que la seule utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière et que le prestataire de services de paiement, y compris, le cas échéant, le prestataire de services de paiement fournissant un service d’initiation de paiement, fournit des éléments afin de prouver la fraude ou la négligence grave commise par l’utilisateur de services de paiement.

Il résulte par ailleurs des articles L. 311-18 et L. 311-19 du code monétaire et financier que ce n’est que dans le cas où une opération n’est pas autorisée par le client et qu’il l’a signalée dans les conditions prévues à l’article’L. 133-24 que le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement et s’il communique ces raisons par écrit à la Banque de France.

La responsabilité du payeur n’est pas non plus engagée si l’opération de paiement non autorisée a été effectuée en détournant, à l’insu du payeur, l’instrument de paiement ou les données qui lui sont liées, ni en cas de contrefaçon de l’instrument de paiement si, au moment de l’opération de paiement non autorisée, le payeur était en possession de son instrument.

Sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si le prestataire de services de paiement ne fournit pas de moyens appropriés permettant l’information aux fins de blocage de l’instrument de paiement prévue à l’article L. 133-17.

En revanche, le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17.

Enfin, sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si l’opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement du payeur n’exige une authentification forte du payeur prévue à l’article L. 133-44.

Il résulte donc de l’enchevêtrement de ces textes que pour éviter toute fraude, la banque se doit de mettre en 'uvre des procédés techniques de protection des opérations au moyen d’éléments personnels d’identification de l’utilisateur, que plus l’opération nécessite l’utilisation de données d’authentification, plus elle est considérée comme ayant été autorisée par l’utilisateur, lequel peut néanmoins toujours nier l’avoir autorisée, que dans ce cas la banque doit :

1/ prouver que ce sont bien les données d’authentification de l’utilisateur qui ont été utilisées et qu’il n’y a pas eu de défaillance technique,

et 2/ même dans le cas où l’authentification est renforcée et où ces données ont été utilisées, fournir des éléments afin de prouver la fraude ou la négligence grave commise par l’utilisateur de services de paiement.

L’utilisateur qui nie avoir autorisé une opération réalisée avec ses données d’authentification forte se doit de prévenir sa banque dès qu’il en a connaissance.

D’autre part l’utilisateur qui se doit de préserver ses données d’authentification forte doit être vigilant à réception de messages ou d’informations lui demandant la communication des données censées protéger les ordres de paiement mais il ne commet pas nécessairement de négligence fautive s’il se les fait dérober.

Il est admis que cette preuve ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés.

En cas d’utilisation d’un dispositif de sécurité personnalisé, il appartient également au prestataire de prouver que l’opération en cause a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre.

En l’espèce, le premier juge a inversé la charge de la preuve en ne retenant que le fait que M. [X] aurait été négligent dans la garde de ses données personnalisées, alors qu’il appartient au prestataire de services de paiement, la société LCL-Crédit Lyonnais en l’espèce, de prouver que l’opération en cause avait été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’avait pas été affectée par une déficience technique, et ce selon une jurisprudence constante de la Cour de Cassation.

La chronologie des opérations telle qu’admise par les parties, fait apparaître que la banque a, le 16 juillet 2022 à 13h14, transmis à M. [X] un code d’authentification à usage unique que celui-ci dit ne pas avoir demandé et dont la banque ne rapporte pas la preuve que son client en soit à l’origine,' par le biais d’un SMS rédigé en ses termes « saisissez le code 510128 pour activer votre carte dans le wallet apple pay'( code valable 30 minutes) », aucun élément n’est fourni justifiant que M. [X] ait utilisé ce code.

Il a ensuite reçu un second SMS le même jour selon lequel l’enregistrement de sa carte bancaire avait bien été faite sur Apple Pay, dont il dit ne pas s’être préoccupé, n’étant pas à l’origine de la demande.

Il dit avoir reçu le 23 juillet 2022 un second code qu’il n’a pas plus utilisé.

Par la suite 64 transactions ont eu lieu entre le 16 et le 22 juillet 2022 par le biais de l’application Apple Pay, uniquement dans des commerces en France nécessitant donc la présentation de l’application « Apple Pay » sur un support quel qu’il soit, en France ; il établit qu’il était au moins sur une partie de la période incriminée à l’étranger ayant procédé à des achats à compter du 20 juillet 2022 en Suède.

