TRIBUNAL JUDICIAIRE

de [Localité 1]

[Localité 2]

☎ :[XXXXXXXX01]

N° RG 25/00111 – N° Portalis DBZS-W-B7J-ZDXA

JUGEMENT

DU : 27 Mai 2026

[A] [X]

C/

S.A. CAISSE D’EPARGNE ET DE PREVOYANCE HAUTS DE FRANCE

REPUBLIQUE FRANÇAISE

AU NOM DU PEUPLE FRANÇAIS

JUGEMENT DU 27 Mai 2026

DANS LE LITIGE ENTRE :

DEMANDEUR

Madame [A] [X], demeurant [Adresse 1]

représentée par Maître Amélia DANTEC, avocat au barreau de LILLE

ET :

DÉFENDEUR

S.A. CAISSE D’EPARGNE ET DE PREVOYANCE HAUTS DE FRANCE, dont le siège social est sis [Adresse 2]

représentée par Maître Ludovic SCHRYVE, avocat au barreau de LILLE

COMPOSITION DU TRIBUNAL LORS DES DