Inscription
7 jours d’essai gratuit.
Inscription en moins d’une minute. Pas de carte de crédit requise.
Cour d'appel de Paris, Pôle 4 chambre 9 a, 26 juin 2025, n° 23/16429
TI Paris 12 septembre 2023
>
CA Paris
Confirmation 26 juin 2025

Arguments

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Signaler une erreur.
  • Accepté
    Absence de négligence grave des demandeurs

    La cour a estimé que les époux [V] n'avaient pas commis de négligence grave et que la banque n'avait pas prouvé que les opérations avaient été autorisées.

  • Accepté
    Résistance abusive de la banque

    La cour a jugé que la résistance de la banque était abusive et a causé un préjudice moral aux époux, justifiant l'octroi de dommages et intérêts.

Résumé par Doctrine IA

Voici un résumé de la décision de justice :

Les époux [V] ont demandé le remboursement de 7 597,99 euros d'opérations frauduleuses sur leur compte bancaire, arguant ne pas les avoir autorisées. Le tribunal de proximité de Paris a condamné la banque LCL à rembourser cette somme, estimant que les clients n'avaient pas fait preuve de négligence grave malgré l'utilisation de leur carte et code PIN.

La banque LCL a fait appel, soutenant que l'authentification forte des opérations engageait la responsabilité des clients en cas d'utilisation de leur carte et code PIN. Elle a argué que les époux [V] avaient commis de multiples négligences, notamment en répondant à des tentatives de phishing et en remettant leur carte à un faux coursier.

La cour d'appel a confirmé le jugement de première instance en ce qu'il condamnait LCL à rembourser les sommes détournées. Elle a estimé que la banque n'avait pas prouvé que les données d'authentification des clients avaient été utilisées et que la sophistication de la fraude rendait leurs actions non fautives. La cour a infirmé le jugement sur le préjudice moral, condamnant LCL à verser 500 euros de dommages et intérêts pour résistance abusive.

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Commentaire0

Augmentez la visibilité de votre blog juridique : vos commentaires d’arrêts peuvent très simplement apparaitre sur toutes les décisions concernées. 

Sur la décision

Référence :
CA Paris, pôle 4 ch. 9 a, 26 juin 2025, n° 23/16429
Juridiction : Cour d'appel de Paris
Numéro(s) : 23/16429
Importance : Inédit
Décision précédente : Tribunal d'instance de Paris, 12 septembre 2023, N° 23/16429;23/04629
Dispositif : Autre
Date de dernière mise à jour : 4 mars 2026
Lire la décision sur le site de la juridiction

Sur les parties

Texte intégral

Copies exécutoires RÉPUBLIQUE FRANÇAISE

délivrées aux parties le : AU NOM DU PEUPLE FRANÇAIS

COUR D’APPEL DE PARIS

Pôle 4 – Chambre 9 – A

ARRÊT DU 26 JUIN 2025

(n° , 11 pages)

Numéro d’inscription au répertoire général : N° RG 23/16429 – N° Portalis 35L7-V-B7H-CILAC

Décision déférée à la Cour : Jugement du 12 septembre 2023 – Tribunal de proximité de PARIS – RG n° 23/04629

APPELANTE

LE CREDIT LYONNAIS, société anonyme agissant poursuites et diligences de son directeur général en cette qualité audit siège

N° SIRET : 954 509 741 00011

[Adresse 1]

[Localité 1]

représentée par Me Magali TARDIEU-CONFAVREUX de l’AARPI TARDIEU GALTIER LAURENT DARMON associés, avocat au barreau de PARIS, toque : R010

substituée à l’audience par Me Appoline MOISSON, avocat au barreau de PARIS, toque : R010

INTIMÉS

Monsieur [E] [V]

né le [Date naissance 1] 1984 à [Localité 2]

[Adresse 2]

[Localité 3]

représenté par Me Maude HUPIN, avocat au barreau de PARIS, toque : G0625

Madame [P] [J] épouse [V]

née le [Date naissance 2] 1981 à [Localité 4]

[Adresse 2]

[Localité 3]

représentée par Me Maude HUPIN, avocat au barreau de PARIS, toque : G0625

COMPOSITION DE LA COUR :

En application des dispositions des articles 805 et 907 du code de procédure civile, l’affaire a été débattue le 13 mai 2025, en audience publique, les avocats ne s’y étant pas opposés, devant Mme Muriel DURAND, Présidente de chambre, chargée du rapport.

Ce magistrat a rendu compte des plaidoiries dans le délibéré de la Cour, composée de :

Mme Muriel DURAND, Présidente de chambre

Mme Laurence ARBELLOT, Conseillère

Mme Sophie COULIBEUF, Conseillère

Greffière, lors des débats : Mme Camille LEPAGE

ARRÊT :

— CONTRADICTOIRE

— par mise à disposition de l’arrêt au greffe de la Cour, les parties en ayant été préalablement avisées dans les conditions prévues au deuxième alinéa de l’article 450 du code de procédure civile.

— signé par Mme Muriel DURAND, Présidente et par Mme Camille LEPAGE, Greffière à laquelle la minute de la décision a été remise par le magistrat signataire.

FAITS, PROCÉDURE ET PRÉTENTIONS DES PARTIES

M. [E] [V] et Mme [P] [J] épouse [V] sont titulaires d’un compte de dépôt ouvert auprès la société LCL Le Crédit Lyonnais (ci-après la société LCL) n° 3000 2004 6800 0002 1245 L30 ouvert à l’agence de [Localité 5] [Localité 6] dans le [Localité 7].

Ils ont sollicité le remboursement d’opérations effectuées sur leur compte entre le 10 et le 13 octobre 2022 totalisant 7 597,99 euros faisant valoir qu’ils n’en n’avaient pas donné l’ordre.

La banque ayant refusé de les rembourser, ils l’ont fait assigner devant le pôle civil de proximité du tribunal judiciaire de Paris lequel, par jugement contradictoire du 12 septembre 2023, a :

— dit que M. et Mme [V] n’avaient pas été gravement négligents dans le traitement de leurs données personnalisées et l’utilisation de leur carte bancaire associée à leur compte ouvert auprès de la société LCL pour la période du 7 octobre 2022 au 10 octobre 2022 et même à compter du 27 septembre 2022,

— condamné en conséquence la société LCL à payer à M. et Mme [V] la somme de 7 597,99 euros en remboursement des opérations non autorisées de paiement et retraits sur leur compte n° 3000 2004 6800 0002 1245 L30, avec intérêts au taux légal à compter de l’assignation,

— débouté M. et Mme [V] de leur demande de dommages et intérêts au titre du préjudice moral,

— dit n’y avoir lieu d’écarter l’exécutoire provisoire de droit,

— dit n’y avoir lieu à constitution de garantie de paiement dans le cadre de l’exécution provisoire maintenue,

— condamné la société LCL aux dépens,

— condamné la société LCL à payer à M. et Mme [V] la somme de 1 500 euros en application de l’article 700 du code de procédure civile.

Il a considéré que si les paiements et retraits avaient été faits avec la carte remise et le code PIN remis également à M. et Mme [V], à travers une authentification forte, dans le respect des formes convenues avec la banque, pour autant, l’utilisation de ce code PIN avec la carte ne caractérisait pas en elle-même une absence de responsabilité de la banque, sauf à caractériser une négligence grave des demandeurs, en application de l’article L. 133-19 IV du code monétaire et financier, laquelle était afférente aux obligations posées par les articles L. 133-16 et L. 133-17 du code monétaire et financier.

Il a relevé que M. et Mme [V] avaient informé leur banque sans tarder pour lui demander de bloquer leur compte en ligne et qu’ils avaient déposé une plainte pénale.

Il a ensuite considéré que le phishing Netflix, que la banque indiquait être à l’origine de l’opération frauduleuse, n’était pas révélateur en soi-même de négligence et que dans la mesure où aucune opération n’avait été constatée dans les jours suivants, il ne pouvait leur être reproché de n’avoir pas formé opposition.

Il a relevé que des affichages de numéros non identifiables, même sous forme de numéro de portable, étaient utilisés à des fins de sécurisation des entités commerciales.

Il a estimé que si M. et Mme [V] avaient répondu à des appels par téléphone reçus d’un numéro de portable et à des SMS, ceux-ci s’étaient inscrits dans le fil de ceux qu’ils recevaient de la société LCL, ce qui avait été de nature à les induire véritablement en erreur. Il a également considéré que s’ils n’avaient pas pris la précaution d’appeler la société LCL pour vérifier la « nouveauté » de la livraison de la carte bancaire par coursier et de la remise de l’ancienne carte, ceci n’était pas constitutif d’un manquement grave puisque l’interlocuteur avait pu se présenter comme personnel de la banque avec un protocole d’intervention particulier comme un service lié à une carte Visa premier. Il a également retenu que le fait de ne pas avoir été attentifs au libellé incomplet de la carte n’était pas non plus fautif, le surplus de l’apparence de la carte n’étant pas pour un consommateur moyen et raisonnable, distinct de manière évidente d’une carte légale, et s’ils avaient remis le code PIN de leur carte bancaire dans un processus d’opposition faisant double emploi avec celui effectué la veille, c’était que la fraude organisée était sophistiquée et précisément élaborée pour que les victimes perdent tout réflexe de prudence eu égard au laps de temps très court sur laquelle elle se déroulait. Il a souligné le fait que la fin de cette opération frauduleuse reposait d’ailleurs sur la remise des données liées aux comptes bancaires, par le renvoi, grâce à un lien, vers une page de « service d’opposition », qui comportait un logo extrêmement ressemblant à celui de la banque, avec une adresse https d’apparence tout à fait normale.

Il en a déduit que la seule négligence était de ne pas avoir repéré que la nouvelle carte remise ne comportait pas leur nom mais qu’elle n’était pas grave au sens du texte eu égard aux caractéristiques de la fraude articulée selon les éléments précités dans une volonté de tromper la vigilance d’un consommateur raisonnablement attentif. Il a enfin considéré que la réception d’un ultime message indiquant le 8 octobre 2022 un compte bloqué, dans la succession des messages reçus et des diligences effectuées, n’était pas de nature à attirer particulièrement 1'attention de M. et Mme [V].

Il a en conséquence condamné la banque à les rembourser.

Il a considéré que même si la banque n’avait pas fait droit à leur demande, il ne pouvait être retenu de résistance abusive ou de mauvaise foi de sa part.

Par déclaration électronique du 6 octobre 2023, la société LCL a interjeté appel de cette décision.

Par conclusions notifiées par RPVA le 26 décembre 2023, elle demande à la cour :

— de la déclarer recevable et bien fondée en son appel et y faisant droit,

— d’infirmer le jugement sauf en ce qu’il a rejeté la demande de dommages et intérêts des époux [V], et statuant à nouveau,

— de débouter M. et Mme [V] de l’intégralité de leurs demandes, fins, moyens et prétentions,

— de confirmer le jugement entrepris en ce qu’il avait débouté M. et Mme [V] de leur demande de dommages et intérêts au titre du préjudice moral,

— de condamner M. et Mme [V] à lui payer somme de 3 000 euros au titre de l’article 700 du code de procédure civile et l’intégralité des dépens.

Elle fait valoir que par l’ajout de la locution « pas nécessairement » dans l’article L. 133-23 du code monétaire et financier, le législateur a permis que l’utilisation conforme de l’instrument de paiement prouve dans certains cas le caractère autorisé de l’opération et que tel était le cas lorsque l’opération avait été autorisée par une authentification forte. Elle en déduit que la responsabilité de la banque ne saurait être engagée lorsque l’opération de paiement a été réalisée via une authentification forte, dans le respect des formes convenues entre la banque et son client.

Elle rappelle les textes sur l’authentification forte et affirme que les paiements par carte bancaire et les retraits aux guichets automatiques n’ont pu être effectués que :

— par la remise, par les époux [V], de leur carte bleue aux fraudeurs (élément appartenant à la catégorie « possession » conformément à l’article L 133-4 f) du code monétaire et financier) ;

— puis, par la composition du code PIN (élément appartenant à la catégorie « connaissance » conformément à l’article L 133-3 f) du code monétaire et financier), qui avait été communiqué aux fraudeurs via le formulaire envoyé le 8 octobre 2022.

A titre subsidiaire, elle fait valoir que l’article L. 133-19 IV du code monétaire et financier prévoit deux causes susceptibles d’écarter toute prise en charge des pertes par la banque en cas d’opération de paiement non autorisée et notamment la négligence grave du titulaire du compte relativement aux obligations prévues aux articles L. 133-16 et L. 133-17 du code monétaire et financier à savoir’la préservation de la sécurité et de la confidentialité des données de sécurité personnalisées et l’information donnée à la banque, sans délai, de toute utilisation non autorisée de son instrument de paiement, mais considère que M. et Mme [V] ont été négligents sur ces points.

Elle soutient que M. et Mme [V] ont enchaîné les négligences’en répondant à un phishing Netflix envoyé par un numéro de téléphone portable puis en ayant conscience de l’existence d’un tel phishing en ne la prévenant pas et en ne faisant pas opposition, en répondant à un appel d’un faux conseiller dont les propos, pour le moins confus, auraient dû attirer leurs soupçons, mais aussi en remettant leur carte bancaire à un faux coursier puis en ne repérant pas le caractère factice pourtant évident de la nouvelle carte et encore en communiquant des informations de sécurité personnalisées relatives à la carte bancaire, après la remise et enfin en ne réagissant pas alors que la fraude s’était déroulée sur un temps long.

