Copies exécutoires REPUBLIQUE FRANCAISE

délivrées aux parties le : AU NOM DU PEUPLE FRANCAIS

COUR D’APPEL DE PARIS

Pôle 5 – Chambre 6

ARRET DU 15 AVRIL 2026

(n° , 7 pages)

Numéro d’inscription au répertoire général : N° RG 24/17073 – N° Portalis 35L7-V-B7I-CKFK3

Décision déférée à la Cour : Jugement du 03 Septembre 2024 – tribunal judiciaire de Paris 5ème chambre 1ère section – RG n° 22/11449

APPELANT

Monsieur [O] [Z]

né le [Date naissance 1] 1943 à [Localité 1]

[Adresse 1]

[Localité 2]

Représenté par M^e Ali SAIDJI, avocat au barreau de Paris, toque : J076

INTIMÉE

Société BANQUE POPULAIRE RIVES DE PARIS

[Adresse 2]

[Localité 3]

agissant poursuites et diligences de ses représentants légaux domiciliés en cette qualité audit siège

Représentée par M^e Julien MARTINET de l’EURL SWIFT LITIGATION, avocat au barreau de Paris, toque : D1329

Ayant pour avocat plaidant M^e Aurélien GAZEL de L’EURL SWIFT LITIGATION, avocat au barreau de Paris, toque : D1329

COMPOSITION DE LA COUR :

En application des dispositions des articles 805 et 907 du code de procédure civile, l’affaire a été débattue le 26 Février 2026, en audience publique, les avocats ne s’y étant pas opposés, devant Madame Laurence CHAINTRON, conseillère, chargée du rapport.

Ce magistrat a rendu compte des plaidoiries dans le délibéré de la Cour, composée de :

M. Vincent BRAUD, président de chambre

M^me Laurence CHAINTRON, conseillère

M^me Anne BAMBERGER, conseillère

Greffier, lors des débats : M^me Mélanie THOMAS

ARRET :

— contradictoire

— par mise à disposition de l’arrêt au greffe de la Cour, les parties en ayant été préalablement avisées dans les conditions prévues au deuxième alinéa de l’article 450 du code de procédure civile.

— signé par Vincent BRAUD, président de chambre et par Mélanie THOMAS, greffier, présent lors de la mise à disposition.

* * * * *

FAITS, PROCÉDURE ET PRÉTENTIONS DES PARTIES

M. [O] [Z] est titulaire d’un compte n°04126071125 dans les livres de la Banque Populaire Rives de Paris (BPRI), dont le fonctionnement à distance repose sur le dispositif « Cyberplus ».

Il expose que :

— le 6 août 2021 au matin, il a reçu un appel du numéro [XXXXXXXX01] sur son téléphone portable d’un homme se présentant comme responsable de la sécurité des comptes auprès de la BPRI, qui l’a alerté de l’existence de deux virements suspects en attente sur son compte bancaire d’un montant de 2 100 euros et de 610 euros ;

— il a confirmé à son interlocuteur qu’il s’agissait d’une fraude, lequel lui a proposé de le guider pour changer le code d’accès à Cyberplus, plate-forme en ligne permettant aux clients de la BPRI de consulter leurs comptes et de réaliser différentes opérations, afin de bloquer ces virements,

— l’interlocuteur a interrompu l’appel ;

— en milieu d’après-midi, il s’est aperçu qu’il avait reçu deux messages de sa banque l’informant qu’un virement de 12 600 euros à l’ordre de 'Luxury Jewerly’ avait été réalisé depuis son compte bancaire ;

— il s’est également aperçu en consultant Cyberplus de la réalisation de trois retraits pour un montant total de 650 euros, alors qu’il était toujours en possession de sa carte bancaire, somme qui a été restituée sur son compte par la banque dans la journée sans qu’il n’ait eu à le demander,

— en fin de journée, un employé de la banque l’a assuré au téléphone que le nécessaire allait être fait pour sécuriser son compte en neutralisant l’usage de Cyberplus.

Le 7 août 2021, M. [Z] a déposé plainte et a adressé le même jour un courrier de réclamation à sa banque qui lui a indiqué qu’il était responsable de son préjudice pour avoir communiqué son code d’accès à Cyberplus.

