JUGEMENT DU : 08 octobre 2025

DOSSIER : N° RG 24/02558 – N° Portalis DB2Q-W-B7I-FZRO

AFFAIRE : [F] c/ Société CARREFOUR BANQUE ET ASSURANCES

MINUTE : 25/

TRIBUNAL JUDICIAIRE D’ANNECY

Chambre civile

LE JUGE : Madame SOULAS, Vice-Présidente du Tribunal Judiciaire d’Annecy

GREFFIER : Monsieur CHARTIN, Greffier

Statuant publiquement, au nom du peuple français, par décision mise à disposition au greffe, contradictoire et en premier ressort,

DEMANDERESSE

Madame [L] [F] épouse [G]

née le [Date naissance 2] 1957 à [Localité 8]

[Adresse 5]

[Adresse 5]

[Localité 4]

représentée par M^e Agnès UNAL, avocat au barreau d’ANNECY – 49 substitué par M^e Laetitia BLANC, avocat au barreau de BONNEVILLE – 49

DÉFENDERESSE

Société CARREFOUR BANQUE ET ASSURANCES

[Adresse 1]

[Localité 6]

représentée par M^e Dominique PENIN, avocat au barreau de PARIS substitué par M^e Florence CHERON, avocat au barreau d’ANNECY – 2

L’affaire est venue pour être plaidée à l’audience du 17 Septembre 2025 devant lors de laquelle les parties ont été informées que le jugement mis en délibéré serait rendu le 08 octobre 2025.

Expéditions le :

Copie exécutoire

à :

FAITS ET PROCEDURE

Mme [L] [F] épouse [G] est titulaire d’un compte bancaire de crédit renouvelable n°[XXXXXXXXXX03] avec carte PASS ouvert depuis 2009 auprès de la SA CARREFOUR BANQUE.

Le 23 août 2023 au soir, elle a été victime d’une fraude au faux conseiller bancaire, à la suite de quoi elle a constaté que cinq débits d’un montant total de 6.296,80 euros avaient été réalisés sur son compte. Elle a contesté ces transactions auprès de la banque dès le lendemain et sollicité le remboursement des sommes frauduleusement prélevées, ce que la banque a refusé.

Le 20 octobre 2023, Mme [L] [F] épouse [G] a fait un signalement en ligne auprès de la gendarmerie pour utilisation frauduleuse de sa carte bancaire. Elle a également saisi le médiateur de l’ASF qui a informé la cliente par courrier du 26 janvier 2024 de la clôture du dossier faute d’accord avec sa proposition.

Par acte d’huissier en date du 23 décembre 2024, Mme [L] [F] épouse [G] a fait assigner la SA CARREFOUR BANQUE en remboursement des prélèvements frauduleux.

L’affaire a été appelée à l’audience du 22 janvier 2025 et renvoyée à plusieurs reprises pour échanges contradictoire de conclusions et pièces entre les parties.

A l’audience de plaidoirie du 17 septembre 2025, chacune des parties est représentée par son conseil qui s’en remet à ses écritures et dépose son dossier.

La décision a été mise en délibéré au 8 octobre 2025.

PRETENTIONS ET MOYENS DES PARTIES

Dans ses conclusions en réponse, Mme [L] [F] épouse [G] demande au tribunal, sur le fondement des articles 1927 et 1937 du code civil, L133-18 et suivants, L561-6 du code monétaire et financier, de :

dire et juger que la SA CARREFOUR banque a engagé sa responsabilité contractuelle à son égard,condamner la SA CARREFOUR BANQUE à lui rembourser la somme de 6.296,80 euros en remboursement des sommes frauduleusement débitées, outre intérêts au taux légal majoré de 15 points, et ce à compter du 25 août 2023, 1er jour ouvrable suivant le débit frauduleux,condamner la SA CARREFOUR BANQUE à lui verser la somme de 600 euros de dommages et intérêts en réparation de son préjudice moral,condamner la SA CARREFOUR BANQUE à lui verser la somme de 2.000 euros en application des dispositions de l’article 700 du code civil, ainsi qu’aux entiers dépens.