Elle en déduit que la fraude n’a pu être réalisée que grâce à la collaboration active de M. et Mme [V] lesquels avaient servilement répondu aux différentes sollicitations, remis leur carte bancaire et communiqué les informations de sécurité personnalisées y afférentes.

Elle s’oppose à toute condamnation à des dommages et intérêts faisant valoir que son refus de remboursement était à la fois justifié par son absence de manquement contractuel et l’application des dispositions légales et jurisprudentielles.

Par conclusions notifiées par RPVA le 28 février 2024, M. et Mme [V] demandent à la cour :

— de les déclarer bien fondés en leurs demandes, fins et conclusions,

— de débouter la société LCL de l’ensemble de ses demandes, fins et prétentions,

— de confirmer le jugement en ce qu’il a condamné la société LCL à leur payer la somme de 7 597,99 euros en remboursement des sommes détournées, objet de la fraude bancaire, avec intérêt au taux légal à compter du 27 septembre 2022,

— d’infirmer le jugement en ce qu’il a rejeté la demande de condamnation formée au titre du préjudice moral, et statuant à nouveau,

— de débouter la société LCL de l’ensemble de ses demandes, fins et prétentions,

— de condamner la société LCL à leur payer la somme de 7 597,99 euros en remboursement des sommes détournées, objet de la fraude bancaire, avec intérêts au taux légal à compter du 27 septembre 2022,

— de condamner la société LCL à leur payer la somme de 1 600 euros au titre du préjudice moral,

— de condamner la société LCL au paiement de la somme de 3 000 euros au titre de l’article 700 du code de procédure civile et aux entiers dépens.

Ils rappellent les dispositions des articles L. 133-6, L. 133-23, L. 133-18, L. 133-19 et L. 133-44 du code monétaire et financier, font valoir que la preuve d’une négligence grave ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été utilisés et soutiennent que c’est à la banque de rapporter la preuve que l’utilisateur a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence grave à ses obligations.

Ils soutiennent avoir averti leur banque dans le délai imposé par la loi, dès qu’ils se sont aperçus des opérations frauduleuses et affirment que face à la sophistication de la fraude bancaire, ils ne peuvent être considérés comme négligents.

Ils font valoir avoir reçu sur le portable de M. [V] un sms de LCL mentionnant une opération en attente de validation avec le renvoi vers un autre numéro de téléphone à contacter pour signaler l’opération, que juste après la réception de ce sms M. [V] avait reçu un appel d’un homme se présentant comme conseiller de la banque et lui demandant de confirmer la validité de l’opération puis qu’un numéro de dossier lui avait été envoyé ainsi qu’un numéro de téléphone de suivi. Ils précisent que le faux conseiller avait alors expliqué qu’il existait un système de livraison pour un remplacement express des cartes Visa premier et qu’il devait récupérer l’ancienne carte pour procéder à un recyclage.

M. et Mme [V] admettent avoir remis la carte bancaire mais soutiennent que le service de livraison d’une carte, contrairement à ce que soutient la banque, peut parfaitement exister et n’est pas un procédé alarmant et que la remise d’une nouvelle carte avait conforté leur croyance. Ils font valoir que la carte était très ressemblante et le courrier qui l’accompagnait aussi faisant apparaître un logo LCL, que l’adresse d’opposition « https://opposition-cartes.fr/LCL.'» était très crédible.

Ils soutiennent avoir été victimes d’une fraude bancaire au faux conseiller très bien menée par des escrocs chevronnés qui disposaient déjà de l’accès aux comptes et à des informations confidentielles, ce qui les avait mis en confiance et qu’ils n’avaient aucun moyen de se rendre compte de la fraude qui allait se réaliser.

Ils soutiennent que la banque ne retient pas de négligence lorsque le client croit être en contact avec un conseiller de la banque.

Ils contestent toute négligence lors du phishing Netflix.

Ils considèrent le refus de la banque comme abusif et fautif et réclament des dommages et intérêts.

Pour un plus ample exposé des faits, moyens et prétentions des parties, il est renvoyé aux écritures de celles-ci conformément aux dispositions de l’article 455 du code de procédure civile.

L’ordonnance de clôture a été rendue le 25 mars2025 et l’affaire a été appelée à l’audience du 13 mai 2025.

MOTIFS DE LA DÉCISION

Sur la demande en paiement

Il résulte des article L. 133-3, L. 133-6 et L. 133-7 du code monétaire et financier que la détermination du caractère autorisé d’une opération ne dépend pas de l’obligation sous-jacente qui est sans conséquence sur la validité de l’ordre, mais du consentement du payeur lequel est donné « sous la forme convenue entre le payeur et son prestataire ».

