Inscription
7 jours d’essai gratuit.
Inscription en moins d’une minute. Pas de carte de crédit requise.
Cour d'appel de Paris, Pôle 4 chambre 9 a, 4 juin 2026, n° 25/08994
TI Paris 25 avril 2025
>
CA Paris
Infirmation partielle 4 juin 2026

Résumé par Doctrine IA

La Cour d'appel de Paris était saisie d'un litige concernant des opérations frauduleuses sur un compte bancaire. Les clients, M. et Mme [G], réclamaient le remboursement de 6 600 euros débités de leur compte, arguant avoir été victimes d'une escroquerie téléphonique. La banque, la Société Générale, contestait sa responsabilité, affirmant que les opérations avaient été validées par les clients via un système d'authentification forte.

La juridiction de première instance avait condamné la Société Générale à rembourser la somme de 6 600 euros, estimant que la banque n'avait pas suffisamment prouvé l'authentification forte des opérations ni la négligence grave des clients. La banque avait fait appel de cette décision, demandant l'infirmation du jugement.

La cour d'appel a confirmé le jugement de première instance concernant le remboursement des 6 600 euros, considérant que la banque n'avait pas apporté la preuve de l'authentification des opérations par les clients. Elle a également accordé 1 000 euros de dommages et intérêts pour préjudice moral, estimant que la banque avait abusivement refusé le remboursement et procédé à la clôture du compte.

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Commentaire0

Augmentez la visibilité de votre blog juridique : vos commentaires d’arrêts peuvent très simplement apparaitre sur toutes les décisions concernées. 

Sur la décision

Référence :
CA Paris, pôle 4 ch. 9 a, 4 juin 2026, n° 25/08994
Juridiction : Cour d'appel de Paris
Numéro(s) : 25/08994
Importance : Inédit
Décision précédente : Tribunal d'instance de Paris, 25 avril 2025, N° 25/08994;24/01912
Dispositif : Autre
Date de dernière mise à jour : 14 juin 2026
Lire la décision sur le site de la juridiction

Sur les parties

Texte intégral

Copies exécutoires RÉPUBLIQUE FRANÇAISE

délivrées aux parties le : AU NOM DU PEUPLE FRANÇAIS

COUR D’APPEL DE PARIS

Pôle 4 – Chambre 9 – A

ARRÊT DU 04 JUIN 2026

(n° , 11 pages)

Numéro d’inscription au répertoire général : N° RG 25/08994 – N° Portalis 35L7-V-B7J-CLMLJ

Décision déférée à la Cour : Jugement du 25 avril 2025 – Tribunal de proximité de PARIS – RG n° 24/01912

APPELANTE

La SOCIETE GENERALE, société anonyme prise en la personne de ses représentants légaux domiciliés en cette qualité audit siège

[Adresse 1]

[Localité 1]

représentée par Me Marie-Christine FOURNIER GILLE du PARTNERSHIPS MORGAN LEWIS & BOCKIUS UK LLP, avocat au barreau de PARIS, toque : J008

INTIMÉS

Madame [N] [M] épouse [G]

née le [Date naissance 1] 1961 à [Localité 2]

[Adresse 2]

[Localité 3]

représentée par Me Frédéric INGOLD de la SELARL INGOLD & THOMAS – AVOCATS, avocat au barreau de PARIS, toque : B1055

Monsieur [L] [G]

né le [Date naissance 2] 1960 à [Localité 2]

[Adresse 2]

[Localité 3]

représenté par Me Frédéric INGOLD de la SELARL INGOLD & THOMAS – AVOCATS, avocat au barreau de PARIS, toque : B1055

COMPOSITION DE LA COUR :

En application des dispositions des articles 805 et 907 du code de procédure civile, l’affaire a été débattue le 24 mars 2026, en audience publique, les avocats ne s’y étant pas opposés, devant Mme Muriel DURAND, Présidente de chambre, chargée du rapport.

Ce magistrat a rendu compte des plaidoiries dans le délibéré de la Cour, composée de :

Mme Muriel DURAND, Présidente de chambre

Mme Laurence ARBELLOT, Conseillère

Mme Sophie COULIBEUF, Conseillère

Greffière, lors des débats : Mme Marylène BOGAERS

ARRÊT :

— CONTRADICTOIRE

— par mise à disposition de l’arrêt au greffe de la Cour, les parties en ayant été préalablement avisées dans les conditions prévues au deuxième alinéa de l’article 450 du code de procédure civile.

— signé par Mme Muriel DURAND, Présidente et par Mme Camille LEPAGE, Greffière à laquelle la minute de la décision a été remise par le magistrat signataire.