Si le médiateur à la consommation dans son avis du 21 novembre 2023 indique que M. [X] lui a déclaré disposer de l’application Apple Pay sur son téléphone mais ne pas l’utiliser, M. [X] ne le confirme pas et ne l’a pas évoqué au commissariat de police lors de son dépôt de plainte le 3 octobre 2022.

En tout état de cause disposer de l’application ne présuppose pas que la carte en question y ait été enregistrée au moyen du code qui lui aurait été transmis.

La banque se targue d’avoir mis en place un système de sécurité renforcée avec authentification forte à double facteur, facteur de possession et de connaissance, dans le cadre des opérations de communication à distance. Cependant il lui appartenait de prouver que ce sont bien les données d’authentification de M. [X] qui ont été utilisées et qu’il n’y a pas eu de défaillance technique, dès lors qu’une opération est contestée.

Elle n’apporte aucun élément sur ces deux points : elle n’établit ni que ce sont bien les éléments d’authentification personnels de M. [X] qui ont été utilisés et ne peut se contenter d’affirmer que les opérations n’ont pu se faire que grâce à ces éléments d’identification sans le démontrer de manière positive.

Or, la banque ne fournit aucun élément de preuve concrète et irréfutable du bon fonctionnement de l’authentification qu’elle a mise en place pour le compte de M. [X] et de l’absence de déficience technique en juillet 2022 ; elle se borne à fournir des documents généraux (conditions générales du service en ligne LCL/ guide de la sécurité de la Fédération Bancaire Française/ dispositions générales de banque- clientèle des particuliers) mais aucun en lien avec le cas précis et le compte de M. [X].

Elle ne produit même pas la preuve que le téléphone portable de M. [X] a été déclaré comme appareil de confiance par le client.

Ainsi il peut paraître pour le moins surprenant qu’avec un degré d’authentification forte, il soit possible avec un unique code d’enregistrer une carte bancaire sur six appareils différents comme la banque l’a elle-même reconnu devant le médiateur à la consommation, et ce sans prouver aucune validation électronique pour chacun des appareils, que de surcroit cinq des appareils sur lesquels a été enregistrée la carte, ne soient pas celui de confiance comme déclaré par le client à la banque et considéré comme un facteur de possession et qu’au surplus, il soit possible de valider 64 transactions sans jamais rentrer ou valider un code d’authentification ou d’accès et sans recevoir aucune notification.

Cette application de paiement’dans laquelle les cartes de paiement sont enregistrées et dématérialisées’ est un système de paiement électronique exécuté par le biais d’un moyen de communication à distance susceptible de comporter un risque de fraude en matière de paiement ou de toute autre utilisation frauduleuse et la banque devait exiger une identification forte du payeur, ce que manifestement elle a échoué à faire.

La société LCL- Crédit Lyonnais qui supporte la charge de la preuve de la négligence de M. [X], échoue également à l’établir puisqu’elle ne démontre pas que ce dernier ait volontairement ou par négligence grave remis au fraudeur des informations personnelles liées à sa carte bancaire ou à son compte, c’est à dire des données confidentielles.

D’ailleurs, le médiateur à la consommation saisi par M. [X] indique que la bonne foi de ce dernier n’est pas mise en cause et qu’il s’agit d’une « fraude induite par l’utilisation de l’application Apple Pay à l’insu de ce dernier » mais a cependant rejeté son recours au motif que le code secret adressé au client avait été communiqué et à des tiers et enregistré sur six appareils différents, alors qu’il n’est pas démontré que ce soit du fait du client.

M. [X] n’a pas non plus commis de faute dans le cadre de la dénonciation de la fraude puisqu’il l’a faite le 26 juillet 2022 en remplissant le document intitulé « contestation transactions carte » qu’il a signé électroniquement le 26 juillet 2022 à 12h26 et 14 secondes, avant de déposer plainte au commissariat de police le 3 octobre 2022.

La banque a en revanche manqué à ses obligations en n’effectuant pas d’examen du compte de M. [X] sur cette période de 5 jours entre le 16 juillet et le 21 juillet 2022 car elle aurait ainsi remarqué des anomalies apparentes dans la gestion du compte, telles que :

— un nombre anormalement élevé de paiements par carte bancaire,

— un très grand nombre de paiements auprès d’un petit nombre de commerçants sur 5 jours,

— des dépenses de plus de 7 000 euros en cinq jours, soit hors de proportion avec ses dépenses habituelles.

