TRIBUNAL

JUDICIAIRE

DE [Localité 1]

4ème chambre civile

N° RG 24/05398 – N° Portalis DBYH-W-B7I-L7ZL

NC/PR

Copie exécutoire

et copie

délivrées le :27/02/26

à :

la SELARL CDMF AVOCATS

la SCP FICHTER TAMBE

TRIBUNAL JUDICIAIRE DE GRENOBLE

Jugement du 23 Février 2026

ENTRE :

DEMANDEURS

Madame [Q] [P] épouse [S]

née le [Date naissance 1] 1954 à [Localité 2] (ALGERIE), demeurant [Adresse 1]

Monsieur [J] [S]

né le [Date naissance 2] 1961 à [Localité 3], demeurant [Adresse 1]

représentés par Maître Julien TAMBE de la SCP FICHTER TAMBE, avocats au barreau de GRENOBLE

D’UNE PART

E T :

DEFENDERESSE

S.A. SOCIETE GENERALE, dont le siège social est sis [Adresse 2]

représentée par Maître Jean-luc MEDINA de la SELARL CDMF AVOCATS, avocats au barreau de GRENOBLE

D’AUTRE PART

A l’audience publique du 08 Décembre 2025, tenue à juge unique par Nathalie CLUZEL, Vice-Présidente, assistée de Patricia RICAU, Greffière, les conseils des parties ayant renoncé au bénéfice des dispositions de l’article 804 du code de procédure civile,

Après dépôt des dossiers , l’affaire a été mise en délibéré, et le prononcé de la décision renvoyé au 23 Février 2026, date à laquelle il a été statué en ces termes :

FAITS, PROCEDURE ET MOYENS DES PARTIES :

Par acte sous seing privé en date du 14 novembre 1992, Madame [Q] [P] épouse [S] et Monsieur [J] [S] ont régularisé une convention de compte courant avec la Société Générale.

Le 09 février 2024, Madame [Q] [P] épouse [S] a déposé plainte pour escroquerie pour des faits survenus le 06 février 2024.

Par courriel du 10 février 2024, Madame [Q] [P] épouse [S] a déclaré à la Société Générale la perte/vol de leurs cartes particuliers et des opérations non autorisées réalisées du 06 au 08 février 2024 pour un montant total de 12.835,36 euros.

Par courriel en date du 07 mars 2024, Madame [Q] [P] épouse [S] et Monsieur [J] [S] ont adressé à la Société Générale une demande de remboursement de la somme de 15.932,61 euros.

Par courriel du 12 mars 2024, la Société Générale a refusé de faire droit à la demande.

Par exploit de commissaire de justice en date du 08 octobre 2024, Monsieur [J] [S] et Madame [Q] [L] [S] ont assigné la S.A. Société Générale devant le tribunal judiciaire de Grenoble.

En l’état des dernières conclusions, notifiées le 04 juin 2025 par RPVA, à la lecture desquelles il convient de se reporter pour un plus ample exposé en fait et en droit, Monsieur [J] [S] et Madame [Q] [P] épouse [S] demandent au tribunal, au visa des articles 133-1 et suivants du code monétaire et financier, ainsi que de l’article 1104 du code civil, de:

— Condamner la Société Générale à payer aux époux [S] la somme de 16.025,36 euros, assortie des intérêts à taux légal issu de l’article L. 133-8 du code monétaire et financier, à compter du 10 février 2024 ;

— Condamner la Société Générale à payer aux époux [S] la somme de 3.000 euros au titre du préjudice moral subi ;

— Condamner la Société Générale à payer aux époux [S] la somme de 2.500 euros au titre de l’article 700 du code de procédure civile ;

— Rappeler l’exécution provisoire de plein droit du jugement à intervenir ;

— Condamner la Société Générale aux entiers dépens.