Au soutien de ses prétentions, elle explique qu’elle a été contactée en soirée par un individu qui s’est présenté comme étant un conseiller du service anti-fraude de la banque, son interlocuteur lui précisant qu’une fraude sur ses comptes étaient en cours et qu’il fallait agir vite pour les bloquer. Elle indique avoir été mise en confiance par son interlocuteur, qui connaissait son identité, son identifiant et le mot de passe permettant d’accéder à son compte, alors même que seule la banque détenait ces informations. Elle ajoute qu’il l’a également mise sous pression lui disant qu’il fallait agir vite et qu’il la rappellerait le lendemain pour vérifier que les paiements avaient bien été annulés. Elle affirme que c’est en se rendant à CARREFOUR le lendemain pour avoir des explications qu’elle a appris que cinq prélèvements avaient été faits sur son compte entre 21h07 et 9h08.

Elle déclare que malgré la contestation de ces prélèvements frauduleux et ses multiples demandes, la banque la banque a refusé de lui rembourser ces sommes.

Elle rappelle que la banque est responsable de plein droit des virements qu’elle exécute sur la base d’un faux ordre, et qu’il doit rembourser à son client les fonds frauduleusement virés, sauf à démontrer la négligence grave de ce dernier, qui n’est pas caractérisée par l’utilisation du code associé à la carte. Elle rappelle que la banque a également un devoir de vigilance au regard des irrégularités et anomalies constatées sur le compte.

Elle conteste toute négligence grave de sa part, rappelant que l’escroc s’est fait passer pour service anti-fraude de la banque, qu’elle n’avait aucun moyen de vérifier le numéro de téléphone de son interlocuteur, ne connaissant aucun numéro des agents de CARREFOUR BANQUE et ne pouvant joindre celle-ci au regard de l’heure, qu’au surplus, elle a cru légitimement qu’elle était en ligne avec un véritable conseiller, puisqu’il était déjà en possession de son identité, de son identifiant et du code d’accès à son compte, relevant qu’elle n’a communiqué aucune information personnelle ou confidentielle. Elle ajoute que la banque aurait dû être alertée par ces prélèvements rapprochés dans le temps, effectués à une heure tardive, tous supérieurs à 500 euros, ce qui est totalement inhabituel sur son compte, et que son système de sécurité était défaillant.

Elle soutient que c’est à la banque de démontrer l’existence d’une négligence grave de sa part, ce qu’elle ne fait pas, qu’elle-même a respecté son obligation de signaler rapidement à la banque la fraude dont elle a été victime, soutenant que le délai de 13 mois prévu par la loi s’applique à ce signalement et non à l’action en justice.

Elle ajoute que le refus de la banque de lui rembourser les sommes prélevées frauduleusement sur son compte justifie l’application du taux majoré prévu par la loi, ainsi que l’indemnisation du préjudice supplémentaire subi du fait des multiples démarches auprès de la banque, du médiateur pour faire respecter ses droits, précisant qu’elle a été très affectée d’avoir été considérée comme responsable par la banque, alors même qu’elle est âgée de 76 ans.

*

Dans ses conclusions n°1, la SA CARREFOUR BANQUE demande au tribunal de :

à titre principal,

déclarer Mme [G] irrecevables en ses demandes comme forcloses,

à titre subsidiaire,

constater que les transactions contestées par Mme [G] ont été authentifiées et validées par le téléphone portable de Mme [G] par le biais d’un système d’authentification forte fourni par Carrefour Banque,constater la négligence grave de Mme [G],débouter Mme [G] de l’intégralité de ses demandes à toutes fins qu’elles comportent,

en tout état de cause,

débouter à tout le moins Mme [G] de sa demande de dommages et intérêts,écarter l’exécution provisoire en faveur de Carrefour Banque,condamner Mme [G] à lui payer la somme de 2.000 euros au titre de l’article 700 du code civil, ainsi qu’aux entiers dépens.

