Inscription
7 jours d’essai gratuit.
Inscription en moins d’une minute. Pas de carte de crédit requise.
Cour d'appel de Paris, Pôle 4 chambre 9 a, 2 octobre 2025, n° 24/10988
TI Nogent-sur-Marne 30 avril 2024
>
CA Paris
Infirmation 2 octobre 2025

Arguments

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Signaler une erreur.
  • Accepté
    Absence de preuve de l'autorisation du virement

    La cour a estimé que la banque n'a pas démontré que les données d'authentification de Monsieur [O] avaient été utilisées pour autoriser le virement, ce qui justifie le remboursement.

  • Rejeté
    Préjudice distinct du remboursement

    La cour a jugé que Monsieur [O] ne prouve pas avoir subi un préjudice distinct de celui qui sera réparé par le remboursement et les intérêts.

  • Accepté
    Frais irrépétibles engagés

    La cour a jugé équitable que la banque, ayant succombé, supporte les frais irrépétibles engagés par Monsieur [O].

Résumé par Doctrine IA

Dans cette décision de la Cour d'appel de Paris, M. [T] [O] conteste le jugement du Tribunal de proximité de Nogent-sur-Marne qui avait débouté sa demande de remboursement de 6 000 euros pour un virement non autorisé. La question juridique principale était de déterminer si la banque, LCL, avait respecté ses obligations d'authentification forte et si M. [O] avait fait preuve de négligence. Le tribunal de première instance avait conclu à la négligence de M. [O], estimant qu'il n'avait pas réagi rapidement à des alertes de sécurité. En appel, la Cour a infirmé ce jugement, considérant que LCL n'avait pas prouvé que les données d'authentification de M. [O] avaient été correctement utilisées pour le virement. La Cour a donc condamné LCL à rembourser M. [O] et à lui verser des frais d'avocat, confirmant ainsi la nécessité pour la banque de démontrer la validité des opérations contestées.

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Commentaire0

Augmentez la visibilité de votre blog juridique : vos commentaires d’arrêts peuvent très simplement apparaitre sur toutes les décisions concernées. 

Sur la décision

Référence :
CA Paris, pôle 4 ch. 9 a, 2 oct. 2025, n° 24/10988
Juridiction : Cour d'appel de Paris
Numéro(s) : 24/10988
Importance : Inédit
Décision précédente : Tribunal d'instance de Nogent-sur-Marne, 30 avril 2024, N° 11-23-001137
Dispositif : Autre
Date de dernière mise à jour : 5 novembre 2025
Lire la décision sur le site de la juridiction

Sur les parties

Texte intégral

Copies exécutoires RÉPUBLIQUE FRANÇAISE

délivrées aux parties le : AU NOM DU PEUPLE FRANÇAIS

COUR D’APPEL DE PARIS

Pôle 4 – Chambre 9 – A

ARRÊT DU 02 OCTOBRE 2025

(n° , 2 pages)

Numéro d’inscription au répertoire général : N° RG 24/10988 – N° Portalis 35L7-V-B7I-CJTLK

Décision déférée à la Cour : Jugement du 30 avril 2024 – Tribunal de proximité de NOGENT SUR MARNE – RG n° 11-23-001137

APPELANT

Monsieur [T] [O]

né le [Date naissance 3] 1971 à [Localité 13]

[Adresse 5]

[Localité 12]

représenté par Me Olivier TOURNILLON de la SELARL MODERE & ASSOCIES, avocat au barreau de VAL-DE-MARNE, toque : PC 43

INTIMÉE

CREDIT LYONNAIS (LCL – LE CREDIT LYONNAIS), société anonyme représentée par son représentant légal domicilié en cette qualité audit siège

[Adresse 4]

[Localité 10]

représentée et assistée de Me Julian COAT de l’AARPI COAT HAUT DE SIGY DE ROUX, avocat au barreau de PARIS, toque : A0297

COMPOSITION DE LA COUR :

En application des dispositions des articles 805 et 907 du code de procédure civile, l’affaire a été débattue le 1er juillet 2025, en audience publique, les avocats ne s’y étant pas opposés, devant Mme Muriel DURAND, Présidente de chambre, chargée du rapport.