En soutien à leur demande fondée sur la responsabilité contractuelle de la Société Générale, les époux [S] font valoir que Madame [Q] [L] [S] a été victime d’une fraude bancaire par spoofing le 06 février 2024 ayant conduit au débit de la somme totale de 16.025,36 euros entre le 06 et le 08 février. Plus précisément, ils indiquent avoir été contactés par un numéro de téléphone affiché comme étant celui de la Société Générale, et par une personne qui connaissait ses noms et prénom, son numéro de compte, sa conseillère bancaire, et avait connaissance des dernières opérations bancaires effectuées. L’ensemble de ces informations provenant nécessairement d’un piratage de l’établissement bancaire, Madame [S] a cru légitimement que son interlocuteur était un employé de la banque.

Si Madame [Q] [S] reconnaît avoir validé plusieurs opérations par le biais de son téléphone, elle conteste toute négligence grave et affirme n’avoir jamais communiqué son code confidentiel, celui-ci ayant nécessairement été trouvé par le pirate sur l’application de la Société Générale dans laquelle il a réussi à pénétrer illégalement avant d’initier et valider l’ensemble des opérations frauduleuses sur lesquelles le titulaire du compte n’avait aucune visibilité. Elle reconnaît également avoir suivi les instructions de son interlocuteur au téléphone en coupant sa carte bancaire avant qu’elle soit récupérée par un coursier dans sa boîte aux lettres.

En tout état de cause, les concluants indiquent que la Société Générale a manqué à son obligation de vigilance en ne signalant pas à Madame [Q] [S] les anomalies apparentes dans le fonctionnement de son compte. En effet, les opérations bancaires litigieuses ne correspondent pas aux habitudes bancaires du couple, ce d’autant que les plafonds ont été augmentés successivement et accompagnés de retraits ou achats à des endroits différents de leur lieu d’habitation. En outre, la première connexion a été enregistrée par la banque comme « connexion inhabituelle » et les notifications générées pour les opérations bancaires litigieuses ont été faites uniquement sur l’espace client, sans mention d’alerte, de SMS ou d’e-mail de type « transaction à risque ». Enfin, ils rappellent la chronologie des faits et notamment la détention d’informations confidentielles par le fraudeur lors de l’appel qui démontre le piratage des données détenues par la Société Générale.

Compte tenu de la mauvaise foi de la banque dans le traitement de la demande de remboursement des sommes débitées, les époux [S] forment une demande de dommages et intérêts en réparation du préjudice moral subi.

**

En l’état des dernières conclusions, notifiées le 22 juillet 2025 par RPVA, à la lecture desquelles il convient de se reporter pour un plus ample exposé en fait et en droit, la S.A. Société Générale demande au tribunal, de :

— Déclarer recevable et bien-fondé la S.A. Société Générale en ses demandes ;

— Débouter Monsieur [J] [S] et Madame [Q] [L] [S] de toutes leurs demandes puisqu’elles sont mal fondées ;

Aussi,

— Condamner in solidum Monsieur [J] [S] et Madame [Q] [L] [S] à payer à la S.A. Société Générale la somme de 3.000 euros au titre de l’article 700 du code de procédure civile ;

— Condamner conformément à l’article 696 du code de procédure civile, in solidum les mêmes aux entiers dépens de l’instance, dont distraction sera faite au profit de la S.E.L.A.R.L. CDMF-Avocat, Maître Jean-Luc Médina conformément à l’article 699 du code de procédure civile ;

— Dire conformément à l’article 514 du code de procédure civile, y avoir lieu à écarter l’exécution provisoire de droit de la décision à intervenir.

Pour contester toute responsabilité contractuelle, la Société Générale réfute tout manquement à son obligation de vigilance. Si elle reconnaît qu’une connexion inhabituelle a eu lieu, elle souligne que les époux [S] ne rapportent pas la preuve de l’appel reçu ni de l’absence de communication du code [Localité 4] de leur carte, ou de la découpe de la carte.

À l’inverse, elle affirme qu’ils ont fait preuve d’une négligence grave en se dépossédant volontairement de leur carte bancaire, celle-ci ayant été utilisée ensuite pour les paiements et retraits litigieux, puis en ne formant opposition à la carte que le 09 février, soit trois jours après le prétendu appel.