Le 9 septembre 2021, M. [Z] a saisi la BPRI d’une demande de remboursement de la somme de 12 600 euros. Par courrier du 30 septembre 2021, la banque a reconnu l’anormalité des délais de réponse subis par son client, mais lui a reproché une négligence grave la conduisant à refuser la prise en charge du montant de son préjudice.

Par exploit d’huissier du 22 septembre 2022, M. [Z] a assigné la BPRI en responsabilité et en indemnisation devant le tribunal judiciaire de Paris.

Par jugement contradictoire du 3 septembre 2024, le tribunal judiciaire de Paris a :

— débouté M. [O] [Z] de toutes ses demandes,

— condamné M. [O] [Z] à payer à la société Banque Populaire Rives de Paris la somme de 2 000 euros par application de l’article 700 du code de procédure civile,

— condamné M. [O] [Z] aux dépens,

— rappelé que l’exécution provisoire est de droit et dit n’y avoir lieu de l’écarter.

Par déclaration remise au greffe de la cour le 7 octobre 2024, M. [Z] a interjeté appel de cette décision à l’encontre de la Banque Populaire Rives de Paris.

Par conclusions notifiées par voie électronique le 2 janvier 2025, M. [Z] demande au visa des articles L. 133-16 et suivants du code monétaire et financier à la cour de :

— infirmer en toutes ses dispositions le jugement rendu le 3 septembre 2024 par le tribunal judiciaire de Paris,

Statuant à nouveau,

— condamner la Banque Populaire Rives de Paris à payer à M. [O] [Z] la somme de 13 250 euros,

— assortir cette condamnation en principal des intérêts au taux légal à compter du 9 septembre 2021, et à défaut à compter de l’assignation du 22 septembre 2022,

— ordonner la capitalisation des intérêts, conformément à l’article 1343-2 du code civil,

— condamner la Banque Populaire Rives de Paris en application des dispositions de l’article 700 du code de procédure civile à payer à M. [O] [Z] au titre de ses frais irrépétibles de première instance la somme de 3 000 euros,

— condamner la Banque Populaire Rives de Paris en application des dispositions de l’article 700 du code de procédure civile à payer à M. [O] [Z] au titre de ses frais irrépétibles d’appel la somme de 4 000 euros,

— la condamner aux dépens de première instance et d’appel.

Par conclusions notifiées par voie électronique le 28 mars 2025, la Banque Populaire Rives de Paris demande à la cour de :

— confirmer le jugement dont appel du 3 septembre 2024 en ce qu’il a débouté M. [O] [Z] de toutes ses demandes,

Et statuant à nouveau :

— débouter M. [O] [Z] de ses demandes et prétentions, à toutes fins qu’elles comportent,

— le condamner au paiement au profit de la Banque Populaire Rives de Paris d’une indemnité de 5 000 euros sur le fondement de l’article 700 du C.P.C. ainsi qu’aux entiers dépens.

Pour un plus ample exposé des faits, de la procédure, des moyens et des prétentions des parties, il est expressément renvoyé au jugement déféré et aux dernières conclusions écrites déposées en application de l’article 455 du code de procédure civile.

L’ordonnance de clôture a été rendue le 20 janvier 2026 et l’audience fixée au 26 février 2026.

MOTIFS

Sur la responsabilité de la banque

M. [Z] fait valoir, au visa des articles L. 133-16, L. 133-17, L. 133-18, L. 133-19 IV et L. 133-23 du code monétaire et financier, que la banque est tenue de lui rembourser les sommes perdues. Il soutient qu’en cas d’exécution d’une opération de paiement non-autorisée, le prestataire de services de paiement est tenu à remboursement, à moins que cette opération ne résulte d’une fraude ou d’une négligence grave de l’utilisateur. Lorsque l’utilisateur nie avoir autorisé une opération de paiement, il revient à son prestataire de services de paiement de démontrer qu’elle a été authentifiée, enregistrée, comptabilisée et qu’elle n’a pas été affectée par une déficience technique, la seule utilisation de l’instrument et des données personnelles ne permettant pas d’établir le caractère autorisé de l’opération. Il lui appartient également de démontrer la fraude ou la négligence qu’il reproche à son client.