Une des formes convenues envisagée par la loi est l’usage d’un dispositif de paiement avec données de sécurité personnalisées défini à l’article L. 133-4 du code monétaire et financier qui permettent d’authentifier son auteur. En vertu de l’article L. 133-44 du même code, le prestataire de services de paiement applique l’authentification forte du client définie au f de l’article L. 133-4 lorsque le payeur :

1° accède à son compte de paiement en ligne ;

2° initie une opération de paiement électronique ;

3° exécute une opération par le biais d’un moyen de communication à distance, susceptible de comporter un risque de fraude en matière de paiement ou de toute autre utilisation frauduleuse.

Les articles L. 133-16 et L. 133-17 du même code imposent à la banque qui délivre un instrument de paiement :

— de s’assurer que les données de sécurité personnalisées telles que définies à l’article L. 133-4 ne sont pas accessibles à d’autres personnes que l’utilisateur autorisé à utiliser cet instrument,

— de mettre en place, à titre gratuit, les moyens appropriés permettant à l’utilisateur de procéder à tout moment à l’information prévue à l’article’L. 133-17,

et d’empêcher toute utilisation de l’instrument de paiement après avoir été informé, conformément aux dispositions de l’article L. 133-17, de sa perte, de son vol, de son détournement ou de toute utilisation non autorisée de l’instrument de paiement ou des données qui lui sont liées.

De son côté l’utilisateur doit :

— aux termes de l’article L. 133-16 du même code, prendre toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées et utiliser l’instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation qui doivent être objectives, non discriminatoires et proportionnées,

— aux termes de l’article L. 133-17 du même code, dès qu’il en a connaissance prévenir sa banque de toute perte, vol, détournement ou de toute utilisation non autorisée de son instrument de paiement ou des données qui lui sont liées aux fins de blocage.

Il résulte des dispositions l’article L. 133-23 du code monétaire et financier :

— que lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre,

— que la seule utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière et que le prestataire de services de paiement, y compris, le cas échéant, le prestataire de services de paiement fournissant un service d’initiation de paiement, fournit des éléments afin de prouver la fraude ou la négligence grave commise par l’utilisateur de services de paiement.

Il résulte par ailleurs des articles L. 311-18 et L. 311-19 du code monétaire et financier que ce n’est que dans le cas où une opération n’est pas autorisée par le client et qu’il l’a signalée dans les conditions prévues à l’article’L. 133-24 que le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement et s’il communique ces raisons par écrit à la Banque de France.

Lorsque l’opération de paiement non autorisée est consécutive à la perte ou au vol de l’instrument de paiement, le payeur ne supporte, avant l’information prévue à l’article L. 133-17, que les pertes liées à l’utilisation de cet instrument, dans la limite d’un plafond de 50 euros sauf si l’opération non autorisée a été effectuée sans utilisation des données de sécurité personnalisées ou que la perte ou de vol d’un instrument de paiement ne pouvait être détecté par le payeur avant le paiement, ou que la perte est due à des actes ou à une carence d’un salarié, d’un agent ou d’une succursale d’un prestataire de services de paiement ou d’une entité vers laquelle ses activités ont été externalisées.

La responsabilité du payeur n’est pas non plus engagée si l’opération de paiement non autorisée a été effectuée en détournant, à l’insu du payeur, l’instrument de paiement ou les données qui lui sont liées, ni en cas de contrefaçon de l’instrument de paiement si, au moment de l’opération de paiement non autorisée, le payeur était en possession de son instrument.

Sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si le prestataire de services de paiement ne fournit pas de moyens appropriés permettant l’information aux fins de blocage de l’instrument de paiement prévue à l’article L. 133-17.

En revanche, le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17.

Enfin, sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si l’opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement du payeur n’exige une authentification forte du payeur prévue à l’article L. 133-44.

Il résulte donc de l’enchevêtrement de ces textes que pour éviter toute fraude, la banque se doit de mettre en 'uvre des procédés techniques de protection des opérations au moyen d’éléments personnels d’identification de l’utilisateur, que plus l’opération nécessite l’utilisation de données d’authentification, plus elle est considérée comme ayant été autorisée par l’utilisateur, lequel peut néanmoins toujours nier l’avoir autorisée, que dans ce cas la banque doit :

1/ prouver que ce sont bien les données d’authentification de l’utilisateur qui ont été utilisées et qu’il n’y a pas eu de défaillance technique,

et 2/ même dans le cas où l’authentification est renforcée et où ces données ont été utilisées, fournir des éléments afin de prouver la fraude ou la négligence grave commise par l’utilisateur de services de paiement.

L’utilisateur qui nie avoir autorisé une opération réalisée avec ses données d’authentification forte se doit de prévenir sa banque dès qu’il en a connaissance.