Ce magistrat a rendu compte des plaidoiries dans le délibéré de la Cour, composée de :

Mme Muriel DURAND, Présidente de chambre

Mme Laurence ARBELLOT, Conseillère

Mme Sophie COULIBEUF, Conseillère

Greffière, lors des débats : Mme Camille LEPAGE

ARRÊT :

— CONTRADICTOIRE

— par mise à disposition de l’arrêt au greffe de la Cour, les parties en ayant été préalablement avisées dans les conditions prévues au deuxième alinéa de l’article 450 du code de procédure civile.

— signé par Mme Muriel DURAND, Présidente et par Mme Camille LEPAGE, Greffière à laquelle la minute de la décision a été remise par le magistrat signataire.

FAITS, PROCÉDURE ET PRÉTENTIONS DES PARTIES

M. [T] [O] est titulaire dans les livres de la société LCL Le Crédit Lyonnais (ci-après la société LCL) du compte bancaire n° [XXXXXXXXXX02].

Le 24 février 2022, M. [O] a signalé à celle-ci que le virement de la somme de 6 000 euros exécuté depuis son compte le 24 février 2022 n’avait pas été autorisé et a sollicité le remboursement de cette somme, ce que la banque lui a, par courrier du 10 mai 2022, refusé au motif que l’opération avait été validée au moyen de ses données de sécurité personnalisées.

Par courrier du 23 janvier 2023, M. [O] a mis en demeure la société LCL de lui payer la somme de 6 000 euros et par acte du 20 novembre 2023, a fait assigner la société LCL devant le tribunal de proximité de Nogent-sur-Marne en remboursement de cette somme outre des dommages et intérêts et une indemnité sur le fondement de l’article 700 du code de procédure civile lequel, par jugement contradictoire du 30 avril 2024, l’a débouté de ses demandes et l’a condamné aux dépens et à 500 auros au titre de l’article 700 du code de procédure civile.

Il a relevé que la banque versait aux débats le journal de connexion faisant état des différentes connexions informatiques relatives au compte de M. [O] et qu’il ressortait de ce fichier de preuve que le 17 février 2022 un nouvel appareil avait tenté de s’enregistrer dans l’espace en ligne et qu’un sms avec un code avait été envoyé sur le téléphone habituel de M. [O] au [XXXXXXXX01] pour permettre cet accès et l’enregistrement d’un nouvel appareil de confiance, puis qu’un nouveau message lui avait été envoyé pour lui confirmer l’activation du téléphone de confiance et que M. [O] avait donc été prévenu et qu’il aurait donc dû réagir sans tarder mais que ce n’était que huit jours plus tard qu’il avait fait une réclamation auprès de la banque alors que le virement avait été fait. Il en a déduit que M. [O] avait fait preuve de négligence fautive à l’origine du virement.

Par déclaration électronique en date du 14 juin 2024, M. [O] a interjeté appel de cette décision.

Par conclusions notifiées par RPVA le 16 septembre 2024, il demande à la cour :

— d’infirmer le jugement,

— de le juger recevable et bien-fondé en ses demandes, fins et prétentions,

— de juger qu’aucune faute ou négligence grave ne peut lui être opposée,

— de juger que la société LCL ne démontrait aucunement pouvoir être exonérée de ses obligations d’information du client et de protection des données de celui-ci conformément à la norme RGPD,

— en conséquence de condamner la société LCL à lui payer la somme de 6 000 euros au titre du remboursement des prélèvements non autorisés avec intérêts au taux légal à compter de la mise en demeure du 23 janvier 2023, outre 3 000 euros de dommages et intérêts et 2 000 euros sur le fondement de l’article 700 du code de procédure civile et les entiers dépens de première instance et d’appel.

Il fait valoir que le tribunal confond ajout d’un appareil informatique de confiance et réalisation d’une opération financière et omet de tirer les conséquences de l’absence de sollicitations de la banque non pas lors de l’ajout d’un appareil de confiance mais lors du passage des ordres financiers qui sont chronologiquement l’augmentation du plafond de virement de 2 000 euros à 6 000 euros puis la réalisation du virement de 6 000 euros. Il se prévaut des dispositions de l’article L. 133-23 du code monétaire et financier et relève que la seule utilisation de ses données de connexions est insuffisante à prouver que l’opération a été autorisée ou qu’il n’a pas satisfait intentionnellement ou par négligence grave à ses obligations et que c’est à la banque de prouver cette fraude ou négligence grave. Il souligne que la seule utilisation du système 3D Secure est insuffisant à prouver la négligence.

Il relève que la banque argue uniquement du fait que l’opération de virement a été réalisée grâce à ses données sécurisées ce qu’il conteste fermement et qu’il a toujours contesté que le téléphone mobile destinataire des sms ait été le sien. Il ajoute que la banque ne soutient ni ne démontre que l’ajout du bénéficiaire et le virement n’ont pas fait l’objet d’une confirmation quelconque. Il soutient enfin que son appareil n’est pas un Iphone. Il conteste toute tardiveté à sa réaction, n’ayant jamais reçu le moindre sms. Il soutient avoir prévenu sa banque dès qu’il a eu connaissance de la fraude.

Il ajoute que la banque ne remet jamais en cause sa propre défaillance à justifier des diligences accomplies pour sécuriser les données personnelles qu’elle collecte nécessairement pour la tenue du compte et le respect de la règle qui impose à une banque de connaître son client, règle qui repose sur la terminologie anglo-saxonne « know your client : KYC » et que les actes de piratage de compte bancaire reposent tous sur une connaissance fine par les pirates des données sensibles des clients qui sont dans les dossiers numériques des banques.

Il affirme que ses données ont été frauduleusement captées à l’étranger afin de procéder au virement sans aucune autorisation et que dès lors que la banque ne démontre pas de négligence grave de sa part, elle doit le rembourser.

Par conclusions notifiées par RPVA le 13 décembre 2024, la société LCL demande à la cour :

— de confirmer le jugement,

— de débouter M. [O] de l’ensemble de ses demandes, fins et prétentions,

— de condamner M. [O] à lui payer la somme de 2 000 euros au titre de l’article 700 du code de procédure civile,

— de condamner M. [O] aux entiers dépens.

Elle fait valoir avoir mis en place un système d’authentification forte via d’une part la saisie de l’identifiant du client USP (code à dix chiffres) et de son code personnel d’accès (code à six chiffres reçu initialement sous pli sécurisé à l’adresse postale communiquée par le client et modifié ensuite par le client lors de la première connexion) et d’autre part, via la saisie d’un code à usage unique reçu par téléphone (ci-après « OTP 4 SMS ») ou via un appareil de confiance préalablement enrôlé (téléphone portable ou tablette). Elle souligne que ces éléments doivent être tenus secrets. Elle ajoute qu’en souscrivant aux services en ligne LCL, le client USP s’engage à bloquer immédiatement ou à demander « sans délai » – par téléphone ou en agence – à sa banque de bloquer l’accès aux services s’il suspecte que son code personnel d’accès est connu d’un tiers. Elle fait encore valoir que le client doit lui communiquer un numéro de téléphone qui est enregistré par la banque dans son système d’information et ne peut être modifié, sur demande du client, que par son conseiller. Elle précise encore que l’application propose ensuite d’enrôler l’appareil afin qu’il soit enregistré dans le système d’information de la banque comme appareil de confiance ce qui nécessite la saisie d’un code à usage unique (« code d’activation ») envoyé en temps réel par sms (OTP SMS) au numéro de téléphone du client préalablement enregistré dans le système d’information de la banque. Elle précise qu’à défaut de numéro enregistré dans le système d’information de la banque ou en cas de changement de numéro de téléphone, aucun code à usage unique (« code d’activation ») ne peut être envoyé au client. Elle ajoute qu’elle est allée au-delà des exigences réglementaires et a instauré un délai de temporisation de sept jours avant lequel un virement ne peut être exécuté via un appareil de confiance nouvellement enrôlé. Elle indique que ce délai vise à permettre au client USP, destinataire d’un sms de la part de sa banque l’informant de l’enrôlement d’un appareil de confiance, de l’informer « sans délai » ou « sans tarder » lorsqu’il n’est pas à l’origine de cet enrôlement, aux fins de blocage de l’instrument de paiement et de l’accès aux services en ligne LCL, en application des conditions générales des services en ligne LCL et de l’article L. 133-17, I, du code monétaire et financier.

