Copie aux demandeurs : 2 Copie aux défendeurs : 2

REPUBLIQUE FRANCAISE

AU NOM DU PEUPLE FRANCAIS

TRIBUNAL DES ACTIVITES ECONOMIQUES DE PARIS

CHAMBRE 1-2

JUGEMENT PRONONCE LE 19/05/2026 Par sa mise à disposition au Greffe

RG 2024072763

ENTRE :

SAS SERVIPROS DU MIDI, dont le siège social est [Adresse 1] – RCS B 798514352 Partie demanderesse : assistée de M^e Katia DEBAY, avocat et comparant par la SELARL Eric Noual Nicolas Duval, avocat (P493)

ET :

Société de droit portugais CAIXA GERAL DE DEPOSITOS, dont le siège social est [Adresse 2] – RCS B 306927393 Partie défenderesse : assistée de la SELAS CLOIX & MENDES GIL – Maître Sébastien MENDES GIL et comparant par L’AARPI TREHET AVOCATS ASSOCIES – Maître Virginie TREHET, avocat (J119)

APRES EN AVOIR DELIBERE

Les faits – Objet du litige

Monsieur [B] [S] en sa qualité de gérant de la société Servipros du Midi (ciaprès Servipros) est titulaire d’un compte bancaire à la société Caixa Geral de Dépositos (ciaprès Caixa ou la banque).

Le 26 février 2024 à 14h16 Monsieur [S] aurait reçu un appel téléphonique du service fraude du Crédit Agricole qui lui aurait fait part de mouvements suspects sur son compte en provenance de la Côte d’Ivoire.

Monsieur [S] n’aurait pas communiqué ses coordonnées bancaires et n’aurait pas reçu de code sur son téléphone portable.

Le même jour à 14h37 il a adressé un courriel au Directeur et au Directeur adjoint de l’agence de la Caixa indiquant qu’il était victime d’une tentative de fraude.

Monsieur [S] a fait opposition à l’utilisation de sa carte le 27 février 2024 et a déposé une plainte au commissariat de police de [Localité 1].

Plusieurs débits frauduleux seraient intervenus pour un montant total de 5702,65 € sur le compte de la demanderesse.

Servipros a demandé le remboursement des opérations contestées.

Par courrier du 7 mai 2024 la banque a refusé.

Insatisfaite des explications fournies Servipros a assigné la banque pour demander le remboursement des opérations contestées.

C’est ainsi qu’est né le litige.

Procédure

Par acte signifié à personne en date du 25/10/2024 en application des articles 654 et 658, la SAS SERVIPROS DU MIDI assigne la SC CAIXA GERAL DE DEPOSITOS

Par cet acte et à l’audience en date du 7 juillet 2025 la SAS SERVIPROS DU MIDI demande au tribunal, dans le dernier état de ses prétentions, de :

Vu les articles L133-18 ; L 133-19 et L 133-23 du Code Monétaire et Financier : – CONDAMNER la société CAIXA GERAL DE DEPOSITOS à verser un montant de 5.702,65 euros à la société SERVIPROS DU MIDI, avec intérêts légaux à compter de la délivrance de la présente assignation,

CONDAMNER la société CAIXA GERAL DE DEPOSITOS à verser un montant de 5.000 € à titre de dommages et intérêts à la société SERVIPROS DU MIDI suite au préjudice moral subi,

CONDAMNER la société CAIXA GERAL DE DEPOSITOS à verser un montant de 4.000 € à la société SERVIPROS DU MIDI en application de l’article 700 du CPC,

* JUGER n’y avoir lieu à écarter l’exécution provisoire,

* CONDAMNER la société CAIXA GERAL DE DEPOSITOS en tous les dépens.