D’autre part l’utilisateur qui se doit de préserver ses données d’authentification forte doit être vigilant à réception de messages ou d’informations lui demandant la communication des données censées protéger les ordres de paiement mais il ne commet pas nécessairement de négligence fautive s’il se les fait dérober. Il a ainsi pu être jugé que ne commettait pas de faute l’utilisateur qui, répondant à un numéro d’appel apparaissant sur son téléphone portable comme étant celui de sa banque, procédait à la validation d’opérations mais que commettait une négligence grave celui qui répondait à des messages dont la nature frauduleuse aurait dû lui apparaître ou cliquait sur des liens douteux.

En l’espèce, les opérations qui ont été passées sur le compte et que M. et Mme [V] nient avoir autorisées sont les suivantes, la première date étant celle de l’écriture sur leur compte :

— le 10 octobre 2022 paiement par CB Tabac du clos du 8 octobre 2022 de 50 euros,

— le 11octobre 2022 régul facture carte du 9 octobre 2022 de 200 euros,

— le 11 octobre 2022 régul facture carte du 9 octobre 2022 de 300 euros,

— le 12 octobre 2022 paiement par CB FNAC du 8 octobre 2022 de 4 799.99 euros,

— le 13 octobre 2022 paiement par CB MRW [Localité 5] GARE EST de 2 248 euros.

La cour observe en premier lieu que la société LCL ne produit comme pièces que :

« 1/Articles de presse sur phishing NETFLIX

2/ Copie carte bleue LCL VISA PREMIER

3/ Assignation du 6 février 2023

4/ Jugement du Pôle civil de proximité du Tribunal judiciaire de PARIS du 12 septembre 2023

5/ Déclaration d’appel du 6 octobre 2023

6/ Conditions particulières et conditions générales VISA PREMIER LCL ».

Or c’est en premier lieu à elle qu’il appartient de prouver que ce sont bien les données d’authentification de M. et Mme [V] qui ont été utilisées et qu’il n’y a pas eu de défaillance technique, dès lors qu’une opération est contestée. Elle n’apporte aucun élément sur ce point. Elle n’établit donc pas que ce sont bien les éléments d’authentification personnels de M. et Mme [V] qui ont été utilisés. Elle ne peut se contenter d’affirmer que les opérations n’ont pu se faire que grâce à ces éléments d’identification en l’espèce la carte et le code secret ou PIN de ladite carte bancaire sans le démontrer de manière positive.

M. [V], lorsqu’il a déposé plainte, a admis avoir répondu à un sms qu’il pensait provenir de la société Netflix et avoir cliqué sur un lien où il a rempli ses coordonnées bancaires. Il n’a jamais affirmé ni avoir eu conscience à ce moment d’avoir été victime d’un phishing, ni avoir donné son code PIN à cette occasion ni même son numéro de carte bancaire. Les coordonnées bancaires qu’il admet avoir données ne font pas partie des éléments qui doivent rester secrets. Le numéro de compte bancaire d’une personne ne fait en effet pas partie des éléments confidentiels à ne jamais transmettre, apparaît sur tous les chèques qui sont remis par elle à ses créanciers et sur les relevés d’identité bancaire qui sont réclamés par de nombreux administrations et établissements. Il s’agit donc d’un élément d’information qui circule sans faute du détenteur du compte, entre de très nombreuses mains, sans que l’on puisse exiger du titulaire qu’il ait le moindre contrôle sur cette circulation. Elles ne permettent pas en principe de faire des opérations au préjudice du compte mais seulement à son bénéfice. Dès lors même à supposer que M. [V] ait été négligent en suivant ce lien, rien ne permet de considérer que cette négligence ait été à l’origine des utilisations de sa carte bancaire ensuite. Il ne peut donc davantage lui être reproché de n’avoir pas prévenu sa banque d’autant qu’il ne s’est rien passé d’anormal les jours suivants.

Il résulte tant de ses déclarations que des copies d’écran qu’il produit, qu’il a reçu une semaine plus tard deux sms sur son téléphone mobile, lesquels sont apparus sous la même dénomination et dans la même liste de messages que ceux qu’il recevait en provenance de sa banque et qui émanaient réellement de la société LCL. Ces sms qui étaient ainsi libellés « Une opération pour un montant de 1'019,00 EUR chez FNAC.COM est en attente de validation » « Si vous souhaitez signaler cette opération merci de bien vouloir contacter le [XXXXXXXX01] » sont en effet apparus sur son téléphone dans le fil des discussions de la société LCL à la suite de véritables messages de cette société concernant la disponibilité de l’attestation scolaire de ses enfants ou la possibilité d’activer Apple Pay.

