Copies exécutoires REPUBLIQUE FRANCAISE

délivrées aux parties le : AU NOM DU PEUPLE FRANCAIS

COUR D’APPEL DE PARIS

Pôle 5 – Chambre 6

ARRET DU 04 FEVRIER 2026

(n° , 8 pages)

Numéro d’inscription au répertoire général : N° RG 24/10298 – N° Portalis 35L7-V-B7I-CJRRG

Décision déférée à la Cour : Jugement du 07 Mars 2024 – tribunal judiciaire de Paris 9ème chambre 3ème section – RG n° 22/05922

APPELANT

Monsieur [R] [Y]

né le [Date naissance 2] 1973 à [Localité 6] (Maroc)

[Adresse 1]

[Localité 4]

Représenté par M^e William HABA, avocat au barreau de Paris, toque : C0220, avocat plaidant

INTIMÉE

Société CAISSE D’EPARGNE ET DE PREVOYANCE DU LANGUEDOC ROUSSILLON

[Adresse 3]

[Localité 5]

N°SIREN : 383 451 267

agissant poursuites et diligences de ses représentants légaux domiciliés en cette qualité audit siège

Représentée par M^e Julien MARTINET du cabinet SWIFT LITIGATION, avocat au barreau de Paris, toque : D1329, substitué à l’audience par M^e Marius CHAPON du cabinet SWIFT LITIGATION, avocat au barreau de Paris, toque : D1329

COMPOSITION DE LA COUR :

En application des dispositions des articles 805 et 907 du code de procédure civile, l’affaire a été débattue le 11 Décembre 2025, en audience publique, les avocats ne s’y étant pas opposés, devant Madame Laurence CHAINTRON, conseillère, entendue en son rapport.

Ce magistrat a rendu compte des plaidoiries dans le délibéré de la Cour, composée de :

M. Vincent BRAUD, président de chambre

M^me Laurence CHAINTRON, conseillère

M^me Anne BAMBERGER, conseillère

Greffier, lors des débats : M^me Mélanie THOMAS

ARRET :

— contradictoire

— par mise à disposition de l’arrêt au greffe de la Cour, les parties en ayant été préalablement avisées dans les conditions prévues au deuxième alinéa de l’article 450 du code de procédure civile.

— signé par Vincent BRAUD, président de chambre et par Mélanie THOMAS, greffier, présent lors de la mise à disposition.

* * * * *

FAITS, PROCÉDURE ET PRÉTENTIONS DES PARTIES

M. [R] [Y] est titulaire d’un compte bancaire ouvert dans les livres de la Caisse d’Épargne et de Prévoyance du Languedoc Roussillon (la Caisse d’Épargne).

Le 9 septembre 2021 à 16h47, M. [R] [Y] a reçu un appel téléphonique d’un homme se présentant comme un conseiller bancaire de la Caisse d’Épargne qui lui a indiqué qu’un individu tentait d’accéder à son compte bancaire. Pour rassurer M. [Y], cet individu lui a précisé qu’il « appelait de la part du conseiller bancaire habituel, M. [U] ». Il a alors demandé à M. [Y] de se connecter sur son téléphone, puis lui a indiqué qu’il allait « vérifier avec lui les dernières opérations afin de s’assurer qu’il n’y avait pas de problème avec son compte ».

Deux virements ont été émis à cette date au débit de son compte, pour des montants de 10 000 euros et 5 000 euros, au profit d’un compte ouvert dans les livres de la Société Générale.

Le 10 septembre 2021, M. [Y] a renseigné deux bordereaux d’opération de recall et a déposé plainte auprès de la gendarmerie nationale d'[Localité 7].

Le 16 septembre 2021, la banque a indiqué à M. [Y] que ses demandes de recall avaient été infructueuses faute de provision sur le compte bénéficiaire des paiements.

Par courrier du 17 septembre 2021, M. [Y] a réclamé à la banque le remboursement de la somme de 15 000 euros.