La banque fait valoir que sa cliente n’a pas respecté le délai de 13 mois prévu par l’article 133-24 du code monétaire et financier et qu’elle est donc irrecevable à agir. Elle rappelle la position de la Cour de justice de l’Union européenne qui estime que ces dispositions s’opposent à ce qu’un régime de responsabilité autre que celui enfermé dans ce délai de 13 mois soit ouvert à l’utilisateur de paiement, position confirmée par la jurisprudence, qui retient que le délai de 13 mois enferme le délai de signalement mais également le délai d’action du demandeur.

Subsidiairement, elle affirme que les opérations de paiement litigieuses ont été autorisées par Mme [G], par le biais d’un système de sécurité « Clé Secure » qui authentifie de manière forte chaque opération, lequel était actif au moment des paiements, puisque l’enrôlement de la carte PASS dans le système a été effectuée le 23 août 2023 à 18h06. Elle explique que cet enrôlement nécessite que le client se connecte à son espace personnel avec son identifiant et son mot de passe personnel, qu’il est ensuite confirmé par un code envoyé sur le téléphone du client. Elle soutient que ce code, dont la validité est de 3 minutes, a été transmis par Mme [G] puisque l’enrôlement de sa clé a été effectué avec succès.

Elle ajoute que son système « Clé Secure » dispose d’une double authentification forte comme l’exige la loi, puisqu’à chaque opération de paiement, le client reçoit une notification détaillée de l’opération à valider sur son téléphone et doit composer un code PIN qu’il est le seul à connaître, affirmant que les opérations litigieuses des 23 et 24 août 2023 ont toutes été validées par Mme [G], sur son téléphone qu’elle a toujours conservé avec elle.

Elle considère que même si Mme [G] n’avait pas autorisé ces opérations, elle ne peut pas pour autant obtenir le remboursement des paiements, en ce que le numéro de téléphone utilisé par le faux conseiller bancaire ne correspondent à aucun des numéros utilisés par la banque, de sorte qu’il ne s’agit pas d’un « spoofing ». Elle ajoute que la cliente a par ailleurs commis des négligences graves, en suivant les instructions d’un parfait inconnu, poursuivant longuement sa conversation téléphonique le soir puis le lendemain matin, sans réaliser aucune vérification auprès de la banque. Elle relève qu’elle sensibilise continuellement ses clients au risque de fraude en leur délivrant des guides de bonnes pratiques, ce que Mme [G] ne pouvait ignorer.

Elle estime qu’au regard de ces éléments, sa responsabilité contractuelle ne saurait être engagée.

Elle termine en déclarant que Mme [G] est mal fondée à demander l’indemnisation d’un préjudice en plus du remboursement des sommes réclamées, dès lors que celui-ci résulte de l’escroquerie par un tiers dont elle a été victime et non des agissements de la banque.

MOTIVATION DE LA DECISION

Sur la fin de non-recevoir tirée de la forclusion

Aux termes de l’article 122 du code de procédure civile, constitue une fin de non-recevoir tout moyen qui tend à faire déclarer l’adversaire irrecevable en sa demande, sans examen au fond, pour défaut de droit d’agir, tel le défaut de qualité, le défaut d’intérêt, la prescription, le délai préfix, la chose jugée.

Selon les dispositions de l’article L133-24 alinéa 1 du code monétaire et financier, l’utilisateur de services de paiement signale, sans tarder, à son prestataire de services de paiement une opération de paiement non autorisée ou mal exécutée et au plus tard dans les treize mois suivant la date de débit sous peine de forclusion à moins que le prestataire de services de paiement ne lui ait pas fourni ou n’ait pas mis à sa disposition les informations relatives à cette opération de paiement conformément au chapitre IV du titre 1er du livre III.

