N° RG 25/00357 – N° Portalis DBZ3-W-B7J-76EGQ

Tribunal de Proximité de Calais

[Adresse 1]

[Adresse 1]

[Localité 1]

tel : [XXXXXXXX01]

[Courriel 1]

N° RG 25/00357 – N° Portalis DBZ3-W-B7J-76EGQ

Minute :

JUGEMENT

Du : 13 Février 2026

Mme [X] [J]

C/

S.C.C. LA CAISSE RÉGIONALE DE CREDIT AGRICOLE MUTUEL NORD DE FRANCE

Copie certifiée conforme délivrée

à : M^e Alicia BONNINGUE

le : 13/02/2026

Formule exécutoire délivrée

à : M^e Jean-Sébastien DELOZIERE

le : 13/02/2026

RÉPUBLIQUE FRANÇAISE

AU NOM DU PEUPLE FRANÇAIS

JUGEMENT DU 13 FEVRIER 2026

DANS LE LITIGE ENTRE :

DEMANDEUR(S)

Mme [X] [J]

[Adresse 2]

[Localité 2]

comparante assistée de M^e Alicia BONNINGUE, avocat au barreau de LILLE

ET :

DÉFENDEUR(S)

S.C.C. LA CAISSE RÉGIONALE DE CRÉDIT AGRICOLE MUTUEL NORD DE FRANCE

[Adresse 3]

[Adresse 3]

[Localité 3]

représentée par M^e Jean-Sébastien DELOZIERE, substitué par M^e Hervé LECLERCQ, avocats au barreau de SAINT-OMER

Composition du tribunal lors des débats à l’audience publique du 16 Décembre 2025 :

Nancy BEC, Juge, assistée de Adeline VERLÉ, greffier ;

Composition du tribunal lors du délibéré :

Par mise à disposition au greffe le 13 Février 2026, date indiquée à l’issue des débats, conformément à l’article 450 alinéa 2 du code de procédure civile, par Nancy BEC, Juge, assistée de Adeline VERLÉ, greffier ;

EXPOSÉ DU LITIGE

Mme [X] [J] est titulaire d’un compte courant n°[XXXXXXXXXX01] dans les comptes de la Caisse régionale de crédit agricole mutuel Nord de France.

Par lettre recommandée avec accusé de réception datée du 20 mars 2024, le conseil de Mme [X] [J] a mis en demeure la Caisse régionale de crédit agricole mutuel Nord de France d’avoir à lui payer la somme de 2500 euros, sous huitaine, au titre d’un paiement en ligne effectué le 22 janvier 2024, qu’elle estime frauduleux.

Par acte de commissaire de justice signifié le 21 février 2025, Mme [X] [J] a assigné la Caisse régionale de crédit agricole mutuel Nord de France devant le juge du tribunal de proximité de Calais pour demander de :

condamner la défenderesse à lui payer la somme de 2500 euros avec intérêts à compter du 20 mars 2024, au taux légal majoré de cinq points pour les sept premiers jours de retard, au taux légal majoré de dix points au-delà du septième jour de retard et au taux légal majoré de quinze points au-delà du trentième jour de retard ; condamner la défenderesse à lui payer la somme de 1500 euros à titre de dommages et intérêts pour résistance abusive ; condamner la défenderesse à lui payer la somme de 2000 euros pour le préjudice moral subi ; condamner la défenderesse à payer la somme de 1500 euros au titre de l’article 700 du code de procédure civile ; condamner la défenderesse aux entiers frais et dépens de l’instance. Le 3 mars 2025, Mme [X] [J] a déposé plainte contre X pour les opérations qu’elle estime frauduleuse effectuées le 22 janvier 2024.

L’affaire a été appelée pour la première fois à l’audience du 1er avril 2025. Après plusieurs renvois à la demande des parties, l’affaire a été plaidée à l’audience du 16 décembre 2025.