Elle soutient apporter la preuve de ce que toutes les opérations ont été faites sur la base d’une authentification forte et conformément aux « conditions générales » du service LCL interactif, aux « dispositions générales de banque – clientèle des particuliers - » incluant les stipulations régissant certains services qu’elle propose, dont notamment le service de consultation, gestion de compte et relation à distance «'LCL interactif » et que le fait que la charge de la preuve pèse sur la banque ne permet pas pour autant au client de se contenter d’affirmer utilement que les pièces ne sont pas probantes et/ou lui sont inopposables et qu’il n’a jamais rien communiqué pour que la banque soit systématiquement condamnée sans même tenir compte des éléments de preuve et des explications fournis par le PSP sur l’utilisation des données.

Elle rappelle que le régime spécial de la preuve prévu par l’article L. 133-23 du code monétaire et financier prévoit en effet qu’il appartient à la banque de prouver l’authentification, l’enregistrement et la comptabilisation de l’opération de paiement et qu’elle n’a pas été affectée par une déficience technique et que c’est ce qu’elle fait en produisant le journal de connexion conformément à l’article 3.4.2 des dispositions générales de banque spécifiques à la clientèle des particuliers. Elle précise qu’à défaut elle serait dans l’impossibilité de se défendre.

Elle souligne que les opérations litigieuses ont été exécutées après une authentification forte (à double facteur) de M. [O], au moyen :

' de son identifiant (code à dix chiffres, personnel et confidentiel) ;

' de son code personnel d’accès (facteur de connaissance) ; et

' de l’appareil de confiance qui lui était associé (facteur de possession).

Elle fait valoir que dès lors qu’un appareil de confiance a été enregistré, il doit s’authentifier sur son appareil de confiance via l’application « Mes Comptes ' LCL » et que dans cette hypothèse, il est informé par une notification et que ce n’est que s’il n’a pas procédé à la désignation d’un appareil de confiance qu’il reçoit un message vocal ou un sms à son numéro de téléphone déclaré. Elle en déduit que l’augmentation du plafond et l’ajout d’un nouveau bénéficiaire n’avaient pas à lui être notifiés par sms à son numéro de téléphone enregistré.

Elle souligne que les conditions générales mentionnent les règles de sécurité spécifiques aux matériels permettant la réalisation d’opération bancaire et soutient que M. [O] ne les a pas respectées puisqu’il n’a pas pris de mesures pour préserver la sécurité de ses données de sécurité personnalisées qu’il a été négligent dans la conservation de son code personnel d’accès, qu’il était le seul à connaître, et qu’il n’a pas davantage pris les mesures nécessaires pour conserver à l’abri du tiers non autorisé le code à usage unique reçu pour enrôler l’appareil de confiance, fait constitutif d’une seconde négligence grave. Elle ajoute qu’il a ensuite tardé à l’informer. Elle relève que le prétendu tiers fraudeur et M. [O] se sont simultanément connectés à l’espace en ligne de celui-ci, une semaine avant le virement litigieux. Elle relève enfin que M. [O] a ainsi volontairement omis de produire sa plainte, en ne produisant que le seul récépissé de déclaration afin de tenter de masquer la communication de ses données de sécurité personnalisées au prétendu tiers fraudeur une semaine avant le virement litigieux, en violation du contrat et de l’article L. 133-16 du code monétaire et financier.

Pour un plus ample exposé des faits, moyens et prétentions des parties, il est renvoyé aux écritures de celles-ci conformément aux dispositions de l’article 455 du code de procédure civile.

