Inscription
7 jours d’essai gratuit.
Inscription en moins d’une minute. Pas de carte de crédit requise.
Cour d'appel de Paris, Pôle 4 chambre 9 a, 2 avril 2026, n° 25/00442
JPROX 20 novembre 2024
>
CA Paris
Infirmation partielle 2 avril 2026

Résumé par Doctrine IA

La société BNP Paribas a fait appel d'un jugement qui la condamnait à rembourser à Mme [G] la somme de 8 042,14 euros pour des paiements frauduleux et à lui verser 500 euros de dommages et intérêts. La banque soutenait que Mme [G] avait commis une négligence grave en communiquant ses données bancaires et en validant des transactions qu'elle n'avait pas initiées, ce qui la déchargeait de sa responsabilité.

La cour d'appel a examiné si Mme [G] avait fait preuve de négligence grave. Elle a considéré que le SMS frauduleux reçu par Mme [G] et l'appel téléphonique d'un usurpateur se faisant passer pour un conseiller bancaire avaient diminué sa vigilance. La cour a estimé que la banque n'avait pas suffisamment prouvé la négligence grave de Mme [G] dans la sécurisation de ses données.

En conséquence, la cour d'appel a confirmé le jugement en ce qu'il condamnait la BNP Paribas au remboursement des sommes détournées. Cependant, elle a infirmé le jugement concernant les dommages et intérêts pour préjudice moral, estimant que le comportement de la banque n'était pas suffisamment établi comme fautif et que le préjudice moral de Mme [G] n'était pas caractérisé.

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Commentaire1

Augmentez la visibilité de votre blog juridique : vos commentaires d’arrêts peuvent très simplement apparaitre sur toutes les décisions concernées. 
1Fraude à l'identité bancaire et remboursement : l'authentification forte ne suffit pas à prouver le consentement du client
Le Bot Avocat
Testez Doctrine gratuitement
pendant 7 jours
Démarrer
Vous avez déjà un compte ?Connexion

Sur la décision

Référence :
CA Paris, pôle 4 ch. 9 a, 2 avr. 2026, n° 25/00442
Juridiction : Cour d'appel de Paris
Numéro(s) : 25/00442
Importance : Inédit
Décision précédente : Juridiction de proximité, 20 novembre 2024, N° 24/01047
Dispositif : Autre
Date de dernière mise à jour : 11 avril 2026
Lire la décision sur le site de la juridiction

Sur les parties

Texte intégral

Copies exécutoires RÉPUBLIQUE FRANÇAISE

délivrées aux parties le : AU NOM DU PEUPLE FRANÇAIS

COUR D’APPEL DE PARIS

Pôle 4 – Chambre 9 – A

ARRÊT DU 02 AVRIL 2026

(n° , 11 pages)

Numéro d’inscription au répertoire général : N° RG 25/00442 – N° Portalis 35L7-V-B7J-CKSST

Décision déférée à la Cour : Jugement du 20 novembre 2024 – Juridiction de proximité de [Localité 1] – RG n° 24/01047

APPELANTE

La société BNP PARIBAS, société anonyme agissant poursuites et diligences de son représentant légak domicilié en cette qualité audit siège

N° SIRET : 662 042 449 00014

[Adresse 1]

[Localité 2]

représentée par Me Philippe METAIS du PARTNERSHIPS BRYAN CAVE LEIGHTON PAISNER (France) LLP, avocat au barreau de PARIS, toque : J002

substitué à l’audience par Me Kevan LAURENT du PARTNERSHIPS BRYAN CAVE LEIGHTON PAISNER (France) LLP, avocat au barreau de PARIS, toque : J002

INTIMÉE

Madame [B] [F] épouse [G]

née le [Date naissance 1] 1981 à [Localité 3] (LIBAN)

[Adresse 2]

[Localité 4]

représentée et assistée de Me Hela KACEM de la SELARL KACEM ET CHAPULUT, avocat au barreau de PARIS, toque : A0220

COMPOSITION DE LA COUR :

En application des dispositions des articles 805 et 907 du code de procédure civile, l’affaire a été débattue le 27 janvier 2026, en audience publique, les avocats ne s’y étant pas opposés, devant Mme Sophie COULIBEUF, Conseillère, chargée du rapport.

Ce magistrat a rendu compte des plaidoiries dans le délibéré de la Cour, composée de :

Mme Muriel DURAND, Présidente de chambre

Mme Laurence ARBELLOT, Conseillère

Mme Sophie COULIBEUF, Conseillère

Greffière, lors des débats : Mme Camille LEPAGE

ARRÊT :

— CONTRADICTOIRE

— par mise à disposition de l’arrêt au greffe de la Cour, les parties en ayant été préalablement avisées dans les conditions prévues au deuxième alinéa de l’article 450 du code de procédure civile.

— signé par Mme Muriel DURAND, Présidente et par Mme Camille LEPAGE, Greffière à laquelle la minute de la décision a été remise par le magistrat signataire.

FAITS, PROCÉDURE ET PRÉTENTIONS DES PARTIES

Mme [B] [G] née [G] est titulaire d’un compte bancaire avec son époux et d’un compte professionnel dans les livres de la société BNP Paribas.

Mme [G] a contesté le 20 février 2023 être l’auteure de deux paiements par carte réalisés depuis son compte professionnel pour un montant total de 6 670,77 euros ; elle a constaté par la suite qu’un troisième paiement par carte bleue avait été effectué depuis son compte personnel pour un total de 1 371,37 euros à régler en trois fois.

Elle a déposé plainte le 14 mars 2023 expliquant avoir reçu le 15 février 2023 un SMS de la société Chronopost l’informant qu’il manquait 1,46 centimes pour recevoir un colis, avoir cliqué sur le lien qu’il contenait et avoir renseigné le n° de carte de son compte joint puis avoir reçu un appel émanant du même numéro que celui de sa banque l’alertant du piratage de son compte et lui demandant de valider au moyen de sa carte digitale plusieurs demandes d’opposition à prélèvements frauduleux, ce qu’elle avait fait.

La banque a refusé le 20 février 2023 puis le 1er mars 2023 tout remboursement et par exploit de commissaire de justice délivré le 29 janvier 2024, Mme [G] a fait assigner la société BNP Paribas devant le juge des contentieux de la protection du tribunal judiciaire de Paris aux fins de la voir condamner principalement à lui régler la somme de 9 042,14 euros avec intérêts au taux légal à compter de sa contestation du 20 février 2023, en remboursement des sommes frauduleusement soustraites, outre une somme de 750 euros à titre de dommages et intérêts pour l’indemniser de son préjudice moral et une somme de 2 000 euros au titre des frais irrépétibles et aux dépens.

Par jugement contradictoire du 20 novembre 2024 auquel il convient de se reporter pour un exposé plus ample du litige, le juge des contentieux de la protection du tribunal judiciaire de Paris a :

— condamné la société BNP Paribas à payer à Mme [G] la somme de 8 042,14 euros au titre des opérations de paiement non autorisées avec intérêts au taux légal à compter du 29 janvier 2024,

— condamné la société BNP Paribas à payer à Mme [G] la somme de 500 euros à titre de dommages et intérêts pour préjudice moral,

— condamné la société BNP Paribas à payer à Mme [G] la somme de 2 000 euros en application de l’article 700 du code de procédure civile,

— rejeté le surplus des demandes,

— condamné la société BNP Paribas aux dépens de l’instance.

Aux termes de son jugement, le juge a appliqué les dispositions des articles L. 133-3, L. 133-6, L. 133-16 à 19 du code monétaire et financier et a estimé que Mme [G] n’avait aucunement tardé dans la révélation de ces opérations litigieuses à sa banque et que, quand bien même elle avait renseigné son numéro de carte bancaire à la suite d’un SMS frauduleux reçu, puis son code confidentiel à l’occasion d’un échange téléphonique avec un tiers se faisant passer pour un conseiller de la banque en le saisissant sur son application, il n’est pas caractérisé de négligence grave de sa part au motif que le mode opératoire du « spoofing » l’avait mise en confiance et avait diminué sa vigilance.

La société BNP Paribas a interjeté appel de ce jugement par déclaration électronique 17 décembre 2024.

Par conclusions d’incident en date du 11 juin 2025, Mme [G] a élevé un incident tendant à l’irrecevabilité de l’appel de la société BNP Paribas s’agissant du remboursement des opérations litigieuses et a sollicité du conseiller de la mise en état qu’il déclare la société de crédit irrecevable en son appel pour défaut d’intérêt à agir.

Par ordonnance en date du 7 octobre 2025, le conseiller de la mise en état a déclaré recevable l’appel interjeté par la banque, a rejeté la fin de non-recevoir soulevé par Mme [G] et l’a condamnée au paiement de la somme de 500 euros au titre de l’article 700 du code de procédure civile ainsi qu’aux dépens.

Aux termes de ses dernières conclusions déposées par voie électronique le 9 décembre 2025, elle demande à la cour :

— d’infirmer le jugement rendu en toutes ses dispositions,

statuant à nouveau,

— sur la demande formée par Mme [G] tendant au remboursement des opérations litigieuses sur le fondement des articles L. 133-18 et suivants du code monétaire et financier,

— de juger que les transactions litigieuses ont été dûment authentifiées et qu’elle a parfaitement respecté ses obligations en matière de sécurisation de l’instrument de paiement de Mme [G],

— de juger que Mme [G] a commis une négligence grave au sens de l’article L. 133-19 du code monétaire et financier,

en conséquence,

— de débouter Mme [G] de sa demande de remboursement des opérations litigieuses à hauteur de 8 042,14 euros outre intérêts au taux légal,

— sur la demande formée par Mme [G] tendant au paiement de dommages-intérêts en réparation du prétendu préjudice moral subi,

— de juger que le régime de responsabilité des prestataires de services de paiement tel qu’issu des articles L. 133- 1 et suivants du code monétaire et financier fait l’objet d’une application exclusive et autonome,

— de juger en tout état de cause que le préjudice dont il est allégué n’est pas justifié,

en conséquence,

— de débouter Mme [G] de sa demande de dommages-intérêts au titre du préjudice moral qu’elle aurait subi,

en tout état de cause,

— de débouter Mme [G] de l’intégralité de ses demandes, fins et conclusions à son encontre,

— de condamner Mme [G] lui verser la somme de 5 000 euros en application de l’article 700 du code de procédure civile ainsi qu’aux entiers dépens.

À l’appui de ses prétentions, elle expose que Mme [G] est titulaire de trois cartes bancaires, deux reliées à son compte professionnel et l’une reliée à son compte courant pour lequel son mari est co-titulaire.

Elle rappelle tout d’abord qu’elle a respecté ses obligations relatives à la sécurisation des instruments de paiement de Mme [G], que les opérations litigieuses ont été dûment identifiées au moyen d’un dispositif d’authentification forte, en l’espèce la clé digitale qui est mise en 'uvre lors d’opérations d’achat à distance et qui permet l’envoi d’une notification détaillée de l’opération validée sur son téléphone, que Mme [G] a bien validé à trois reprises des opérations au moyen de sa clé digitale installée sur son seul appareil mobile, les rendant ainsi irrévocables. Elle insiste donc sur l’absence de déficience technique du système de sécurisation de l’espace en ligne qu’elle a mis en place.

Elle soutient en revanche que Mme [G] a commis deux négligences graves : d’abord en renseignant le 15 février 2023 sur un site Internet frauduleux les données confidentielles relatives à ses instruments de paiement dont les numéros, date d’expiration et cryptogramme visuel de ses trois cartes bancaires et donc en divulguant ses données bancaires confidentielles à un tiers, puis en validant à trois reprises des opérations de paiement en ligne au moyen de sa clé digitale alors même qu’elle savait ne pas être à l’origine de ces transactions.

Elle insiste sur le fait que les risques d’hameçonnage sont connus du grand public et que Mme [G] a été avisée par des campagnes de sensibilisation fréquentes des fraudes intervenant avec « Chronopost » et sur le fait que Mme [G] est coutumière de l’utilisation du système d’authentification par clé digitale.

Elle ajoute que Mme [G] aurait dû prendre l’attache de la société BNP Paribas afin de procéder à des vérifications complémentaires avant de valider les opérations de paiement et que ce comportement ne relève pas de celui attendu d’un utilisateur normalement attentif. Elle souligne par ailleurs qu’il n’est nullement avéré que Mme [G] ait été victime d’un phishing puisqu’elle n’a jamais apporté la preuve de l’usurpation du numéro de téléphone de la société BNP Paribas, de sorte qu’elle ne pouvait légitimement croire être en ligne avec un véritable conseiller, ce que le jugement de première instance a retenu à tort.

Elle soutient que le discours tenu par les fraudeurs était de nature à alerter Mme [G] au regard des demandes inhabituelles non conformes à celles d’un conseiller bancaire classique et que le fait de suivre les instructions du fraudeur constitue une négligence grave de la part de Mme [G].

Elle estime enfin que Mme [G] a commis une ultime négligence en ne formant opposition à ses cartes bancaires et en signalant les transactions litigieuses à sa banque que le 20 février 2023, soit cinq jours après la survenue des opérations.

Elle sollicite le rejet de la demande formée au titre de dommages et intérêts pour préjudice moral au motif que Mme [G] ne peut agir que sur le fondement du régime juridique spécial des services de paiement et non sur la responsabilité de droit commun de la banque, en vertu de différents arrêts de la Cour de cassation datant des 27 mars 2024, 2 mai 2024 et 15 janvier 2025.

Aux termes de ses conclusions récapitulatives, déposées par voie électronique le 12 décembre 2025, Mme [G] demande à la cour :

— de confirmer le jugement en toutes ses dispositions,

— de débouter la société BNP Paribas de l’intégralité de ses demandes, fins et conclusions contraires,

y ajoutant,

— de condamner la société BNP Paribas à lui verser la somme de 5 000 euros au titre de l’article 700 du code de procédure civile ainsi qu’aux entiers dépens, Les séquelles seront directement recouvrées pour ceux la concernant par Maître Hela Kacem avocat aux offres de droit en application des dispositions de l’article 699 du code de procédure civile.

Elle explique avoir entamé la procédure en raison des deux refus de remboursement que lui a opposés la banque alors qu’elle ne pouvait pas être à l’origine des virements et paiement frauduleux puisqu’elle n’était pas au Maroc d’où ont eu lieu les deux connexions IP étrangères.

Elle ajoute ne pas avoir utilisé sa clé digitale dans le but de payer volontairement ou par négligence les sommes dérobées puisqu’elle était en France au moment des deux connexions IP’qui, elles, étaient étrangères.

Elle estime que la banque ne justifie pas de l’absence de déficiences techniques de son dispositif de paiement et soutient qu’elle a exécuté les opérations sans s’assurer de l’authentification du donneur d’ordre ; elle ajoute que la banque ne peut se décharger de sa responsabilité en estimant que les termes du SMS reçu auraient dû l’alerter alors qu’elle n’avait aucune raison de se méfier, le SMS n’étant affecté d’aucune erreur apparente et correspondant à ce qu’elle reçoit régulièrement quand elle attend un colis.

Elle conteste avoir reçu des messages d’alerte fréquents et indique que l’envoi de cinq messages d’alerte en deux ans ne constituent pas selon elle une campagne d’information suffisante pour alerter les clients comme l’indique la BNP Paribas Personal Finance.

Elle rappelle qu’en février 2023, les fraudes n’étaient pas aussi régulières qu’aujourd’hui et que l’alerte par les médias et les banques n’avait pas encore été mise en place.

Elle insiste sur le fait qu’elle n’a jamais varié dans ses déclarations et a toujours fait état d’un « spoofing » dont elle a été victime, qu’elle ne peut remonter à l’historique de ces appels reçus en février 2023 et donc établir que le numéro par lequel le fraudeur l’a contacté était celui de sa banque.

Elle sollicite donc que le jugement de première instance soit confirmé en écartant toute négligence grave dont elle aurait fait preuve.

Elle ajoute n’avoir aucunement tardé dans la révélation des opérations litigieuses estimant que le délai de cinq jours pour réagir est un délai très court.

S’agissant du préjudice moral qu’elle a subi, elle souligne le fait qu’elle a été victime d’un traumatisme, celui d’avoir été abusé par un fraudeur et d’avoir perdu une somme d’argent non négligeable l’empêchant de partir en vacances avec ses enfants et qu’au surplus les services de la banque qui héberge ses comptes depuis des années ont été particulièrement désagréables.

Pour un plus ample exposé des faits, moyens et prétentions des parties, il est renvoyé aux écritures de celles-ci conformément aux dispositions de l’article 455 du code de procédure civile.

L’ordonnance de clôture a été rendue le 16 décembre 2025 et l’affaire a été appelée à l’audience du 27 janvier 2026 pour être mise en délibéré par mise à disposition au greffe au 2 avril 2026.

MOTIFS DE LA DÉCISION

Sur le bien-fondé de la demande de remboursement

Il résulte des articles L. 133-3, L. 133-6 et L. 133-7 du code monétaire et financier que la détermination du caractère autorisé d’une opération ne dépend pas de l’obligation sous-jacente qui est sans conséquence sur la validité de l’ordre, mais du consentement du payeur lequel est donné sous la forme convenue entre le payeur et son prestataire.

Une des formes convenues envisagée par la loi est l’usage d’un dispositif de paiement avec données de sécurité personnalisées défini à l’article L. 133-4 du code monétaire et financier qui permettent d’authentifier son auteur.

Les articles L. 133-16 et L. 133-17 du même code imposent à la banque qui délivre un instrument de paiement :

— de s’assurer que les données de sécurité personnalisées telles que définies à l’article L. 133-4 ne sont pas accessibles à d’autres personnes que l’utilisateur autorisé à utiliser cet instrument,

— de mettre en place, à titre gratuit, les moyens appropriés permettant à l’utilisateur de procéder à tout moment à l’information prévue à l’article’L. 133-17,

— et d’empêcher toute utilisation de l’instrument de paiement après avoir été informée, conformément aux dispositions de l’article L. 133-17, de sa perte, de son vol, de son détournement ou de toute utilisation non autorisée de l’instrument de paiement ou des données qui lui sont liées.

De son côté l’utilisateur doit :

— aux termes de l’article L. 133-16 du même code, prendre toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées et utiliser l’instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation qui doivent être objectives, non discriminatoires et proportionnées,

— aux termes de l’article L. 133-17 du même code, dès qu’il en a connaissance prévenir sa banque de toute perte, vol, détournement ou de toute utilisation non autorisée de son instrument de paiement ou des données qui lui sont liées aux fins de blocage.

Il résulte des dispositions l’article L. 133-23 du code monétaire et financier :

— que lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre,

— que la seule utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière et que le prestataire de services de paiement, y compris, le cas échéant, le prestataire de services de paiement fournissant un service d’initiation de paiement, fournit des éléments afin de prouver la fraude ou la négligence grave commise par l’utilisateur de services de paiement.

Il résulte par ailleurs des articles L. 311-18 et L. 311-19 du code monétaire et financier que ce n’est que dans le cas où une opération n’est pas autorisée par le client et qu’il l’a signalée dans les conditions prévues à l’article’L. 133-24 que le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement et s’il communique ces raisons par écrit à la Banque de France.

Lorsque l’opération de paiement non autorisée est consécutive à la perte ou au vol de l’instrument de paiement, le payeur ne supporte, avant l’information prévue à l’article L. 133-17, que les pertes liées à l’utilisation de cet instrument, dans la limite d’un plafond de 50 euros sauf si l’opération non autorisée a été effectuée sans utilisation des données de sécurité personnalisées ou que la perte ou de vol d’un instrument de paiement ne pouvait être détecté par le payeur avant le paiement, ou que la perte est due à des actes ou à une carence d’un salarié, d’un agent ou d’une succursale d’un prestataire de services de paiement ou d’une entité vers laquelle ses activités ont été externalisées.

La responsabilité du payeur n’est pas non plus engagée si l’opération de paiement non autorisée a été effectuée en détournant, à l’insu du payeur, l’instrument de paiement ou les données qui lui sont liées, ni en cas de contrefaçon de l’instrument de paiement si, au moment de l’opération de paiement non autorisée, le payeur était en possession de son instrument.

Sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si le prestataire de services de paiement ne fournit pas de moyens appropriés permettant l’information aux fins de blocage de l’instrument de paiement prévue à l’article L. 133-17.

En revanche, le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17.

Enfin, sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si l’opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement du payeur n’exige une authentification forte du payeur prévue à l’article L. 133-44.

Il résulte donc de l’enchevêtrement de ces textes que pour éviter toute fraude, la banque se doit de mettre en 'uvre des procédés techniques de protection des opérations au moyen d’éléments personnels d’identification de l’utilisateur, que plus l’opération nécessite l’utilisation de données d’authentification, plus elle est considérée comme ayant été autorisée par l’utilisateur, lequel peut toujours nier néanmoins l’avoir autorisée, que dans ce cas la banque doit : 1) prouver que ce sont bien les données d’authentification de l’utilisateur qui ont été utilisées et qu’il n’y a pas eu de défaillance technique, et 2) même dans ce cas où l’authentification est renforcée et où ces données ont été utilisées, fournir les éléments afin de prouver la fraude ou la négligence grave commise par l’utilisateur de services de paiement.

En l’espèce les traces informatiques produites par la banque en sa pièce 3 (captures d’écran, relevés du compte de Mme [G]) démontrent que chacune des trois opérations d’achat auxquelles Mme [G] croyait s’opposer, ont été réalisées à l’aide des cartes bancaires de Mme [G] ( n° 49 70 88 50 70 68 103, n° 49 74 08 85 07 06 32 et n° 49 74 90 80 20 76 61 04) et authentifiées par la saisie de la clé digitale attribuée à Mme [G], le 15 février 2023 à 20 heures 14 et 13 secondes avec un achat de 3 500 euros, le même jour à 20 h 58 et 28 secondes avec un achat pour 3 170,77 euros et le dernier, le même jour à 20 h 01 et 55 secondes pour 1 371,37 euros et sans que Mme [G] ne fasse état d’une perte ou d’un vol de sa carte bancaire. Ceci atteste suffisamment que les opérations ont bien été authentifiées, identifiées avec un système d'« authentification forte » acceptée par le système bancaire, dûment enregistrées et comptabilisées et qu’elles n’ont pas été affectées par une déficience technique ou autre au sens du texte susvisé.

La cour observe toutefois que le 15 février 2023, jour de la fraude dénoncée, l’adresse IP du porteur de la carte se situe pour deux transactions en France avec des numéros IP différents et pour la dernière aux Emirats Arabes Unis alors qu’elles ont eu lieu à quelques minutes d’intervalle, ce qui est pour le moins suspect. De surcroit le courrier de la conseillère BNP Paribas de Mme [G] en date du 27 juin 2023 relate les faits à sa hiérarchie et écrit au sujet du « paiement » Chronopost « à l’issu, son accès en ligne a été piratée, confirmée par le service fraude digital en ligne qui a identifié 2 connexions IP étrangères (en Maroc) ».

S’agissant des négligences graves dont la banque soutient que Mme [G] s’est rendue coupable, il convient de les apprécier au regard du comportement normalement attentif d’un individu face à des indices qui auraient dû l’alerter ou le faire douter du caractère frauduleux des instructions données, sachant que l’utilisateur doit prendre toute mesure raisonnable pour préserver la sécurité des dispositifs de sécurités personnalisés mis à sa disposition et avertir sans délai la banque d’une utilisation non autorisée.

La Cour de cassation, dans son arrêt cité par les parties du 23 octobre 2024 ([Etablissement 1]., 23 octobre 2024, pourvoi n° 23-16.267) retient qu’aucune négligence grave au sens de l’article L. 133-19 du code monétaire et financier ne peut être imputée au titulaire d’un compte qui, contacté téléphoniquement par une personne se faisant passer pour un préposé de sa banque dont le numéro s’affichait, utilise à sa demande le dispositif de sécurité personnalisé pour supprimer puis réinscrire des bénéficiaires de virements dans le but d’éviter des opérations malveillantes.

Dans la plainte qu’elle a déposée le 14 mars 2023 auprès des services du commissariat de [Localité 5], Mme [G] explique avoir reçu un message de Chronopost comme quoi il manquait 1,46 centimes pour recevoir son colis et qu’attendant en effet un colis pour son fils, elle avait rempli le champ demandé avec son numéro de carte bancaire puis avoir reçu le soir même un appel d’un conseiller de sa banque, lui indiquant que des virements avaient été effectués entre son compte joint et son compte professionnel et que des achats avaient été réalisés, précisant que « le n° de l’escroc est le même que le numéro de ma banque, c’est ce qui m’a induit en erreur ». Elle ajoute que son interlocuteur lui a dit « attention Mme vous avez été piratée et pour faire opposition à tous ces prélèvements je vous envoie sur la clé digitale une demande d’opposition à ces prélèvements que vous devez confirmer par la clé digitale ». Elle indique avoir alors obtempéré.

Il est vrai, comme l’indique la banque, que Mme [G] ne justifie pas que le numéro qui l’aurait appelé aurait été le même que celui de la BNP Paribas mais il ne saurait lui en être fait grief, alors que les services de police ne lui ont pas demandé d’en rapporter la preuve, qu’on ne comprend pas pourquoi elle aurait fait de telles déclarations si elles étaient fausses alors qu’au moment de sa plainte elle pouvait espérer être indemnisée par la banque sans avoir à intenter une action et à se servir du procès-verbal de police et alors qu’à cette époque la Cour de cassation n’avait pas encore rendu son arrêt à ce sujet lequel est bien postérieur puisqu’il date du 23 octobre 2024 de sorte qu’elle ne pouvait connaître le poids de cet élément.

Cet appel faisait suite à son «'paiement'» dans l’après-midi d’une somme de 1,46 euros pour permettre l’acheminement d’un colis à la suite de la réception d’un SMS de Chronopost rédigé comme suit « Chronopost': une erreur est survenue lors l’acheminement de votre colis suivez les instructions afin d’achever la livraison : https://.colis-suivis.info/ » ; à la simple lecture de ce SMS Mme [G] ne pouvait se douter de son caractère frauduleux alors qu’il ne comporte aucune faute d’orthographe et qu’elle attendait effectivement la livraison d’un colis. En y répondant, elle a fait preuve d’un comportement correspondant à un utilisateur normalement attentif, elle n’a donc commis aucune négligence grave. Il s’est avéré par la suite qu’il s’agissait d’un message n’émanant pas de la société Chronopost puisqu’aucun débit de 1,46 euros n’apparait sur un des comptes de Mme [G].

Lorsqu’elle a reçu l’appel du faux conseiller, le soir, qui lui a rappelé ses coordonnées et l’a alertée sur un piratage qu’elle serait en train de subir, il l’a placée dans un contexte d’urgence et elle s’est ainsi retrouvée en confiance ; sa vigilance a été amenuisée, ne lui permettant pas de douter de la sincérité de son interlocuteur et elle a acquiescé à sa demande croyant faire opposition à des prélèvements frauduleux. Contrairement à ce que soutient la banque, l’escroc n’a pas fait de demandes inhabituelles à Mme [G], ce qui aurait pu déclencher ses soupçons, puisqu’il lui a simplement demandé de confirmer par sa clé digitale l’opposition ; il n’est nullement évoqué le fait que Mme [G] ait communiqué ses données confidentielles.

Dès lors que la simple validation technique d’opérations comme l’utilisation d’une clé digitale ne suffit pas à prouver la négligence grave du ou de la cliente et que l’ingéniosité déployée par un interlocuteur usurpant l’identité d’un conseiller bancaire, qui a su retransmettre à Mme [G] ses numéros de carte bleue et qui a procédé à l’opposition aux prélèvements « suspects » en lui demandant simplement de le confirmer par clé digitale, est réelle, la banque échoue à établir les négligences graves que Mme [G] aurait commises au sens de l’article L. 133-19 du code monétaire et financier alors que la charge de cette preuve lui incombe.

Enfin les campagnes de sensibilisation des clients au risque de hameçonnage évoquées par la banque, sont à visée générale et il n’est pas justifié de l’envoi de messages précis à Mme [G] avant le 15 février 2023 la mettant en garde sur l’ingénierie sociale dont peuvent faire preuve les personnes mal intentionnées cherchant à tromper les clients des établissements bancaires. En particulier les trois courriels que produit la banque ont été adressés à un client dont le nom a été masqué mais qui disposait d’une boite mail pour le courriel du 25 mars 2021 auprès du service de messagerie Gmail, pour les courriels du 7 avril et du 23 novembre 2022 auprès du service de messagerie Orange alors que Mme [G] a communiqué aux services de police une adresse mail auprès de Hotmail et a échangé avec sa conseillère bancaire en juin 2023 par le biais de cette adresse. Il n’est dès lors pas démontré que les courriels d’alerte produits ont bien été envoyés à l’adresse électronique utilisée par Mme [G].

Il ne peut pas plus être reproché à Mme [G] un retard dans la dénonciation de ces faits alors qu’elle a dès le 20 février 2023 opéré une réclamation auprès de son agence bancaire, c’est-à-dire dans un délai pouvant correspondre à celui nécessaire pour s’apercevoir des faits lors de la consultation de ses comptes.

Il convient donc de confirmer le jugement en ce qu’il a accueilli la demande tendant au remboursement des sommes détournées, le montant de 8 042,14 euros n’étant pas contesté.

Sur les dommages et intérêts

Mme [G] fonde sa demande en dommages et intérêts à l’encontre de la société BNP Paribas sur la responsabilité de droit commun de la banque qui oppose quant à elle que doit s’appliquer le régime de responsabilité des prestataires de services de paiement défini par les articles L. 133-18 à L. 133-24 du code monétaire et financier et souhaite donc l’infirmation du jugement de première instance.

Cependant, la responsabilité contractuelle de droit commun de la banque peut être engagée s’il existe une faute distincte du régime d’indemnisation du préjudice financier résultant du paiement non autorisé.

Mme [G] se plaint d’un comportement particulièrement désagréable de la part du service bancaire de la société BNP Paribas qui héberge pourtant ses comptes depuis des années, en ce que les employés de la banque ont été particulièrement désagréables avec elle et l’ont traitée comme une « fraudeuse volontaire » alors qu’elle subissait non seulement la perte d’une somme d’argent importante mais qu’en plus cela l’a empêché de partir en vacances avec ses enfants.

Pour estimer que la banque avait commis une faute, le premier juge a considéré que Mme [G], cliente depuis 2006 de la banque, avait été moralement affectée par le refus de remboursement qui lui a été opposée par la Société BNP Paribas au prétexte d’une négligence grave qu’elle ne démontrait pas.

Cependant, ni le caractère prétendument désagréable des employés de la banque n’est démontré, au contraire Mme [G] produit un courriel de sa conseillère bancaire qui soutient sa cliente auprès de sa hiérarchie et insiste pour qu’elle soit remboursée, ni le trouble moral qu’aurait subi ou que subirait Mme [G] n’est caractérisé.

Dès lors qu’aucune faute de la part de la banque n’est établie et que de surcroît aucun préjudice chez Mme [G] n’est démontré, la demande de dommages et intérêts doit être rejetée et le jugement de première instance infirmé de ce chef.

Sur les dépens et les frais irrépétibles

Au regard de ce qui précède, le jugement doit être confirmé en ses dispositions relatives aux dépens et aux frais irrépétibles de première instance.

La banque, succombant en appel supportera les dépens d’appel, ses propres frais irrépétibles et sera condamnée à payer à Mme [G] la somme de 1 500 euros au titre de l’article 700 du code de procédure civile.

PAR CES MOTIFS

LA COUR,

Statuant publiquement par arrêt contradictoire et en dernier ressort,

Confirme le jugement en toutes ses dispositions’ sauf en ce qu’il a condamné la société BNP Paribas à payer à Mme [B] [F] épouse [G] la somme de 500 euros de dommages-intérêts pour préjudice moral ;

Y ajoutant,

Rejette la demande de dommages et intérêts présentée par Mme [B] [F] épouse [G] ;

Condamne la société BNP Paribas à payer à Mme [B] [G] née [F] une somme de 1 500 euros sur le fondement de l’article 700 du code de procédure civile ;

Condamne la société BNP Paribas aux dépens d’appel ;

Rejette toute demande plus ample ou contraire.

La greffière La présidente

Décisions similaires

Citées dans les mêmes commentaires3

  • Droits attachés à la personne ·
  • Droit des personnes ·
  • Angola ·
  • Pays ·
  • Réfugiés ·
  • Tribunal judiciaire ·
  • Étranger ·
  • Décision d’éloignement ·
  • Tribunaux administratifs ·
  • Prolongation ·
  • Droit d'asile ·
  • Asile
  • Baux d'habitation et baux professionnels ·
  • Contrats ·
  • Bail ·
  • Logement ·
  • Expulsion ·
  • Meubles ·
  • Clause resolutoire ·
  • Résiliation ·
  • Astreinte ·
  • Demande ·
  • Paiement des loyers ·
  • Indemnité d 'occupation
  • Relations du travail et protection sociale ·
  • Protection sociale ·
  • Urssaf ·
  • Redressement ·
  • Travail dissimulé ·
  • Cotisations ·
  • Activité ·
  • Commerce ·
  • Lettre d'observations ·
  • Rémunération ·
  • Emploi ·
  • Sécurité sociale
1 commentaire

Citant les mêmes articles de loi3

  • Relations du travail et protection sociale ·
  • Protection sociale ·
  • Urssaf ·
  • Tribunal judiciaire ·
  • Désistement ·
  • Adresses ·
  • Message ·
  • Dessaisissement ·
  • Appel ·
  • Directeur général ·
  • Conseiller ·
  • Sécurité sociale
  • Relations du travail et protection sociale ·
  • Relations individuelles de travail ·
  • Médiateur ·
  • Médiation ·
  • Partie ·
  • Accord ·
  • Mise en état ·
  • Provision ·
  • Europe ·
  • Mission ·
  • Adresses ·
  • Personnes physiques
  • Baux d'habitation et baux professionnels ·
  • Contrats ·
  • Caducité ·
  • Déclaration ·
  • Appel ·
  • Avis ·
  • Délai ·
  • Adresses ·
  • Observation ·
  • Courriel ·
  • Avocat ·
  • Peine

De référence sur les mêmes thèmes3

  • Rupture anticipee ·
  • Faute grave ·
  • Travail dissimulé ·
  • Mise à pied ·
  • Vol ·
  • Demande ·
  • Contrats ·
  • Relaxe ·
  • Employeur ·
  • Préjudice distinct
  • Liquidation judiciaire ·
  • Cessation des paiements ·
  • Liquidateur ·
  • Loyer ·
  • Code de commerce ·
  • Épouse ·
  • Déclaration de créance ·
  • Bailleur ·
  • Tribunaux de commerce ·
  • Compte courant
1 commentaire
  • Copropriété : droits et obligations des copropriétaires ·
  • Autres demandes relatives à la copropriété ·
  • Biens - propriété littéraire et artistique ·
  • Adresses ·
  • Tribunal judiciaire ·
  • Désistement ·
  • Renonciation ·
  • Syndicat de copropriétaires ·
  • Charges de copropriété ·
  • Titre ·
  • Mise en état ·
  • Appel ·
  • Acte

Sur les mêmes thèmes3

  • Prêt d'argent, crédit-bail , cautionnement ·
  • Contrats ·
  • Crédit agricole ·
  • Mise en garde ·
  • Banque ·
  • Cautionnement ·
  • Engagement ·
  • Disproportion ·
  • Ratio ·
  • Patrimoine ·
  • Prêt ·
  • Endettement
2 commentaires
  • Faillite personnelle ·
  • Sociétés ·
  • Cessation des paiements ·
  • Insuffisance d’actif ·
  • Liquidateur ·
  • Comptabilité ·
  • Commerce ·
  • Détournement de fond ·
  • Faute de gestion ·
  • Mandataire
  • Relations du travail et protection sociale ·
  • Risques professionnels ·
  • Faute inexcusable ·
  • Manutention ·
  • Employeur ·
  • Risque ·
  • Tribunal judiciaire ·
  • Formation ·
  • Salariée ·
  • Accident du travail ·
  • Ergonomie ·
  • Sécurité

Textes cités dans la décision

  1. Code de procédure civile
  2. Code monétaire et financier
Extraits similaires à la sélection

Aucune décision de référence ou d'espèce avec un extrait similaire.

Inscrivez-vous gratuitement pour imprimer votre décision
Cour d'appel de Paris, Pôle 4 chambre 9 a, 2 avril 2026, n° 25/00442
  1. Doctrine
  2. Décisions de justice
  3. 2026
  4. CA Paris, pôle 4 ch. 9 a, 2 avr. 2026, n° 25/00442
Contactez notre service commercial au 01 84 80 33 48