FAITS, PROCÉDURE ET PRÉTENTIONS DES PARTIES

Par acte sous seing privé en date du 21 juin 1994, M. [L] [G] et Mme [N] [M] épouse [G] ont ouvert un compte bancaire commun n° [XXXXXXXXXX01] auprès de la Société Générale.

Le 16 février 2023 ont été débitées de leur compte neuf opérations sous plusieurs références « Revolut 1766, Revolut 4640, Revolut 9654, Revolut 7465 » de 500, 500, 300, 800, 500, 700, 1300, 1300 et 700 euros totalisant 6 600 euros.

Le 21 février 2023, Mme [G] a déposé plainte en ces termes :

« Le 16/02/2023 vers 17h00, j’ai reçu un appel du soi-disant service des fraudes de ma banque qui est la Société Générale. Au bout du fil se trouvait un homme, il m’informe alors que je suis en train de me faire pirater mon compte bancaire avec des débits sur [Localité 4]. Il me demande alors si je suis à l 'origine de ses débits. Je lui réponds que non et il me dit alors qu’il faut arrêter tout ça au plus vite.

Etant en train de rouler sur l’autoroute, je lui dis que je ne''' le ferais plus fard. Il me dit alors «non non faut le faire tout de suite'». Je m’arrête alors sur la bande arrêt d’urgence, j’ouvre mon application et au bout de trois minutes il m’informe que c’est bon qu’il a la main et qu’il me rappellera plus tard. Pendant cette conversation j’ai reçu plusieurs messages «SG service anti-fraude'» réalisés avec différents montants. En arrivant chez ma mère, j’ai téléphoné à ma banque et ces derniers m’ont avertie qu’ils n’étaient pas à l’origine de cet appel.

Le 18/02/2023, mon mari s’est aperçu qu’il y avait eu des prélèvements sur le compte commun pour un montant total de 6 600 € ».

Le 22 février 2023, Mme [G] a rempli le formulaire de réclamation de la banque. Celle-ci a finalement refusé le remboursement.

Par acte de commissaire de justice en date du 6 mars 2024, M. et Mme [G] ont fait assigner la Société Générale devant le pôle de proximité du tribunal judiciaire de Paris afin d’obtenir à titre principal sa condamnation à leur rembourser la somme de 6 600 euros débitée sur leur compte joint, outre les intérêts au taux légal majoré de 15 points, des dommages et intérêts en réparation de leur préjudice moral et une indemnité sur le fondement de l’article 700 du code de procédure civile.

Par jugement contradictoire du 25 avril 2025, le tribunal judiciaire de Paris a condamné la Société Générale à payer à M. et Mme [G] la somme de 6 600 euros avec intérêts au taux légal majoré de 15 points à compter du 17 mars 2023 outre une somme de 500 euros sur le fondement de l’article 700 du code de procédure civile et les dépens et a rejeté le surplus des demandes.

Il a retenu que si la Société Générale versait aux débats un compte rendu d’appel de Mme [G] aux termes duquel celle-ci aurait reconnu avoir donné les numéros de ses trois cartes bancaires et ses codes d’accès, celle-ci contestait avoir tenu ces propos, que ce compte-rendu n’était étayé par aucun autre élément, que la banque produisait en outre 9 captures d’écran censées démontrer que les demandes de confirmation avaient été envoyées sur l’IPhone 11 pro de Mme [G] qui étaient insuffisantes et ne permettaient pas d’établir que cette dernière s’était bien connectée à son espace personnel et avait validé ces 9 opérations.

Il a rappelé que c’était à la banque de démontrer que ces opérations avaient été réalisés grâce à une authentification forte, ce qu’elle ne faisait pas et d’autre part que ceci n’avait été possible que grâce à une négligence grave ou à la fraude de Mme [G] ce qu’elle ne faisait pas non plus. Il a donc fait droit à la demande en paiement de M. et Mme [G] sur le fondement des articles L. 133-6, L. 133-16, L. 133-17, L. 133-17 et L. 133-23 du code monétaire et financier.

Il a en revanche considéré que M. et Mme [G] ne démontraient pas avoir subi de préjudice moral et a rejeté leur demande de dommages et intérêts.

Par déclaration électronique du 15 mai 2025, la Société Générale a interjeté appel de cette décision.

Aux termes de ses dernières écritures signifiées le 3 mars 2026, la Société Générale demande à la cour :

— de la déclarer recevable et bien fondée en son appel, et y faisant droit :

— d’infirmer le jugement rendu par le pôle civil de proximité de Paris le 25 avril 2025 en toutes ses dispositions,

— de condamner en conséquence M. et Mme [G] in solidum à lui restituer la totalité des montants qu’elle leur a versée en exécution de la décision de première instance soumise à exécution provisoire de droit,

— de débouter M. et Mme [G] de l’intégralité de leurs demandes à toutes fins qu’elles comportent, y compris de leur appel incident,

— de condamner M. et Mme [G] in solidum à lui verser la somme de 5 000 euros au titre de l’article 700 du code de procédure civile,

— de condamner M. et Mme [G] aux entiers dépens de première instance et d’appel dont distraction au profit de Me Marie-Christine Fournier-Gille, avocat au barreau de Paris, conformément aux dispositions de l’article 699 du code de procédure civile.