Le fait qu’il s’agisse d’un message ainsi inséré dans ce fil de discussion avec sa banque était de nature à le mettre en confiance. Il a pu ainsi, sans faute, répondre à celui qui se présentait comme un agent du service des fraudes de la société LCL et qui l’a appelé dans les suites de cet envoi en lui donnant un numéro de dossier de suivi par un sms également reçu dans ce fil de discussion.

Mis en confiance par cet accès du fraudeur au fil de discussion de la banque, il a également pu sans que puisse lui être reprochée une négligence grave, remettre sa carte au coursier qui lui avait été annoncé en échange de la nouvelle carte qui lui a été remise et était censée remplacer celle à laquelle il pensait avoir fait opposition au téléphone. Il n’est aucunement établi qu’il ait à ce moment donné son code PIN au coursier ce qui ne résulte d’aucune de ses déclarations. Le fait de ne pas avoir détruit la carte avant remise n’est pas une négligence grave dès lors qu’une carte sans code et à laquelle il avait toutes les raisons de penser qu’elle avait été bloquée par la banque dans le cadre de sa précédente conversation téléphonique ne pouvait dans son esprit servir. En outre la cour observe que la généralisation de la délivrance par livraison de toutes sortes d’objets y compris les jours fériés rendait crédible la création d’un tel service d’autant que les banques envoient les cartes bancaires par la poste et n’imposent pas à leurs clients devenir les chercher en personne.

La banque soutient vainement que M. et Mme [V] auraient immédiatement dû s’apercevoir que la nouvelle carte était une fausse carte. Or comme l’a relevé le premier juge, le seul point était le libellé incomplet de la carte, le surplus de l’apparence de la carte n’étant pas pour un consommateur moyen et raisonnable, distinct de manière évidente d’une véritable carte ce dont la cour pu se convaincre à l’examen des copies produites. La lettre d’accompagnement était particulièrement crédible, le client de la banque n’étant pas un expert. Le fait ne pas avoir immédiatement remarqué que le libellé n’était pas complet ne peut constituer une négligence grave.

M. [V] a ensuite reçu un nouveau sms toujours dans ce même fil de discussion qu’il avait jusque-là avec la véritable banque l’invitant à procéder aux opérations d’opposition via le lien qui lui était envoyé par la personne qu’il pensait légitimement être une personne de son agence bancaire sur un site miroir où il a indiqué le numéro de la carte et le PIN. Toutefois, mis en confiance par l’utilisation de ce fil de discussion a priori sûr, il a pu sans que puisse lui être reproché une négligence grave rentrer ces éléments sur ce site miroir qui avait toute l’apparence du site de la banque et dont l’adresse était particulièrement crédible.

M. et Mme [V] n’ont pas non plus commis de faute dans le cadre de la dénonciation de la fraude puisqu’ils l’ont fait le 10 octobre 2022 soit le jour même où sont apparus sur leur comptes les paiements frauduleux.

Dès lors le jugement doit être confirmé en ce qu’il a condamné la société LCL à rembourser le montant des sommes détournées.

Sur la demande de dommages et intérêts

Au regard de ce qui précède et dans la mesure où la banque s’est contentée de procéder par affirmations sans démontrer en aucune manière que les opérations contestées avaient été réalisées à l’aide du code alors même qu’elle disserte dans ses écritures sur les mérites des authentifications fortes, la cour ne peut que considérer que sa résistance est abusive et qu’elle a causé à M. et Mme [V] un préjudice moral qu’il convient de réparer par l’allocation d’une somme de 500 euros. Le jugement doit être infirmé en ce qu’il a rejeté cette demande.

Sur les frais irrépétibles et les dépens

Au regard de ce qui précède, le jugement doit être confirmé en ses dispositions relatives aux dépens et aux frais irrépétibles de première instance. La société LCL qui succombe doit être condamnée aux dépens d’appel et au paiement à M. et Mme [V] de la somme de 1 500 euros sur le fondement de l’article 700 du code de procédure civile.

PAR CES MOTIFS

LA COUR,

Statuant publiquement par arrêt contradictoire et en dernier ressort,

Confirme le jugement en toutes ses dispositions ;

Y ajoutant,

Condamne la société LCL Le Crédit Lyonnais à payer à M. [E] [V] et Mme [P] [J] épouse [V] la somme de 500 euros à titre de dommages et intérêts ;

Condamne la société LCL Le Crédit Lyonnais à payer à M. [E] [V] et Mme [P] [J] épouse [V] la somme de 1 500 euros sur le fondement de l’article 700 du code de procédure civile ;

Condamne la société LCL Le Crédit Lyonnais aux dépens d’appel ;

Rejette toute demande plus ample ou contraire.

