COUR D’APPEL

DE

VERSAILLES

Code nac : 38E

Chambre commerciale 3-2

ARRET N°

CONTRADICTOIRE

DU 19 MAI 2026

N° RG 25/03537 – N° Portalis DBV3-V-B7J-XHTG

AFFAIRE :

S.A.S. [C]

C/

S.A.S.U. SASU SBEGHIN

Décision déférée à la cour : Jugement rendu le 15 Mai 2025 par le Tribunal des activités économiques de NANTERRE

N° Chambre : 3

N° RG : 2024F00386

Expéditions exécutoires

Expéditions

Copies

délivrées le :

à :

M^e Rony DEFFORGE

M^e Anne-sophie REVERS

RÉPUBLIQUE FRANÇAISE

AU NOM DU PEUPLE FRANÇAIS

LE DIX NEUF MAI DEUX MILLE VINGT SIX,

La cour d’appel de Versailles a rendu l’arrêt suivant dans l’affaire entre :

APPELANTE :

S.A.S. [C]

Ayant son siège

[Adresse 1]

[Localité 1]

prise en la personne de ses représentants légaux domiciliés en cette qualité au siège social

Représentant : M^e Rony DEFFORGE de la SELARL CR ASSOCIES, avocat au barreau de VAL D’OISE, vestiaire : 241

Plaidant : M^e Aude BARATTE de l’AARPI STERU – BARATTE, avocat au barreau de PARIS, vestiaire : D1029 -

****************

INTIMEE :

S.A.S.U. SASU SBEGHIN

N° SIRET : 899 609 465 RCS [Localité 2]

Ayant son siège

[Adresse 2]

[Localité 3]

prise en la personne de ses représentants légaux domiciliés en cette qualité au siège social

Représentant : M^e Anne-sophie REVERS de la SELARL ANNE-SOPHIE REVERS AVOCAT, avocat au barreau de VERSAILLES, vestiaire : 4 -

Plaidant : M^e Guillaume PIERRE, avocat au barreau de PARIS, vestiaire : A0259

****************

Composition de la cour :

En application des dispositions de l’article 914-5 du code de procédure civile, l’affaire a été débattue à l’audience publique du 07 Avril 2026 les avocats des parties ne s’y étant pas opposés, devant Monsieur Cyril ROTH, Président chargé du rapport.

Ce magistrat a rendu compte des plaidoiries dans le délibéré de la cour, composée de :

Monsieur Ronan GUERLOT, Président de chambre,

Monsieur Cyril ROTH, Président de chambre,

Madame Véronique PITE, Conseillère,

Greffier, lors des débats : Madame Françoise DUCAMIN,

EXPOSE DU LITIGE

La société par actions simplifiée unipersonnelle SBeghin, présidée par Mme [S] [T] [R], épouse [A], est titulaire d’un compte professionnel dans les livres de la société [C] France, établissement de paiement (la société [C]).

Le 14 février 2024, soutenant avoir été victime le 5 novembre 2023 d’une fraude au faux conseiller bancaire, la société SBeghin a assigné la société [C] devant le tribunal de commerce de Nanterre en paiement de la somme de 90 728, 80 euros.

Le 15 mai 2025, par jugement contradictoire, cette juridiction, devenue tribunal des activités économiques, a :

— pris acte que la société [C] renonce à sa demande de nullité du procès-verbal de constat établi le 23 mai 2024 par Me [J] ;

— condamné la société [C] à payer la somme de 45 350 euros à la société SBeghin ;

— ordonné la capitalisation des intérêts par année entière en application des dispositions de l’article 1343-2 du code civil ;

— débouté chacune des parties au titre de l’application de l’article 700 du code de procédure civile ;

— condamné la société SBeghin et la société [C] à supporter chacune la moitié des dépens.

Le 5 juin 2025, la société [C] a interjeté appel de ce jugement.

Par dernières conclusions du 26 février 2026, elle demande à la cour de l’infirmer et, statuant à nouveau, de :

— débouter la société SBeghin de toutes ses demandes ;

— condamner la société SBeghin à lui verser de la somme de 5 000 euros au titre de l’article 700 du code de procédure civile ;

— la condamner aux entiers dépens de première instance et d’appel.