A l’audience du 27 octobre 2025 la SC CAIXA GERAL DE DEPOSITOS demande au tribunal, dans le dernier état de ses prétentions, de :

Vu les pièces versées aux débats,

Vu les articles L. 133-1 et suivants du Code Monétaire et Financier,

Vu les articles L. 133-18, L 133-19, L 133-16 et L 133-17 du Code Monétaire et Financier, Vu la jurisprudence citée,

DECLARER la société CAIXA GERAL DE DEPOSITOS recevable et bien

fondée en ses prétentions ;

En conséquence,

1. A TITRE PRINCIPAL :

DIRE et JUGER que les opérations litigieuses du 26 et 27 février 2024 sont des opérations de paiement autorisées et que la société SERVIPROS DU MIDI ne peut se prévaloir de l’article L 133-18 du Code Monétaire et Financier;

à tout le moins, DIRE ET JUGER que ces opérations ont été dûment enregistrée et comptabilisée au moyen d’un dispositif d’authentification forte, et n’ont pas été affectées par une déficience technique ;

en conséquence, DEBOUTER la société SERVIPROS DU MIDI de sa demande visant à voir la société CAIXA GERAL DE DEPOSITOS condamnée à lui verser la somme de 5.702,65 euros avec intérêts légaux au titre de son préjudice financier et la somme de 5.000 euros au titre de son préjudice moral;

2. A TITRE SUBSIDIAIRE :

DIRE et JUGER que société SERVIPROS DU MIDI a commis une négligence grave en ne préservant pas la sécurité de ses données de sécurité personnalisées et confidentielles et en n’utilisant pas l’instrument de paiement mis à sa disposition conformément aux conditions qui régissent sa délivrance et son utilisation ; en conséquence, DEBOUTER la société SERVIPROS DU MIDI de sa demande visant à voir la société CAIXA GERAL DE DEPOSITOS condamnée à lui verser la somme de 5.702,65

euros avec intérêts légaux au titre de son préjudice financier et la somme de 5.000 euros au titre de son préjudice moral;

3. EN TOUT ETAT DE CAUSE DEBOUTER la société SERVIPROS DU MIDI de l’intégralité de ses demandes, fins et conclusions ; CONDAMNER la société SERVIPROS DU MIDI à verser à la société CAIXA GERAL DE DEPOSITOS la somme de 3.500 euros au titre de l’article 700 du Code de procédure civile ; CONDAMNER la société SERVIPROS DU MIDI à supporter la charge des entiers dépens.

L’ensemble de ces demandes a fait l’objet d’un dépôt de conclusions. Celles-ci ont été échangées en présence d’un greffier qui les a visées.

L’affaire a été confiée à l’examen d’un juge chargé d’instruire l’affaire et les parties ont été convoquées à son audience du 23 mars 2026 à laquelle toutes se présentent.

A l’audience du 23 mars 2026 le juge chargé d’instruire l’affaire, après avoir entendu les parties en leurs explications et observations a clos les débats, mis l’affaire en délibéré et dit que le jugement sera prononcé par sa mise à disposition au greffe le 19 mai 2026, selon les dispositions de l’article 450 alinéa 2 du code de procédure civile.

Moyens des parties

Après avoir pris connaissance de tous les moyens et arguments développés par les parties, tant dans leurs plaidoiries que dans leurs écritures, appliquant les dispositions de l’article 455 du code de procédure civile, le tribunal les résumera succinctement de la façon suivante :

Servipros fait valoir,

* Au visa de l’article L133-18 du code monétaire et financier, en cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L133-24, le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé.

* Au visa des articles L 133-19 et L 133-23 du même code il incombe au prestataire de service de paiement de rapporter la preuve que l’utilisateur qui nie avoir autorisé une opération de paiement a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence grave à ses obligations, et que cette preuve ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été utilisées.

* Monsieur [S] a fait opposition à l’utilisation de sa carte bancaire le 27 février 2024 (pièce n°7) la banque en a accusé réception le même jour (pièce n°11). Monsieur [S] a déposé une plainte au commissariat de police de [Localité 1] et il en a adressé une copie à la banque (pièces n°3 6 7 et 8),

Pourtant des débits frauduleux sont intervenus les 26 et 27 février 2024 pour une somme totale de 5702,65 euros (pièce n°4 et 8).

* Un tiers a réussi à s’introduire dans le système, soit par le biais d’un « Spyware » (logiciel espion), soit par le biais d’un « formjacking », et la négligence grave ne peut être invoquée pour refuser le remboursement.

* Monsieur [S] n’a reçu aucun SMS de la banque et la pièce n°6 de la défenderesse visant à prouver que les paiements ont fait l’objet d’une authentification forte n’est pas probante.

La banque réplique,

* Au visa de l’article L 133-6 du code monétaire et financier, une opération de paiement est autorisée si le payeur a donné son consentement à son exécution.

* Au visa de l’article L133-7 du CMF le consentement est donné sous la forme prévue entre le payeur et son prestataire et en l’espèce chaque opération a été autorisée dans la forme convenue.

* Le consentement du client lors de ses opérations de paiement est systématiquement protégé par un système d’authentification forte.

* Au visa de l’article L133-23 il incombe au prestataire de prouver que l’opération litigieuse a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique, ce que prouve la banque

* La banque produit le relevé technique des opérations litigieuses qui démontre que toutes les opérations ont fait l’objet d’une authentification forte (association du code d’identification du téléphone avec le code secret du client et le code éphémère 3D Secure attribué à l’opération) et les opérations litigieuses sont des opérations autorisées (pièce n°6).

* Monsieur [S] prétend que son téléphone et son ordinateur ont été piratés mais il n’établit pas que les paiements concernés sont des opérations non autorisées ; le demandeur ne peut se prévaloir de l’article L133-18 du code monétaire et financier pour demander le remboursement.

* Au visa de de l’article L133-16-2 du CMF, le payeur doit utiliser l’instrument de paiement conformément aux conditions régissant sa délivrance et son autorisation ; bien que le demandeur n’ait pas communiqué précisément les détails de ses échanges avec les fraudeurs il a fait preuve de négligence grave en communiquant des données personnelles confidentielles et en validant des paiements d’origine inconnue.

Sur ce, le tribunal

Servipros expose que le 26 février 2024 à 14h16 Monsieur [S] aurait reçu un appel téléphonique du service fraude du Crédit Agricole qui lui a fait part de mouvements suspects sur son compte en provenance de la Côte d’Ivoire.

Le même jour à 14h37 il a adressé un courriel au Directeur et au Directeur adjoint de l’agence de la banque indiquant qu’il était victime d’une tentative de fraude (pièce Servipros n°2).

Mr [S] a fait opposition à l’utilisation de sa carte bancaire dès le 27 février 2024 (pièce Servipros n°7).

Il a constaté sur son relevé de compte 9 opérations frauduleuses et les frais afférents à chaque opération en date des 26 et 27 février 2024 pour un montant total de 5702,65€ (pièces Servipros n° 4 et 8).

Mr [S] a indiqué qu’il était resté en possession de sa carte bancaire et qu’il n’avait fourni ni code d’accès ni identifiant bancaire à qui que ce soit.

Mr [S] a déposé une plainte au commissariat de police de [Localité 1] le 4 avril 2024 dont il a adressé une copie à la banque (pièces Servipros n°6 et 8).

Au visa de l’article L133-18 du code monétaire financier et des articles L 133-19 et L 133-23 du même code, Servipros demande le remboursement de la somme de 5702,65€, le montant des opérations litigieuses.

La banque explique que lors des opérations de paiement en ligne par carte bancaire le consentement de ses clients est protégé par un système de double authentification forte qui repose sur le dispositif suivant :

* le client insère sur le site de paiement les coordonnées bancaires confidentielles (numéro de carte, cryptogramme, date d’expiration),

* un SMS reprenant tous les détails de l’opération et contenant un code « 3D Secure » à usage unique est adressé sur le téléphone portable du client,

* le client valide l’opération par la saisie 1) de son code personnel de sécurité et 2) du code OTP « 3D Secure » reçu de la banque par SMS.

La banque communique le relevé technique des opérations litigieuses transmise par son prestataire de back office, qui démontre que toutes les opérations validées ont fait l’objet d’une authentification forte avec double authentification (mot de passe confidentiel et code « 3D Secure » reçu de la banque par SMS) transmise par le téléphone dont le n° est celui fourni par Mr [S] (pièce banque n°6).