Elle fait valoir qu’il résulte de la plainte déposée par Mme [G] qu’elle a été victime d’un « vishing », l’escroc étant parvenu à se faire passer au téléphone pour un agent de la banque et à la placer dans une situation de stress, en lui faisant croire que plusieurs opérations de paiement frauduleuses étaient en cours sur son compte via ses cartes et qu’il avait besoin de son concours afin d’y faire opposition. Elle souligne que toutefois M. et Mme [G] n’apportent aucun élément permettant de connaître le numéro de téléphone utilisé par l’escroc pour contacter Mme [G] le 16 février 2023, de sorte que M. et Mme [G] ne peuvent affirmer avoir été dupés par un appel téléphonique pouvant légitimement être attribué à la banque et que Mme [G] n’a pas non plus jugé utile de demander à son interlocuteur de décliner son identité et s’est satisfaite de la simple information de ce qu’il était un « préposé du service des fraudes » de banque et qu’elle a naïvement obéi aux instructions et a effectué des manipulations permettant à l’escroc de récupérer ses identifiants de connexion et ensuite de se connecter à son espace.

Elle souligne que Mme [G] a passé sous silence dans sa plainte ce qu’elle avait affirmé à sa conseillère clientèle qui a noté dans son compte-rendu que celle-ci avait « été contactée par une personne qui s’est fait passer pour un agent SG du service fraude. Elle a donné les numéros de ses trois cartes ainsi que ses codes d’accès BAD. J’ai mis en opposition et modifié son code d’accès BAD ».

Elle affirme que toutes les opérations ont été validées par Mme [G] sur instructions de l’escroc, ce qu’elle a admis à demi-mots dans sa plainte en évoquant des messages « SG service anti-fraude réalisé avec différents montants » et avoir reçu des SMS de la banque avec différents montants c’est à dire en réalité visant 9 opérations de paiement distinctes qu’elle a en réalité validées de son propre chef sur son application à l’aide de son code confidentiel qu’elle seule connaissait.

Elle indique verser aux débats les 9 opérations d’authentification des paiements contestés qui sont en réalité des paiements faits en ligne grâce à des cartes bancaires démontrant de manière incontestable que ceux-ci ont été validés par la demanderesse à l’aide de son code secret banque à distance, avec activation de son Pass Sécurité, et ce, à partir de son smartphone personnel qui était le téléphone sécurité qu’elle avait enregistré sur le contrat BAD et qu’elle avait toujours en sa possession au moment de la plainte.

Elle soutient que ces neuf opérations ont fait l’objet d’une authentification forte grâce au Pass Sécurité actif depuis le 8 décembre 2022. Elle explique que ce système :

— oblige à télécharger une application sur un smartphone, à l’activer et à enregistrer ce téléphone comme téléphone de confiance grâce à un code SMS envoyé sur ledit téléphone de sécurité,

— permet ensuite de réaliser des opérations en ligne, et que lorsqu’un paiement par carte bancaire est saisi sur un site internet, cette opération est associée à l’IMEI du téléphone portable du client, qu’une notification d’alerte est alors envoyée sur son téléphone portable (le seul identifié par cet IMEI) l’invitant à valider ce paiement en attente, que le client doit alors se connecter sur son « espace client » au moyen de son identifiant et de son mot de passe personnels et peut voir le détail de l’opération en attente de validation, que s’il n’en est pas l’auteur et ne l’a pas initié, il ne doit pas la valider mais que s’il est d’accord avec l’opération désignée « achat de [montant en euros] chez [vendeur] » présentée, il doit alors cliquer sur le bouton « accepter » puis entrer le code confidentiel qu’il a lui-même créé et personnalisé lors de l’activation du système Pass Sécurité.

Elle affirme démontrer que pour chacune de ces neuf opérations, le Pass Sécurité a fonctionné. Elle relève que l’activation du Pass Sécurité ne permet pas de bloquer ou d’annuler une opération mais uniquement de la valider.

Elle soutient que M. et Mme [G] font valoir pour la première fois en cause d’appel que les SMS ne sont pas produits mais que le délai écoulé ne permet pas à la banque de les produire.

Elle en déduit qu’elle prouve que les opérations ont été correctement authentifiées, qu’aucun dysfonctionnement n’a eu lieu et que Mme [G] a bien commis une négligence grave.