L’ordonnance de clôture a été rendue le 20 mai 2025 et l’affaire a été appelée à l’audience du 1er juillet 2025.

MOTIFS DE LA DÉCISION

Sur la demande en paiement

Il résulte des article L. 133-3, L. 133-6 et L. 133-7 du code monétaire et financier que la détermination du caractère autorisé d’une opération ne dépend pas de l’obligation sous-jacente qui est sans conséquence sur la validité de l’ordre, mais du consentement du payeur lequel est donné « sous la forme convenue entre le payeur et son prestataire ».

Une des formes convenues envisagée par la loi est l’usage d’un dispositif de paiement avec données de sécurité personnalisées défini à l’article L. 133-4 du code monétaire et financier qui permettent d’authentifier son auteur. En vertu de l’article L. 133-44 du même code, le prestataire de services de paiement applique l’authentification forte du client définie au f de l’article L. 133-4 lorsque le payeur :

1° accède à son compte de paiement en ligne ;

2° initie une opération de paiement électronique ;

3° exécute une opération par le biais d’un moyen de communication à distance, susceptible de comporter un risque de fraude en matière de paiement ou de toute autre utilisation frauduleuse.

L’article L. 133-4,f définit l’identification forte comme reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories « connaissance » (quelque chose que seul l’utilisateur connaît), « possession » (quelque chose que seul l’utilisateur possède) et « inhérence » (quelque chose que l’utilisateur est) et indépendants en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d’authentification.

Les articles L. 133-16 et L. 133-17 du même code imposent à la banque qui délivre un instrument de paiement :

— de s’assurer que les données de sécurité personnalisées telles que définies à l’article L. 133-4 ne sont pas accessibles à d’autres personnes que l’utilisateur autorisé à utiliser cet instrument,

— de mettre en place, à titre gratuit, les moyens appropriés permettant à l’utilisateur de procéder à tout moment à l’information prévue à l’article’L. 133-17,

— et d’empêcher toute utilisation de l’instrument de paiement après avoir été informé, conformément aux dispositions de l’article L. 133-17, de sa perte, de son vol, de son détournement ou de toute utilisation non autorisée de l’instrument de paiement ou des données qui lui sont liées.

De son côté l’utilisateur doit :

— aux termes de l’article L. 133-16 du même code, prendre toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées et utiliser l’instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation qui doivent être objectives, non discriminatoires et proportionnées,

— aux termes de l’article L. 133-17 du même code, dès qu’il en a connaissance prévenir sa banque de toute perte, vol, détournement ou de toute utilisation non autorisée de son instrument de paiement ou des données qui lui sont liées aux fins de blocage.

Il résulte des dispositions l’article L. 133-23 du code monétaire et financier :

— que lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre,

— que la seule utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière et que le prestataire de services de paiement, y compris, le cas échéant, le prestataire de services de paiement fournissant un service d’initiation de paiement, fournit des éléments afin de prouver la fraude ou la négligence grave commise par l’utilisateur de services de paiement.

Il résulte par ailleurs des articles L. 311-18 et L. 311-19 du code monétaire et financier que ce n’est que dans le cas où une opération n’est pas autorisée par le client et qu’il l’a signalée dans les conditions prévues à l’article’L. 133-24 que le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement et s’il communique ces raisons par écrit à la banque de France.

Sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si l’opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement du payeur n’exige une authentification forte du payeur prévue à l’article L. 133-44.

Il résulte donc de ces textes que pour éviter toute fraude, la banque se doit de mettre en 'uvre des procédés techniques de protection des opérations au moyen d’éléments personnels d’identification de l’utilisateur, que plus l’opération nécessite l’utilisation de données d’authentification, plus elle est considérée comme ayant été autorisée par l’utilisateur, lequel peut néanmoins toujours nier l’avoir autorisée, que dans ce cas la banque doit :

1/ prouver que ce sont bien les données d’authentification de l’utilisateur qui ont été utilisées et qu’il n’y a pas eu de défaillance technique,

et 2/ même dans le cas où l’authentification est renforcée et où ces données ont été utilisées, fournir des éléments afin de prouver la fraude ou la négligence grave commise par l’utilisateur de services de paiement.