Le document démontre que la fraude est intervenue en deux occurrences, 1) le 25 février 2024 entre 11h22 et 11h44, 6 opérations libellées en francs CFA (XOF), 2) le 26 février 2024 entre 12h34 et 12h44, 3 opérations libellées en francs CFA (XOF),

La banque expose que Monsieur [S] a permis la réalisation de la fraude en validant chaque étape du processus de fraude par authentification forte avec son téléphone portable, dès lors ces opérations ont été dûment enregistrées et comptabilisées au moyen d’un dispositif d’authentification forte, n’ont pas été affectées par une déficience technique et elles constituent des opérations autorisées.

Sur la demande en remboursement de Servipros

Droit applicable

Les articles L133-6 et L133-7 du code monétaire et financier, disposent : « une opération de paiement est autorisée si le payeur a donné son consentement à son exécution. »,

« le consentement est donné sous la forme convenue entre le payeur et son prestataire de services de paiement… En l’absence d’un tel consentement, l’opération ou la série d’opérations de paiement est réputée non autorisée. »

L’article L133-16 dudit code dispose que, « Dès qu’il reçoit un instrument de paiement, l’utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées. »

Au visa des dispositions de l’article L133-23 du même code, « Lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre.

L’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été

autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière… ».

Aux termes de l’article L133-19 II et IV, « La responsabilité du payeur n’est pas engagée si l’opération de paiement non autorisée a été effectuée en détournant, à l’insu du payeur, l’instrument de paiement ou les données qui lui sont liées.

Le payeur supporte par contre toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17. ».

Application aux faits de l’espèce

Au visa des articles L133-19 II et IV L133-23du code monétaire et financier pour échapper au remboursement de l’opération contestée, le prestataire de services de paiement doit démontrer, soit que l’ordre émanait bien du client dûment authentifié soit que le vol des identifiants de connexion n’est que la conséquence d’une faute grave de sa part consistant à ne pas avoir satisfait intentionnellement aux obligations lui incombant en la matière ou à les avoir gravement négligées.

En l’espèce Mr [S] a contesté 9 opérations carte bancaire et les frais afférents débités par la banque sur son compte les 26 et 27 février 2024 pour un total de 5702,65 euros.

La banque verse au débat le relevé technique des opérations litigieuses (pièce banque n°6). Ces éléments issus du système informatique de la Caixa sont les seuls justificatifs dont peut valablement disposer la banque.

Ce document fait apparaître 9 opérations litigieuses validées les 25 février 2024 et 26 février 2024 :

Une première série d’opérations de paiement est intervenue le 25 février 2024, dans un intervalle de 22 minutes, entre 11h22 et 11h44 :

* Une 1ère opération de paiement intervenue à 11h22 intitulée « 2116476431 » d’un montant de 703.358 Francs CFA (« XOF »), soit 1.072,26 euros ;

* Une 2nde opération de paiement intervenue à 11h25 intitulée « 2116477301 » d’un montant de 703.358 Francs CFA (« XOF »), soit 1.072,26 euros ;

* Une 3ème opération de paiement intervenue à 11h28 intitulée « 2116477931 » d’un montant de 703.358 Francs CFA (« XOF »), soit 1.072,26 euros ;

* Une 4ème opération de paiement intervenue à 11h30 intitulée « 2116478761 » d’un montant de 349.877 Francs CFA (« XOF »), soit 533,38 euros ;

* Une 5ème opération de paiement intervenue à 11h42 intitulée « 2116512061 » d’un montant de 175.404 Francs CFA (« XOF »), soit 267,40 euros ;

* Une 6ème opération de paiement intervenue à 11h44 intitulée « 2116512531 » d’un montant de 175.404 Francs CFA (« XOF »), soit 267,40 euros ;

Une seconde série d’opérations de paiement est intervenue le 26 février 2024, entre 11h09 et 12h40 :