Par courrier du 27 septembre 2021, la Caisse d’Épargne a estimé qu’elle ne pouvait donner une suite favorable à cette demande, les opérations litigieuses ayant été validées au moyen du nouveau dispositif d’authentification forte (Secur’Pass).

Le 24 novembre 2021, par l’intermédiaire de son conseil, M. [Y] a mis en demeure la banque de lui rembourser la somme de 15 000 euros, laquelle lui a confirmé le 9 décembre 2021 son refus de remboursement.

Par actes d’huissier des 1er avril et 11 mai 2022, M. [Y] a fait assigner en responsabilité et en indemnisation la Caisse d’Épargne et de Prévoyance devant le tribunal judiciaire de Paris.

Par jugement contradictoire rendu le 7 mars 2024, le tribunal judiciaire de Paris a :

— débouté M. [Y] de l’ensemble de ses demandes ;

— rejeté les demandes au titre de l’article 700 du code de procédure civile ;

— condamné M. [Y] aux dépens.

Par déclaration du 4 juin 2024, M. [Y] a relevé appel de ce jugement.

Par conclusions notifiées par voie électronique le 24 octobre 2025, M. [Y] demande, au visa des articles L. 133-18, L. 133-19, L. 133-23 et L. 133-24 du code monétaire et financier, à la cour de :

— déclarer M. [Y] recevable et bien fondé en son appel ;

En conséquence,

— infirmer le jugement rendu le 7 mars 2024 par le tribunal judiciaire de Paris en toutes ses dispositions ;

Statuer à nouveau de la manière suivante :

— juger que la Caisse d’Épargne et de Prévoyance du Languedoc Roussillon a manqué à ses obligations de dépositaire de fonds en autorisant les virements frauduleux d’un montant de 15 000 euros au préjudice de M. [Y] ;

— juger que M. [Y] n’a commis aucune négligence de nature à exonérer la Caisse d’Épargne et de Prévoyance du Languedoc Roussillon de sa responsabilité au titre des virements frauduleux ;

Par conséquent,

— condamner la Caisse d’Épargne et de Prévoyance du Languedoc Roussillon à rembourser à M. [Y] la somme de 15 000 euros correspondant au montant des virements frauduleux, outre le paiement des intérêts au taux légal à compter du 17 septembre 2021 et ce sous astreinte de 50 euros par jour de retard à l’expiration d’un délai de 7 jours suivant la signification de la décision à intervenir jusqu’au complet paiement de la créance ;

— ordonner la capitalisation des intérêts échus pour l’ensemble des sommes dues en application de l’article 1343-2 du code civil ;

— débouter la Caisse d’Épargne et de Prévoyance du Languedoc Roussillon de l’ensemble de ses demandes, fins et conclusions à son encontre ;

— condamner la Caisse d’Épargne et de Prévoyance du Languedoc Roussillon à lui verser la somme de 5 000 euros au titre de l’article 700 du code de procédure civile ;

— condamner la Caisse d’Épargne et de Prévoyance du Languedoc Roussillon aux dépens.

Par conclusions notifiées par voie électronique le 4 novembre 2025, la Caisse d’Épargne et de Prévoyance du Languedoc Roussillon demande à la cour de :

— confirmer le jugement dont appel en ce qu’il a débouté M. [Y] de l’ensemble de ses demandes et l’a condamné aux entiers dépens ;

— juger que la responsabilité de la Caisse d’Épargne et de Prévoyance du Languedoc Roussillon n’est pas engagée ;

— débouter M. [Y] de ses demandes, appel et prétentions, à toutes fins qu’elles comportent ;

En tout état de cause :

— le condamner au paiement au profit de la Caisse d’Épargne et de Prévoyance du Languedoc Roussillon d’une indemnité de 5 000 euros sur le fondement de l’article 700 du code de procédure civile ainsi qu’aux entiers dépens.