En tout état de cause, la banque conteste tout piratage de ses données et souligne que les éléments techniques fournis par elle permettent d’établir que les opérations litigieuses ont été validées par le biais d’un mécanisme d’authentification forte directement relié au téléphone, sachant que les titulaires n’ont pas changé de numéro de téléphone depuis 2012.

L’instruction de la procédure a été clôturée par l’ordonnance du juge de la mise en état du 04 novembre 2025.

L’affaire a été audiencée le 08 décembre 2025 et mise en délibéré au 23 février 2026.

MOTIFS DE LA DÉCISION

I/ Sur la demande de paiements

Une opération de paiement n’est autorisée au sens des articles L. 133-3 et L. 133-6 du code monétaire et financier que si le payeur l’a initiée et a consenti au montant de l’opération.

En cas d’opération de paiement non autorisée signalée par l’utilisateur dans les délais prévus par l’article L. 133-24 du même code, le prestataire de services de paiement du payeur rembourse à ce dernier le montant de l’opération non autorisée sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement.

Dans cette hypothèse, il incombe au prestataire de paiement de prouver que l’opération litigieuse a été effectuée après une authentification forte, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre, l’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement, à savoir l’utilisation des identifiants du client et l’absence de déficience technique ou autre, notamment par le biais de la production d’un relevé de ses connexions, ne suffisant pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur.

L’article L. 133-4 (f) du code précité précise qu’une authentification forte s’entend d’une authentification reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories « connaissance » (quelque chose que seul l’utilisateur connaît telle qu’un mot de passe, un code secret, une question secrète, etc.), « possession » (quelque chose que seul l’utilisateur possède telle qu’un téléphone portable, une montre connectée, une clé USB etc.) et « inhérence » (quelque chose que l’utilisateur est telle que la reconnaissance faciale ou vocale, la reconnaissance par empreinte digitale, etc.) et indépendants en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d’authentification. L’authentification forte repose donc sur l’utilisation de deux de ces éléments, voire plus.

Par ailleurs, la responsabilité du payeur n’est pas engagée si l’opération de paiement non autorisée a été effectuée en détournant, à son insu, l’instrument de paiement ou les données qui lui sont liées. Cependant, il supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’agissements frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17 du code précité.

Ainsi, pour échapper au remboursement de l’opération contestée, le prestataire de services de paiement doit démontrer, soit que l’ordre émanait bel et bien du client dûment authentifié dans son espace personnel, soit que le vol des identifiants de connexion (ou d’autres données) n’est que la conséquence d’une faute grave de sa part consistant à ne pas avoir satisfait intentionnellement aux obligations lui incombant en la matière ou à les avoir gravement négligées.

En l’espèce, il n’est pas contesté par la banque que Madame [Q] [S] a été victime d’une escroquerie et qu’elle a, dans ce cadre, procédé à la validation de certaines opérations directement depuis son téléphone avant de remettre sa carte bancaire à un coursier, laquelle a été utilisée pour procéder à des paiements et des retraits en espèces.

Cependant, si les virements et augmentation de plafonds ont été validés depuis l’espace en ligne de Madame [Q] [S] et les retraits effectués au moyen de sa carte bancaire qui lui a été associée, la demanderesse n’a cependant pas consenti aux paiements litigieux dans leur principe et leur quantum dès lors qu’il n’est pas discuté qu’elle a été victime d’une fraude et qu’elle n’est en réalité pas à l’origine de l’authentification de ces opérations et/ou qu’elle n’avait pas conscience de la nature des opérations validées.

Il convient dès lors de considérer que les opérations litigieuses n’ont pas été autorisées par le demandeur au sens des articles L. 133-3 et L. 133-6 du code monétaire et financier et de rechercher s’il peut se voir reprocher une négligence grave au sens des articles L. 133-16 et suivants du même code faisant obstacle à son indemnisation.