L’utilisateur qui nie avoir autorisé une opération réalisée avec ses données d’authentification forte se doit de prévenir sa banque dès qu’il en a connaissance.

En l’espèce, M. [O] nie avoir autorisé le virement de 6 000 euros réalisé en ligne depuis son compte le 24 février 2022. Il a déposé plainte mais ne produit que le récépissé de cette plainte et non le procès-verbal lui-même de sorte que ce qu’il a pu dire à cette occasion reste inconnu.

Il résulte des pièces produites par la banque, qui le fait légitimement dès lors qu’elle doit se défendre, que M. [O] avait jusque-là uniquement déclaré un numéro de téléphone à la banque et qu’il disposait d’un accès à ses comptes en ligne grâce à un identifiant et un code personnel d’accès. Si son identifiant et son numéro de téléphone figuraient sur des documents bancaires, en revanche le code d’accès donné à l’ouverture devait être changé en ligne dès la première connexion. M. [O] était donc le seul à le connaître. Dès lors la banque a ainsi mis en 'uvre un moyen technique de préserver la confidentialité dudit code contrairement à ce qu’il soutient.

Selon les documents contractuels produits par la banque, chaque accès au service en ligne via internet a lieu grâce à un identifiant et à un code d’accès (facteur de connaissance) et chaque opération autre qu’une consultation est validée par un code envoyé par SMS au numéro de téléphone enregistré (facteur de possession).

Si le client entend enregistrer un téléphone ou une tablette de confiance, il doit télécharger l’application sur cet appareil, puis accéder via l’application à ses comptes avec son identifiant et son mot de passe puis pour valider l’accès depuis cet appareil, il doit saisir le code qui lui est envoyé à son numéro de téléphone lequel n’est pas nécessairement celui de l’appareil de confiance, les documents contractuels ne le précisant pas et une tablette n’ayant pas nécessairement de numéro de téléphone.

Une fois cet appareil de confiance enregistré lequel est unique mais peut être changé ce qui entraîne la suppression du précédent, le client peut toujours consulter ses comptes via internet mais en cas d’opération à authentification forte, le processus change. En effet il doit, pour réaliser ce type d’opération, toujours s’authentifier depuis son appareil de confiance lequel reçoit une notification. En outre, dès lors que les opérations sont initiées depuis cet appareil reconnu par le système informatique, la saisine de l’identifiant et du mot de passe secret suffit’sans qu’un SMS ne soit plus envoyé sur le numéro de téléphone. Le facteur de connaissance reste le mot de passe mais le facteur de possession devient l’appareil de confiance.

Le processus d’enregistrement de l’appareil de confiance est donc particulièrement sensible et nécessite une authentification forte de même que les virements en ligne.

Ces deux processus décrits répondent cependant aux exigences de l’authentification forte de l’article L. 133-4,f comme reposant sur des éléments de possession et de connaissance qui doivent se cumuler sans que la compromission de l’un remette en question la fiabilité de l’autre.

En l’espèce, la banque justifie que M. [O] avait initialement donné le numéro de téléphone [XXXXXXXX01] qui est demeuré le sien qui figure sur son récépissé de déclaration. Elle produit le journal de connexion et la copie des SMS qui établit que :

— le 17 février 2022 à 9h28 une première connexion a été réalisée à l’application mobile via l’adresse IP [Numéro identifiant 7] qui n’est pas une adresse IP habituellement autorisée par M. [O], lequel n’avait pas jusque-là enregistré d’appareil de confiance et n’accédait pas au service via une application mobile mais via internet,

— à 09 h 30 suite à cette connexion, un SMS de sécurité a été envoyé à M. [O] sur le numéro de téléphone [XXXXXXXX01] qui était le numéro préalablement donné, ainsi libellé « LCL Iphone (free mobile SAS) veut s’enregistrer et accéder à vos comptes pour l’autoriser saisir dans Mes Comptes le code [XXXXXXXXXX09] »,