Pour un plus ample exposé des faits, de la procédure, des moyens et des prétentions des parties, il est expressément renvoyé au jugement déféré et aux dernières conclusions écrites déposées en application de l’article 455 du code de procédure civile.

L’ordonnance de clôture a été rendue le 4 novembre 2025 et l’audience fixée au 11 décembre 2025.

MOTIFS

Sur la responsabilité de la banque

M. [Y] soutient, au visa des articles L. 133-18, L. 133-19, L. 133-23 et L. 133-24 du code monétaire et financier que les opérations de paiement étaient non autorisées et que la banque doit lui rembourser le montant des opérations frauduleuses.

Il prétend en premier lieu, s’agissant de l’ajout de bénéficiaire, que les individus ayant procédé aux virements frauduleux avaient préalablement eu des informations confidentielles sur son compte, une opération entre ses comptes d’un montant de 7 000 euros avait déjà été effectuée par leurs soins, les individus lui ont listé les opérations réalisées sur son compte et ils connaissaient le nom de son conseiller bancaire. Il affirme que l’escroc lui a demandé de confirmer son identifiant Caisse d’Épargne, mais qu’il n’a jamais donné le code secret à 8 chiffres qui permet d’accéder à ses comptes et qu’il n’a jamais reçu de notification de l’ajout du bénéficiaire « [O] », ni sur son téléphone, ni par mail. Il prétend que seule une défaillance du système de banque en ligne de la société Caisse d’Épargne et de Prévoyance du Languedoc Roussillon peut expliquer l’ajout du bénéficiaire. Il ajoute que pour des raisons de sécurité, l’ajout d’un bénéficiaire, même dans l’hypothèse d’un système de sécurité renforcée, n’intervient qu’au bout de 48 heures ouvrées. Or, en l’espèce l’ajout du bénéficiaire est intervenu selon la banque à 16h 57min36s, le virement interne a été effectué par le fraudeur à 16h53min32s et les virements frauduleux à 16h59min57s pour le premier d’un montant de 10 000 euros et à 17h02mn55s pour le second d’un montant de 5 000 euros, soit moins de 5 minutes après l’ajout du bénéficiaire.

En second lieu, il allègue que « le nouveau dispositif d’Authentification Forte proposé » n’a été mis en place qu’après les opérations frauduleuses du 9 septembre 2021, de sorte que ce système était inexistant au moment de la fraude. Il affirme que, contrairement à ce que soutient la Caisse d’Épargne, si les différentes opérations ont été validées « avec AUTHENTIFICATION SMS », elles n’ont pas pu dans le même temps être validées par une authentification forte Sécur’Pass qui exclut l’envoi du code de validation par SMS. Il en déduit que les opérations contestées n’ont pas été autorisées, dès lors qu’il n’a pas consenti aux montants des trois opérations de virements frauduleux, un virement interne et deux virements externes.

Enfin, M. [Y] soutient qu’il n’a commis aucune négligence grave. Il allègue que la banque ne l’a pas alerté contre le spoofing avant les opérations litigieuses. Il soutient qu’il n’a jamais donné son identifiant, ni validé les virements litigieux par ses code et mot de passe personnels.

Il relève que dès le lendemain de la fraude, il a procédé auprès de sa banque à deux demandes de recall et a déposé une plainte auprès de la gendarmerie nationale d'[Localité 7].

La Caisse d’Épargne rappelle que lorsqu’un client a donné son consentement à une opération de paiement sous la forme convenue avec sa banque, ce qui est le cas lorsque l’ordre est passé via un système informatique sécurisé, l’ordre de paiement est réputé « autorisé » au sens des articles L. 133-6 et L. 133-7 du code monétaire et financier, indépendamment des vices sous-jacents pouvant affecter l’opération. Elle ajoute qu’il est constant que lorsque la banque reçoit un ordre qui n’est pas faux ou formellement irrégulier, elle doit exécuter l’opération sous peine d’engager sa responsabilité et qu’elle n’a pas non plus à s’interroger sur l’identité des bénéficiaires.