Il appartient à la banque dans ce cadre de démontrer la négligence grave de l’utilisateur. Celle-ci invoque le fait pour madame [S] de s’être dépossédée de sa carte bancaire dans les mains d’un tiers non autorisé par la banque, alors qu’il est spécifié dans le contrat que c’est formellement interdit. Elle précise que c’est ce qui a permis au fraudeur de récupérer le code de la carte bancaire sur l’espace client et de procéder aux augmentations de plafonds. (pièce 5 du demandeur, courrier de rejet de la demande de remboursement).

En l’état, il résulte des déclarations faites par Madame [Q] [S], lors de son dépôt de plainte, qu’elle a reconnu avoir reçu « un appel d’un numéro marqué société générale », en l’espèce « le 04.72.00.57.00 », puis d’autres appels ensuite à partir d’un autre numéro, « le 07.59.86.28.36 » (pièce 1). Si la demanderesse ne produit pas son relevé téléphonique, il est néanmoins peu probable que le numéro d’affichage correspondant à la banque soit effectivement celui mentionné sur son relevé, la fraude consistant justement à déporter ce numéro. D’ailleurs, la Société Générale ne conteste pas que madame [S] ait été appelée par un interlocuteur se faisant passer pour la banque. (Pièce 6).

Or, si la Société Générale produit un document d’information qui émane de ses services portant sur le Phishing et le smishing, daté du 12 février 2021, il convient de relever que ces procédés diffèrent de celui dont a été victime madame [S], outre que ce document se trouvait dans l’onglet « Nos conseils » de l’espace client et ne peut être considéré comme un message systématique d’avertissement de sa clientèle de ce que jamais un conseiller de la banque n’appellerait un client pour lui demander ses codes, puisque la lecture de ce document supposait une démarche de recherche active du client.

Pourtant, la banque qui voit sa ligne téléphonique usurpée ou piratée a l’obligation de prodiguer un avertissement clair et systématique à ses clients de ce qu’ils risquent être contactés par de faux conseillers, ce qu’elles font le plus souvent à l’heure actuelle. Ainsi, bien que la Société Générale ait mis à disposition de ses clients de précieux conseils dans cet onglet de l’espace client, elle ne démontre pas s’être assurée, avant février 2024, de ce que l’ensemble de ses clients soient informés de l’existence du « spoofing » et qu’ils aient eu connaissance qu’aucun conseiller ne les appellerait pour leur demander leurs codes personnels.

En outre et surtout, il résulte du document produit par le service des litiges qu’ " après analyse, [nous confirmons relever] des traces d’intrusion sur l’accès BAD de Mme [S] [Q] " sont apparues, alors même que le numéro de téléphone de la cliente n’a pas été modifié depuis son enregistrement en 2012 et que le pass sécurité n’a pas été modifié depuis 2023. Ainsi, l’opération de consultation du code [Localité 4], le 6/02/2024, a bien été validée depuis le terminal habituellement utilisé par la cliente et ce de manière forte via son pass sécurité, mais a été initié depuis une connexion inhabituelle. Il résulte de ces éléments que le pass sécurité a été communiqué durant la conversation téléphonique du 6/02/2024, soit au début des opérations de fraudes, dans un contexte où madame [S] indique qu’elle pensait effectuer des opérations par téléphone avec un conseiller de la banque afin de stopper une fraude en cours sur son compte. D’ailleurs, la Société Générale indiquait dans son analyse en suivant : " Mme [S] a donc communiqué ses identifiants de connexion à une tierce personne (volontairement ou par abus de confiance). " La banque n’excluait donc absolument pas à ce stade que sa cliente ait pu être abusée.