Elle indique que le directeur de l’agence lorsqu’il a écrit n’avait pas encore le retour du service d’authentification et ne disposait pas de tous les éléments.

Elle ajoute que le fait qu’une mise à jour du système ait eu lieu en 2024 ne prouve pas que la précédente version avait une faille de sécurité.

Elle souligne rappeler régulièrement sur son site que le client ne doit pas communiquer ses codes et éléments personnels utilisés pour la connexion à son compte client et donne des exemples d’escroquerie pour avertir ses clients.

Elle relève que le fait que les opérations aient été faites à partir d’une adresse IP située en Israël où Mme [G] n’était pas ne suffit pas à considérer qu’il existe une faille, qu’à partir du moment où l’authentification forte a été effectuée par les clients, la banque n’a pas à vérifier les adresses IP utilisées pour initier des paiements en ligne, ce qui se comprend parfaitement, un banquier n’étant pas censé savoir où se trouvent géographiquement ses clients et se trouvant donc dans l’incapacité de déterminer si, face à une adresse IP qui n’est pas celle usuellement utilisée par ses clients, l’opération correspondant à un achat en ligne provient bien de ses clients susceptibles d’être en voyage ou au contraire d’un tiers non autorisé. Elle relève que Mme [G] a reconnu avoir donné les numéros de ses 3 cartes et ses codes d’accès. Elle réaffirme que celle-ci n’aurait jamais dû valider les opérations sur son smartphone.

Elle conteste tout préjudice moral subi par M. et Mme [G] et fait valoir que le régime de responsabilité des prestataires de services de paiement est exclusif de tout autre régime de responsabilité.

Aux termes de leurs dernières conclusions notifiées par voie électronique le 13 mars 2026, M. et Mme [G] demandent à la cour :

— de déclarer l’appel principal de la Société Générale mal fondé et de la débouter de l’intégralité de ses demandes, fins et prétentions,

— de faire droit à leur appel incident, de le juger bien fondé,

— de confirmer le jugement rendu le 25 avril 2025 en ce qu’il a condamné la Société Générale à leur payer la somme de 6 600 euros, outre les intérêts au taux légal majoré de 15 points à compter du 17 mars 2023,

— d’infirmer le jugement du 25 avril 2025 en ce qu’il a rejeté leur demande de paiement de 2 000 euros au titre du préjudice moral subi par eux,

— en conséquence, statuant à nouveau de ce chef, de condamner la Société Générale à leur payer la somme de 2 000 euros au titre du préjudice moral subi,

en tout état de cause,

— de débouter la Société Générale de l’intégralité de ses demandes et de ses demandes en réplique,

— de condamner la Société Générale à leur payer la somme de 6 000 euros au titre des dispositions de l’article 700 du code de procédure civile pour les frais exposés en cause d’appel, outre les entiers dépens dont distraction sera ordonnée au bénéfice de Maître Frédéric Ingold conformément aux dispositions de l’article 699 du code de procédure civile.

Ils contestent avoir été à l’origine et avoir validé les neuf opérations contestées totalisant 6 600 euros.

Ils relèvent que le directeur de l’agence où se trouve leur compte a expressément reconnu l’existence d’une fraude et que le 3 mars 2023, il a expressément demandé par écrit au service des litiges de cartes de procéder au remboursement des sommes ainsi débitées après avoir constaté qu’ils n’avaient pas autorisé ces prélèvements.

Ils soulignent l’existence de divergences au sein de la banque et que le service de relations clientèle a contredit la position pourtant claire du directeur de l’agence sans aucun élément de preuve, laquelle incombe pourtant aux établissements bancaires de par la loi, ce service s’étant contenté de procéder à une série d’affirmations, sans jamais en rapporter la preuve.

Ils contestent avoir jamais procédé à la saisine du moindre code, ni effectué le moindre achat, ni autorisé le moindre paiement, ni entré les coordonnées du ou des bénéficiaires des virements observés, ni validé le moindre code pour rendre réalisables de telles opérations, ni avoir autorisé le moindre virement, ni même pu avoir connaissance de l’objet même des mouvements constatés a posteriori. Ils relèvent que d’ailleurs le relevé bancaire mentionne à répétition une formule « Revolut**----* '' qui établit que le bénéficiaire est la banque Revolut et n’établit nullement qu’il s’agit d’achats en ligne au profit de 4 bénéficiaires ayant des comptes dans cette banque, et qui ne correspond à rien de connu par eux. Ils ajoutent que le relevé bancaire généré par la banque elle-même, ne correspond pas à la présentation des « opérations d’achat » que celle-ci évoque pour les besoins de la présente procédure mais que la banque a ensuite dans les éléments qu’elle produit modifié les intitulés et mentionné « REVOLUT IE » qui serait à [Localité 4].