Elle expose qu’en l’espèce, elle était tenue d’exécuter les ordres litigieux puisqu’ils étaient autorisés. Le 9 septembre 2021 à 16h57, M. [Y] a d’abord validé par authentification forte Secur’Pass l’ajout d’un nouveau bénéficiaire dont le compte était ouvert auprès de la Société Générale, puis les deux opérations litigieuses de 10 000 euros et 5 000 euros opérées le 9 septembre 2021 ont été dûment authentifiées, enregistrées et comptabilisées. Elle relève que M. [Y] a reconnu dans sa plainte avoir validé le virement sur son téléphone, de sorte qu’il est intervenu dans le processus de paiement via le dispositif d’authentification forte. Elle estime que sa responsabilité ne peut être engagée en présence d’ordres autorisés. En réponse aux arguments de M. [Y], elle expose que les deux systèmes utilisés (validation par SMS et authentification Secur’Pass) sont des systèmes d’authentification forte au sens de la DSP 2, de sorte qu’il importe peu que l’un ou l’autre ait été utilisé dès lors que l’ensemble des opérations litigieuses ont bien été validées par un système d’authentification forte (Secur’Pass pour l’ajout du bénéficiaire, validation SMS pour les virements). Elle ajoute que M. [Y] se contente d’invoquer une défaillance technique sans verser aucun élément concret en ce sens et sans apporter aucune explication sur la manière dont les opérations auraient pu être validées et authentifiées sans qu’il ne donne jamais son identifiant ou ses codes confidentiels.

Subsidiairement, elle allègue que M. [Y] a commis des négligences graves au sens de l’article L. 133-19 du code monétaire et financier ainsi qu’il résulte de sa plainte déposée le 10 septembre 2021 dans laquelle il reconnaît avoir reçu le 7 septembre 2021 un SMS avec un lien, puis le 9 septembre 2021 un appel téléphonique d’un numéro de téléphone portable et non d’un numéro fixe comme le font systématiquement les conseillers bancaires et qu’il lui a été demandé de se connecter sur son application mobile et de valider le virement sur son téléphone. Elle en déduit que M. [Y] n’a pas pris toutes les mesures raisonnables permettant de préserver la sécurité de ses dispositifs de sécurité personnalisés, ni utilisé l’instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation.

Elle ajoute qu’antérieurement aux virements litigieux et depuis le mois de mai 2021, elle a informé ses clients du risque de fraude en ligne.

M. [Y] recherche la responsabilité de la banque en raison d’opérations non autorisées sur le fondement des articles L. 133-18, L. 133-19, L. 133-23 et L. 133-24 du code monétaire et financier.

L’article L. 133-23 du code monétaire et financier dispose que :

'Lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre.

L’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière.

Le prestataire de services de paiement, y compris, le cas échéant, le prestataire de services de paiement fournissant un service d’initiation de paiement, fournit des éléments afin de prouver la fraude ou la négligence grave commise par l’utilisateur de services de paiement.'

L’article L. 133-24 de ce code prévoit que :

'L’utilisateur de services de paiement signale, sans tarder, à son prestataire de services de paiement une opération de paiement non autorisée ou mal exécutée et au plus tard dans les treize mois suivant la date de débit sous peine de forclusion à moins que le prestataire de services de paiement ne lui ait pas fourni ou n’ait pas mis à sa disposition les informations relatives à cette opération de paiement conformément au chapitre IV du titre 1er du livre III.'.

En l’espèce, si la Caisse d’Épargne soutient que les opérations litigieuses ont été effectuées via son service sécurisé de banque à distance, il n’en ressort pas pour autant que l’utilisation de l’instrument de paiement telle qu’enregistrée par elle suffit à prouver que les opérations ont été autorisées, encore moins qu’elles résultent d’une négligence grave de M. [Y].