S’agissant des opérations litigieuses, M. [Z] soutient, d’une part, qu’elles n’étaient pas autorisées. Il fait valoir que ses multiples tentatives de prise de contact avec sa banque afin de dénoncer la fraude dont il a été victime, dès le 6 août 2021 (jour de l’escroquerie), ainsi que son dépôt de plainte le lendemain, démontrent qu’il a exécuté avec diligence son obligation de signalement et qu’il n’a pas autorisé les paiements.

D’autre part, il soutient ne pas avoir fait preuve de négligence. Il fait valoir que celle-ci doit être considérée comme moindre, dans la mesure où il a été mis en confiance par son interlocuteur et par la crédibilité du site internet utilisé pour subtiliser ses données. De plus, l’escroc disposait de suffisamment d’informations le concernant (numéro de téléphone, nom, banque) pour se présenter comme un vrai conseiller. Il connaissait en outre le fonctionnement du dispositif Cyberplus et s’est trouvé en mesure de réaliser des retraits sans la carte bancaire de M. [Z], celle-ci se trouvant toujours en sa possession. Or, la connaissance de ces éléments ne peut être que la conséquence d’une perte de ses données par la banque, dont ses clients n’ont pourtant jamais été avertis. Il fait également valoir qu’il a fait preuve de réactivité en tentant de dénoncer les opérations le jour même et qu’il a porté plainte le lendemain.

En conséquence, il sollicite le remboursement de la somme de 13 250 euros.

La Banque Populaire Rives de Paris fait valoir, au visa des articles L. 133-4, L.133-6, L. 133-7, L. 133-16, L. 133-18, L. 133-19 du code monétaire et financier, 1937 et 1984 du code civil, qu’elle n’est pas tenue de restituer les sommes perdues à M. [Z]. Elle soutient qu’en qualité de dépositaire des fonds et de prestataire de services de paiement, la banque est tenue d’exécuter les opérations de paiement autorisées conformément aux instructions reçues, dès lors que le compte du donneur d’ordre est suffisamment provisionné. Une opération de paiement doit être considérée comme autorisée lorsque le payeur a donné son consentement à son exécution en suivant la forme convenue avec son prestataire de services de paiement. En cas d’utilisation d’un dispositif d’authentification forte, le paiement est authentifié et le caractère autorisé établi. Ces dispositions figurent aux conditions générales du service d’authentification forte Cyberplus installé sur le compte de M. [Z], dont le fonctionnement suppose le renseignement d’un identifiant et d’un mot de passe personnels. En toute hypothèse, la banque n’est tenue à aucune obligation de restitution en cas de négligence grave du titulaire du compte correspondant en présence d’un dispositif d’authentification forte, à la communication de ses données confidentielles. Tel est le sens des articles 6.1 et 6.2 des conditions générales d’utilisation de la convention de compte. En outre, la banque est tenue d’un devoir de non-immixtion, lui imposant de ne pas mener d’investigations concernant le motif ou le bénéficiaire des opérations ordonnées par son client. Elle est également tenue d’un devoir de vigilance, en vertu duquel elle doit relever les anomalies apparentes que pourraient présenter les opérations de paiement.

Elle fait valoir qu’il ressort des déclarations de M. [Z] qu’il a communiqué son identifiant et son mot de passe à un tiers par téléphone, puis les a renseignés sur un site internet reproduisant celui de la banque, dont le lien lui avait été transmis par son interlocuteur. Les paiements ont ainsi pu être ordonnés au moyen du dispositif Cyberplus, de sorte qu’il s’agit d’opérations autorisées, ne présentant pas d’anomalie. Aucune faute ne peut donc lui être reprochée du fait de leur exécution conformément à l’IBAN transmis et depuis un compte suffisamment provisionné.

D’autre part, elle soutient que la négligence dont a fait preuve M. [Z] est l’unique cause de son dommage. Elle fait valoir qu’il a reconnu avoir transmis son identifiant et son mot de passe par téléphone à un tiers, dont le numéro était différent de celui de la banque figurant sur les relevés de compte et sur le papier à en-tête. Il a ainsi manqué aux obligations lui incombant. Ce type d’escroquerie étant déjà connue, s’il avait agi avec discernement, la perte aurait pu être évitée. M. [Z] n’est donc pas fondé à en solliciter la réparation. Enfin, la somme de 650 euros correspondant aux retraits litigieux lui a déjà été remboursée, de sorte que sa perte ne s’élève plus qu’à 12 600 euros.