Ils relèvent que le service clientèle a, de fait, admis une sécurité défaillante des applications clients puisqu’il a affirmé que : 'ouvrir son application SG « ait » permis de prendre la main sur votre compte bancaire" (sic) (pièce 6) et donc sans validation de quoi que ce soit.

Ils soulignent que la banque produit toujours les mêmes pièces faites à elle-même sans autres éléments de nature à les corroborer et relèvent que la banque ne communique pas les SMS qui auraient été envoyés sur le téléphone de Mme [G] et qu’elle admet donc ne pas avoir respecté son propre processus d’identification.

Ils soulignent que d’après la banque Mme [G] aurait ainsi validé les opérations depuis son téléphone mais que de ces propres documents il résulte que Mme [G] aurait ainsi validé deux opérations à la même seconde. Ils soulignent que le fait que l’entité bénéficiaire ne soit pas identifiée est révélateur d’une déficience de sécurité. Ils soulignent que la Société Générale a attendu le 22 avril 2024, soit plus d’un an, pour mettre à jour et sécuriser son dispositif Pass Sécurité et que le tuto dont elle donne le lien est postérieur à la fraude subie. Ils ajoutent que l’adresse IP du porteur de carte se trouvait d’après la banque en Israël ce qui aurait dû alerter la banque car Mme [G] était en France en Auvergne ce qu’elle démontre et que la banque a biffé l’adresse IP sur les relevés.

Ils ajoutent que la banque qui procède par affirmation ne démontre aucune faute ou négligence de la part de Mme [G] et qu’elle a bien prévenu dans le délai légal, que la banque qui n’a pas remboursé est tenue aux intérêts légaux majorés de 15 points au-delà de 30 jours comme prévu par l’article L. 133-18 du code monétaire et financier.

Ils soutiennent enfin que l’attitude de la banque leur a causé un préjudice moral puisqu’ils ont clairement été accusés d’avoir menti et que s’y ajoutent des mesures vexatoires, puisqu’après 30 ans, Mme [G] a été exclue de la Société Générale sans motif légitime.

Pour un plus ample exposé des faits, moyens et prétentions des parties, il est renvoyé aux écritures de celles-ci conformément aux dispositions de l’article 455 du code de procédure civile.

L’ordonnance de clôture a été rendue le 17 mars 2026 et l’affaire a été appelée à l’audience le 24 mars 2026.

MOTIFS DE LA DÉCISION

Sur la demande en paiement de la somme de 6 600 euros

Il résulte des articles L. 133-3, L. 133-6 et L. 133-7 du code monétaire et financier que la détermination du caractère autorisé d’une opération ne dépend pas de l’obligation sous-jacente qui est sans conséquence sur la validité de l’ordre, mais du consentement du payeur lequel est donné « sous la forme convenue entre le payeur et son prestataire ».

Une des formes convenues envisagée par la loi est l’usage d’un dispositif de paiement avec données de sécurité personnalisées défini à l’article L. 133-4 du code monétaire et financier qui permettent d’authentifier son auteur. En vertu de l’article L. 133-44 du même code, le prestataire de services de paiement applique l’authentification forte du client définie au f de l’article L. 133-4 lorsque le payeur :

1° accède à son compte de paiement en ligne ;

2° initie une opération de paiement électronique ;

3° exécute une opération par le biais d’un moyen de communication à distance, susceptible de comporter un risque de fraude en matière de paiement ou de toute autre utilisation frauduleuse.

L’article L. 133-4 f définit l’identification forte comme reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories « connaissance » (quelque chose que seul l’utilisateur connaît), « possession » (quelque chose que seul l’utilisateur possède) et « inhérence » (quelque chose que l’utilisateur est) et indépendants en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d’authentification.

Les articles L. 133-16 et L. 133-17 du même code imposent à la banque qui délivre un instrument de paiement :

— de s’assurer que les données de sécurité personnalisées telles que définies à l’article L. 133-4 ne sont pas accessibles à d’autres personnes que l’utilisateur autorisé à utiliser cet instrument,

— de mettre en place, à titre gratuit, les moyens appropriés permettant à l’utilisateur de procéder à tout moment à l’information prévue à l’article’L. 133-17,

— et d’empêcher toute utilisation de l’instrument de paiement après avoir été informé, conformément aux dispositions de l’article L. 133-17, de sa perte, de son vol, de son détournement ou de toute utilisation non autorisée de l’instrument de paiement ou des données qui lui sont liées.

De son côté l’utilisateur doit :

— aux termes de l’article L. 133-16 du même code, prendre toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées et utiliser l’instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation qui doivent être objectives, non discriminatoires et proportionnées,

— aux termes de l’article L. 133-17 du même code, dès qu’il en a connaissance prévenir sa banque de toute perte, vol, détournement ou de toute utilisation non autorisée de son instrument de paiement ou des données qui lui sont liées aux fins de blocage.

Il résulte des dispositions de l’article L. 133-23 du code monétaire et financier :

— que lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre,

— que la seule utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière et que le prestataire de services de paiement, y compris, le cas échéant, le prestataire de services de paiement fournissant un service d’initiation de paiement, fournit des éléments afin de prouver la fraude ou la négligence grave commise par l’utilisateur de services de paiement.

Il résulte par ailleurs des articles L. 311-18 et L. 311-19 du code monétaire et financier que ce n’est que dans le cas où une opération n’est pas autorisée par le client et qu’il l’a signalée dans les conditions prévues à l’article’L. 133-24 que le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement et s’il communique ces raisons par écrit à la Banque de France.

Lorsque l’opération de paiement non autorisée est consécutive à la perte ou au vol de l’instrument de paiement, le payeur ne supporte, avant l’information prévue à l’article L. 133-17, que les pertes liées à l’utilisation de cet instrument, dans la limite d’un plafond de 50 euros sauf si l’opération non autorisée a été effectuée sans utilisation des données de sécurité personnalisées ou que la perte ou de vol d’un instrument de paiement ne pouvait être détecté par le payeur avant le paiement, ou que la perte est due à des actes ou à une carence d’un salarié, d’un agent ou d’une succursale d’un prestataire de services de paiement ou d’une entité vers laquelle ses activités ont été externalisées.

La responsabilité du payeur n’est pas non plus engagée si l’opération de paiement non autorisée a été effectuée en détournant, à l’insu du payeur, l’instrument de paiement ou les données qui lui sont liées, ni en cas de contrefaçon de l’instrument de paiement si, au moment de l’opération de paiement non autorisée, le payeur était en possession de son instrument.

Sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si le prestataire de services de paiement ne fournit pas de moyens appropriés permettant l’information aux fins de blocage de l’instrument de paiement prévue à l’article L. 133-17.

En revanche, le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17.

Enfin, sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si l’opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement du payeur n’exige une authentification forte du payeur prévue à l’article L. 133-44.

Il résulte donc de l’enchevêtrement de ces textes que pour éviter toute fraude, la banque se doit de mettre en 'uvre des procédés techniques de protection des opérations au moyen d’éléments personnels d’identification de l’utilisateur, que plus l’opération nécessite l’utilisation de données d’authentification, plus elle est considérée comme ayant été autorisée par l’utilisateur, lequel peut néanmoins toujours nier l’avoir autorisée, que dans ce cas la banque doit :

1/ prouver que ce sont bien les données d’authentification de l’utilisateur qui ont été utilisées et qu’il n’y a pas eu de défaillance technique,

et 2/ même dans le cas où l’authentification est renforcée et où ces données ont été utilisées, fournir des éléments afin de prouver la fraude ou la négligence grave commise par l’utilisateur de services de paiement.

L’utilisateur qui nie avoir autorisé une opération réalisée avec ses données d’authentification forte se doit de prévenir sa banque dès qu’il en a connaissance.

D’autre part l’utilisateur qui se doit de préserver ses données d’authentification forte doit être vigilant à réception de messages ou d’informations lui demandant la communication des données censées protéger les ordres de paiement mais il ne commet pas nécessairement de négligence fautive s’il se les fait dérober. Il a ainsi pu être jugé que ne commettait pas de faute l’utilisateur qui, répondant à un numéro d’appel apparaissant sur son téléphone portable comme étant celui de sa banque, procédait à la validation d’opérations mais que commettait une négligence grave celui qui répondait à des messages dont la nature frauduleuse aurait dû lui apparaître ou cliquait sur des liens douteux.

En l’espèce, M. et Mme [G] nient avoir autorisé neuf opérations qui sont apparues en débit sur leur compte bancaire comme datées du 16 février 2023 et apparaissent sur leur relevé bancaire comme des opérations de débit effectuées au bénéfice de « Revolut 1766, Revolut 4640, Revolut 9654, Revolut 7465 ».

Il est reconnu par toutes les parties que ces opérations ont été effectuées en ligne sur le compte. La banque se devait donc d’appliquer l’authentification forte du client définie au « f » de l’article L. 133-4. La Société Générale soutient que les opérations ont été validées par Mme [G] depuis son téléphone grâce au système Pass Sécurité qu’elle avait validé et correspondait à son téléphone et celle-ci conteste toute validation admettant seulement avoir ouvert l’application et reçu des SMS du « service anti-fraude ».