La greffière La présidente

Décisions similaires

Citées dans les mêmes commentaires3

  • Droits attachés à la personne ·
  • Droit des personnes ·
  • Interprète ·
  • Tribunal judiciaire ·
  • Étranger ·
  • Représentation ·
  • Éloignement ·
  • Territoire français ·
  • Garantie ·
  • Corse ·
  • Téléphone ·
  • Langue
  • Astreinte ·
  • Tribunal judiciaire ·
  • Exécution ·
  • Ordonnance de référé ·
  • Appel ·
  • Demande ·
  • Jugement ·
  • Amende civile ·
  • Juge ·
  • Électronique
  • Droits attachés à la personne ·
  • Droit des personnes ·
  • Décision d’éloignement ·
  • Prolongation ·
  • Ordonnance ·
  • Voyage ·
  • Tribunal judiciaire ·
  • Consulat ·
  • Délivrance ·
  • Étranger ·
  • Homicide volontaire ·
  • Menaces

Citant les mêmes articles de loi3

  • Contrats d'intermédiaire ·
  • Contrats ·
  • Tribunal judiciaire ·
  • Assurances ·
  • Vice caché ·
  • Service ·
  • Bien immobilier ·
  • Courtier ·
  • Garantie ·
  • Assureur ·
  • Biens ·
  • Mandat apparent
  • Contrats ·
  • Tribunal judiciaire ·
  • Marches ·
  • Protocole d'accord ·
  • Obligation de délivrance ·
  • Sociétés ·
  • Défaut ·
  • Acheteur ·
  • Commissaire de justice ·
  • Procédure civile ·
  • Procédure
  • Groupements : dirigeants ·
  • Droit des affaires ·
  • Jonction ·
  • Mise en état ·
  • Mandataire judiciaire ·
  • Magistrat ·
  • Capital ·
  • Siège social ·
  • Procédure ·
  • Adresses ·
  • Répertoire ·
  • Siège

De référence sur les mêmes thèmes3

  • Responsabilité et quasi-contrats ·
  • Sociétés ·
  • Liquidation ·
  • Radiation ·
  • Faute ·
  • Titre ·
  • Procédure civile ·
  • Code de commerce ·
  • Appel ·
  • Article 700 ·
  • Tribunaux de commerce
  • Contrat tendant à la réalisation de travaux de construction ·
  • Contrats ·
  • Sociétés ·
  • Tribunal judiciaire ·
  • Mission ·
  • Extensions ·
  • Expertise ·
  • Ordonnance de référé ·
  • Commune ·
  • Demande ·
  • Bâtiment ·
  • Date
  • Relations du travail et protection sociale ·
  • Relations individuelles de travail ·
  • Licenciement ·
  • Indemnité ·
  • Sociétés ·
  • Faute grave ·
  • Collaborateur ·
  • Télétravail ·
  • Ancienneté ·
  • Dommages et intérêts ·
  • Salarié ·
  • Commande

Sur les mêmes thèmes3

  • Droits attachés à la personne ·
  • Droit des personnes ·
  • Ordonnance ·
  • Tribunal judiciaire ·
  • Légalité ·
  • Ministère ·
  • Menaces ·
  • Notification ·
  • Pourvoi en cassation ·
  • Ordre public ·
  • Immigration ·
  • Blanchiment
  • Relations du travail et protection sociale ·
  • Demande d'indemnités ou de salaires ·
  • Relations individuelles de travail ·
  • Sociétés ·
  • Homme ·
  • Titre ·
  • Solde ·
  • Demande ·
  • Conseil ·
  • Indemnités de licenciement ·
  • Congés payés ·
  • Paye ·
  • Jugement
  • Baux d'habitation et baux professionnels ·
  • Contrats ·
  • Habitat ·
  • Assurances ·
  • Résiliation ·
  • Locataire ·
  • Commandement ·
  • Bailleur ·
  • Adresses ·
  • Clause resolutoire ·
  • Risque ·
  • Métropole

Textes cités dans la décision

  1. Code de procédure civile
  2. Code monétaire et financier
Extraits similaires à la sélection

Aucune décision de référence ou d'espèce avec un extrait similaire.

Inscrivez-vous gratuitement pour imprimer votre décision
Cour d'appel de Paris, Pôle 4 chambre 9 a, 26 juin 2025, n° 23/16429
  1. Doctrine
  2. Décisions de justice
  3. 2025
  4. CA Paris, pôle 4 ch. 9 a, 26 juin 2025, n° 23/16429
Contactez notre service commercial au 01 84 80 33 48