M. [Z] recherche la responsabilité de la banque en raison d’opérations non autorisées sur le fondement, notamment, des articles L. 133-16, L. 133-17, L. 133-19 et L. 133-23 du code monétaire et financier.

L’article L. 133-23 du code monétaire et financier dispose que :

'Lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre.

L’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière.

Le prestataire de services de paiement, y compris, le cas échéant, le prestataire de services de paiement fournissant un service d’initiation de paiement, fournit des éléments afin de prouver la fraude ou la négligence grave commise par l’utilisateur de services de paiement.'

L’article L. 133-24 de ce code prévoit que :

'L’utilisateur de services de paiement signale, sans tarder, à son prestataire de services de paiement une opération de paiement non autorisée ou mal exécutée et au plus tard dans les treize mois suivant la date de débit sous peine de forclusion à moins que le prestataire de services de paiement ne lui ait pas fourni ou n’ait pas mis à sa disposition les informations relatives à cette opération de paiement conformément au chapitre IV du titre 1er du livre III.'.

En l’espèce, si la société Banque Populaire Rives de Paris soutient que les opérations litigieuses ont été effectuées via son service sécurisé de banque à distance, il n’en ressort pas pour autant que l’utilisation de l’instrument de paiement telle qu’enregistrée par elle suffise à prouver que les opérations ont été autorisées, encore moins qu’elles résultent d’une négligence grave de M. [Z].

Le contenu de la plainte déposée le 7 août 2021 pour escroquerie entre les mains de la gendarmerie départementale de [Localité 4] dans laquelle il indique avoir été victime d’un escroc qui s’est présenté comme un faux conseiller bancaire et avec lequel il a effectué des démarches de changement d’identifiant et du mot de passe démontre l’existence d’une escroquerie dont M. [Z] a été victime.

La société Banque Populaire Rives de Paris ne conteste pas vraiment que M. [Z] n’a pas donné son consentement aux opérations litigieuses puisqu’elle a indiqué dans son courrier du 30 septembre 2021 'ce qui a permis de légitimer la fraude…'.

Il s’en induit que l’opération de virement effectuée par M. [Z] le 6 août 2021 n’était pas autorisée au sens des dispositions légales précitées.

L’article L. 133-18, alinéa 1, du code monétaire et financier pose le principe du remboursement par la banque des opérations non autorisées dans les termes suivants :

'En cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L. 133-24, le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement et s’il communique ces raisons par écrit à la Banque de France. Le cas échéant, le prestataire de services de paiement du payeur rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu.'

Par dérogation, l’article L. 133-19 de ce code, paragraphe IV, dispose, dans le cas particulier des instruments de paiement dotés de données de sécurité personnalisées que :

'Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17', lesquels lui font obligation de préserver la sécurité de ses données.

En l’espèce, comme l’a relevé à juste titre le tribunal, il ressort des conditions générales du compte de M. [O] [Z] et des conditions générales du service Cyberplus qui y sont intégrées et que ce dernier a donc acceptées, qu’un virement au débit de son compte implique l’usage d’un dispositif d’authentification comportant un identifiant et un mot de passe connu du seul client, outre des dispositifs d’authentification supplémentaires.

Ces conditions générales stipulent plus précisément que :

— à l’article 4.3 'Principes de sécurité’ que 'le mot de passe et le Code d’authentification sont personnels et confidentiels et l’Abonné est responsable de leur usage et de leur conservation. En conséquence, la Banque ne peut être tenue pour responsable des dommages résultant d’un usage frauduleux ou abusif des dispositifs d’authentification.

L’Abonné prend toute mesure raisonnable pour préserver la sécurité de son identifiant, de son mot de passe, du Code et de tout élément d’authentification appartenant aux trois catégories ci-dessus. Il s’oblige à les tenir secret et à ne les communiquer ou les remettre à quiconque.'