Selon les documents produits par la banque, pour valider une opération de paiement via le Pass Sécurité, une notification est envoyée sur l’appareil sur lequel est installé le Pass Sécurité prévenant l’utilisateur qu’une action est en attente de validation. Le client peut alors valider ou refuser l’opération en étant basculé sur son application bancaire. S’il entend valider, il doit « accepter » et saisir son code sécurité puis cliquer sur valider et une nouvelle fenêtre apparaît sur l’appareil l’informant de la réussite de l’authentification. Enfin, la validation du paiement génère l’envoi d’une nouvelle notification sur le téléphone mobile du détenteur du Pass Sécurité l’informant qu’un paiement a été accepté.

Les notifications dont la banque mentionne dans ses écritures qu’il s’agit de SMS ne sont pas produits. La banque ne saurait arguer du délai écoulé pour soutenir ne pas pouvoir les produire alors qu’elle a été très rapidement prévenue par sa cliente et qu’il lui appartenait donc de conserver ces éléments de preuve au regard du litige en cours.

Il est justifié de ce que Mme [G] a installé le système sur son IPhone 11 pro au numéro […] le 08 décembre 2022. C’est donc ce téléphone qui permet l’authentification forte au titre de la « possession ».

La banque affirme que c’est bien ce téléphone qui a servi avec le code de Mme [G] mais produit des relevés dont il résulte que l’adresse IP dudit téléphone n’était pas en France mais en Israël au moment de la validation des opérations, ce qu’elle admet. Or Mme [G] n’était pas en Israël ce dont elle justifie par la production de ses relevés de péage d’autoroute. Par conséquent, l’adresse IP de son téléphone, dont la banque affirme qu’il a été utilisé comme élément de possession au titre de l’authentification forte, ne pouvait en principe se situer en Israël et ceci corrobore le fait que ce n’est pas Mme [G] qui a validé lesdites opérations depuis son téléphone. Si elle avait donné ses codes comme le soutient la banque, ce n’est pas son téléphone qui aurait validé les opérations mais un autre appareil aurait été enregistré grâce à ses codes et aurait permis les opérations mais tel n’est pas le cas, la banque affirmant que les opérations ont été validées avec le téléphone de Mme [G] et son code secret. Ceci a d’ailleurs été admis par le directeur de l’agence le 3 mars 2023 qui a écrit à « litigescartes SG » en ces termes « je fais suite au dossier cité en objet, la contestation a fait l’objet d’un refus de votre part au motif que le moyen de paiement est bien celui de notre cliente. Or la fraude subie a bien été constatée par nos services. Merci de bien vouloir réétudier la situation de notre cliente et procéder au remboursement des sommes débitées ».

Ceci suffit à établir que contrairement à ce que soutient la banque, il y a bien eu une faille de sécurité et que Mme [G] n’a pas fait preuve de négligence. Elle a en outre prévenu la banque dans les délais légaux.

Le jugement doit donc être confirmé sur la condamnation de la banque à rembourser la somme de 6 600 euros y compris en ce qui concerne les intérêts de retard conformes aux dispositions de l’article L. 133-18 du code monétaire et financier.

Sur la demande de dommages et intérêts pour préjudice moral

Le fait que le régime de responsabilité soit fixé par les dispositions précitées n’interdit pas à un client de demander des dommages et intérêts contre la banque pour résistance abusive et pour faute dans le traitement de son dossier et dans ses relations postérieures. Or il résulte de ce qui précède que la banque a abusivement refusé le remboursement et que par suite elle a procédé à la clôture du compte de M. et Mme [G]. Ceci doit conduire à faire droit à la demande de dommages et intérêts pour préjudice moral à hauteur d’une somme de 1 000 euros.

Sur les frais irrépétibles et les dépens

Le jugement doit être confirmé en ses dispositions relatives aux dépens et aux frais irrépétibles.

La banque qui succombe doit être condamnée aux dépens d’appel avec distraction pour ceux dont elle a fait l’avance au bénéfice de Me Marie-Christine Fournier-Gille, avocat au barreau de Paris en application de l’article 699 du code de procédure civile. Il apparaît en outre équitable de lui faire supporter les frais irrépétibles engagés par M. et Mme [G] à hauteur de la somme de 3 000 euros sur le fondement de l’article 700 du code de procédure civile.

PAR CES MOTIFS

LA COUR,

Statuant publiquement par arrêt contradictoire en dernier ressort,

Confirme le jugement sauf en ce qu’il a rejeté la demande de dommages et intérêts de M. [L] [G] et Mme [N] [M] épouse [G] ;

Statuant à nouveau et y ajoutant,

Condamne la Société Générale à payer à M. [L] [G] et Mme [N] [M] épouse [G] la somme de 1 000 euros à titre de dommages et intérêts ;

Condamne la Société Générale à payer à M. [L] [G] et Mme [N] [M] épouse [G] la somme de 3 000 euros sur le fondement de l’article 700 du code de procédure civile ;

Condamne la Société Générale aux dépens d’appel avec distraction pour ceux dont elle a fait l’avance au bénéfice de Me Marie-Christine Fournier-Gille, avocat au barreau de Paris en application de l’article 699 du code de procédure civile ;

Rejette toute demande plus ample ou contraire.