Par dernières conclusions d’intimée et d’appelante incidente du 2 mars 2026, la société SBeghin demande à la cour de :

— débouter la société [C] de l’ensemble de ses demandes fins et conclusions ;

— recevoir la société SBeghin en son appel incident portant sur le partage de responsabilité ;

— infirmer le jugement rendu le 15 mai 2025 par le tribunal des activités économiques de Nanterre en ce qu’il a retenu un partage de responsabilité et limité la condamnation de la société [C] à la somme de 45 350 euros, avec capitalisation des intérêts, sans article 700 du code de procédure civile et avec les dépens par moitié ;

Et statuant à nouveau,

— dire et juger que la société [C] ne rapporte pas la preuve exigée par L. 133-23 du code monétaire et financier d’une authentification forte sans déficience pour chacune des opérations contestées, ni celle d’une négligence grave du payeur ;

— dire et juger que la société [C] ne rapporte pas la preuve que le terminal Chrome Canada ait été régulièrement et consciemment autorisé par la titulaire du compte, ni celle d’une authentification forte indépendante et exempte de déficience ;

En conséquence,

— condamner la société [C] à payer à la société SBeghin la somme de 90 700 euros, augmentée des frais de cartes (28, 80 euros) ;

— dire et juger que ces sommes produiront intérêts aux taux majorés de l’article L.133-18 (à compter du 7 novembre 2023 (premier jour ouvrable suivant la notification du 06 novembre 2023) et, subsidiairement, du 22 décembre 2023 (mise en demeure) ;

— ordonner la capitalisation des intérêts (art. 1343-2 code civil) ;

— condamner la société [C] à payer à la société SBeghin la somme de 6 000 euros au titre de l’article 700 du code de procédure civile ;

— condamner la société [C] aux entiers dépens de première instance et d’appel.

La clôture de l’instruction a été prononcée le 5 mars 2026.

Pour plus ample exposé des moyens et prétentions des parties, il est renvoyé aux conclusions susvisées.

MOTIFS

Sur la demande en paiement

La société [C] fait valoir que la société SBeghin a le 28 septembre 2023 enregistré un nouvel appareil au moyen d’une authentification forte ; que la création et l’utilisation, le 5 novembre 2023, plus d’un mois plus tard, de cartes bancaires virtuelles pour un montant total de 90 700 euros a fait l’objet de validations par authentification forte depuis l’appareil enregistré le 28 septembre 2023 ; que plusieurs transactions peuvent être autorisées en un temps rapproché sans pour autant qu’elles soient frauduleuses ; que plusieurs appareils de confiance peuvent être enregistrés par un client ; qu’au jour de la fraude, le plafond de chaque carte virtuelle était de 9 000 euros, non de 5 000 euros, et que la création de cartes virtuelles ne donnait pas lieu à confirmation par SMS ; que les opérations en cause sont non autorisées quand bien même elles ont fait l’objet d’une authentification forte ; qu’il n’existe aucune défaillance technique ; que la société SBeghin a commis trois négligences graves, en autorisant un appareil qui ne lui appartenait pas à se connecter à son compte, en ne réagissant pas le 28 septembre 2023 à la notification d’une tentative de connexion à son compte qui ne provenait pas d’elle et en transmettant au fraudeur ses coordonnées personnelles ; que ces négligences graves excluent son droit à remboursement en application de l’article L. 133-19, V, du code monétaire et financier, qui institue un régime de responsabilité exclusif du droit commun selon lequel un prestataire de services de paiement est tenu d’un devoir de vigilance ; que le partage de responsabilité auquel a procédé le premier juge est juridiquement impossible.

