TRIBUNAL JUDICIAIRE d’ARRAS

[Adresse 1]

[Localité 1]

N° RG 25/00377 – N° Portalis DBZZ-W-B7J-E43X

JUGEMENT 11 Mai 2026

Minute

[K] [D], [U] [Z]

C/

Société CAISSE DE CREDIT MUTUEL D'[Localité 2]

JUGEMENT

AU NOM DU PEUPLE FRANCAIS

Après débats à l’audience publique du 13 Mars 2026, sous la présidence de Madame Louise BLANC, Juge des contentieux de la protection, Juge du tribunal judiciaire, assistée de M^me Audrey GIRARDET, greffière lors des débats.

Le jugement suivant a été rendu par mise à disposition au greffe le 11 Mai 2026 ;

ENTRE :

M. [K] [D]

né le [Date naissance 1] 1993 à [Localité 3], demeurant [Adresse 2]

représenté par M^e Daphné WEPPE, avocat au barreau de LILLE

Mme [U] [Z]

née le [Date naissance 2] 1997 à [Localité 3], demeurant [Adresse 2]

représentée par M^e Daphné WEPPE, avocat au barreau de LILLE

ET :

Société CAISSE DE CREDIT MUTUEL D'[Localité 2], dont le siège social est sis [Adresse 3]

représentée par M^e Jean-baptiste ZAAROUR, avocat au barreau de VALENCIENNES

EXPOSE DU LITIGE

Madame [U] [Z] et Monsieur [K] [D] sont titulaires d’un compte EUROCOMPTE SERENITE n°00020381604 ouvert auprès de la Caisse de Crédit Mutuel d'[Localité 2].

Le 4 février 2023, deux paiements d’un montant total de 6300,55 euros ont été réalisés par Madame [U] [Z].

Le 8 février 2023, Madame [U] [Z] a contesté ces deux opérations et a déposé une demande de remboursement par un courrier de mise en demeure du 27 février 2023, laquelle a été refusée par la Caisse de Crédit Mutuel d'[Localité 2] par courrier du 20 mars 2023.

Selon un acte de commissaire de justice délivré le 13 mars 2025 à personne, Madame [U] [Z] et Monsieur [K] [D] ont assigné la Caisse de Crédit Mutuel d'[Localité 2] devant le juge des contentieux de la protection d'[Localité 4] à l’audience du 11 avril 2025 aux fins de :

— condamner la Caisse de Crédit Mutuel d'[Localité 2] à leur rembourser la somme de 6300,55 euros, assortie des intérêts au taux légal majoré de 5 points à compter du 27 février 2023, date de la mise en demeure ;

— ordonner la capitalisation des intérêts ;

— condamner la Caisse de Crédit Mutuel d'[Localité 2] à leur verser la somme de 2000 euros en réparation de leur préjudice moral ;

— condamner la Caisse de Crédit Mutuel d'[Localité 5] le [Localité 6] à leur verser la somme de 2000 euros au titre de l’article 700 du code de procédure civile ainsi qu’aux entiers dépens.

L’affaire a fait l’objet de plusieurs renvois et elle a été utilement retenue à l’audience du 13 mars 2026.

A l’audience, Madame [U] [Z] et Monsieur [K] [D], représentés par leur conseil, ont maintenu les demandes de leur assignation.