Il est constant que la responsabilité d’un prestataire de services de paiement recherchée en raison d’une opération de paiement non autorisée ou mal exécutée, est soumise au régime spécial de responsabilité défini aux articles L.133-18 à L.133-24 du code monétaire et financier, qui transposent les articles 58, 59 et 60, paragraphe 1, de la Directive n° 2007/64/CE, à l’exclusion de tout régime alternatif de responsabilité résultant du droit national.

Ces dispositions imposent donc au client, victime de paiements non autorisés passés au débit de son compte bancaire, de signaler ces opérations à sa banque sans tarder, et au plus tard dans les treize mois suivant la date de débit, à défaut de quoi il ne pourrait plus demander le remboursement des sommes et serait donc forclos. Cette forclusion prévue par l’article L133-24 précitée s’applique donc à l’acte de signalement, condition préalable à l’action en justice qui pourrait éventuellement être engagée par la suite.

En revanche, il ne saurait être considéré que ce délai de treize mois constituerait un délai préfixe pour saisir les juridictions. En effet, si le client signale l’opération litigieuse dans le délai de 13 mois, il doit pouvoir ensuite faire valoir sa revendication en justice dans la limite des délais de prescription conformes au droit national, soit le délai de 5 ans de droit commun (TJ Paris, 12 mars 2025, n° 24/04190 ; 10 avril 2025, n° 24/07337).

En l’espèce, il est constant que Mme [G] a signalé à sa banque dès le 24 août 2023 les opérations frauduleuses réalisées sur son compte les 23 et 24 août 2023, elle a donc respecté le délai de 13 mois prévu à l’article L.133-24 et n’est donc pas forclose pour engager ensuite son action devant la présente juridiction. Son assignation du 30 décembre 2024 a par ailleurs été délivrée dans le délai de prescription de 5 ans à compter de l’opération frauduleuse.

En conséquence, il y a lieu de rejeter la fin de non-recevoir soulevée par la banque.

Sur les responsabilités encourues au titre des opérations frauduleuses

Selon les dispositions de l’article L133-23 du code monétaire et financier, lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre.

L’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière. Le prestataire de services de paiement, y compris, le cas échéant, le prestataire de services de paiement fournissant un service d’initiation de paiement, fournit des éléments afin de prouver la fraude ou la négligence grave commise par l’utilisateur de services de paiement.

Il résulte de ces dispositions que la banque doit démontrer la négligence grave de son client ayant permis l’opération de paiement litigieuse, mais également que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre.

Il y a lieu de rappeler que l’escroquerie au faux conseiller bancaire, encore appelée « spoofing », permet le détournement de fonds placés sur des comptes bancaires, en combinant technologie et manipulation mentale.

Concernant l’existence d’une négligence grave de Mme [G]

Il résulte de l’article L133-19, IV, du code monétaire et financier, que le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L133-16 [obligation de préserver la sécurité de ses données de sécurité personnalisées] et L. 133-17 [obligation d’informer sans tarder son prestataire de la perte, du vol, du détournement ou de toute utilisation non autorisée de son instrument de paiement ou des données qui lui sont liées].

L’article L.133-6 I. alinéa 1 du même code précise qu’une opération de paiement est autorisée si le payeur a donné son consentement à son exécution.

Il résulte de ces dispositions que n’est pas considérée comme autorisée par le payeur l’opération qui serait déclenchée par le prestataire de services de paiement sans ordre du client, celle qui serait indûment déclenchée par une personne autre que le payeur à l’aide d’un instrument de paiement appartenant à ce dernier, ou encore celle qui serait déclenchée à partir d’un instrument de paiement contrefait.

Il est de jurisprudence constante que la simple utilisation de l’instrument de paiement ou des données personnelles, fût-elle au moyen d’une authentification forte, ne suffit pas à considérer que le paiement a été autorisé par le payeur, notamment lorsque le mode opératoire utilisé par l’escroc a mis la victime en confiance en exploitant une faille du système de télécommunication.

Il convient alors d’apprécier le rôle actif de la victime dans la survenance de la fraude.

