Inscription
7 jours d’essai gratuit.
Inscription en moins d’une minute. Pas de carte de crédit requise.
Cour d'appel de Toulouse, 2e chambre, 19 mai 2026, n° 24/01495
CA Toulouse
Confirmation 19 mai 2026

Résumé par Doctrine IA

Madame [J] a demandé le remboursement de sommes débitées de son compte bancaire suite à une fraude. Elle soutenait que la banque n'avait pas prouvé sa négligence grave et avait manqué à son devoir de vigilance.

Le tribunal de première instance a débouté Madame [J] de sa demande, estimant qu'elle avait fait preuve de négligence grave dans la préservation de ses données personnelles. La cour d'appel a été saisie de l'ensemble des chefs du jugement.

La cour d'appel a confirmé le jugement, considérant que Madame [J] avait fait preuve d'une négligence grave en validant des opérations sur instruction d'un individu contacté par un numéro inconnu, sans que sa vigilance n'ait été légitimement atténuée par des manœuvres de mise en confiance élaborées.

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Commentaire0

Augmentez la visibilité de votre blog juridique : vos commentaires d’arrêts peuvent très simplement apparaitre sur toutes les décisions concernées. 

Sur la décision

Référence :
CA Toulouse, 2e ch., 19 mai 2026, n° 24/01495
Juridiction : Cour d'appel de Toulouse
Numéro(s) : 24/01495
Importance : Inédit
Dispositif : Autre
Date de dernière mise à jour : 29 mai 2026
Lire la décision sur le site de la juridiction

Sur les parties

Avocat(s) :
Cabinet(s) :
Parties :
son représentant légal domicilié en cette qualité audit siège, S.A. CAISSE D' EPARGNE ET DE PRÉVOYANCE DE MIDI-PYRÉNÉES

Texte intégral

19/05/2026

ARRÊT N°2026/2026

N° RG 24/01495 – N° Portalis DBVI-V-B7I-QGFY

SM AC

Décision déférée du 27 Mars 2023

TJ hors JAF, JEX, JLD, J. EXPRO, JCP de [Localité 1]

( 22/02680)

Mme [M]

[N] [J]

C/

S.A. CAISSE D’EPARGNE ET DE PRÉVOYANCE DE MIDI-PYRÉNÉES

CONFIRMATION

Grosse délivrée

le

à

— Me JEAY

— ME [Localité 2]

REPUBLIQUE FRANCAISE

AU NOM DU PEUPLE FRANCAIS

***

COUR D’APPEL DE TOULOUSE

2ème chambre

***

ARRÊT DU DIX NEUF MAI DEUX MILLE VINGT SIX

***

APPELANTE

Madame [N] [J]

[Adresse 1]

[Localité 3]

Représentée par Me Dominique JEAY de la SCP JEAY, AVOCATS, avocat au barreau de TOULOUSE

INTIMEE

S.A. CAISSE D’EPARGNE ET DE PRÉVOYANCE DE MIDI-PYRÉNÉES prise en la personne de son représentant légal domicilié en cette qualité audit siège

[Adresse 2]

[Localité 4]

Représentée par Me Xavier RIBAUTE, avocat au barreau de TOULOUSE

COMPOSITION DE LA COUR

En application des dispositions des articles 805 et 907 du Code de procédure civile, l’affaire a été débattue le 25 Février 2026, en audience publique, les avocats ne s’y étant pas opposés, devant S.MOULAYES,conseillère chargée du rapport. Ce magistrat a rendu compte des plaidoiries dans le délibéré de la Cour, composée de :

V. SALMERON, présidente

S. MOULAYES, conseillère

I. MARTIN DE LA MOUTTE, conseillère

Greffier, lors des débats : A. CAVAN

ARRET :

— contradictoire

— prononcé publiquement par mise à disposition au greffe après avis aux parties

— signé par V. SALMERON, présidente, et par A. CAVAN, greffier de chambre

Faits et procédure

Madame [N] [J] est titulaire d’un compte de dépôt ouvert dans les livres de la Sa Caisse d’Epargne et de Prévoyance de Midi-Pyrénées et bénéficie d’une carte bancaire.