* Une 7ème opération de paiement intervenue à 11h09 intitulée « 2117809531 » d’un montant de 349.877 Francs CFA (« XOF »), soit 533,38 euros ;

* Une 8ème opération de paiement intervenue à 12h36 intitulée « 2117953031 » d’un montant de 500 euros ;

* Une 9ème opération de paiement intervenue à 12h40 intitulée « 2117954671 » d’un montant de 175.362 Francs CFA (« XOF »), soit 267,34 euros ;

Il ressort de ce document que les neuf opérations ont été validées sur le téléphone portable de Monsieur [S]. Numéro 06 xx xx xx 02 et le tribunal relève que Mr [S] n’a pas déclaré de perte ou de vol de son téléphone portable enregistré par la banque, pas plus qu’il n’a contesté que le terminal visé dans ces relevés correspond à celui qu’il utilise actuellement.

Monsieur [S] conteste la réception de tout SMS sur son portable or l’historique informatique produit par la banque confirme que les 9 paiements frauduleux ont tous été validés par saisie de son code personnel connu de lui seul et du code « 3D Sécure », code éphémère, envoyé par la banque sur son numéro du téléphone portable excluant toute défaillance technique du système de sécurité.

Il résulte de ces éléments que les 9 opérations litigieuses ont bien fait l’objet d’une authentification forte depuis le téléphone portable de Monsieur [S] et ont donc été validées par ce dernier.

Dès lors les opérations litigieuses doivent être considérées comme autorisées au sens de l’article L133-6 du code monétaire et financier mais il convient de rechercher si Monsieur [S] peut se voir reprocher une négligence grave au sens des articles L 133-16 et suivant du code financier.

Le tribunal observe qu’au vu des éléments communiqués par la banque Mr [S] a nécessairement respecté les instructions données par le fraudeur et a saisi son code personnel de sécurité et son code « 3D Sécure » transmis par SMS, et ceci à 6 reprises en 20 minutes le 25 février 2024, puis à 3 reprises en huit minutes le 26 février 2026, validant ainsi les neuf opérations litigieuses et qu’il n’en a informé la banque que le 26 février 2024 et non le jour même de la première occurrence de fraude comme il l’a prétendu.

Il résulte de ces éléments que seule la validation répétée successive des 9 opérations par Mr [S] a permis de finaliser la fraude et le tribunal en déduira qu’il n’a pas pris toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et en conséquence le tribunal déboutera Servipros de sa demande de remboursement.

Sur l’article 700 du CPC et les dépens

Le tribunal constatera qu’en l’espèce l’équité commande de ne pas faire application de l’article 700 ;

Sur les dépens

Les dépens seront mis à la charge de Servipros qui succombe ;

PAR CES MOTIFS

Le tribunal statuant en premier ressort par jugement contradictoire,

* Déboute la SAS SERVIPROS DU MIDI de toutes ses demandes ;

* Constate qu’en l’espèce l’équité commande de ne pas faire application de l’article 700 ;

* Condamne la SAS SERVIPROS DU MIDI aux dépens, dont ceux à recouvrer par le greffe, liquidés à la somme de 67,40 € dont 11,02 € de TVA.

En application des dispositions de l’article 871 du code de procédure civile, l’affaire a été débattue le 23 mars 2026, en audience publique, devant M. Oliver de Coussemaker, juge chargé d’instruire l’affaire, les représentants des parties ne s’y étant pas opposés.

Ce juge a rendu compte des plaidoiries dans le délibéré du tribunal, composé de :

M. Henri de Quatrebarbes, M. Olivier de Coussemaker et M^me Laurence Stoclet

Délibéré le 31 mars 2026 par les mêmes juges.

Dit que le présent jugement est prononcé par sa mise à disposition au greffe de ce tribunal, les parties en ayant été préalablement avisées lors des débats dans les conditions prévues au deuxième alinéa de l’article 450 du code de procédure civile.

La minute du jugement est signée par M. Henri de Quatrebarbes, président du délibéré et par M^me Luci Furtado Borges, greffière.

Le greffière

Le président.