Au soutien de leurs prétentions, ils exposent que Madame [U] [Z] a reçu un appel téléphonique le 4 février 2023 du numéro 01 77 86 24 24 provenant d’une personne se présentant comme étant salarié du Crédit Mutuel, lui indiquant qu’elle était victime d’une fraude sur son compte commun. Ils précisent que cette personne détenait les informations sur sa carte bancaire et son compte bancaire (numéro de compte, numéro de carte et cryptogramme associé). Ils expliquent que cette personne a demandé à Mme [Z] de procéder à des actions afin de sécuriser son compte pour récupérer les sommes indûment prélevées de 1609,99 euros à 16h10 puis 4690,56 euros à 16h16, se prévalant des règles de sécurité et processus anti-fraude. Ils ajoutent que cette personne a tenté de faire un prélèvement de 799,99 euros qui n’a pas fonctionné. Ils font valoir que le fraudeur a rappelé Madame [Z] avec le numéro d’urgence spécial fraude du CREDIT MUTUEL soit le 03 88 40 10 00 et que cette dernière, entre temps rentrée chez elle, lui passe son conjoint. Ils soutiennent que le fraudeur a alors tenté de « valider l’action » via la carte bancaire de Monsieur [D] sur le compte joint mais que l’opération a échoué car la carte bancaire de ce dernier était récente et le fraudeur n’avait pas son numéro. Ils indiquent qu’ils ont ensuite contacté le service des fraudes du Crédit Mutuel, lequel a procédé à la mise en opposition de leurs cartes bancaires. Ils déclarent qu’ils ont déposé plainte le 8 février 2023 pour escroquerie avec un préjudice de 6300,55 euros.

Ils font valoir qu’ils n’ont pas manqué intentionnellement à leurs obligations ou commis de négligence grave car l’arnaque de « spoofing » a été rendue possible par une faille de sécurité du système informatique du Crédit Mutuel qui s’est vu pirater sa hotline et obtenir le nom de leur établissement bancaire, le nom de leur conseillère bancaire ainsi que les numéros de comptes bancaires, cartes bancaires, le cryptogramme et la date de validité. Ils soulignent en outre l’absence de preuve que les opérations contestées ont été authentifiées, enregistrées et comptabilisées par l’établissement bancaire. Ils ajoutent que les opérations litigieuses étaient incohérentes avec leurs habitudes de paiement et qu’elles ont été permises suite à la mise en place par la banque d’un plafond de carte bancaire qui apparaît comme inadapté à leurs besoins.

A l’audience, la Caisse de Crédit Mutuel d'[Localité 2] a comparu, représentée par son conseil. Elle demande de :

— constater que les opérations de paiement du 4 février 2023 sont autorisées ;

— débouter en conséquence Madame [U] [Z] et Monsieur [K] [D] de leurs demandes ;

A titre subsidiaire,

— constater que les opérations de paiement contestées ont été authentifiées, enregistrées et correctement exécutées sans déficience technique ;

— dire et juger que les sommes perdues le sont consécutivement à la négligence grave des demandeurs ;

— débouter en conséquence Madame [U] [Z] et Monsieur [K] [D] de leurs demandes ;

— en tout état de cause, les condamner au paiement de la somme de 2000 euros au titre de l’article 700 du code de procédure civile ainsi qu’aux entiers dépens.

Au soutien de ses prétentions, elle fait valoir que le processus de sécurisation de l’opération de paiement réalisée par la banque implique une authentification forte conformément à la directive SP2. Elle précise qu’un fraudeur, éventuellement en possession des codes de l’utilisateur, ne peut réaliser une opération de paiement sans être en possession également du smartphone enregistré sur son compte et inversement. Elle souligne qu’il s’agit de la première étape : l’enrôlement du facteur de possession. Elle indique que le 23 novembre 2022, le smartphone de Mme [Z] a été enrôlé au Service Confirmation Mobile du compte de cette dernière et qu’elle a choisi un code de confirmation afférent au téléphone, sans qu’il soit porté à la connaissance de la banque. Elle explique que ce code permet la confirmation de l’ordre de paiement via le téléphone inscrit au Service Confirmation Mobile et qu’il est possible d’enrôler, en complément de ce code, son empreinte digitale ou sa reconnaissance faciale (Face ID), ce que Madame [Z] a réalisé. Elle déclare que la deuxième étape consiste en la validation des ordres de paiement selon la combinaison des facteurs connaissance et possession. Elle expose que le 4 février 2023, deux paiements pour un montant total de 6 300,55 euros ont été réalisés via les données de paiement (facteur de connaissance) et de confirmation mobile (facteur de possession) de Madame [Z]. Elle considère ainsi que l’absence de violation du dispositif de sécurité est démontré et que les opérations de paiement du 4 février 2023 ne peuvent être qualifiées d’opérations non autorisées impliquant une demande de remboursement au sens des dispositions de l’article L. 133-18 du code monétaire et financier. Elle estime dès lors que le droit commun de la responsabilité bancaire doit s’appliquer et que les demandeurs ne démontrent pas de faute de la banque.