Au contraire, il est constant que M. [Y] a dès le lendemain des virements litigieux contacté sa banque pour lui demander de mettre en place une procédure de recall.

Le contenu de la plainte déposée le 10 septembre 2021 entre les mains de la gendarmerie nationale d'[Localité 7] dans laquelle il indique avoir été victime d’un piratage et les échanges de courriers entre les parties démontrent l’existence d’une escroquerie dont M. [Y] a été victime.

La Caisse d’Épargne ne conteste pas vraiment que M. [Y] n’a pas donné son consentement aux opérations litigieuses puisqu’elle a indiqué dans son courrier du 27 septembre 2021 que son client semblait avoir été victime d’une escroquerie.

Il s’en induit que les deux opérations de virements effectuées par M. [Y] le 9 septembre 2021 n’étaient pas autorisées au sens des dispositions légales précitées.

L’article L. 133-18, alinéa 1, du code monétaire et financier pose le principe du remboursement par la banque des opérations non autorisées dans les termes suivants :

'En cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L. 133-24, le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement et s’il communique ces raisons par écrit à la Banque de France. Le cas échéant, le prestataire de services de paiement du payeur rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu.'

Par dérogation, l’article L. 133-19 de ce code, paragraphe IV, dispose, dans le cas particulier des instruments de paiement dotés de données de sécurité personnalisées que :

'Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17', lesquels lui font obligation de préserver la sécurité de ses données.

En l’espèce, il ressort du listing informatique communiqué par la banque que l’ajout d’un nouveau bénéficiaire a été effectué par M. [Y] le 9 septembre 2021 à 16h57mn36s via le système d’authentification forte Secur’Pass de la Caisse d’Épargne permettant la réalisation d’opérations via un espace personnel sécurisé au moyen d’un code personnel à 4 chiffres réutilisable saisi sur le téléphone mobile lors de chaque opération à distance ou d’un dispositif de reconnaissance biométrique des empreintes digitales ou du visage.

Elle justifie également par la production de deux autres listings informatiques que les deux virements litigieux d’un montant de 10 000 euros et 5 000 euros ont été respectivement effectués le 9 septembre 2021 à16h59mn57s et 17h02mn55s, soit après l’ajout du bénéficiaire, par internet et SMS, c’est à dire par l’utilisation de deux éléments constituant également une authentification forte au sens des dispositions de l’article L. 133-4 f) du code monétaire et financier.

La banque justifie par conséquent que, tant l’ajout d’un nouveau bénéficiaire, que les ordres de virement qui ont suivi, ont été dûment enregistrés et comptabilisés et qu’ils n’ont pas été affectés par une déficience technique ou autre.

La Caisse d’Épargne fournit des éléments afin de prouver la négligence grave commise par l’utilisateur de services de paiement, notamment au regard de l’article L. 133-16 du code monétaire et financier qui impose à ce dernier de prendre toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées et d’utiliser l’instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation.

La négligence grave du payeur est exclusive de toute appréciation de sa bonne foi (Com., 1er juillet 2020, n° 18-21.487).

Il ressort de la plainte déposée par M. [Y] le 10 septembre 2021 que celui-ci a déclaré devant les services de gendarmerie :

'mardi 7 septembre, j’ai reçu un SMS m’indiquant qu’un téléphone Huawey se connectait sur mon espace personnel avec un lien.

Cela me demandait si c’était bien moi qui cherchais à me connecter, j’ai répondu que non.

Hier, j’ai reçu un appel téléphonique d’un homme se présentant comme un conseiller bancaire de ma banque Caisse d’Epargne. Il a dit qu’il téléphonait de la part de mon conseiller de l’agence d'[Localité 7], suite au fait que j’avais répondu qu’il ne s’agissait pas de moi qui cherchait à accéder à mon espace personnel.

Il m’a demandé de me connecter à mon espace personnel sur mon téléphone et qu’il allait vérifier avec moi les dernières opérations afin de vérifier qu’il n’y ait pas de problème.

