Inscription
7 jours d’essai gratuit.
Inscription en moins d’une minute. Pas de carte de crédit requise.
Cour d'appel de Paris, Pôle 5 chambre 6, 13 mai 2026, n° 24/05295
TGI Créteil 16 février 2024
>
CA Paris
Confirmation 13 mai 2026

Résumé par Doctrine IA

La cliente, Madame [P], a contesté trois virements frauduleux de son compte bancaire, totalisant 17 600 euros, effectués en décembre 2021. Elle a informé sa banque, le Crédit Lyonnais, de sa non-participation à ces opérations et a demandé leur remboursement.

La juridiction de première instance a débouté Madame [P] de ses demandes de remboursement et de dommages et intérêts, estimant que la banque n'était pas responsable. La cour d'appel a été saisie de ce litige.

La cour d'appel a confirmé le jugement de première instance, considérant que les opérations avaient été authentifiées par une procédure de sécurité forte, incluant l'enregistrement d'un appareil de confiance. Elle a estimé que Madame [P] avait manqué à son obligation de préserver la sécurité de ses données personnelles, caractérisant une négligence grave qui la privait du droit de faire supporter les pertes par la banque.

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Commentaire0

Augmentez la visibilité de votre blog juridique : vos commentaires d’arrêts peuvent très simplement apparaitre sur toutes les décisions concernées. 

Sur la décision

Référence :
CA Paris, pôle 5 ch. 6, 13 mai 2026, n° 24/05295
Juridiction : Cour d'appel de Paris
Numéro(s) : 24/05295
Importance : Inédit
Décision précédente : Tribunal de grande instance de Créteil, 16 février 2024, N° 23/00642
Dispositif : Autre
Date de dernière mise à jour : 27 mai 2026
Lire la décision sur le site de la juridiction

Sur les parties

Texte intégral

Copies exécutoires REPUBLIQUE FRANCAISE

délivrées aux parties le : AU NOM DU PEUPLE FRANCAIS

COUR D’APPEL DE PARIS

Pôle 5 – Chambre 6

ARRET DU 13 MAI 2026

(n° , 10 pages)

Numéro d’inscription au répertoire général : N° RG 24/05295 – N° Portalis 35L7-V-B7I-CJDR5

Décision déférée à la Cour : Jugement du 16 Février 2024 – tribunal judiciaire de Créteil 3ème chambre – RG n° 23/00642

APPELANTE

Madame [F] [Y] [P]

née le [Date naissance 1] 1963 à [Localité 1] (Angola)

[Adresse 1]

[Localité 2]

Représentée par Me Frédéric INGOLD de la SELARL INGOLD & THOMAS – AVOCATS, avocat au barreau de Paris, toque : B1055

Ayant pour avocat plaidant Me Marjorie VEYGALIER, avocat au barreau de Paris, toque : D1046

INTIMÉE

S.A. CRÉDIT LYONNAIS

[Adresse 2]

[Localité 3]

N°SIREN : 954 509 741

agissant poursuites et diligences de ses représentants légaux domiciliés en cette qualité audit siège

Représentée par Me Julian COAT de l’AARPI COAT HAUT DE SIGY DE ROUX, avocat au barreau de Paris, toque : A0297, avocat plaidant

COMPOSITION DE LA COUR :

En application des dispositions des articles 805 et 907 du code de procédure civile, l’affaire a été débattue le 16 Mars 2026, en audience publique, les avocats ne s’y étant pas opposés, devant Mme Valérie CHAMP, présidente de chambre, et Mme Laurence CHAINTRON, conseillère entendue en son rapport.

Ces magistrats ont rendu compte des plaidoiries dans le délibéré de la Cour, composée de :

M. Vincent BRAUD, président de chambre

Mme Valérie CHAMP, résidente de chambre

Mme Laurence CHAINTRON, conseillère

Greffier, lors des débats : Mme Mélanie THOMAS

ARRET :

— contradictoire

— par mise à disposition de l’arrêt au greffe de la Cour, les parties en ayant été préalablement avisées dans les conditions prévues au deuxième alinéa de l’article 450 du code de procédure civile.

— signé par M. Vincent BRAUD, président de chambre et par Mme Mélanie THOMAS, greffier, présent lors de la mise à disposition.

* * * * *

FAITS, PROCÉDURE ET PRÉTENTIONS DES PARTIES

Mme [F] [Y] [P] est titulaire d’un compte ouvert dans les livres de la SA Crédit lyonnais (le Crédit lyonnais).