— à l’article 6 'Responsabilités’ que 'la Banque ne saurait être tenue pour responsable :

— en cas de non-respect des procédures d’utilisation des services de Cyberplus ;

— en cas de divulgation d’un dispositif d’authentification à une tierce personne (…)

(…)

L’Abonné s’engage, notamment, au respect des conditions d’utilisation de Cyberplus et particulièrement liées à la sécurité du service (…)

(…)

En particulier, la responsabilité de l’Abonné est engagée en cas de manquement à ses obligations de :

— prendre toute mesure pour conserver ses dispositifs d’authentification, préserver leur sécurité et leur confidentialité (…)

De convention expresse, toutes les connexions et opérations effectuées au moyen de l’Identifiant et du dispositif d’authentification de l’Abonné sont réputées avoir été effectuées par l’Abonné et équivalent à sa signature.'

M. [Z] ne conteste pas bénéficier du système d’authentification forte mis en place par la banque.

Il résulte du relevé de connexion de M. [Z] que le virement litigieux a été ordonné via le dispositif Cyberplus.

La banque justifie par conséquent que ce virement a été dûment enregistré et comptabilisé et qu’il n’a pas été affecté par une déficience technique ou autre.

La société Banque Populaire Rives de Paris fournit des éléments afin de prouver la négligence grave commise par l’utilisateur de services de paiement, notamment au regard de l’article L. 133-16 du code monétaire et financier qui impose à ce dernier de prendre toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées et d’utiliser l’instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation.

La négligence grave du payeur est exclusive de toute appréciation de sa bonne foi (Com., 1er juillet 2020, n° 18-21.487).

Il ressort en effet de la plainte déposée par M. [Z] le 7 août 2021 que :

— dans la matinée du 6 août 2021, il a été contacté par un individu qui l’a appelé d’un numéro de téléphone portable inconnu de lui et qui s’est présenté comme étant un opérateur spécialisé dans la fraude bancaire pour le compte de son agence bancaire (Banque Populaire Rives de Paris),

— cet interlocuteur lui a confirmé qu’il avait deux prélèvements suspects en attente, l’un de 2 700 euros et le second de 610 euros et lui a proposé de faire les démarches en ligne afin de sécuriser au plus vite son compte bancaire et ses actifs,

— pour cela, il lui a dit qu’on allait devoir changer son identifiant ainsi que son mot de passe,

— M. [Z] a accepté de faire les démarches à distance accompagné par ce soi-disant opérateur,

— à l’issue de ces démarches à distance, la relation téléphonique a pris fin.

Il en résulte que M. [Z] a fait preuve d’une particulière négligence en effectuant des démarches en ligne avec un inconnu qui l’avait appelé d’un téléphone portable et en changeant avec lui son identifiant et son mot de passe.

Ces éléments permettent également de retenir que M. [Z] a manqué à son obligation de préserver la sécurité de ses données de sécurité personnalisées, comprenant nécessairement celle de préserver la confidentialité des codes d’activation ou de validation qui lui sont adressés. Ce manquement caractérise une négligence grave en ce qu’il a permis la réalisation de l’opération litigieuse et a par là-même contribué au contournement du système de sécurisation du service de paiement.

Il y a donc lieu de confirmer le jugement déféré en ce qu’il a débouté M. [Z] de l’ensemble de ses demandes.

Sur les dépens et les frais irrépétibles

Aux termes de l’article 696, alinéa premier, du code de procédure civile, la partie perdante est condamnée aux dépens, à moins que le juge, par décision motivée, n’en mette la totalité ou une fraction à la charge d’une autre partie. L’appelant sera donc condamné aux dépens.

En application de l’article 700 du code de procédure civile, le juge condamne la partie tenue aux dépens ou qui perd son procès à payer à l’autre partie la somme qu’il détermine, au titre des frais exposés et non compris dans les dépens. En l’espèce, il n’apparaît pas inéquitable de laisser à la charge de la banque les frais irrépétibles qu’elle a été contrainte d’engager dans la présente instance pour assurer la défense de ses intérêts. Elle sera par conséquent déboutée de sa demande au titre de l’article 700 du code de procédure civile.

LA COUR, PAR CES MOTIFS,

CONFIRME le jugement du tribunal judiciaire de Paris du 3 septembre 2024 ;

Y ajoutant,

DIT n’y avoir lieu à application de l’article 700 du code de procédure civile ;

CONDAMNE M. [O] [Z] aux entiers dépens d’appel ;

REJETTE toute autre demande.

* * * * *

Le greffier Le président