— à 09h30 un appareil de confiance a été enregistré,

— à 09h30 toujours un SMS de sécurité a été envoyé à M. [O] sur le numéro de téléphone [XXXXXXXX01] qui était le numéro préalablement donné, ainsi libellé « votre Iphone validera prochainement les opérations sur votre compte. En cas de doute, changez votre code d’accès personnel »,

— à 09h33 une connexion internet a été effectuée depuis l’adresse IP [Numéro identifiant 6] qui est une adresse IP très fréquemment utilisée par M. [O],

— cinq accès internet au service ont été enregistrés les 18, 21, 22 et 23 février 2022 provenant d’adresses IP habituellement utilisées par M. [O] ([Numéro identifiant 6] et [Numéro identifiant 11]),

— le 24 février 2022 à 09h20 un accès au service via l’adresse IP [Numéro identifiant 6] habituelle de M. [O] a été enregistré,

— le 24 février 2022 à 09h20 à 10h45 un accès au service mobile via l’adresse une nouvelle adresse IP [Numéro identifiant 8] a été enregistré puis avec l’appareil de confiance :

— à 10h46 le plafond de virement a été augmenté de 1 000 euros à 2 000 euros avec l’appareil de confiance,

— à la même heure le plafond de virement a de nouveau été augmenté de 2 000 euros à 6 000 euros et l’Allemagne a été ajoutée aux pays dans lesquels un virement pouvait être effectué,

— à 10h50 un virement SEPA de 6 000 euros a été réalisé.

Contrairement à ce que soutient la banque et à ce qu’a retenu le premier juge, ce journal n’établit nullement que le code de sécurité envoyé par SMS par la banque a bien été saisi pour enregistrer l’appareil de confiance. Le journal de connexion fait état de l’enrôlement mais en aucun cas de ce que cet enrôlement a été réalisé grâce au code de sécurité qui avait été envoyé. La cour ne pourrait que le présupposer. Or c’est à la banque de démontrer que ce sont bien les données d’authentification de l’utilisateur qui ont été utilisées et qu’il n’y a pas eu de défaillance technique. Ce relevé d’opération qui n’est pas un fichier de preuve mais un journal ne démontre d’ailleurs pas davantage que ce sont bien l’identifiant et le mot de passe de M. [O] qui ont été utilisés pour les consultations et opérations.

En conséquence, le jugement doit être infirmé et la banque doit être condamnée à rembourser la somme de 6 000 euros à M. [O] avec intérêts au taux légal à compter de la mise en demeure du 23 janvier 2023.

Celui-ci ne démontre pas avoir subi un préjudice distinct de celui qui sera réparé par le paiement des intérêts au taux légal. Il doit donc être débouté de sa demande de dommages et intérêts supplémentaire.

La banque qui succombe doit supporter les dépens de première instance et d’appel et il apparaît équitable de lui faire supporter les frais irrépétibles engagés par M. [O] à hauteur de la somme de 2 000 euros.

PAR CES MOTIFS

LA COUR,

Statuant par arrêt contradictoire,

Infirme le jugement en toutes ses dispositions ;

Condamne la société LCL Le Crédit Lyonnais à payer à M. [T] [O] la somme de 6 000 euros avec intérêts au taux légal à compter de la mise en demeure du 23 janvier 2023 ;

Condamne la société LCL Le Crédit Lyonnais à payer à M. [T] [O] la somme de 2 000 euros sur le fondement de l’article 700 du code de procédure civile ;

Condamne la société LCL Le Crédit Lyonnais aux dépens de première instance et d’appel ;

Rejette toute demande plus ample ou contraire.