Elle soutient qu’elle a constaté au mois de janvier 2022, qu’au cours du mois de décembre 2021, trois virements avaient été exécutés au débit de son compte bancaire, à savoir :

— le 6 décembre 2021, un virement de 6 000 euros,

— le 9 décembre 2021, un virement de 6 000 euros,

— le 12 décembre 2021, un virement de 5 600 euros.

Par courrier du 7 janvier 2022, Mme [P] a informé le Crédit lyonnais qu’elle n’était pas à l’origine des trois virements précités et a sollicité leur remboursement.

Le 14 janvier 2022, Mme [P] a déposé plainte entre les mains du commissariat de police de [Localité 4].

Par courrier recommandé du 25 avril 2022, Mme [P] a, par l’intermédiaire de son conseil, mis en demeure la banque de lui rembourser la somme de 17 600 euros, ce que cette dernière a refusé par courrier du 5 mai 2022.

Par exploit de commissaire de justice du 19 janvier 2023, Mme [P] a assigné le Crédit lyonnais devant le tribunal judiciaire de Créteil afin d’obtenir le remboursement des sommes détournées outre des dommages et intérêts.

Par jugement contradictoire rendu le 16 février 2024, le tribunal judiciaire de Créteil a :

— débouté Mme [F] [P] de sa demande de remboursement,

— débouté Mme [F] [P] de sa demande de dommages et intérêts,

— condamné Mme [F] [P] au paiement des dépens,

— rejeté les demandes de condamnation au titre des frais irrépétibles,

— rappelé que l’exécution provisoire de la présente décision est de droit.

Par déclaration du 11 mars 2024, Mme [P] a relevé appel de ce jugement.

Par conclusions notifiées par voie électronique le 10 juin 2024, Mme [P] demande, au visa des articles L. 133-17, L. 133-18, L. 133-19, L. 133-23 et L. 133-24 du code monétaire et financier et 1103, 1231-1, 1231-6, et 1353 du code civil, à la cour de :

— infirmer le jugement rendu par le tribunal judiciaire de Créteil en date du 16 février 2024 en toutes ses dispositions ;

et statuant à nouveau :

A titre principal :

— juger que LCL Crédit Lyonnais a manqué à son obligation légale de rembourser Mme [F] [Y] [P] résultant des dispositions de l’article L. 133-18 du code monétaire et financier ;

— par conséquent, condamner LCL Crédit Lyonnais à rembourser à Mme [F] [Y] [P] la somme de 17 600 euros correspondant aux trois virements frauduleux ;

— juger que la somme de 17 600 euros due à Mme [F] [Y] [P] produit intérêt au taux légal majoré de 15 points à compter du 12 décembre 2021 ;

— par conséquent, condamner LCL Crédit Lyonnais à payer à Mme [F] [Y] [P] lesdits intérêts de retard appliqués sur la somme de 17 600 euros à compter du 12 décembre 2021 et jusqu’au complet remboursement de ladite somme ;

A titre subsidiaire :

— juger que LCL Crédit Lyonnais a manqué à son devoir de vigilance ;

— par conséquent, condamner LCL Crédit Lyonnais à rembourser à Mme [F] [Y] [P] la somme de 17 600 euros correspondant aux trois virements frauduleux ;

En tout état de cause :

— condamner LCL Crédit Lyonnais à payer à Mme [F] [Y] [P] la somme de 15 000 euros à titre de dommages et intérêts ;

— condamner LCL Crédit Lyonnais à payer à Mme [F] [Y] [P] la somme de 15 000 euros au titre de l’article 700 du code de procédure civile ;

— condamner LCL Crédit Lyonnais aux entiers dépens de l’instance.

Par conclusions notifiées par voie électronique le 6 septembre 2024, le Crédit lyonnais demande, au visa des articles L. 133-4, L. 133-16, L. 133-17, L. 133-19 IV, et L. 133-23 du code monétaire et financier, à la cour de :

— confirmer le jugement du tribunal judiciaire de Créteil du 16 février 2024 ;

— débouter Mme [F] [Y] [P] de l’ensemble de ses demandes ;

— condamner Mme [F] [Y] [P] à payer au Crédit Lyonnais la somme de 10 000 euros au titre de l’article 700 du code de procédure civile ;

— condamner Mme [F] [Y] [P] aux entiers dépens.

Pour un plus ample exposé des faits, de la procédure, des moyens et des prétentions des parties, il est expressément renvoyé au jugement déféré et aux dernières conclusions écrites déposées en application de l’article 455 du code de procédure civile.

L’ordonnance de clôture a été rendue le 10 février 2026 et l’audience fixée au 16 mars 2026.

MOTIFS

Sur la responsabilité de la banque sur le fondement des dispositions du code monétaire et financier

Mme [P] soutient, à titre principal, au visa des articles L. 113-24, L.133-18 alinéas 1 et 2, L. 133-17, L.133-19 et L. 133-23 du code monétaire et financier qu’elle n’a pas autorisé les virements litigieux et que la banque est tenue de lui en rembourser le montant. Elle rappelle que c’est au prestataire de services de paiement qu’il incombe de rapporter la preuve que l’utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence grave à ses obligations et que cette preuve ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisées.

Elle fait valoir que :

— elle n’a validé aucune des opérations litigieuses et n’a communiqué aucune donnée confidentielle,

— elle n’utilisait qu’internet et non l’application mobile de la banque,

— elle n’a découvert l’existence des trois virements litigieux que le 5 janvier 2022 du fait de l’impossibilité de se connecter sur son compte en ligne et en a informé la banque dès le 7 janvier 2022,

— elle se trouvait en voyage en République Dominicaine du 16 au 31 décembre 2021,

— l’intervalle de quelques jours entre les opérations et de quelques minutes entre les opérations du 6 décembre 2021 démontre un fonctionnement inhabituel de son compte qui aurait dû alerter la banque,

— le fichier communiqué par la banque est tronqué ; il n’est pas fidèle aux opérations figurant sur son relevé de compte ; il fait apparaître que les opérations litigieuses ont été réalisées à partir d’au moins cinq adresses IP toutes différentes entre elles et différentes de la sienne ; ce fichier ne démontre ni la saisie de ses identifiants, ni de son code personnel d’accès, ni d’un quelconque code à usage unique,

— la banque ne peut se constituer de preuve à elle-même,

— le Crédit Lyonnais ne communique pas les étapes de l’enregistrement des trois nouveaux bénéficiaires de virements qui aurait dû générer automatiquement trois SMS de validation sur son portable, qu’elle n’a pas reçus.

Elle en déduit que le Crédit Lyonnais ne rapporte pas la preuve que les opérations ont été authentifiées et n’ont été affectées par aucune déficience technique ou autre.

Elle conteste avoir commis une négligence grave qui aurait permis, selon la société intimée, l’enregistrement d’un nouvel appareil de confiance dès lors qu’il n’est pas démontré qu’elle ait reçu une quelconque alerte ou sollicitation. Elle soutient que la fraude dont elle a été victime s’inscrit dans une fraude généralisée dont plusieurs clients du Crédit Lyonnais ont été victimes à la fin de l’année 2021.

Le Crédit Lyonnais réplique, au visa des articles L. 133-16, L. 133-17, L. 133-19 et L. 133-23 du code monétaire et financier que les opérations ont été authentifiées et qu’il n’est tenu à aucune obligation de remboursement au regard de la négligence grave de Mme [P].

La banque fait valoir, en premier lieu, que les éléments de preuve qu’elle communique sont recevables, opérants et opposables et plus spécifiquement les éléments issus de son système d’information, notamment l’historique des opérations de l’espace en ligne de Mme [P] et les SMS reçus par celle-ci. Elle expose, ainsi, que :

— aux termes de l’article 2 des conditions générales des services en ligne LCL et 3.4.2 des dispositions générales de banque-clientèle des particuliers, Mme [P] a expressément accepté que les éléments de preuve communiqués par la banque devant les tribunaux fassent foi des données et des éléments qu’ils contiennent,

— elle rapporte la preuve du caractère non erroné du listing produit,

— elle démontre l’envoi des deux SMS de sécurité (OTP SMS) du 29 novembre 2021 sur le téléphone portable utilisé et déclaré par Mme [P] au numéro [XXXXXXXX01],

— Mme [P] ne conteste pas avoir été en possession de son téléphone portable lors de l’envoi des OTP SMS,

— elle ne s’est jamais plainte du vol, de la perte ou de l’utilisation frauduleuse de son téléphone portable,

— avant l’enregistrement de l’appareil de confiance le 30 novembre 2021, Mme [P] s’est connectée à son espace en ligne avec son adresse IP habituelle (157.23.200.8),

— elle avait déjà fait usage en 2021 de la procédure de vérification d’identité (authentification) à distance avec LCL,

— l’appareil de confiance utilisé pour exécuter les trois virements litigieux a été enregistré le 29 novembre 2021 à 9h31, soit une minute après la réception du deuxième OTP SMS par Mme [P],

— Mme [P] n’a jamais fourni la liste des SMS envoyés par la banque et reçus par elle au cours de leur relation d’affaires.