De même était-il indiqué dans ce document que les opérations effectuées les 6,7,8 février 2024 avaient été réalisées de la même manière. (pièce 6)

Monsieur et madame [S] expliqueront que c’est monsieur [S] qui, de retour de déplacement, a compris la fraude, ce qui les a conduits à faire opposition sur la carte le 8 février et à déposer plainte le 9 février. Madame [S] expliquera qu’elle était convaincue jusque-là d’avoir fait opposition auprès de son interlocuteur qui lui avait remis un numéro d’opposition. Il ne peut lui être reproché de n’avoir pas fait opposition dès la remise de sa carte, dans la mesure où elle avait justement été persuadée de l’avoir fait par téléphone. Elle avait ainsi obéi à sa demande de découper sa carte bancaire avant de la remettre à un coursier dans un « courrier de ramasse » numéroté. Il va de soi que l’usage de cette carte a été rendue possible par la récupération du code secret sur l’espace personnel de madame [S] à la suite de ses validations, mais ce qui suppose que le pirate ait pu s’introduire a minima sur l’espace personnel en ligne sur le site de la banque ou le téléphone de la victime via un malware, afin de trouver les éléments permettant sa mise en confiance (nom, prénom, nom du conseiller, voire identifiants).

A ce propos, la Société Générale ne précise nullement comment il se peut que les différentes opérations aient pu être initiées depuis une connexion inhabituelle sans que des messages d’alertes ne soient envoyés à sa cliente sur ce point précise d’une connexion extérieure. Elle ne justifie en tout cas pas de manière lisible que de tels messages lui aient été envoyés en temps réel et sur un terminal auquel elle avait accès pendant les appels frauduleux, outre que le propre de ce type de fraude est d’indiquer au client qu’il convient de valider les opérations, en sorte qu’ils sont nécessairement à l’origine de la validation.

L’ensemble de ces éléments, ainsi que la cohérence entre les déclarations de monsieur et madame [S] d’une part et les constats objectivés des opérations d’autre part, permettent de mettre en lumière le fait que madame [S] a été mise en confiance par un faux conseiller et qu’elle a, sous le coup du stress lié à une fraude prétendument en cours, répondu à ses demandes. Aussi naïve qu’ait été sa réaction, il convient de relever son âge, sa profession sans lien avec les outils informatiques, et le fait que le fraudeur détenait des éléments relatifs à son identité et à ses comptes. Madame [S] ajoute d’ailleurs que le réapprovisionnement de son compte courant avec son livret A s’est fait sans qu’elle réalise ce qu’elle autorisait, « sans que je m’en rende compte » dira-t-elle spontanément dans sa plainte (pièce 1).

Dès lors, que le pirate ait pu avoir accès à ses comptes via le site de la banque, ce qui serait une défaillance technique de cette dernière, ou via le téléphone de la victime, il apparaît que la réaction initiale de madame [S] ne peut être considérée, dans ce contexte, comme une négligence grave ou intentionnelle, même si elle a manqué de prudence et de clairvoyance, ce qui peut s’expliquer par la situation créée par le fraudeur. En conséquence, la Société Générale ne démontre pas l’existence d’une négligence grave de la part de madame [S] dans les premiers temps et notamment lors de la remise de sa carte.

Néanmoins, madame [S] dira également que cette personne l’a rappelée ensuite au motif d’une défaillance technique qui n’avait pas permis de stopper la fraude, ce qui l’a conduite à réitérer des validations conduisant à des augmentations de plafond. S’il est vraisemblable qu’elle se soit faite là encore abuser, il convient de relever que ces nouveaux appels, en particulier le 8 février, sont suffisamment à distance du premier pour qu’une personne normalement prudente et raisonnable ait pu prendre conscience de l’escroquerie, d’une part en consultant ses comptes, d’autre part en consultant sa banque, ce d’autant que son interlocuteur lui avait même conseillé de prendre attache avec sa conseillère financière habituelle. En conséquence, alors même qu’il doit être considéré que madame [S] a été surprise et abusée initialement, il sera jugé que les achats et retraits du 8 février aurait pu être évités et qu’elle a fait preuve de négligence grave en ne procédant à aucune vérification auprès de sa banque, ce d’autant que certains indices pouvaient éveiller des doutes, à distance du premier appel, comme le fait par exemple que cet homme l’ait appelée " Madame [Q] ".