Il m’a cité les opérations de mon compte que j’ai reconnues comme les miennes, puis arrivé à un moment, il m’a dit qu’il y a un virement de 7 000 €. J’ai dit que ce n’était pas moi.

Il m’a indiqué qu’il allait remettre l’argent sur le compte sur lequel il avait été pris.

Il m’a demandé de valider le virement sur mon téléphone. Je n’ai pas compris pourquoi c’était 10 000 € au lieu de 7 000 €.

Il m’a dit que parmi la liste des bénéficiaires, il y avait un dénommé [O], je ne le connais pas. Il m’a fourni un nouveau code à utiliser après avoir supprimé l’application. Il m’a dit ensuite de supprimer l’application de mon téléphone et que je prenne rendez-vous avec mon conseiller bancaire…'

Il en résulte que M. [Y] a tout d’abord reçu le 7 septembre 2021 un SMS auquel il a répondu et qu’il a cliqué sur un lien, avant de recevoir le 9 septembre 2021, à la suite du fait qu’il avait répondu au SMS, un appel téléphonique d’un interlocuteur inconnu se présentant comme un conseiller bancaire, dont il n’a pas pris le soin de vérifier l’identité et dont il a suivi les instructions. M. [Y] reconnaît également dans sa plainte qu’il s’est connecté sur son espace personnel à la demande de ce prétendu conseiller et qu’il a validé sur son téléphone le virement de 10 000 euros.

Les faits et les circonstances relatés par M. [Y], à savoir la réalisation d’un virement interne par un inconnu, suivi d’un virement externe sont extrêmement suspects et auraient dû conduire M. [Y] à cesser immédiatement tout contact avec son interlocuteur, et ce d’autant, que la banque indique qu’antérieurement aux virements litigieux et depuis le mois de mai 2021, un message de prévention s’affichait sur l’application mobile de ses clients afin de les mettre en garde contre les fraudeurs et qu’un mail type de prévention relatif aux fraudes en ligne versé aux débats avait également été adressé à tous ses clients le 5 août 2021, soit avant les virements litigieux.

Il se déduit de la chronologie des faits et des circonstances de l’espèce que M. [Y] a commis une négligence grave qui a permis à l’auteur de l’escroquerie d’avoir accès à ses données de sécurité personnalisées sans lesquelles aucune fraude n’aurait été possible, et n’a pas utilisé l’instrument de paiement mis à sa disposition conformément aux conditions régissant sa délivrance et son utilisation.

M. [Y] doit donc supporter toutes les pertes occasionnées par les opérations de paiement non autorisées.

En conséquence de ce qui précède, il y a lieu de confirmer le jugement entrepris en ce qu’il a débouté M. [Y] de toutes ses demandes.

Sur les dépens et les frais irrépétibles

Aux termes de l’article 696, alinéa premier, du code de procédure civile, la partie perdante est condamnée aux dépens, à moins que le juge, par décision motivée, n’en mette la totalité ou une fraction à la charge d’une autre partie. L’appelant sera donc condamné aux dépens.

En application de l’article 700 du code de procédure civile, le juge condamne la partie tenue aux dépens ou qui perd son procès à payer à l’autre partie la somme qu’il détermine, au titre des frais exposés et non compris dans les dépens. En l’espèce, il n’apparaît pas inéquitable de laisser à la charge de la banque les frais irrépétibles qu’elle a été contrainte d’engager dans la présente instance pour assurer la défense de ses intérêts. Elle sera par conséquent déboutée de sa demande au titre de l’article 700 du code de procédure civile.

LA COUR, PAR CES MOTIFS,

CONFIRME le jugement du tribunal judiciaire de Paris du 7 mars 2024 ;

Y ajoutant,

DIT n’y avoir lieu à application de l’article 700 du code de procédure civile ;

CONDAMNE M. [R] [Y] aux entiers dépens d’appel ;

REJETTE toute autre demande.

* * * * *

Le greffier Le président