Elle soutient subsidiairement que si les opérations étaient qualifiées d’opérations non autorisées, Madame [Z] a commis une négligence grave. Elle expose qu’elle a validé les opérations de paiement en pensant s’y opposer, sans avoir lu au préalable les notifications présentes sur son smartphone qui entraient en contradiction avec les déclarations du fraudeur. Elle souligne qu’elle avertit régulièrement ses clients sur la typologie des fraudes réalisées. Elle ajoute que Madame [Z] a validé un paiement, comme cela lui a été expressément précisé sur l’application et qu’il ne s’agissait pas d’un remboursement. Elle déclare de plus que les demandeurs ne démontrent pas qu’ils ont été appelés avec le véritable numéro anti-fraude de la banque. Enfin, elle estime qu’ils ne rapportent pas la preuve de leur préjudice moral, distinct du préjudice matériel subi.

Le jugement est mis en délibéré à la date du 11 mai 2026, par mise à disposition au greffe.

MOTIFS DE LA DECISION

Sur la demande en remboursement des opérations de paiement

Les articles L.133-1 et suivants du code monétaire et financier s’appliquent en matière d’instruments de monnaie scripturale autres que le chèque, bancaire ou postal, la lettre de change et le billet à ordre, et donc à un virement bancaire.

En application de l’article L.133-6 du code monétaire et financier, une opération de paiement est autorisée si le payeur a donné son consentement à son exécution.

Selon les premier et troisième alinéa de l’article L. 133-7 du même code, le consentement est donné sous la forme convenue entre le payeur et son prestataire de services de paiement. En l’absence d’un tel consentement, l’opération ou la série d’opérations de paiement est réputée non autorisée.

L’article L. 133-4 a) dispose qu’un dispositif de sécurité personnalisé s’entend de tout moyen technique affecté par un prestataire de services de paiement à un utilisateur donné pour l’utilisation d’un instrument de paiement. Ce dispositif, propre à l’utilisateur de services de paiement et placé sous sa garde, vise à l’authentifier. Selon l’article L. 133-4 e) une authentification s’entend d’une procédure permettant au prestataire de services de paiement de vérifier l’identité d’un utilisateur de services de paiement ou la validité de l’utilisation d’un instrument de paiement spécifique, y compris l’utilisation de données de sécurité personnalisées de l’utilisateur.

L’article L. 133-18 du même code pose le principe selon lequel, en cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues par l’article L 133-24 (qui prévoit un délai dans lequel une opération non autorisée doit être signalée), le prestataire de services de paiement rembourse au payeur le montant de l’opération non autorisée.

Aux termes de l’article L 133-23 alinéa 1er, lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre.

La charge de la preuve de la régularité de l’autorisation pèse donc sur le prestataire de services de paiement, qui doit établir que l’ordre émane de l’utilisateur de service.

En l’espèce, l’article 4 des conditions générales de la convention conclue entre Monsieur [D] et Madame [Z] d’une part, et la Caisse du Crédit Mutuel d’autre part, stipule :

4.1 Le titulaire de la Carte donne son consentement pour réaliser une opération de paiement, avant ou après la détermination de son montant :

— par la frappe de son code confidentiel sur le clavier d’un DAB/GAB ou d’un Equipement Electronique, en vérifiant la présence de la (l’une des) marques(s) sur la Carte ;

— par l’introduction de la Carte dans un Equipement Electronique dépourvu de clavier destiné à la frappe du code confidentiel ;

— par la confirmation et/ou confirmation des données liées à l’utilisation à distance de la Carte (paiement à distance d’achats de biens et de prestations de services), le cas échéant via un portefeuille numérique agréé par l’Emetteur (portefeuille numérique interbancaire ou agréé par le(s) schéma(s) de cartes de paiement dont la (l’une des) marque(s) est apposée sur la Carte ;

— par la signature manuscrite sur les tickets émis par l’Equipement Electronique tant à destination de l’Accepteur que du Titulaire de la Carte ;

— par la présentation et le maintien de la Carte devant un dispositif indentifiant la présence de la technologie dite « sans contact ». Cette cinématique est également valable lorsque la Carte est dématérialisée et intégrée dans un autre support (es : téléphone mobile), et ce dans le cadre d’un dispositif agréé par l’Emetteur.