À cette audience, Mme [X] [J] s’en réfère oralement aux termes de ses dernières conclusions. Suivant celles-ci, elle demande de :

condamner la défenderesse à lui payer la somme de 2500 euros avec intérêts à compter du 20 mars 2024, au taux légal majoré de cinq points pour les sept premiers jours de retard, au taux légal majoré de dix points au-delà du septième jour de retard et au taux légal majoré de quinze points au-delà du trentième jour de retard ; condamner la défenderesse à lui payer la somme de 1500 euros à titre de dommages et intérêts pour résistance abusive ; condamner la défenderesse à lui payer la somme de 2000 euros pour le préjudice moral subi ; débouter la défenderesse de l’intégralité de ses demandes, fins et conclusions ; condamner la défenderesse à payer la somme de 1500 euros au titre de l’article 700 du code de procédure civile ; condamner la défenderesse aux entiers frais et dépens de l’instance. Au soutien de sa demande de remboursement de la somme de 2500 euros, Mme [X] [J], se fondant sur l’article 1353 du code civil et sur les articles L 133-9, L133-16, L133-17, L133-19 et L133-23 du code monétaire et financier, fait valoir qu’il appartient à la banque de prouver que l’utilisateur qui a nié avoir autorisé le paiement a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence grave à ses obligations. Elle ajoute que cette preuve ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisées. De même, elle déclare que l’utilisation sans défaillance technique ou piratage des services de paiement en cause ne permet pas de présumer de la négligence grave de l’utilisateur. Elle soutient alors que pour se soustraire au remboursement de la somme de 2500 euros, la banque doit prouver une absence de déficience technique ainsi qu’une négligence grave de l’utilisateur. Plus précisément, elle fait valoir qu’elle a été victime d’un spoofing bancaire qui n’a pu être réalisé que parce que la défenderesse n’avait pas suffisamment sécurisé le service de paiement à distance mis à sa disposition et qu’elle a immédiatement prévenu la banque de l’opération frauduleuse. De même, elle souligne que la Caisse régionale de crédit agricole mutuel Nord de France a fait l’objet d’un hackage sur ses systèmes informatiques quelques jours avant l’opération litigieuse.

Au soutien de sa demande de dommages et intérêts fondée sur la résistance abusive, Mme [X] [J], se fondant sur l’article 1240 du code civil, soutient que du fait de l’attitude de la banque, elle a dû régler des frais de procédure.

Au soutien de sa demande de dommages et intérêts pour le préjudice moral subi, Mme [X] [J], se fondant également sur l’article 1240 du code civil, fait valoir que la banque a tenté de se dédouaner de sa responsabilité en lui faisant croire qu’elle devait signer une attestation affirmant qu’elle avait commis une négligence grave pour être remboursée.

En réponse aux moyens soulevés par la Caisse régionale de crédit agricole mutuel Nord de France, elle soutient que les pièces produites ne démontrent aucunement que le système ne pouvait être atteint d’une quelconque défaillance technique. À ce titre, elle rappelle la jurisprudence de la Cour de cassation (com., 18 janvier 2017, n°15-18.102) par laquelle la Cour a indiqué que la négligence grave ne peut résulter du seul fait de l’utilisation de l’instrument de paiement ou des données personnelles qui sont liées. De plus, elle soutient que le document « CA-PS – Attestation de Conformité DSP2/RTS » ne prouve rien car il est relatif à un audit réalisé entre le 19 septembre 2022 et le 28 février 2023, soit bien avant l’opération litigieuse et concernait toutes les opérations effectuées dans les agences de la banque. De même, elle ajoute que la loi issue de la DSP2 exige que le rapport effectué par des auditeurs indépendants contienne « une grande diversité d’informations, notamment sur le calcul du taux de fraude, ainsi que le respect des mesures de sécurité », ce qui n’est pas effectué en l’espèce. Enfin, elle soutient que sa négligence grave n’a pas été prouvée car elle n’a pas communiqué ses données personnelles aux escrocs, qui les possédaient déjà du fait du hackage de la banque.