Par conséquent, la condamnation de la banque sera diminuée des sommes détournées le 8 février 2024, madame [S] ayant été en capacité de s’assurer de la réalité des dires de son interlocuteur par des moyens simples de vérification.

S’agissant du montant des sommes détournées, il résulte des relevés de compte du couple pour la période du 6 au 8 février une somme totale de 15.735,36 euros, dont 5994,86 euros le 8 février.

La Société Générale sera donc condamnée à payer à Monsieur [J] [S] et Madame [Q] [P] épouse [S], la somme totale de 9 740,50 euros, comprenant les achats par carte bancaire et les retraits aux distributeurs frauduleux pour les 6 et 7 février. La somme sera assortie des intérêts au taux légal à compter du 10 février, date non contestée de la demande de remboursement.

II/ Sur la demande de dommages et intérêts pour préjudice moral

Monsieur [J] [S] et Madame [Q] [P] épouse [S] qui ne démontrent pas la mauvaise foi de la banque, qui a seulement fait valoir sa position, et ne justifient pas d’un préjudice distinct du retard de paiement, seront déboutés de leur demande au titre du préjudice moral.

III/ Sur les autres demandes

Sur les dépens

Aux termes de l’article 696 du code de procédure civile, la partie perdante est condamnée aux dépens de l’instance, à moins que le juge, par décision motivée, n’en mette la totalité ou une fraction à la charge d’une autre partie.

La société Générale, qui succombe à l’instance, sera condamnée aux dépens.

Sur les frais irrépétibles

Aux termes de l’article 700 du code de procédure civile, le juge condamne la partie tenue aux dépens ou qui perd son procès à payer à l’autre partie la somme qu’il détermine, au titre des frais exposés et non compris dans les dépens.

Dans tous les cas, le juge tient compte de l’équité ou de la situation économique de la partie condamnée. Il peut, même d’office, pour des raisons tirées des mêmes considérations, dire qu’il n’y a pas lieu à ces condamnations.

La SA Société Générale sera condamnée à payer à Monsieur [J] [S] et Madame [Q] [P] épouse [S], la somme de 1500 euros sur le fondement de l’article 700 du code de procédure civile.

Sur l’exécution provisoire

Aux termes de l’article 514 du code de procédure civile dans sa rédaction issue du décret n°2019-1333 du 11 décembre 2019 applicable à l’espèce, les décisions de première instance sont de droit exécutoires à titre provisoire à moins que la loi ou la décision rendue n’en dispose autrement.

En l’espèce, compte tenu de l’absence de motif dérogatoire, il est rappelé que la présente décision est exécutoire de plein droit par provision.

PAR CES MOTIFS

Le tribunal, statuant à juge unique, publiquement, en premier ressort et par jugement contradictoire :

Condamne la SA Société Générale à payer à Monsieur [J] [S] et Madame [Q] [P] épouse [S] la somme de 9 740,50 euros au titre de la fraude survenue entre les 06 et 08 février 2024, assortis des intérêts au taux légal à compter du 10 février 2024 ;

Déboute Monsieur [J] [S] et Madame [Q] [P] épouse [S] de leur demande de dommages et intérêts formée à l’encontre de la S.A. Société Générale,

Condamne la SA Société Générale aux entiers dépens,

Condamne la SA Société Générale à payer à Monsieur [J] [S] et Madame [Q] [P] épouse [S] la somme de 1.500 euros au titre des frais irrépétibles,

Déboute les parties de leurs demandes plus amples ou contraires,

Rappelle que l’exécution provisoire du présent jugement est de droit,

Prononce publiquement par mise à disposition du jugement au Greffe du tribunal judiciaire, les parties en ayant été préalablement avisées dans les conditions prévues par l’article 450 du code de procédure civile.

LA GREFFIÈRE LA PRÉSIDENTE