De même, cette cinématique est également valable lorsque les données liées à l’utilisation de la Carte sont utilisées via un autre support (ex : téléphone mobile), à la condition que le consentement soit donné dans le cadre d’un dispositif agréé par l’Emetteur » (…)

4.4 Dès que ce consentement a été donné, l’ordre de paiement est irrévocable ».

En outre, il convient de souligner que dans le cadre du paiement « 3D SECURE VIA LA CONFIRMATION MOBILE », « la forme convenue entre le payeur et le prestataire de service de paiement » est la validation de l’opération de paiement par la combinaison des informations de paiement présentes su sur la carte bancaire et l’utilisation du code (ou de l’empreinte digitale ou de la reconnaissance faciale de l’utilisateur » sur l’appareil authentifié et enrôlé préalablement sur la banque à distance dite B@D Crédit Mutuel. Ce dispositif assure donc une authentification forte.

Ensuite, il ressort des pièces du dossier que Madame [Z] a enrôlé son smartphone le 23 novembre 2022 et qu’en conséquence, toute opération de paiement via internet suppose l’utilisation des données de la carte bancaire de Madame [Z] et la possession de son smartphone en connaissant son code unique ou en utilisant sa reconnaissance faciale pour réaliser une opération de paiement, selon le dispositif « 3D SECURE ».

Ensuite, selon les pièces du dossier, en particulier les extraits produits par la banque qui permettent d’assurer la traçabilité des opérations, mais également les explications des demandeurs dans la plainte, le 4 février 2023, deux paiements d’un montant respectivement de 4 690,56 euros à 16h15 envers le marchand EDREAMS et de 1609,99 euros à 16h17 envers le marchand MMS [V] [P] [O] ont été validés par Madame [Z] via ses données de paiement (carte de paiement : numéro, date de validité et cryptogramme correspondant au facteur de connaissance), que le fraudeur avait en sa possession selon ses déclarations, et de confirmation mobile (facteur de possession), conformément au dispositif 3D SECURE qui assure une authentification forte.

En outre, les notifications affichées sur le smartphone de Madame [Z] lors de la réalisation des paiements, validés par sa reconnaissance faciale, indiquaient expressément :

«  Information importante : VOUS ALLEZ CONFIRMER UN PAIEMENT, IL NE S’AGIT NI D’UN REMBOURSEMENT, NI D’UNE ANNULATION DE PAIEMENT ». La rédaction de ces messages de transmission et la mise en majuscules d’imprimerie des mentions invitant à la vigilance et rappelant qu’il s’agit du paiement d’un achat, sont de nature à mettre en garde et informer pleinement l’utilisateur sur l’opération qu’il s’apprête à valider. De même, les notifications indiquaient comme titre de l’opération à confirmer « Paiement sur internet », et le montant dudit paiement, sans ambiguïté sur la nature de l’opération que Madame [Z] s’apprêtait à autoriser.

De surcroît, il convient de rappeler que l’utilisateur inscrit au service de paiement « 3D SECURE VIA LA CONFIRMATION MOBILE » est régulièrement informé par mail de l’opération et que s’il n’en est pas à l’origine, il peut procéder à son blocage via son espace client ou appeler directement un conseiller pour y procéder.

Par conséquent, le consentement de Madame [Z] a été donné sous la forme convenue entre le payeur et son prestataire de services de paiement. La Caisse du Crédit Mutuel justifie ainsi que les opérations ont été validées suite à un processus d’authentification fort et qu’elles n’ont pas été affectées par une déficience technique ou autre. Les opérations de paiement litigieuses sont donc considérées comme des opérations de paiement autorisées.

Madame [Z] et Monsieur [D] ne peuvent donc prétendre au remboursement des sommes par la Caisse de Crédit Mutuel en se fondant sur les dispositions des articles L. 133-18, L. 133-19 et L. 133-24 du code monétaire et financier, lesquelles reposent sur l’existence d’opérations de paiement non autorisées.