En réponse aux moyens soulevés par la banque s’agissant de la résistance abusive, Mme [X] [J] fait valoir que la majoration de l’intérêt légal n’a pas de rapport avec la résistance abusive.

La Caisse régionale de crédit agricole mutuel Nord de France, représentée par son conseil, s’en réfère oralement aux termes de ses dernières conclusions. Selon ces dernières, elle demande de, au visa des articles L133-4, L133-6, L133-7, L133-16, L133-18, L133-19, L133-23 et L133-44 du code monétaire et financier :

à titre principal :

débouter la demanderesse de l’ensemble de ses demandes, fins et conclusions ; à titre subsidiaire :

débouter la demanderesse de l’ensemble de ses demandes indemnitaires accessoires ; à titre reconventionnelle :

condamner la demanderesse à lui payer la somme de 1500 euros au titre de l’article 700 du code de procédure civile ; condamner la demanderesse aux dépens.En réponse à la demande principale formée par Mme [X] [J], la Caisse régionale de crédit agricole mutuel Nord de France fait valoir qu’elle met à disposition de ses clients un système de paiement d’authentification forte « SECURIPASS ». Dans ce système, elle précise que le client doit enrôler son téléphone et qu’il reçoit par la suite un SMS l’invitant à définir lui-même un code de validation, voire à activer les fonctions biométriques et ce code lui sert à valider les opérations bancaires directement dans l’application mobile. De même, lorsqu’une opération de paiement est initiée, elle indique que le client reçoit une notification sur son téléphone portable enrôlé l’invitant à confirmer l’opération. Elle fait ensuite valoir que son système « SECURIPASS » a été audité par le cabinet Oakley dans le cadre du respect de ses obligations nées de la directive DSP2 et qu’il a été conclu de la pleine conformité de ce système.

Plus précisément, la Caisse régionale de crédit agricole mutuel Nord de France fait valoir que c’est bien le téléphone de Mme [X] [J] qui a autorisé l’opération litigieuse, même si celui-ci a été désenrôlé puis réenrôlé quelques jours après l’opération litigieuse.

Enfin, la Caisse régionale de crédit agricole mutuel Nord de France soutient que Mme [X] [J] a été gravement négligente. À ce titre, elle rappelle que la demanderesse indique avoir été appelée par un « faux conseiller », selon la méthode du spoofing. Toutefois, elle fait valoir que l’origine de la fraude est un SMS daté du 22 janvier 2023 qui l’alerte sur un risque de fraude et qui l’invite à contacter un numéro retranscrit. Or, elle indique que ce SMS a été envoyé par un téléphone portable contrairement aux messages envoyés habituellement par la banque et que le numéro indiqué n’était pas typique de ceux proposés par les banques. De même, elle souligne que le SMS litigieux présente une forme étrange et des fautes d’orthographe. Dès lors, la banque considère que ce SMS aurait dû attirer son attention et renforcer sa vigilance, ce qui n’a pas été le cas.

En réponse aux moyens soulevés par Mme [X] [J], la Caisse régionale de crédit agricole mutuel Nord de France soutient que la jurisprudence qu’elle cite a été prise sous l’empire de la loi ancienne, antérieure à la directive DSP2. De même, elle souligne que la cyberattaque dont elle a fait l’objet avait un but politique de blocage du système bancaire et non de prise de données. Encore, elle déclare que si les données personnelles de la demanderesse avaient été connues des hackers, ces derniers n’auraient eu aucun besoin de faire une opération de spoofing.

En réponse à la demande de dommages et intérêts pour résistance abusive, la Caisse régionale de crédit agricole mutuel Nord de France soutient que cette demande est infondée dès lors que l’article L133-18 du code monétaire et financier prévoit une sanction consistant dans la majoration de l’intérêt légal.