Dès lors le jugement de première instance doit être infirmé et la société LCL-Crédit Lyonnais doit être condamnée à rembourser à M. [X] les sommes indument prélevées entre le 16 et le 22 juillet 2022, soit la somme de 7 300,24 euros outre les frais pour 16 euros et les intérêts pour 220,56 euros, soit un total de 7 685,80 euros ; ainsi la demande de condamnation de M. [X] au paiement de la somme de 10 039,01 euros doit être ramenée à la somme de 2 353,21 euros correspondant aux opérations dont il est bien l’auteur, ce qu’il ne conteste pas'.

Sur la demande de dommages et intérêts

Au regard de ce qui précède et dans la mesure où la banque s’est contentée de procéder par affirmations sans démontrer en aucune manière que les opérations contestées avaient été réalisées grâce à un code que M. [X] aurait négligemment enregistré sur son téléphone pour bénéficier de l’application Apple Pay, la cour ne peut que considérer que sa résistance est abusive et qu’elle a causé à M. [X] un préjudice moral qu’il convient de réparer par l’allocation d’une somme de 1 000 euros.

Le jugement doit être infirmé en ce qu’il a rejeté cette demande.

Sur la demande de mainlevée de l’inscription au fichier banque de France

M. [X] verse à l’appui de cette demande une inscription au FICP le 31 octobre 2022 pour une durée de cinq années à la suite d’un découvert. Or, il n’apparait pas aux termes de la convention de compte signée le 28 janvier 2022 que M. [X] avait négocié et obtenu un découvert de son solde de compte et il résulte des relevés bancaires produits depuis l’ouverture du compte que celui-ci est devenu débiteur à compter du 10 mars 2022 sans jamais redevenir créditeur. Ainsi M. [X] était défaillant dans ses obligations envers la banque justifiant son inscription au FICP et ce bien avant la fraude dont il a été victime.

Dès lors, sa demande de mainlevée sera rejetée.

Sur les frais irrépétibles et les dépens

Au regard de ce qui précède, le jugement doit être confirmé en ses dispositions relatives aux dépens en ce que M. [X] succombe dans une partie de ses prétentions.

En revanche sa condamnation à payer des frais irrépétibles à la banque sera infirmée au regard de la situation économique respective des parties.

La société LCL qui succombe majoritairement en appel doit être condamnée aux dépens d’appel et au paiement à M. [X] de la somme de 2 500 euros sur le fondement de l’article 700 du code de procédure civile.

PAR CES MOTIFS

LA COUR,

Statuant publiquement par arrêt contradictoire et en dernier ressort,

Infirme le jugement en ce qu’il a 'condamné M. [C] [X] à payer à la société LCL-Crédit Lyonnais la somme de 10 039,01 euros au titre du solde débiteur de compte bancaire, a débouté M. [C] [X] de sa demande de dommages et intérêts et l’a condamné à payer à la société LCL- Crédit Lyonnais la somme de 300 euros au titre de l’article 700 du code de procédure civile ;

Y ajoutant dans les limites de l’appel,

Dit que la condamnation de M. [C] [X] en paiement de son solde bancaire est limitée à la somme de 2 353,21 euros ;

Condamne la société LCL Le Crédit Lyonnais à payer à M. [C] [X] la somme de 1 000 euros à titre de dommages et intérêts ;

Dit n’y avoir lieu à application de l’article 700 du code de procédure civile en première instance ;

Condamne la société LCL- Crédit Lyonnais à verser à M. [X] la somme de 2 500 euros au titre des frais irrépétibles d’appel ;

Condamne la société LCL- Crédit Lyonnais aux dépens d’appel ;

Rejette toute demande plus ample ou contraire.