La société SBeghin expose qu’en application des articles L. 133-19, IV, et L. 133-23, du code de commerce, c’est au prestataire de services de paiement qu’incombe la preuve que l’utilisateur qui nie avoir autorisé une opération de paiement n’a pas satisfait par négligence grave à ses obligations ; que le 28 septembre 2023, Mme [A] a été contactée par une personne se présentant comme un conseiller de la banque [C], à partir d’un numéro qui est bien celui de son service client, par spoofing, technique qui permet aux fraudeurs d’afficher un numéro de téléphone qui n’est pas le leur ; qu’une telle usurpation d’identité est de nature à exclure toute négligence grave ; que Mme [A] a immédiatement modifié son code d’accès, ce qui explique le second appel du fraudeur le 28 septembre 2023 à 21h52 ; que la qualification frauduleuse des appels du 28 septembre 2023 n’a été révélée par la société [C] que le 6 novembre 2023 ; que durant cinq semaines, aucune opération frauduleuse n’est intervenue sur le compte en cause, de sorte qu’elle ne pouvait pas soupçonner une compromission persistante ; que Mme [A] n’a jamais été avisée de l’enregistrement d’un appareil tiers sur son compte ; que le log informatique de la société [C] relatif à l’autorisation de cet appareil Chrome situé au Canada ne prouve pas son autorisation régulière ; que cet appareil ne figurait pas dans la liste des appareils autorisés accessible depuis l’application mobile, ce qui n’est pas conforme aux exigences de la deuxième directive sur les services de paiement, aucune possession valide de cet appareil n’étant démontrée ; que la preuve n’est pas rapportée de l’identification de l’appareil déjà autorisé à partir duquel l’appareil canadien aurait été enregistré ; qu’il n’est pas démontré que Mme [A] ait consciemment autorisé un terminal étranger, compris qu’elle validait un accès permanent, été alertée d’un risque persistant, ignoré des signaux d’alerte manifeste ; qu’aucune négligence grave n’est donc établie ; qu’il n’est pas établi non plus que chacune des opérations du 5 novembre 2023 a fait l’objet d’une authentification forte, ce qui est incompatible avec leur autorisation successive en quelques secondes ; qu’à supposer le mot de passe communiqué à l’occasion du spoofing du 28 septembre 2023, l’enregistrement de l’appareil Chrome ayant validé les opérations litigieuses a été opéré au même moment, si bien que le facteur de connaissance et le facteur de possession, procédant d’une compromission unique, n’étaient pas indépendants ; qu’il résulte du constat produit par la société [C] qu’au jour des opérations de paiement en cause, l’appareil Chrome les ayant validées n’avait pas le statut d’appareil autorisé, mais seulement d’appareil « en attente » ; que plusieurs déficiences techniques résultent des faits, savoir la validation d’opérations multiples en quelques secondes, l’utilisation d’un appareil Chrome situé au Canada dont le statut était seulement « en attente » dans l’application et le dépassement du plafond de 5 000 euros applicable aux cartes virtuelles ; qu’aucun partage de responsabilité n’est possible.

Réponse de la cour

Les articles L. 133-1 et suivants du code monétaire et financier constituent la transposition en droit interne de la directive n°2007/64/CE du 13 novembre 2007 concernant les services de paiement dans le marché intérieur, dite DSP 1 et de la directive (UE) 2015/2366 du 25 novembre 2015 du Parlement européen et du Conseil concernant les services de paiement dans le marché intérieur, dite DSP 2.

Selon l’article L. 133-3 du code monétaire et financier, applicable, aux termes de l’article L. 133-1 du même code, lorsque le paiement est réalisé en euros entre deux banques localisées dans l’Espace économique européen, une opération de paiement est une action consistant à verser, transférer ou retirer des fonds, indépendamment de toute obligation sous-jacente entre le payeur et le bénéficiaire, initiée par le payeur, ou pour son compte, ou par le bénéficiaire ; une telle opération peut être initiée par le payeur, qui donne un ordre de paiement à son prestataire de services de paiement.

La création d’une carte bancaire virtuelle d’un certain montant constitue une opération de paiement (Com, 18 janvier 2017, n°15-26.058).

Selon les articles L. 133-6 et L. 133-7, une opération de paiement est autorisée si le payeur a donné son consentement à son exécution sous la forme convenue avec le prestataire de services de paiement ; en l’absence d’un tel consentement, l’opération est réputée non autorisée.

Lorsque le payeur conteste être l’auteur d’une opération de paiement, celle-ci doit être considérée comme non autorisée, de sorte que la responsabilité du prestataire de services de paiement ne peut être recherchée que selon le régime de responsabilité défini aux articles L. 133-18 à L. 133-24 du code monétaire et financier, qui transposent les articles 58, 59 et 60, § 1, de la directive 2007/64/CE du Parlement européen et du Conseil du 13 novembre 2007, à l’exclusion de tout régime alternatif de responsabilité résultant du droit national (Com, 27 mars 2024, n° 22-21.200, publié).

Aux termes de l’article L. 133-18, en cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L. 133-24, le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement et s’il communique ces raisons par écrit à la Banque de France. (')

En cas de manquement du prestataire de services de paiement aux obligations prévues aux deux premiers alinéas du présent article, les pénalités suivantes s’appliquent :

1° Les sommes dues produisent intérêt au taux légal majoré de cinq points ;

2° Au-delà de sept jours de retard, les sommes dues produisent intérêt au taux légal majoré de dix points ;

3° Au-delà de trente jours de retard, les sommes dues produisent intérêt au taux légal majoré de quinze points.

Selon l’article L. 133-24, lorsque l’utilisateur de services de paiement est une personne physique agissant pour des besoins non professionnels, il signale, sans tarder, à son prestataire de services de paiement une opération de paiement non autorisée ou mal exécutée, en principe, au plus tard dans les treize mois suivant la date de débit, sous peine de forclusion.

Selon l’article L. 133-19, IV, le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17, soit celle de préserver la sécurité de ses données de sécurité et celle d’informer sans tarder le prestataire de services de paiement de toute perte vol ou détournement de ses moyens de paiement ou de ses données.

Lorsqu’une opération de paiement n’est pas autorisée et que le payeur a commis une négligence grave, il est privé du droit au remboursement des sommes versées, si bien que le juge ne peut opérer un partage de responsabilité avec le prestataire de services de paiement au motif que celui-ci a manqué à ses obligations contractuelles de vigilance et de surveillance des systèmes (Com, 15 janv. 2025, n° 23-13.579, publié).

L’article L. 133-16 dispose :

Dès qu’il reçoit un instrument de paiement, l’utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées.

Il utilise l’instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation qui doivent être objectives, non discriminatoires et proportionnées.

L’article L. 113-17 énonce :

I. ' Lorsqu’il a connaissance de la perte, du vol, du détournement ou de toute utilisation non autorisée de son instrument de paiement ou des données qui lui sont liées, l’utilisateur de services de paiement en informe sans tarder, aux fins de blocage de l’instrument, son prestataire ou l’entité désignée par celui-ci.

II. ' Lorsque le paiement est effectué par une carte de paiement émise par un établissement de crédit, une institution ou un service mentionné à l’article L. 518-1 et permettant à son titulaire de retirer ou de transférer des fonds, il peut être fait opposition au paiement en cas de procédure de redressement ou de liquidation judiciaires du bénéficiaire tant que le compte du prestataire de services de paiement du bénéficiaire n’a pas été crédité du montant de l’opération de paiement.

Aux termes de l’article L. 133-19, V, sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si l’opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement du payeur n’exige une authentification forte du payeur prévue à l’article L. 133-44.

L’article L. 133-23 du code monétaire et financier dispose :

Lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre.

L’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière. Le prestataire de services de paiement, y compris, le cas échéant, le prestataire de services de paiement fournissant un service d’initiation de paiement, fournit des éléments afin de prouver la fraude ou la négligence grave commise par l’utilisateur de services de paiement.

L’article L. 133-4, f), dispose :

f) Une authentification forte du client s’entend d’une authentification reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories « connaissance » (quelque chose que seul l’utilisateur connaît), « possession » (quelque chose que seul l’utilisateur possède) et « inhérence » (quelque chose que l’utilisateur est) et indépendants en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d’authentification.

Selon l’article L. 133-44, I, le prestataire de services de paiement est tenu d’appliquer une telle authentification forte lorsque le payeur accède à son compte de paiement en ligne, initie une opération de paiement électronique ou exécute une opération par le biais d’un moyen de communication à distance, susceptible de comporter un risque de fraude en matière de paiement ou de toute autre utilisation frauduleuse.

Il résulte des articles L. 133-19, IV, et L. 133-23 précités que, s’il entend faire supporter à l’utilisateur d’un instrument de paiement doté d’un dispositif de sécurité personnalisé les pertes occasionnées par une opération de paiement non autorisée rendue possible par un manquement de cet utilisateur, intentionnel ou par négligence grave, aux obligations mentionnées aux articles L. 133-16 et L. 133-17 de ce code, le prestataire de services de paiement doit aussi prouver que l’opération en cause a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre (Com, 12 nov. 2020, n°19-12.112, publié ; Com, 20 nov. 2024, n°23-15.099, publié ; Com, 30 avril 2025, n°24-10.149, publié).

Autrement dit, pour l’application du IV et du V de l’article L. 133-19, lorsqu’une authentification forte n’a pas été réclamée par le prestataire de services de paiement au client alors qu’elle était nécessaire, le juge n’a pas à rechercher si ce dernier a commis une négligence grave, et le payeur ne supporte aucune conséquence financière (voir notamment Com, 30 août 2023, n°22-11.707, publié).

Il est constant que, le 5 novembre 2023, à partir du compte de la société SBeghin, onze cartes bancaires virtuelles ont été créées et immédiatement utilisées, ce qui a entraîné un débit d’un montant total de 90 700 euros, outre la facturation à la société SBeghin de frais d’un montant total de 28,80 euros.

Les parties s’accordent sur le fait que ces opérations de paiement, que la société SBeghin nie avoir initié, n’étaient pas autorisées.

Il convient donc de rechercher si la preuve est rapportée par le prestataire de services de paiement de ce que chacune de ces opérations a fait l’objet d’une authentification forte, de ce qu’il n’existe pas de déficience technique et, en cas de réponse affirmative à ces deux questions, de ce que la société SBeghin a commis une négligence grave.

Il est constant que les opérations de paiement litigieuses ont été validées à partir d’un appareil informatique « Chrome » rattaché au compte de la société SBeghin le 28 septembre 2023, dont la possession était l’un des éléments de l’authentification qui les a précédés. Selon le constat dressé le 23 mai 2024 à la requête de la société [C] à partir de l’interface de back office accessible à ses seuls préposés (sa pièce 1), cet appareil était identifié sous le numéro 2c3d3664-706a-48da-9b0b-f494222b2d97.

Il résulte de ce même constat, pages 19, que, comme le relève l’intimée, cet appareil localisé au Canada figurait encore, plus de six mois après les transactions contestées, dans la liste des appareils connectés rattachés au compte de la société SBeghin non sous le statut d’appareil accepté, mais sous le statut d’appareil « en attente » ; à la fin de la ligne relative à cet appareil, un bouton « Examiner la demande » invitait manifestement les préposés de la société [C] à valider manuellement ce rattachement.

Selon le constat dressé le 5 novembre 2024 à la requête de la société [C], page 41, l’appareil en question était toujours classé comme « en attente ».

D’où il résulte que, comme le soutient l’intimée, au jour des opérations litigieuses, la société [C] n’avait pas vérifié que l’appareil Chrome était en possession de sa cliente.

La cour en déduit que les opérations litigieuses n’ont pas été précédées d’une authentification par l’élément appartenant à la catégorie possession prétendu.

Il n’est pas allégué par le prestataire de services de paiement qu’un élément appartenant à la catégorie inhérence, tel qu’une empreinte digitale, ait été employé pour valider les opérations en cause.

De là résulte qu’en admettant même qu’un élément de la catégorie connaissance, à savoir un mot de passe, ait été fourni par les fraudeurs, ces opérations ne peuvent être considérées comme ayant été précédées d’une authentification forte.

De surcroît, la validation de ces opérations à partir d’un appareil qui n’était pas encore considéré comme valablement rattaché au compte du payeur constitue, comme l’intimée le soutient à juste titre, une déficience technique imputable au système informatique du prestataire de services de paiement.

Il résulte de ce qui précède qu’en application de l’article L. 133-18 précité du code de commerce, le prestataire de services de paiement est tenu à remboursement intégral, ce qui implique l’infirmation du jugement entrepris en toutes ses dispositions.

Il est constant que la société [C] a été avisée de la fraude le 6 novembre 2023.

La somme de 97 728,80 euros portera donc intérêts selon les modalités prévues à l’article L. 133-18 du code de commerce (taux légal majoré de cinq points, puis de dix points, puis de quinze points) à compter du 7 novembre 2023.

Sur les demandes accessoires

L’équité commande d’allouer à l’intimée l’indemnité de procédure prévue au dispositif.

PAR CES MOTIFS,

la cour, statuant contradictoirement,

Infirme le jugement entrepris en toutes ses dispositions ;

Statuant à nouveau,

Condamne la société [C] France à payer à la société SBeghin la somme de 97 728,80 euros, avec intérêts calculés selon les modalités prévues à l’article L. 133-18 du code de commerce à compter du 7 novembre 2023 ;

Condamne la société [C] France aux dépens de première instance et d’appel ;

Condamne la société [C] France à payer à la société SBeghin la somme de 2 000 euros au titre des frais non compris dans les dépens.

— prononcé publiquement par mise à disposition de l’arrêt au greffe de la cour, les parties en ayant été préalablement avisées dans les conditions prévues au deuxième alinéa de l’article 450 du code de procédure civile.

— signé par Monsieur Ronan GUERLOT, Président, et par Madame Françoise DUCAMIN, Greffière, auquel la minute de la décision a été remise par le magistrat signataire.

LA GREFFIÈRE LE PRÉSIDENT,