Le 13 mars 2022 son compte a été débité de la somme de 4 987,47 euros, en deux débits de 2 688,47 € et 2 299 € au profit respectivement de « LASTMINUTECOM » et « LG ».

Le 16 mars 2022, Madame [N] [J] a déposé une plainte auprès des services de gendarmerie, dans laquelle elle a expliqué avoir reçu le 10 mars 2022 un SMS concernant le renouvellement de sa carte vitale ; elle a renseigné ses identifiants bancaires pour le paiement de la somme de 0,75 €.

Trois jours plus tard, elle a été contactée par téléphone par une personne lui affirmant qu’il s’agissait d’une fraude, et qui l’a invitée à faire des manipulations sur son application bancaire notamment en validant deux opérations.

Le même jour, Madame [J] a porté réclamation auprès de la Caisse d’Epargne et a demandé le remboursement de la somme indument débitée.

Par courrier du 18 mars 2022, la Caisse d’Epargne a refusé le remboursement en lui opposant sa négligence grave dans la conservation et la sécurisation des données de sécurité personnalisées liées à l’utilisation de sa carte bancaire.

Par acte d’huissier en date du 1er août 2022 Madame [N] [J] a assigné la Caisse d’Epargne et de prévoyance de Midi-Pyrénées devant le tribunal judiciaire de Toulouse aux fins de la voir condamner au paiement de la somme de 4 987,47 € outre 300 € de dommages et intérêts.

Par jugement du 27 mars 2023 le juge chargé de la protection du tribunal judiciaire de Toulouse a :

— débouté Madame [N] [J] de sa demande de remboursement de la somme de 4 987,47 euros

— dit qu’il n’y a pas lieu d’application de l’article 700 du code de procédure civile

— rejeté les demandes plus amples ou contraires

— condamné Madame [N] [J] aux entiers dépens

— rappelé que la présente décision est exécutoire de plein droit

Par déclaration du 30 avril 2024 Madame [N] [J] a relevé appel du jugement. La portée de l’appel est la réformation de l’ensemble des chefs du jugement, à l’exception de celui relatif à l’exécution provisoire.

La clôture est intervenue le 26 janvier 2026 et l’affaire a été appelée à l’audience de plaidoirie du 25 février 2026.

Prétentions et moyens

Vu les conclusions récapitulatives d’appelante notifiées par RPVA le 8 avril 2025 auxquelles il est fait expressément référence pour l’énoncé du détail de l’argumentation, de Madame [N] [J] demandant, au visa des articles 1231-1 du code civil et L133-17 à L133-20 du code monétaire et financier de :

— réformer, en toutes ses dispositions, le jugement rendu entre les parties par le Tribunal Judiciaire de Toulouse le 27 mars 2023.

Statuant à nouveau,

— condamner la Caisse d’Epargne Et De Prévoyance De Midi-Pyrénées à payer à Madame [N] [J] la somme de 4 987,47 € en principal, majorée des intérêts de droit courus depuis le 1er aout 2022 et celle de 500 € à titre de dommages et intérêts demeurant sa résistance et les peines et tracas occasionnés.

— la condamner au paiement de la somme de 4 000 € sur le fondement de l’article 700 du Code de Procédure Civile, ainsi qu’aux entiers dépens, distraction en étant prononcée au profit de Me Dominique Jeay, Avocat, sur son affirmation de droit.

Elle affirme que la banque ne rapporte pas la preuve de sa négligence grave au sens des dispositions du code monétaire et financier, et maintien sa demande en remboursement des opérations de paiement non autorisées.

Elle ajoute que la banque a manqué à son devoir de vigilance et de conseil, dans la mesure où les opérations de paiement présentaient des anomalies apparentes.

Vu les conclusions d’intimé notifiées par RPVA le 4 septembre 2024 auxquelles il est fait expressément référence pour l’énoncé du détail de l’argumentation, de la Sa Caisse d’Epargne et de Prévoyance Midi-Pyrénées demandant, au visa des articles L133-16 et L133-19 du code monétaire et financier de :

— confirmer le jugement dont appel du 27 mars 2023 et Débouter Madame [N] [J] de l’intégralité de ses demandes.

Y ajoutant

— condamner Madame [N] [J] à 2 000 € au titre de l’article 700 du code de procédure civile, et aux entiers dépens dont distraction au profit de Xavier [Localité 2] avocat en application de l’article 699 du code de procédure civile.

Elle affirme que les opérations de paiement ont été régulières et authentifiées de manière forte de sorte qu’aucun manquement ne peut lui être reproché dans la survenance des débits litigieux ; elle invoque le manquement de l’appelante à son obligation de conserver la sécurité de ses données, et sa négligence grave au regard des circonstances de la fraude.

Sur sa responsabilité contractuelle, elle rappelle que son obligation de non-immixtion vient limiter son devoir de vigilance.

MOTIFS

Sur l’application exclusive du régime du code monétaire et financier

Dans ses conclusions, Madame [J] fonde sa demande en remboursement des sommes indument débitées sur son compte, tant sur le fondement du régime des opérations de paiement non autorisées du code monétaire et financier, et que la responsabilité contractuelle de la banque.

La Caisse d’Epargne quant à elle se défend sur ces deux fondements juridiques.

La Cour de cassation a récemment rappelé que les dispositions relatives à la responsabilité civile de la banque ne sont pas applicables en matière d’opérations de paiement non-autorisées, en indiquant que dès lors que la responsabilité d’un prestataire de services de paiement est recherchée en raison d’une opération de paiement non autorisée ou mal exécutée, seul est applicable le régime de responsabilité défini aux articles L133-18 à L133-24 du code monétaire et financier, qui transposent les articles 71 à 74 de la directive (UE) 2015/2366 du 25 novembre 2015 concernant les services de paiement dans le marché intérieur, à l’exclusion de tout régime alternatif de responsabilité résultant du droit national. (Com 15 janvier 2025, n°23-15.437)

Or en l’espèce, les parties ne contestent pas que les demandes formées par Madame [J] découlent d’opérations de paiement non-autorisées.

En conséquence, seul le régime du code monétaire et financier s’applique, à l’exclusion de tout autre régime de responsabilité.

Sur la demande en remboursement des opérations de paiement non autorisées

Il ressort des dispositions de l’article 133-16 du code monétaire et financier, que dès qu’il reçoit un instrument de paiement, l’utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisés. Il utilise l’instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation qui doivent être objectives, non discriminatoires et proportionnées.

Le code monétaire et financier envisage de manière spécifique les instruments de paiement dotés d’un dispositif de sécurité personnalisé, lequel dispositif, conformément à l’article L. 133-4, a) s’entend des données personnalisées fournies à un utilisateur de services de paiement par le prestataire de services de paiement à des fins d’authentification.

Ce dispositif, propre à l’utilisateur de services de paiement et placé sous sa garde, vise à l’authentifier.

L’article L133-19 de ce même code, dispose en son § II que la responsabilité du payeur (le titulaire du compte) n’est pas engagée si l’opération de paiement non autorisée a été effectuée en détournant, à son insu, l’instrument de paiement ou les données qui lui sont liées.

Il ajoute en son § IV que le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 ci-dessus reprises.

Enfin, selon l’article L133-23 alinéa 1, lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre.

La charge de la preuve de la régularité de l’autorisation pèse donc sur le prestataire de services de paiement, qui doit établir que l’ordre émane bien de l’utilisateur du service.

Il résulte de ces textes que s’il appartient à l’utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d’informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l’instrument de paiement ou des données qui lui sont liées, c’est à ce prestataire qu’il incombe, de rapporter la preuve que l’utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence grave à ses obligations. Cette preuve ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés.

Par ailleurs, sur le fondement de ces textes, la Cour de Cassation fait obligation au prestataire de service, qui entend faire supporter à l’utilisateur d’un instrument de paiement doté d’un dispositif de sécurité personnalisé les pertes occasionnées par une opération de paiement non autorisée rendue possible par un manquement de cet utilisateur, intentionnel ou par négligence grave, de prouver au préalable que l’opération en cause a été authentifiée. (Com., 20 novembre 2024, n° 23-15.099)

Il appartient donc à la banque de rapporter la preuve non seulement de la négligence grave de Madame [J], mais également de l’utilisation de ses données de sécurité personnelles pour l’authentification des paiements litigieux.

S’agissant de l’utilisation d’un système d’authentification forte, il résulte des propos tenus par Madame [J] lors de son dépôt de plainte qu’elle s’est connectée à son application bancaire, et qu’elle a validé les deux paiements litigieux ; il n’est fait état d’aucune déficience technique, dans la mesure où cette validation par son application sur téléphone a bien fonctionné, les débits étant passés.

L’utilisation de ce système de validation secur’pass est confirmée par les pièces produites par la banque, sur lesquelles apparaît l’icône d’un téléphone à côté de la mention « moyen d’authentification » pour chacune des opérations.

Il s’agit donc bien d’une authentification forte, par l’intermédiaire de données de connexion personnelles, mise à la disposition de Madame [J].

Il appartient ensuite à la banque, qui refuse le remboursement, de rapporter la preuve de la négligence grave de sa cliente.

Il convient de rappeler qu’il a été jugé que manque, par négligence grave, à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés l’utilisateur d’un service de paiement qui communique les données personnelles de ce dispositif de sécurité en réponse à un courriel qui contient des indices permettant à un utilisateur normalement attentif de douter de sa provenance (Com., 28 mars 2018, pourvoi n° 16-20.018)

Il a en revanche été jugé qu’aucune négligence grave au sens de l’article L133-19 du code monétaire et financier ne peut être imputée au titulaire d’un compte qui, contacté téléphoniquement par une personne se faisant passer pour un préposé de sa banque dont le numéro s’affichait, utilise à sa demande le dispositif de sécurité personnalisé pour supprimer puis réinscrire des bénéficiaires de virements dans le but d’éviter des opérations malveillantes. (Com. 23 oct. 2024, n° 23-16.267)

En se fondant sur cette dernière décision de la cour de cassation, Madame [J] estime qu’aucune négligence grave n’est susceptible de lui être opposée, dans la mesure où elle a été victime, dans les mêmes circonstances, d’une escroquerie par un faux conseiller bancaire, par téléphone.

Il résulte du dépôt de plainte, et de l’attestation remplie par l’appelante pour sa demande de remboursement formée auprès de la banque, que Madame [J] a indiqué avoir procédé à un virement de 0,75 € suite à la réception d’un SMS lui indiquant que sa carte vitale devait être renouvelée.

Elle a cliqué sur le lien internet contenu dans ce SMS, dont l’émetteur était un numéro de téléphone portable, et non un numéro abrégé.

Trois jours plus tard, elle a été contactée par un numéro [XXXXXXXX01] qui, selon la capture d’écran qu’elle produit, n’était pas enregistré comme un contact connu dans son téléphone portable ; dans sa plainte, elle fait état de ce numéro sans affirmer qu’elle le connaissait au préalable.

Elle affirme que son interlocuteur, se présentant comme travaillant au service fraude de sa banque, a affirmé que des paiements frauduleux étaient en cours sur son compte, lui a indiqué avoir bloqué sa carte bancaire, et lui a demandé de valider deux paiements qu’il présentait comme frauduleux, pour pouvoir ensuite les bloquer.

Elle produit également deux captures d’écran de SMS provenant d’un numéro de téléphone portable non enregistré, indiquant pour l’un uniquement « [Localité 5] CARTE », pour l’autre faisant état de paiement internet bloqués ; ces SMS ont été reçus respectivement 1 et 2 minutes après le début de l’appel qui a duré 18 minutes au total, encore une fois en se fondant sur les captures d’écran produites en pièce n°1 de l’appelante.