En l’espèce, la SA CARREFOUR BANQUE verse aux débats un document intitulé « preuve d’enrôlement et authentification des opérations », étant relevé qu’elle ne produit aucun document contractuel, et notamment les conditions générales d’utilisation de la carte PASS décrivant le système de sécurisation associé.

Le document communiqué permet de constater que le système CLE SECURE de la carte PASS, qui assure selon la banque la sécurité des opérations que le client peut effectuer depuis son téléphone, a été activé et validé le 23 août à 18h06, que le code de validation a été envoyé sur un numéro de portable, dont rien ne prouve qu’il s’agisse de celui de Mme [G].

Le document indique également que cinq opérations litigieuses ont été réalisées à partir du compte de Mme [G], son identifiant « [Numéro identifiant 7] » apparaissant sur les codes informatiques des achats effectués le 23 août à 18h57 et 20h07, et le 24 août à 2h53, 6h49 et 7h08, les codes informatiques indiquant « cliquez ici pour confirmer le paiement ». Toutefois, ces lignes de code indiquent uniquement l’identifiant de la cliente sans précision du numéro de téléphone destinataire du message de validation, ce qui ne permet pas de vérifier que c’est bien sur le téléphone de Mme [G] que les messages de validation ont été envoyés et que c’est depuis ce téléphone que la confirmation a été ordonnée.

Mme [G] conteste d’ailleurs avoir validé ces paiements. Ses déclarations corroborent les éléments fournis par la banque, puisqu’elle indique avoir a été en contact avec un faux conseiller qui détenait d’ores et déjà son identité, l’identifiant et le mot de passe permettant d’accéder à son compte. Rien ne démontre que ce n’est pas ce tiers qui a validé les paiements.

Enfin, il n’est pas contesté que Mme [G], âgée de 76 ans et contactée le soir avec un discours alarmiste de son interlocuteur qui détenait des informations confidentielles, a pu légitimement croire qu’elle avait affaire à un conseiller de sa banque et ne pas être en mesure d’effectuer les vérifications simples, étant rappelé que les personnels de la banque n’étaient pas joignables à cette heure-ci.

Si la banque verse aux débats le guide de prévention à l’attention de ses clients pour les alerter sur les arnaques, elle ne démontre pas qu’elle l’avait communiqué à Mme [G], étant relevé que le document est daté de 2025 et que la fraude a eu lieu en 2023.

Dès lors, il ne peut être considéré que Mme [G] a eu un rôle actif dans la réalisation de la fraude ni qu’elle a commis une négligence grave.

Concernant le système de sécurité de la banque

L’article L.133-4, f, du code monétaire et financier définit l’authentification forte comme celle reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories “connaissance” (quelque chose que seul l’utilisateur connaît), “possession” (quelque chose que seul l’utilisateur possède) et “inhérence” (quelque chose que l’utilisateur est) et indépendants en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d’authentification.

Il incombe à la banque de prouver que les opérations frauduleuses ont été authentifiées, dûment enregistrées et comptabilisées et qu’elles n’ont pas été affectées par une déficience technique ou autres.

Or, force est de constater que le document de preuve d’enrôlement et d’authentification des opérations de la SA BANQUE CARREFOUR ne suffit pas à établir l’absence de défaillance dans le système de sécurité, dès lors que le fraudeur détenait des informations que seule Mme [G] connaissait, informations qu’il a nécessairement obtenu à l’occasion de l’activation de la CLE SECURE par la cliente ou par piratage préalable des données globales de la banque.

Dès lors, ces anomalies techniques dans le système de sécurité de la SA CARREFOUR BANQUE sont de nature à engager sa responsabilité.

*

En conséquence, Mme [G] n’ayant pas autorisé les paiements, en l’absence de négligence grave de sa part et compte tenu des défaillances dans son système de sécurité, la banque doit supporter toutes les pertes occasionnées par les opérations de paiement frauduleuses subies par sa cliente.