En réponse de la demande liée au préjudice moral, la défenderesse fait valoir que Mme [X] [J] allègue, sans démontrer, qu’elle lui aurait demandé de régulariser un faux.

Pour un plus ample exposé des moyens et prétention des parties il convient de se reporter aux conclusions écrites et visées ainsi qu’aux déclarations orales tenues à l’audience, et ce en application de l’article 455 du code de procédure civile.

Mme [X] [J] a été autorisée à transmettre ses relevés téléphoniques par une note en délibéré, sous quinzaine. Cela n’a pas été effectué.

L’affaire a été mise en délibéré au 13 février 2026, par mise à disposition au greffe.

MOTIFS DE LA DÉCISION

Sur la demande de remboursement de la somme de 2500 euros avec intérêts majorés

Il résulte des articles L. 133-3, L. 133-6 et L. 133-7 du code monétaire et financier que la détermination du caractère autorisé d’une opération ne dépend pas de l’obligation sous-jacente qui est sans conséquence sur la validité de l’ordre, mais du consentement du payeur lequel est donné « sous la forme convenue entre le payeur et son prestataire ».

Une des formes convenues envisagée par la loi est l’usage d’un dispositif de paiement avec données de sécurité personnalisées défini à l’article L. 133-4 du code monétaire et financier qui permettent d’authentifier son auteur. En vertu de l’article L. 133-44 du même code, le prestataire de services de paiement applique l’authentification forte du client définie au f de l’article L. 133-4 lorsque le payeur :

1° accède à son compte de paiement en ligne ;

2° initie une opération de paiement électronique ;

3° exécute une opération par le biais d’un moyen de communication à distance, susceptible de comporter un risque de fraude en matière de paiement ou de toute autre utilisation frauduleuse.

L’article L. 133-4 f définit l’identification forte comme reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories « connaissance » (quelque chose que seul l’utilisateur connaît), « possession » (quelque chose que seul l’utilisateur possède) et « inhérence » (quelque chose que l’utilisateur est) et indépendants en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d’authentification.

Les articles L. 133-16 et L. 133-17 du même code imposent à la banque qui délivre un instrument de paiement :

— de s’assurer que les données de sécurité personnalisées telles que définies à l’article L. 133-4 ne sont pas accessibles à d’autres personnes que l’utilisateur autorisé à utiliser cet instrument,

— de mettre en place, à titre gratuit, les moyens appropriés permettant à l’utilisateur de procéder à tout moment à l’information prévue à l’article L. 133-17,

— et d’empêcher toute utilisation de l’instrument de paiement après avoir été informé, conformément aux dispositions de l’article L. 133-17, de sa perte, de son vol, de son détournement ou de toute utilisation non autorisée de l’instrument de paiement ou des données qui lui sont liées.

De son côté l’utilisateur doit :

— aux termes de l’article L. 133-16 du même code, prendre toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées et utiliser l’instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation qui doivent être objectives, non discriminatoires et proportionnées,

— aux termes de l’article L. 133-17 du même code, dès qu’il en a connaissance prévenir sa banque de toute perte, vol, détournement ou de toute utilisation non autorisée de son instrument de paiement ou des données qui lui sont liées aux fins de blocage.

Il résulte des dispositions l’article L. 133-23 du code monétaire et financier :

— que lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre,

— que la seule utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière et que le prestataire de services de paiement, y compris, le cas échéant, le prestataire de services de paiement fournissant un service d’initiation de paiement, fournit des éléments afin de prouver la fraude ou la négligence grave commise par l’utilisateur de services de paiement.

Il résulte par ailleurs des articles L. 311-18 et L. 311-19 du code monétaire et financier que ce n’est que dans le cas où une opération n’est pas autorisée par le client et qu’il l’a signalée dans les conditions prévues à l’article L. 133-24 que le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement et s’il communique ces raisons par écrit à la banque de France.

Sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si l’opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement du payeur n’exige une authentification forte du payeur prévue à l’article L. 133-44.