Ces circonstances étaient de nature à alerter un utilisateur normalement attentif, dans la mesure où lors de la réception du premier SMS lui demandant de renouveler sa carte vitale, elle a utilisé le lien internet joint sans procéder à aucune vérification, alors que ce message provenait d’un numéro de portable, qu’il était rédigé de manière succincte, et qu’un paiement lui a été réclamé pour un acte habituellement gratuit.

Mais surtout, au stade de l’appel téléphonique trois jours plus tard, d’une part les numéros de contact, tant par SMS que par téléphone, n’étaient pas des numéros identifiés par Madame [J] comme étant en lien avec sa banque, et d’autre part elle a procédé à la validation d’opérations qu’elle avait pourtant identifiées comme étant des paiements, sur instruction d’une personne inconnue.

L’explication donnée, à savoir valider des paiements pour pouvoir ensuite les bloquer, était particulièrement incohérente et paradoxale, et devait à nouveau l’alerter.

C’est donc à bon droit que le premier juge a relevé que Madame [J] avait fait preuve d’une négligence grave dans la préservation de ses données personnelles ; la jurisprudence intervenue postérieurement, et dont Madame [J] fait état, est applicable dans des circonstances où l’interlocuteur parvient à gagner la confiance de sa victime, en utilisant le numéro de téléphone de la banque, en ayant à sa disposition ses données de connexion personnelle, et en lui faisant valider des opérations en apparence sans conséquence.

Dans le cas d’espèce, Madame [J] a procédé elle-même à la validation des paiements par son application bancaire, en suivant les instructions d’un individu la contactant depuis un numéro inconnu.

Ces circonstances particulières ne permettent pas d’affirmer que la vigilance de Madame [J] a pu être légitimement atténuée par des man’uvres de mise en confiance élaborées ; elle a fait preuve d’une négligence grave ne lui permettant pas d’obtenir le remboursement des sommes débitées.

Le jugement sera donc confirmé en ce qu’il a débouté Madame [J] de sa demande en remboursement, et de sa demande de dommages et intérêts pour résistance abusive.

Sur les demandes accessoires

En l’état de la présente décision, la cour confirmera également le jugement en ce qu’il a condamné Madame [J] aux entiers dépens, et dit qu’il ne ferait pas application des dispositions de l’article 700 du code de procédure civile.

Madame [J], qui succombe, sera par ailleurs condamnée aux entiers dépens d’appel, qui pourront être recouvrés conformément aux dispositions de l’article 699 du code de procédure civile.

En revanche, l’équité ne commande pas d’allouer d’indemnité sur le fondement de l’article 700 du code de procédure civile en cause d’appel ; les parties seront déboutées de leurs demandes au titre des frais irrépétibles d’appel.

PAR CES MOTIFS

La Cour statuant dans les limites de sa saisine, par arrêt rendu de manière contradictoire, par mise à disposition au greffe,

Confirme le jugement ;

Y ajoutant,

Déboute Madame [N] [J] et la Sa Caisse d’Epargne et de Prévoyance Midi-Pyrénées, de leurs demandes formées en application des dispositions de l’article 700 du code de procédure civile, au titre des frais irrépétibles d’appel ;

Condamne Madame [N] [J] aux entiers dépens d’appel, qui pourront être recouvrés conformément aux dispositions de l’article 699 du code de procédure civile ;

La Greffière La Présidente

.

Décisions similaires

Citées dans les mêmes commentaires3

  • Contrat tendant à la réalisation de travaux de construction ·
  • Contrats ·
  • Adresses ·
  • Demande de radiation ·
  • Sociétés ·
  • Assureur ·
  • Plateforme ·
  • Incident ·
  • Intimé ·
  • Qualités ·
  • Construction ·
  • Fond
  • Demande d'annulation d'une sanction disciplinaire ·
  • Relations du travail et protection sociale ·
  • Relations individuelles de travail ·
  • Sanction disciplinaire ·
  • Centrale électrique ·
  • Fichier ·
  • Employeur ·
  • Énergie ·
  • Mot de passe ·
  • Ordinateur professionnel ·
  • Salarié ·
  • Accès ·
  • Recours gracieux
  • Relations avec les personnes publiques ·
  • Décret ·
  • Bâtonnier ·
  • Honoraires ·
  • Lettre recommandee ·
  • Ordre des avocats ·
  • Réception ·
  • Demande d'avis ·
  • Recours ·
  • Avocat ·
  • Ordre