La greffière La présidente

Décisions similaires

Citées dans les mêmes commentaires3

  • Contrat d'assurance ·
  • Contrats ·
  • Prévoyance ·
  • Commissaire de justice ·
  • Caducité ·
  • Appel ·
  • Déclaration ·
  • Signification ·
  • Tribunal judiciaire ·
  • Procédure civile ·
  • Acte ·
  • Avocat
  • Baux d'habitation et baux professionnels ·
  • Contrats ·
  • Logement ·
  • Délais ·
  • Exécution ·
  • Tribunal judiciaire ·
  • Commandement ·
  • Demande ·
  • Dépens ·
  • Procédure civile ·
  • Bail ·
  • Allocation
  • Demande en paiement du solde du compte bancaire ·
  • Banque - effets de commerce ·
  • Droit des affaires ·
  • Caducité ·
  • Service civil ·
  • Tribunal judiciaire ·
  • Mise en état ·
  • Déclaration ·
  • Appel ·
  • Magistrat ·
  • Partie ·
  • Avocat ·
  • Procédure civile

Citant les mêmes articles de loi3

  • Contrat tendant à la réalisation de travaux de construction ·
  • Contrats ·
  • Caducité ·
  • Architecte ·
  • Mutuelle ·
  • Épouse ·
  • Intimé ·
  • Mise en état ·
  • Avocat ·
  • Déclaration ·
  • Appel ·
  • Procédure civile
  • Demande relative à d'autres contrats d'assurance ·
  • Contrat d'assurance ·
  • Contrats ·
  • Fausse déclaration ·
  • Assureur ·
  • Question ·
  • Risque ·
  • Réticence ·
  • Tribunal judiciaire ·
  • Réponse ·
  • Indemnité d'assurance ·
  • Sinistre
  • Avocat ·
  • Adresses ·
  • Requête en interprétation ·
  • Siège ·
  • Qualités ·
  • Associé ·
  • Désistement ·
  • Personnes ·
  • Registre du commerce ·
  • Conseiller

De référence sur les mêmes thèmes3

  • Demande de requalification du contrat de travail ·
  • Relations du travail et protection sociale ·
  • Relations individuelles de travail ·
  • Caducité ·
  • Appel ·
  • Saisine ·
  • Mise en état ·
  • Déclaration ·
  • Sanction ·
  • Homme ·
  • Procédure civile ·
  • Délai ·
  • Force majeure
  • Relations avec les personnes publiques ·
  • Droits d'enregistrement et assimilés ·
  • Dette ·
  • Successions ·
  • Administration fiscale ·
  • Date certaine ·
  • Finances publiques ·
  • Décès ·
  • Passif successoral ·
  • Tribunal judiciaire ·
  • Impôt ·
  • Mère
  • Banque - effets de commerce ·
  • Droit des affaires ·
  • Virement ·
  • Sociétés ·
  • Vigilance ·
  • Tribunal judiciaire ·
  • Investissement ·
  • Union européenne ·
  • Banque ·
  • Obligation ·
  • Monétaire et financier ·
  • Hongrie

Sur les mêmes thèmes3

  • Relations du travail et protection sociale ·
  • Relations individuelles de travail ·
  • Licenciement ·
  • Traiteur ·
  • Associations ·
  • Titre ·
  • Activité ·
  • Salarié ·
  • Sociétés ·
  • Prestation ·
  • Travail ·
  • Adresses
  • Banque - effets de commerce ·
  • Droit des affaires ·
  • Crédit agricole ·
  • Assurance-vie ·
  • Rachat ·
  • Préjudice ·
  • Administration fiscale ·
  • Obligation d'information ·
  • Contrats ·
  • Tribunal judiciaire ·
  • Procédures de rectification ·
  • Banque
  • Relations du travail et protection sociale ·
  • Relations individuelles de travail ·
  • Mise en état ·
  • Impossibilite d 'executer ·
  • Incident ·
  • Conséquences manifestement excessives ·
  • Paiement ·
  • Radiation du rôle ·
  • Impossibilité ·
  • Exécution provisoire ·
  • Salaire ·
  • Adresses

Textes cités dans la décision

  1. Code de procédure civile
  2. Code monétaire et financier
Extraits similaires à la sélection

Aucune décision de référence ou d'espèce avec un extrait similaire.

Inscrivez-vous gratuitement pour imprimer votre décision
Cour d'appel de Paris, Pôle 4 chambre 9 a, 25 septembre 2025, n° 24/13440
  1. Doctrine
  2. Décisions de justice
  3. 2025
  4. CA Paris, pôle 4 ch. 9 a, 25 sept. 2025, n° 24/13440
Contactez notre service commercial au 01 84 80 33 48