Il résulte donc de ces textes que pour éviter toute fraude, la banque se doit de mettre en œuvre des procédés techniques de protection des opérations au moyen d’éléments personnels d’identification de l’utilisateur, que plus l’opération nécessite l’utilisation de données d’authentification, plus elle est considérée comme ayant été autorisée par l’utilisateur, lequel peut néanmoins toujours nier l’avoir autorisée, que dans ce cas la banque doit :

1/ prouver que ce sont bien les données d’authentification de l’utilisateur qui ont été utilisées et qu’il n’y a pas eu de défaillance technique,

et 2/ même dans le cas où l’authentification est renforcée et où ces données ont été utilisées, fournir des éléments afin de prouver la fraude ou la négligence grave commise par l’utilisateur de services de paiement.

L’utilisateur qui nie avoir autorisé une opération réalisée avec ses données d’authentification forte se doit de prévenir sa banque dès qu’il en a connaissance.

En l’espèce, Mme [J] soutient avoir été victime de « spoofing ». A ce titre, elle indique avoir reçu des SMS semblant provenir de sa banque le 22 janvier 2024 et lui mentionnant que son compte avait été bloqué suite à trois tentatives d’authentification OTP. De même, elle ajoute qu’un homme, se présentant comme le gestionnaire du service fraude de sa banque l’a appelé, lui a communiqué certaines de ses informations personnelles et l’a appelé à la vigilance. Elle soutient n’avoir communiqué aucune de ses informations personnelles au téléphone et n’avoir autorisé aucun paiement. Elle précise alors qu’elle a consulté ses comptes bancaires et a constaté que deux virements de son livret A à son compte courant avait été effectué le 22 janvier 2024 et qu’un paiement de 2500 euros avait été effectué sur son compte courant. Elle a sollicité le remboursement de ce paiement de 2500 euros le 30 janvier 2024 auprès de sa banque. Face au refus de la banque de procéder au remboursement, elle a également déposé plainte pour ces faits le 3 mars 2025.

En réponse la Caisse régionale de crédit agricole mutuel Nord de France soutient que l’opération a été autorisée par la demanderesse.

Les documents produits par la banque montrent qu’un système de paiement à authentification forte, le « Securipass » a été mis en place par elle et que Mme [J] en bénéficiait au vu de la pièce n°6 produite par la défenderesse mentionnant le numéro de téléphone portable que Mme [J] a communiqué lors de son dépôt de plainte. Ce système, comprenant un système d’enrôlement du téléphone personnel, d’activation et d’autorisation des paiements par le client sont conformes aux dispositions applicables du code monétaire et financier en matière d’authentification forte.

De même, au vu des pièces 5 à 7 produites par la Caisse régionale de crédit agricole mutuel Nord de France, le paiement litigieux effectué le 22 janvier 2024 d’un montant de 2500 euros sur le site « wwwemryslacartefr » a été exécuté par le système d’authentification forte « Securipass ». En effet, les données présentes sur ces trois documents concordent avec ceux présents sur le document mentionnant le numéro de portable de Mme [J].

De même, la mention « Authentification réussie » révèle que l’authentification n’a pas connu de déficience technique.

Ainsi, il y a lieu de considérer que l’opération litigieuse a bien été autorisée par Mme [J] et de rejeter la demande de remboursement de Mme [J].

Au surplus, suivant la jurisprudence de la Cour de cassation, la négligence grave doit s’apprécier in abstacto, par référence au comportement qu’aurait eu un utilisateur normalement attentif peu important qu’il soit ou non, avisé des risques de fraude. En l’espèce, Mme [J] a reçu un SMS émanant d’un téléphone portable et présentant des fautes typographiques : « suite a 3 tentatives d’authentification OTP, votre compte a ete bloque. Veuillez contacter immediatement le service de securite au (…) ». Le numéro indiqué n’est pas lisible. La charge de la preuve ne repose toutefois pas sur Mme [J], mais conséquence doit être tirée de l’absence de la fin du SMS, ainsi que l’absence de production des relevés téléphoniques de Mme [J] dont la production a pourtant été autorisée par une note en délibéré. Au vu de la forme du SMS, elle aurait dû contacter son conseiller bancaire immédiatement si elle craignait que son compte bancaire ait été bloqué et a donc fait preuve de négligence grave.