En second lieu, le Crédit Lyonnais soutient que les opérations litigieuses ont été authentifiées, dûment enregistrées et comptabilisées et n’ont pas été affectées par une déficience technique ou toute autre déficience. Il expose que :

— les virements litigieux ont été exécutés après une authentification forte de Mme [P], au moyen de son identifiant (code à dix chiffres, personnel et confidentiel), de son code personnel d’accès (code confidentiel à 6 chiffres) et de l’appareil de confiance qui lui était associé,

— Mme [P] a été informée en temps réel, par sa banque, au moyen d’un premier SMS contenant un code à usage unique de ce qu’un nouvel appareil voulait 's’enregistrer’ comme appareil de confiance et elle a reçu un nouveau code à usage unique qui a été saisi en temps réel afin de procéder à son enregistrement, de sorte que le système d’authentification de la banque n’a pas fait l’objet d’une déficience technique,

— cet appareil de confiance a été utilisé pour effectuer les virements litigieux qui ont été authentifiés.

En dernier lieu, le Crédit lyonnais soutient que Mme [P] n’a pas respecté les obligations de sécurité contractuellement prévues aux articles 1.1 et 1.2 des conditions générales des services en ligne LCL et qu’il ressort des développements qui précédent qu’elle a commis une négligence grave en ne prenant aucune mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées (identifiant, code personnel d’accès, OTP SMS et appareil de confiance) en violation de l’article L. 133-16 du code monétaire et financier. Il expose que la seconde négligence grave de Mme [P] consiste dans le signalement tardif du détournement et de l’utilisation non autorisée de ses données de sécurité personnalisées aux fins de blocage de son instrument de paiement en violation de l’article L. 133-17, I, du code monétaire et financier, alors que l’appelante avait été informée en temps réel à deux reprises d’une activité qu’elle présente comme n’étant pas la sienne sur les services en ligne LCL et qu’elle avait tenté dès le 18 décembre 2021 de la joindre sans succès.

Mme [P] recherche, à titre principal, la responsabilité de la banque en raison d’opérations non autorisées sur le fondement, notamment, des articles L. 133-16, L. 133-17, L. 133-19 et L. 133-23 du code monétaire et financier.

L’article L. 133-23 du code monétaire et financier dispose que :

'Lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre.

L’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière.

Le prestataire de services de paiement, y compris, le cas échéant, le prestataire de services de paiement fournissant un service d’initiation de paiement, fournit des éléments afin de prouver la fraude ou la négligence grave commise par l’utilisateur de services de paiement.'

L’article L. 133-24 de ce code prévoit que :

'L’utilisateur de services de paiement signale, sans tarder, à son prestataire de services de paiement une opération de paiement non autorisée ou mal exécutée et au plus tard dans les treize mois suivant la date de débit sous peine de forclusion à moins que le prestataire de services de paiement ne lui ait pas fourni ou n’ait pas mis à sa disposition les informations relatives à cette opération de paiement conformément au chapitre IV du titre 1er du livre III.'.

S’il est constant que les opérations litigieuses ont été effectuées via le service sécurisé de banque à distance du Crédit Lyonnais, il n’en ressort pas pour autant que l’utilisation de l’instrument de paiement telle qu’enregistrée par la banque suffise à prouver que les opérations ont été autorisées, encore moins qu’elles résultent d’une négligence grave de Mme [P].

Au contraire, Mme [P] a informé le Crédit Lyonnais par courrier du 7 janvier 2022 qu’elle n’était pas l’auteur des virements litigieux et elle a déposé plainte le 14 janvier 2022 pour 'escroquerie'.

Le Crédit lyonnais ne conteste pas vraiment que Mme [P] n’a pas donné son consentement aux opérations litigieuses puisqu’il indique dans ses écritures que l’appelante a commis des négligences graves en ne préservant pas la sécurité de ses données sécurisées personnelles.

Il s’en induit que les opérations de paiement et de virement effectuées par Mme [P] n’étaient pas autorisées au sens des dispositions légales précitées.

L’article L. 133-18, alinéa 1, du code monétaire et financier pose le principe du remboursement par la banque des opérations non autorisées dans les termes suivants :

'En cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L. 133-24, le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement et s’il communique ces raisons par écrit à la Banque de France. Le cas échéant, le prestataire de services de paiement du payeur rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu.'

Par dérogation, l’article L. 133-19 de ce code, paragraphe IV, dispose, dans le cas particulier des instruments de paiement dotés de données de sécurité personnalisées que :

'Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17', lesquels lui font obligation de préserver la sécurité de ses données.

En l’espèce, il n’est pas contesté par Mme [P] que les conditions générales des services en ligne LCL et les dispositions générales de banque-clientèle des particuliers qui contiennent une convention sur la preuve lui sont opposables.

L’article 3.4.2 de ces dispositions générales dans leur édition du 1er mai 2021 stipule :

« Conformément aux articles 1368 et 1356 du Code Civil, le Client et LCL fixent les règles de preuve recevable entre eux en matière de dématérialisation des documents et des opérations réalisées (incluant, le cas échéant, une Signature Electronique ou une Validation Electronique).

Le Client et LCL acceptent que les éléments d’Identification/ Authentification utilisés et mentionnés dans le cadre des présentes, soient admissibles devant les tribunaux et fassent preuve des données et des éléments qu’ils contiennent ainsi que des procédés d’Identification/Authentification et des Signature Electronique et Validation Electronique qu’ils expriment.

LCL et le Client conviennent de façon expresse que le recours aux Identifiants/Authentifiants du Client ou que le succès de l’Authentification réalisée soient admissibles devant les tribunaux et fassent preuve des données et des éléments qu’ils contiennent (à savoir l’identité d’un Client), notamment la connexion du Client aux Services en [Localité 5] LCL ainsi qu’à l’ensemble des autres services proposés par LCL en tant qu’intermédiaire en assurance ou pour le compte d’entités avec lesquelles LCL dispose d’accord de partenariat ou de distribution.

Il est expressément convenu que toute interrogation ou opération intéressant le ou les comptes du Client réalisée conformément à la procédure d’accès aux services décrite aux présentes est présumée réalisée, qu’elle qu’en soit l’origine, par le Client lui-même.

Le Client reconnaît avoir communiqué à LCL les éléments permettant d’assurer son Identification/Authentification.

Il est expressément convenu que les enregistrements des échanges téléphoniques et les enregistrements informatiques, ou leur reproduction sur un quelconque support feront foi entre les parties, sauf pour chacune d’elles à apporter la preuve contraire.

Les enregistrements des échanges téléphoniques et les enregistrements informatiques seront conservés dans des conditions de sécurité appropriées.

Dans le cadre de la relation entre le Client et LCL, la preuve des connexions, des enregistrements informatiques et d’autres éléments d’identification sera établie, conservée et archivée autant que de besoin à l’appui des journaux de connexion tenus à jour par LCL. Le Client et LCL conviennent expressément que LCL pourra se prévaloir, notamment à des fins probatoires, de tout acte, fichier, enregistrement, rapport de suivi, statistiques sur tous supports dont le support informatique établi, reçu ou conservé par ses soins et notamment les éléments décrits ci avant. (…) ».

Les parties sont donc convenues que les différents relevés, historiques et enregistrements informatiques produits par le Crédit Lyonnais font foi entre elles, à défaut pour Mme [P] d’apporter la preuve contraire.

Comme l’a relevé le tribunal, il résulte de l’historique des opérations de Mme [P] produit par la banque que :

— le 29 novembre 2021 à 9h28, un accès à son espace en ligne au moyen de l’application mobile a été enregistré, via une adresse IP n° 80.214.26.12.

— à 9h30, c’est un accès au service en ligne par internet qui a été enregistré, via l’adresse IP n° 157.23.200.8, qui apparaissait auparavant dans le relevé d’opérations (qui porte sur une période courant du 18 janvier 2021 au 14 janvier 2022),

— à 9h31, l’enregistrement d’un appareil de confiance a été effectué sur l’application mobile,

— à 9h34 enfin, un dernier accès au service via internet et l’adresse IP 157.23.200.8 a été enregistré.

Le Crédit lyonnais produit des relevés d’informations qui démontrent ensuite que le 29 novembre 2021 à 9h28, un SMS a été envoyé au numéro de téléphone [XXXXXXXX01], enregistré par la banque comme étant celui de Mme [P]. Mme [P] a confirmé ce fait dans son dépôt de plainte du 14 janvier 2022. Ce SMS contenait un premier code à usage unique, à saisir afin d’enregistrer l’appareil de confiance. Un second SMS a été envoyé au même numéro à 9h30, contenant un second code à usage unique visant à confirmer cet enregistrement. Les pièces versées par le Crédit lyonnais permettent de connaître le contenu du SMS, qui indiquait que les codes ne devaient jamais être fournis par mail ou téléphone à LCL ou à un tiers.

Mme [P] conteste vainement avoir reçu ces deux SMS alors que leur statut, selon les données de la banque, est indiqué comme « remis ». L’appelante ne rapporte aucune preuve contraire, alors qu’à l’inverse, les relevés d’enregistrements produits par la banque contiennent les informations techniques établissant leur effectivité.

Force est de constater que la réception de ces SMS par Mme [P] est concomitante aux opérations précitées. Par ailleurs, il est établi par l’historique des opérations du compte de Mme [P] que c’est grâce au nouvel appareil de confiance enregistré le 29 novembre 2021 qu’ont été validés le 6 décembre 2021 la modification des options du contrat de Mme [P], l’augmentation de son plafond de virement et l’ajout de l’Espagne comme pays destinataire. C’est également à partir de cet appareil qu’ont été authentifiés les trois virements contestés des 6, 9 et 12 décembre 2021.

C’est donc à juste titre que les premiers juges ont considéré que les différents documents techniques produits par le Crédit lyonnais rapportent la preuve imposée par l’article L. 133-23 du code monétaire et financier puisqu’il en résulte que ces différentes opérations ont été effectuées sur l’application mobile, en saisissant les identifiants de Mme [P] et son code personnel, puis ont toutes été confirmées sur l’appareil de confiance enregistré le 29 novembre précédent et qu’elles ont donc fait l’objet d’une authentification forte au sens de l’article L. 133-4 f) du code monétaire et financier.

La banque justifie par conséquent que les opérations litigieuses ont été validées selon le processus sécurisé d’authentification forte mis en place, qu’elles ont été dûment enregistrées et comptabilisées et qu’elles n’ont pas été affectées par une déficience technique ou autre.

Le Crédit Lyonnais fournit des éléments afin de prouver la négligence grave commise par l’utilisateur de services de paiement, notamment au regard de l’article L. 133-16 du code monétaire et financier qui impose à ce dernier de prendre toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées et d’utiliser l’instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation.

La négligence grave du payeur est exclusive de toute appréciation de sa bonne foi (Com., 1er juillet 2020, pourvoi n° 18-21.487).

En application des conditions générales des services en ligne LCL applicables à Mme [P], et plus spécifiquement de leur article 1.1, le client est le seul à connaître son code personnel d’accès à l’espace en ligne (via internet ou via l’application mobile) et ce code doit être modifié par celui-ci lors de sa première connexion.

Au terme de ce qui précède, aucun élément probant ne vient corroborer les allégations de Mme [P], suivant lesquelles une faille dans le système de sécurité du Crédit lyonnais aurait permis la fraude dont elle se dit victime.

Au contraire, il a été démontré que le dispositif d’authentification forte a été respecté pour l’ensemble des opérations litigieuses et que c’est au moyen de l’appareil de confiance, dûment enregistré le 29 novembre 2021, que les opérations en cause ont été authentifiées. Or, Mme [P] a nécessairement été informée de l’enregistrement dudit appareil de confiance, puisqu’elle ne conteste pas avoir été en possession de son téléphone portable au moment où les deux SMS d’activation et de confirmation de l’enrôlement de l’appareil, ont été envoyés. Aucune déclaration de perte ou de vol de son téléphone portable n’a été effectuée et il n’est pas allégué que celui-ci ait été affecté par une déficience technique ou autre.

Les arguments développés par Mme [P], suivant lesquels elle n’aurait jamais utilisé l’application mobile de la banque, sont inopérants, dès lors qu’elle ne pouvait pas ignorer la portée des SMS contenant un mot de passe à usage unique (dénommés OTP SMS) envoyés par la banque puisqu’il résulte de l’historique d’opérations que les 13 avril, 12 juillet et 14 octobre 2021, c’est par ce biais qu’elle avait pu valider d’autres opérations. Elle était donc familière de ce processus.

Or, ce n’est que le 7 janvier 2022, soit un mois après le premier virement litigieux que Mme [P] a contesté les virements des 6, 9 et 12 décembre 2022.

Toutefois, si contrairement à ce qu’a jugé le tribunal, ce délai d’information de la banque ne peut être considéré comme tardif au sens de l’article L. 133-17 du code monétaire et financier, il ressort des développements qui précèdent qu’il existe un faisceau d’indices qui permet de considérer que Mme [P] a manqué à son obligation de préserver la sécurité de ses données de sécurité personnalisées, comprenant nécessairement celle de préserver la confidentialité des codes d’activation ou de validation qui lui sont adressés, en violation des obligations mises à sa charge par l’article L. 133-16 du code monétaire et financier et des dispositions contractuelles applicables entre les parties. Ce manquement caractérise une négligence grave en ce qu’il a permis l’enregistrement d’un nouvel appareil de confiance qui a servi par la suite aux opérations frauduleuses et a par là-même contribué au contournement du système de sécurisation mis en place par la banque, ce qui prive Mme [P] de la possibilité de faire supporter par le Crédit Lyonnais les pertes occasionnées par les opérations de paiement non autorisées.

Le jugement déféré sera par conséquent confirmé en ce qu’il a débouté Mme [P] de sa demande de remboursement des sommes litigieuses.

Sur la responsabilité de la banque pour manquement à son devoir de vigilance

A titre subsidiaire, Mme [P] soutient, au visa des dispositions des articles 1103 et 1231-1 du code civil que la banque a manqué à son devoir de vigilance.

Elle relève les anomalies apparentes suivantes :

— la fréquence des opérations à partir du 29 novembre 2021,

— le montant inhabituel des virements,

— l’enrôlement d’un appareil de confiance présentant une adresse IP différente de la sienne,

— l’augmentation des plafonds de virements, de 1 000 euros à 6 000 euros,

— la destination des virements en Espagne.

La banque rappelle que la Cour de justice de l’Union Européenne (CJUE) a déjà eu l’occasion de se prononcer sur le caractère exclusif du régime de responsabilité issu de la DSP 1 en matière d’opération de paiement non autorisée, par deux arrêts des 2 septembre 2021 et 16 mars 2023 et qu’en l’espèce, le litige portant sur la responsabilité de la banque à raison de l’exécution d’opérations de paiement que Mme [P] conteste avoir autorisées, le prétendu manquement à une obligation de vigilance est donc inapplicable au présent litige.

Il a été jugé que dès lors que la responsabilité d’un prestataire de service de paiement est recherchée en raison d’une opération de paiement non autorisée ou mal exécutée, seul est applicable le régime de responsabilité défini aux articles L. 133-18 à L. 133-24 du code monétaire et financier, qui transposent les articles 58, 59 et 60 paragraphe 1, de la directive 2007/64/CE, à l’exclusion tout régime alternatif de responsabilité résultant du droit national (Com. 27 mars 2024, pourvoi n° 22-21.200), de sorte que l’appelante ne peut se prévaloir d’un manquement au devoir de vigilance de la banque sur ce fondement, étant relevé que de surcroît, compte tenu du devoir de non-immixtion de la banque, ni le montant des virements, ni leur destination vers l’Espagne, ni leur fréquence, ni leur caractère inhabituel, ne constituaient des anomalies de nature à caractériser un manquement de la banque à ses obligations.

Il y a donc lieu de débouter Mme [P] de l’ensemble de ses demandes sur le fondement du manquement au devoir de vigilance de la banque.

Sur la résistance abusive de la banque

Mme [P] sollicite une indemnisation d’un montant de 15 000 euros du fait de la résistance abusive de la banque.

Au regard des développement qui précèdent, aucune résistance abusive de la part de la banque n’apparaît caractérisée, de sorte que le jugement déféré sera confirmé en ce qu’il a débouté Mme [P] de sa demande de dommages et intérêts à ce titre.

Sur les dépens et les frais irrépétibles

Aux termes de l’article 696, alinéa premier, du code de procédure civile, la partie perdante est condamnée aux dépens, à moins que le juge, par décision motivée, n’en mette la totalité ou une fraction à la charge d’une autre partie. L’appelante sera donc condamnée aux dépens.

En application de l’article 700 du code de procédure civile, le juge condamne la partie tenue aux dépens ou qui perd son procès à payer à l’autre partie la somme qu’il détermine, au titre des frais exposés et non compris dans les dépens. Sur ce fondement, Mme [P] sera condamnée à payer au Crédit Lyonnais la somme de 2 000 euros.

LA COUR, PAR CES MOTIFS,

CONFIRME le jugement du tribunal judiciaire de Créteil du 16 février 2024 ;

Y ajoutant,

DÉBOUTE Mme [F] [Y] [P] de l’ensemble de ses demandes contre la société Crédit lyonnais pour manquement à son devoir de vigilance ;

CONDAMNE Mme [F] [Y] [P] aux entiers dépens d’appel ;

CONDAMNE Mme [F] [Y] [P] à payer à la société Crédit lyonnais la somme de 2 000 euros au titre de l’article 700 du code de procédure civile ;

REJETTE toute autre demande.

* * * * *

Le greffier Le président

Décisions similaires

Citées dans les mêmes commentaires3

  • Relations du travail et protection sociale ·
  • Relations individuelles de travail ·
  • Licenciement ·
  • Sociétés ·
  • Travail ·
  • Liquidateur amiable ·
  • Mandataire ad hoc ·
  • Qualités ·
  • Cession ·
  • Accident de trajet ·
  • Salarié ·
  • Intervention volontaire
  • Droits attachés à la personne ·
  • Droit des personnes ·
  • Langue ·
  • Interprète ·
  • Aéroport ·
  • Maintien ·
  • Asile ·
  • Tribunal judiciaire ·
  • Refus ·
  • Afghanistan ·
  • Police ·
  • Prolongation
  • Véhicule ·
  • Débiteur ·
  • Remboursement ·
  • Vente ·
  • Surendettement ·
  • Adresses ·
  • Prix minimum ·
  • Capacité ·
  • Dépense ·
  • Commission

Citant les mêmes articles de loi3

  • Relations du travail et protection sociale ·
  • Négociation collective ·
  • Élus ·
  • Ordre du jour ·
  • Sociétés ·
  • Tribunal judiciaire ·
  • La réunion ·
  • Accord collectif ·
  • Trouble manifestement illicite ·
  • Périmètre ·
  • Site ·
  • Conditions de travail
  • Relations du travail et protection sociale ·
  • Relations individuelles de travail ·
  • Salariée ·
  • Employeur ·
  • Liquidateur ·
  • Grief ·
  • Client ·
  • Mandataire ·
  • Délégués du personnel ·
  • Lettre de licenciement ·
  • Gestion d'entreprise ·
  • Personnel
  • Droits attachés à la personne ·
  • Droit des personnes ·
  • Étranger ·
  • Tribunal judiciaire ·
  • Territoire français ·
  • Union européenne ·
  • Éloignement ·
  • Citoyen ·
  • Menaces ·
  • Stupéfiant ·
  • Résidence ·
  • Prison

De référence sur les mêmes thèmes3

  • Relations du travail et protection sociale ·
  • Risques professionnels ·
  • Machine ·
  • Employeur ·
  • Faute inexcusable ·
  • Victime ·
  • Tribunal judiciaire ·
  • Sécurité ·
  • Chef d'équipe ·
  • Préjudice ·
  • Rente ·
  • Travail
  • Relations du travail et protection sociale ·
  • Demande d'indemnités ou de salaires ·
  • Relations individuelles de travail ·
  • Avertissement ·
  • Licenciement ·
  • Sanction ·
  • Médecin ·
  • Travail ·
  • Faute grave ·
  • Médicaments ·
  • Employeur ·
  • Prescription ·
  • Salariée
  • Banque - effets de commerce ·
  • Droit des affaires ·
  • Virement ·
  • Compte ·
  • Prestataire ·
  • Tribunal judiciaire ·
  • Crédit aux particuliers ·
  • Crédit agricole ·
  • Bénéficiaire ·
  • Île-de-france ·
  • Titre ·
  • Monétaire et financier

Sur les mêmes thèmes3

  • Radiation ·
  • Interruption d'instance ·
  • Ordonnance ·
  • Avocat ·
  • Diligences ·
  • Copie ·
  • Partie ·
  • Mandataire judiciaire ·
  • Suppression ·
  • Justification
  • Banque - effets de commerce ·
  • Droit des affaires ·
  • Société générale ·
  • Prêt ·
  • Demande de remboursement ·
  • Banque ·
  • Revente ·
  • Tribunal judiciaire ·
  • Résidence principale ·
  • Titre ·
  • Mise en garde ·
  • Date
  • Factoring ·
  • Créance ·
  • Sociétés ·
  • Crédit ·
  • Affacturage ·
  • Ouverture ·
  • Procédure ·
  • Commerce ·
  • Jugement ·
  • Juge-commissaire

Textes cités dans la décision

  1. DSP I - Directive 2007/64/CE du 13 novembre 2007 concernant les services de paiement dans le marché intérieur
  2. Code de procédure civile
  3. Code civil
  4. Code monétaire et financier
Extraits similaires à la sélection

Aucune décision de référence ou d'espèce avec un extrait similaire.

Inscrivez-vous gratuitement pour imprimer votre décision
Cour d'appel de Paris, Pôle 5 chambre 6, 13 mai 2026, n° 24/05295
  1. Doctrine
  2. Décisions de justice
  3. 2026
  4. CA Paris, pôle 5 ch. 6, 13 mai 2026, n° 24/05295
Contactez notre service commercial au 01 84 80 33 48