Citant les mêmes articles de loi3

  • Droits attachés à la personne ·
  • Droit des personnes ·
  • Tribunal judiciaire ·
  • Diligences ·
  • Décision d’éloignement ·
  • Consulat ·
  • Voyage ·
  • Semi-liberté ·
  • Étranger ·
  • Vol ·
  • Prolongation ·
  • Récidive
  • Baux ruraux ·
  • Contrats ·
  • Autorisation ·
  • Preneur ·
  • Épouse ·
  • Pêche maritime ·
  • Demande ·
  • Parcelle ·
  • Résiliation du bail ·
  • Cessation d'activité ·
  • Cession du bail ·
  • Tribunaux paritaires
  • Droits attachés à la personne ·
  • Droit des personnes ·
  • Garde à vue ·
  • Prolongation ·
  • Notification ·
  • Ordonnance ·
  • Éloignement ·
  • Interprète ·
  • Italie ·
  • Personnes ·
  • Tribunal judiciaire ·
  • Maroc

De référence sur les mêmes thèmes3

  • Dommages causés par des véhicules ·
  • Responsabilité et quasi-contrats ·
  • Provision ·
  • Demande ·
  • Désignation ·
  • Indemnisation ·
  • Assurances ·
  • Épouse ·
  • Gauche ·
  • Expertise ·
  • Conclusion ·
  • Préjudice
  • Relations du travail et protection sociale ·
  • Relations individuelles de travail ·
  • Poste ·
  • Médecin du travail ·
  • Employeur ·
  • Licenciement ·
  • Sociétés ·
  • Obligation de reclassement ·
  • Salarié ·
  • Emploi ·
  • Établissement ·
  • Obligation
  • Adresses ·
  • Domicile ·
  • Tribunal judiciaire ·
  • Sociétés ·
  • Surendettement ·
  • Débiteur ·
  • Aquitaine ·
  • Pôle emploi ·
  • Appel ·
  • Curatelle

Sur les mêmes thèmes3

  • Dommages causés par l'action directe d'une personne ·
  • Responsabilité et quasi-contrats ·
  • Jument ·
  • Vétérinaire ·
  • Préjudice ·
  • Tribunal judiciaire ·
  • Sinistre ·
  • Faute lourde ·
  • Cheval ·
  • Poulain ·
  • Examen ·
  • Fait
  • Relations du travail et protection sociale ·
  • Relations individuelles de travail ·
  • Désistement ·
  • Appel ·
  • Réserve ·
  • Mise en état ·
  • Instance ·
  • Caducité ·
  • Jugement ·
  • Homme ·
  • Procédure civile ·
  • Incident
  • Demande relative à la liquidation du régime matrimonial ·
  • Droit de la famille ·
  • Médiation ·
  • Régimes matrimoniaux ·
  • Liquidation ·
  • Prescription ·
  • Renonciation ·
  • Accord ·
  • Action ·
  • Protocole ·
  • Partie ·
  • Partage

Textes cités dans la décision

  1. DSP II - Directive (UE) 2015/2366 du 25 novembre 2015 concernant les services de paiement dans le marché intérieur
  2. Code de procédure civile
  3. Code civil
  4. Code monétaire et financier
Extraits similaires à la sélection

Aucune décision de référence ou d'espèce avec un extrait similaire.

Inscrivez-vous gratuitement pour imprimer votre décision
Cour d'appel de Toulouse, 2e chambre, 19 mai 2026, n° 24/01495
  1. Doctrine
  2. Décisions de justice
  3. 2026
  4. CA Toulouse, 2e ch., 19 mai 2026, n° 24/01495
Contactez notre service commercial au 01 84 80 33 48