Sur la demande formée au titre de la résistance abusive

Aux termes de l’article 1240 du code civil, tout fait quelconque de l’homme, qui cause à autrui un dommage, oblige celui par la faute duquel il est arrivé à le réparer.

En l’espèce, Mme [J] sollicite la condamnation de la banque à lui payer la somme de 1500 euros pour résistance abusive. Elle soutient que le refus de la banque à lui rembourser la somme de 2500 euros au titre de l’opération contestée lui a engendré des frais de procédure.

Toutefois, la banque n’ayant pas commis de faute dans l’absence de remboursement du paiement litigieux, la demande formée de ce chef ne pourra pas prospérer.

Sur la demande formée au titre du préjudice moral

Aux termes de l’article 1240 du code civil, tout fait quelconque de l’homme, qui cause à autrui un dommage, oblige celui par la faute duquel il est arrivé à le réparer.

En l’espèce, Mme [J] sollicite la condamnation de la banque à lui payer la somme de 2000 euros pour le préjudice moral subi. Elle fait valoir que la banque a tenté de se dédouaner de sa responsabilité en lui faisant croire qu’elle devait signer une attestation affirmant qu’elle avait commis une négligence grave pour être remboursée.

La responsabilité de la banque n’étant pas engagée et Mme [J] ayant commis une négligence grave, cette demande ne pourra pas prospérer.

Sur les autres demandes

Aux termes de l’article 700 du code de procédure civile, le juge condamne la partie tenue aux dépens, ou, à défaut, la partie perdante, à payer à l’autre partie la somme qu’il détermine, au titre des frais exposés et non compris dans les dépens ; dans tous les cas, le juge tient compte de l’équité et de la situation économique de la partie condamnée.

Mme [J], qui succombe à la cause, sera condamnée aux dépens de la présente instance, conformément à l’article 696 du code de procédure civile.

Mme [J] sera également condamnée à payer à la Caisse régionale de crédit agricole mutuel Nord de France la somme de 100 euros au titre des frais irrépétibles et sera déboutée de sa demande formée en ce sens.

Selon l’article 514 du code de procédure civile, les décisions de première instance sont de droit exécutoires à titre provisoire à moins que la loi ou la décision rendue n’en dispose autrement.

Toutefois, selon l’article 514-1 du même code, le juge peut écarter l’exécution provisoire de droit, en tout ou partie, s’il estime qu’elle est incompatible avec la nature de l’affaire. Il statue, d’office ou à la demande d’une partie, par décision spécialement motivée.

En l’espèce, il n’y a pas lieu d’écarter l’exécution provisoire de la présente décision.

PAR CES MOTIFS,

Le tribunal, statuant après débats publics, par jugement mis à disposition au greffe, contradictoire et en premier ressort,

REJETTE la demande de remboursement de la somme de 2500 euros formée par Mme [X] [J] ;

REJETTE la demande de Mme [X] [J] formée au titre de la résistance abusive ;

REJETTE la demande de Mme [X] [J] formée au titre du préjudice moral ;

REJETTE la demande de Mme [X] [J] formée au titre des frais irrépétibles ;

CONDAMNE Mme [X] [J] à payer à la Caisse régionale de crédit agricole mutuel Nord de France la somme de 100 euros (cent euros) au titre des frais irrépétibles ;

CONDAMNE Mme [X] [J] aux dépens de l’instance ;

RAPPELLE que le présent jugement est exécutoire de plein droit à titre provisoire.

La Greffière, Le Juge,