Enfin, s’agissant de l’application du droit commun de la responsabilité bancaire, les demandeurs doivent démontrer une faute de la banque. Ils reprochent à la banque de ne pas avoir mis en œuvre les dispositifs suffisants pour s’assurer que des données confidentielles concernant ses clients ne tombent entre les mains des fraudeurs. Ils affirment que leur interlocuteur connaissait le nom de leur agence, le nom de leur conseillère bancaire et qu’elle détenait des informations sur la carte bancaire et le compte bancaire de Madame [Z], ce qui l’a mise en confiance. Cependant, ils ne justifient pas de ces déclarations et ne démontrent pas que la banque serait à l’origine d’une fuite de données, qui peut également avoir pour cause un phishing ou un piratage à partir de divers fichiers. De même, leurs déclarations sur l’utilisation par le fraudeur du numéro d’urgence spécial fraude du Crédit Mutuel ne sont pas corroborées par des pièces objectives au dossier.

En outre, ils soutiennent que la Caisse du Crédit Mutuel aurait nécessairement dû détecter une fraude et bloquer les paiements compte tenu de leurs montants excessifs au regard de leurs habitudes. Toutefois, la banque ne peut pas s’immiscer dans le fonctionnement du compte et elle a mis en œuvre l’ensemble des moyens permettant d’authentifier les opérations de paiement. Elle ne peut pas être tenue de procéder à des vérifications complémentaires tenant aux habitudes des clients. De plus, les demandeurs ne produisent leurs relevés de compte que sur une période de trois mois, ce qui ne permet pas de vérifier leurs habitudes de dépenses. Enfin le découvert bancaire autorisé n’a pas été dépassé et ils perçoivent des revenus réguliers avec un revenu fiscal annuel de référence pour leur foyer de 36 900 euros selon l’avis d’imposition 2023 sur les revenus 2022.

Il résulte de l’ensemble de ces éléments que la Caisse du Crédit Mutuel a respecté les obligations mises à sa charge, qu’elle n’a pas commis de faute de nature à engager sa responsabilité bancaire de droit commun et qu’elle ne peut être condamnée à supporter les conséquences d’une fraude subie par Madame [Z] et Monsieur [D].

Sur la demande de dommages et intérêts

Compte tenu de ce qui précède, aucune faute ne peut être reprochée à la Caisse du Crédit Mutuel et Madame [Z] et Monsieur [D] seront déboutés de leur demande de dommages et intérêts.

Sur les demandes accessoires

Partie perdante, Madame [Z] et Monsieur [D] seront condamnés aux entiers dépens.

Il n’apparaît pas inéquitable, compte tenu de la situation respective des parties, de laisser à la charge de la Caisse du Crédit Mutuel les frais non compris dans les dépens. La Caisse du Crédit Mutuel sera en conséquence déboutée de sa demande formée au titre de l’article 700 du code de procédure civile.

L’exécution provisoire sera constatée.

PAR CES MOTIFS

Le Tribunal, statuant par mise à la disposition des parties par le greffe, par jugement contradictoire, rendu en premier ressort,

DÉBOUTE Madame [U] [Z] et Monsieur [K] [D] de leur demande de remboursement d’un montant de 6300,55 euros ;

DÉBOUTE Madame [U] [Z] et Monsieur [K] [D] de leur demande de dommages et intérêts ;

DEBOUTE les parties de leur demande respective en application des dispositions de l’article 700 du code de procédure civile ;

DÉBOUTE les parties du surplus de ses demandes;

CONDAMNE Madame [U] [Z] et Monsieur [K] [D] aux dépens ;

RAPPELLE que l’exécution provisoire du présent jugement est de droit.

Ainsi jugé et prononcé par mise à disposition du jugement au greffe du tribunal judiciaire, le 11 mai 2026, les parties en ayant été préalablement avisées dans les conditions prévues au deuxième alinéa de l’article 450 du code de procédure civile, la minute étant signée par la juge, et par Stéphanie HURTREL, greffière lors du délibéré.

La greffière, La juge,