La greffière La présidente

Décisions similaires

Citées dans les mêmes commentaires3

  • Relations du travail et protection sociale ·
  • Relations individuelles de travail ·
  • Licenciement ·
  • Poste ·
  • Employeur ·
  • Indemnité ·
  • Salariée ·
  • Travail ·
  • Activité ·
  • Publication ·
  • Arrêt maladie ·
  • Salarié
  • Adresses ·
  • Liquidateur ·
  • Saint-barthélemy ·
  • Mise en état ·
  • Guadeloupe ·
  • Caraïbes ·
  • Qualités ·
  • Maintenance ·
  • Assainissement ·
  • Syndicat de copropriétaires
  • Investissement ·
  • Moldavie ·
  • Sentence ·
  • Tribunal arbitral ·
  • Union européenne ·
  • Arbitrage ·
  • Électricité ·
  • Créance ·
  • Sociétés ·
  • Différend
18 commentaires

Citant les mêmes articles de loi3

  • Relations du travail et protection sociale ·
  • Relations individuelles de travail ·
  • Contrat de travail ·
  • Salarié ·
  • Démission ·
  • Employeur ·
  • Rupture ·
  • Rappel de salaire ·
  • Heures supplémentaires ·
  • Clause de non-concurrence ·
  • Non-concurrence ·
  • Licenciement
  • Relations du travail et protection sociale ·
  • Protection sociale ·
  • Faute inexcusable ·
  • Sociétés ·
  • Employeur ·
  • Mission ·
  • Poste ·
  • Maladie professionnelle ·
  • Travail ·
  • Rente ·
  • Salarié ·
  • Alerte
  • Relations du travail et protection sociale ·
  • Relations individuelles de travail ·
  • Médiateur ·
  • Médiation ·
  • Partie ·
  • Consentement ·
  • Accord ·
  • Injonction ·
  • Délai ·
  • Provision ·
  • La réunion ·
  • Mission

De référence sur les mêmes thèmes3

  • Relations avec les personnes publiques ·
  • Ordre des avocats ·
  • Cotisations ·
  • Observation ·
  • Adresses ·
  • Honoraires ·
  • Bâtonnier ·
  • Règlement ·
  • Conseil ·
  • Tableau ·
  • Renard
  • Relations avec les personnes publiques ·
  • Décret ·
  • Ordre des avocats ·
  • Bâtonnier ·
  • Honoraires ·
  • Recours ·
  • Réception ·
  • Procédure civile ·
  • Lettre ·
  • Audience ·
  • Partie
  • Action en contestation de paternité - dans le mariage ·
  • Père ·
  • Possession d'état ·
  • Juge des enfants ·
  • Paternité ·
  • Filiation ·
  • Droit de visite ·
  • Cambodge ·
  • Ad hoc ·
  • Mère ·
  • Jugement

Sur les mêmes thèmes3

  • Demande de rétrocession d'un immeuble exproprié ·
  • Biens - propriété littéraire et artistique ·
  • Propriété et possession immobilières ·
  • Expropriation ·
  • Département ·
  • Parcelle ·
  • Réalisation ·
  • Retrocession ·
  • Eaux ·
  • Cadastre ·
  • Recours ·
  • Destination ·
  • Assainissement
  • Contrats ·
  • Tribunal judiciaire ·
  • Exécution provisoire ·
  • Sociétés ·
  • Chambres de commerce ·
  • Conséquences manifestement excessives ·
  • Postulation ·
  • Demande ·
  • Ingénierie ·
  • Hypothèque ·
  • Condamnation
  • Droits attachés à la personne ·
  • Droit des personnes ·
  • Tribunal judiciaire ·
  • Étranger ·
  • Ordonnance ·
  • Décision d’éloignement ·
  • Menaces ·
  • Prolongation ·
  • Tribunal correctionnel ·
  • Accès aux soins ·
  • Espagne ·
  • Dépositaire

Textes cités dans la décision

  1. Code de procédure civile
  2. Code monétaire et financier
Extraits similaires à la sélection

Aucune décision de référence ou d'espèce avec un extrait similaire.

Inscrivez-vous gratuitement pour imprimer votre décision
Cour d'appel de Paris, Pôle 4 chambre 9 a, 4 juin 2026, n° 25/08994
  1. Doctrine
  2. Décisions de justice
  3. 2026
  4. CA Paris, pôle 4 ch. 9 a, 4 juin 2026, n° 25/08994
Contactez notre service commercial au 01 84 80 33 48