La greffière La présidente

Décisions similaires

Citées dans les mêmes commentaires3

  • Contrat tendant à la réalisation de travaux de construction ·
  • Contrats ·
  • Mandataire ad hoc ·
  • Assureur ·
  • International ·
  • Lard ·
  • Adresses ·
  • Société d'assurances ·
  • Syndicat de copropriétaires ·
  • Cerf ·
  • Provision ·
  • Syndicat
  • Licenciement ·
  • Sociétés ·
  • Client ·
  • Faute grave ·
  • Employeur ·
  • Indemnité ·
  • Mise à pied ·
  • Travail ·
  • Salariée ·
  • Ags
  • Banque - effets de commerce ·
  • Droit des affaires ·
  • Tribunal judiciaire ·
  • Virement ·
  • Crédit ·
  • Espagne ·
  • Etats membres ·
  • Juridiction ·
  • Sociétés ·
  • Mise en état ·
  • Banque ·
  • Règlement

Citant les mêmes articles de loi3

  • Sociétés ·
  • Bail ·
  • Crédit ·
  • Immobilier ·
  • Inondation ·
  • Demande ·
  • Réseau ·
  • In solidum ·
  • Lotissement ·
  • Europe
  • Biens - propriété littéraire et artistique ·
  • Saisies et mesures conservatoires ·
  • Cadastre ·
  • Surendettement ·
  • Exécution forcée ·
  • Traitement ·
  • Pourvoi ·
  • Recevabilité ·
  • Rétablissement personnel ·
  • Procédure ·
  • Ordonnance ·
  • Suspension
  • Relations du travail et protection sociale ·
  • Protection sociale ·
  • Recours ·
  • Incapacité ·
  • Tribunal judiciaire ·
  • Expertise médicale ·
  • Maladie professionnelle ·
  • Commission ·
  • Notification ·
  • Contestation ·
  • Subsidiaire ·
  • Jugement

De référence sur les mêmes thèmes3

  • Relations du travail et protection sociale ·
  • Relations individuelles de travail ·
  • Accord collectif ·
  • Avenant ·
  • Modification ·
  • Salarié ·
  • Contrat de travail ·
  • Protocole d'accord ·
  • Polynésie française ·
  • Tribunal du travail ·
  • Protocole ·
  • Contrats
  • Responsabilité et quasi-contrats ·
  • Ès-qualités ·
  • Action en responsabilité ·
  • Prescription ·
  • Rapport d'expertise ·
  • Préjudice économique ·
  • Incendie ·
  • Sapiteur ·
  • Liquidateur ·
  • Demande ·
  • Rapport
  • Relations du travail et protection sociale ·
  • Relations individuelles de travail ·
  • Santé ·
  • Prime ·
  • Sociétés ·
  • Fins ·
  • Exécution déloyale ·
  • Titre ·
  • Jugement ·
  • Ags ·
  • Contrat de travail ·
  • Prescription

Sur les mêmes thèmes3

  • Droits attachés à la personne ·
  • Droit des personnes ·
  • Suspensif ·
  • Tribunal judiciaire ·
  • Représentation ·
  • Ordonnance ·
  • Garantie ·
  • Recours ·
  • Appel ·
  • Droit d'asile ·
  • Séjour des étrangers ·
  • Asile
  • Relations du travail et protection sociale ·
  • Demande d'indemnités ou de salaires ·
  • Relations individuelles de travail ·
  • Détachement ·
  • Discrimination ·
  • Communication ·
  • Salarié ·
  • Demande ·
  • Comparaison ·
  • Embauche ·
  • État de santé, ·
  • Classification ·
  • Maternité
  • Droits attachés à la personne ·
  • Droit des personnes ·
  • Hospitalisation ·
  • Tribunal judiciaire ·
  • Certificat médical ·
  • Santé publique ·
  • Contrôle ·
  • Centre hospitalier ·
  • Charges ·
  • Personnes ·
  • Trouble mental ·
  • Contrainte

Textes cités dans la décision

  1. Code de procédure civile
  2. Code monétaire et financier
Extraits similaires à la sélection

Aucune décision de référence ou d'espèce avec un extrait similaire.

Inscrivez-vous gratuitement pour imprimer votre décision
Cour d'appel de Paris, Pôle 4 chambre 9 a, 2 octobre 2025, n° 24/10988
  1. Doctrine
  2. Décisions de justice
  3. 2025
  4. CA Paris, pôle 4 ch. 9 a, 2 oct. 2025, n° 24/10988
Contactez notre service commercial au 01 84 80 33 48