Sur le remboursement des sommes frauduleusement détournées

Selon les dispositions de l’article L133-18 du code monétaire et financier, en cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L.133-24, le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée immédiatement après avoir pris connaissance de l’opération […].

En cas de manquement du prestataire de services de paiement aux obligations prévues aux deux premiers alinéas du présent article, les pénalités suivantes s’appliquent :

1° Les sommes dues produisent intérêt au taux légal majoré de cinq points ;

2° Au-delà de sept jours de retard, les sommes dues produisent intérêt au taux légal majoré de dix points ;

3° Au-delà de trente jours de retard, les sommes dues produisent intérêt au taux légal majoré de quinze points.

En l’espèce, il n’est pas contesté que Mme [G] a été victime de paiements frauduleux opérés depuis son compte bancaire pour un total de 6.296,80 euros, et qu’elle en avait informé sa banque dès le 24 août 2023.

Il est également constant que la SA CARREFOUR BANQUE n’a pas remboursé sa cliente comme elle aurait dû et que le retard est supérieur à 30 jours.

En conséquence, la banque sera condamnée à lui rembourser la somme de 6.296,80 euros, qui sera assortie des intérêts au taux légal majoré de 15 points à compter du 24 août 2023.

Sur la demande de dommages et intérêts

Selon les dispositions de l’article 1231-6 alinéas 1 et 2 du code civil, les dommages et intérêts dus à raison du retard dans le paiement d’une obligation de somme d’argent consistent dans l’intérêt au taux légal, à compter de la mise en demeure. Ces dommages et intérêts sont dus sans que le créancier soit tenu de justifier d’aucune perte. Le créancier auquel son débiteur en retard a causé, par sa mauvaise foi, un préjudice indépendant de ce retard, peut obtenir des dommages et intérêts distincts de l’intérêt moratoire.

En l’espèce, si la résistance de la banque peut être considérée comme abusive et relever de sa mauvaise foi, Mme [G] ne démontre pas l’existence d’un préjudice distinct du simple retard de paiement d’ores et déjà réparé par l’octroi des intérêts au taux légal, en l’occurrence ici majorés de 15 points.

En conséquence, sa demande à ce titre sera rejetée.

Sur les frais du procès

La SA CARREFOUR BANQUE succombant à l’instance sera condamnée aux entiers dépens, en application de l’article 696 du code de procédure civile.

Il serait inéquitable de laisser à la charge de Mme [G] les frais engagés dans le cadre de la présente instance, non compris dans les dépens. La SA CARREFOUR BANQUE sera condamnée à lui payer la somme de 1.000 euros sur le fondement des dispositions de l’article 700 du code de procédure civile.

Il y a lieu de rappeler que la présente décision est assortie de l’exécution provisoire de plein droit.

PAR CES MOTIFS

Le tribunal judiciaire,

REJETTE la fin de non-recevoir tirée de la forclusion soulevée par la SA CARREFOUR BANQUE,

CONSTATE que la responsabilité de la SA CARREFOUR BANQUE est engagée au titre des paiements frauduleux réalisés les 23 et 24 août 2023 sur le compte n°[XXXXXXXXXX03] de Mme [L] [F] épouse [G],

CONDAMNE la SA CARREFOUR BANQUE à payer à Mme [L] [F] épouse [G] la somme de 6.296,80 euros en remboursement de ces paiements frauduleux,

DIT que cette somme qui sera assortie des intérêts au taux légal majoré de 15 points à compter du 24 août 2023,

DEBOUTE Mme [L] [F] épouse [G] de sa demande de dommages et intérêts,

CONDAMNE la SA CARREFOUR BANQUE aux entiers dépens de l’instance,

CONDAMNE la SA CARREFOUR BANQUE à payer à Mme [L] [F] épouse [G] la somme de 1.000 euros sur le fondement des dispositions de l’article 700 du code de procédure civile.

Et le présent jugement a été signé par le Juge et par le Greffier.

Le Greffier Le Juge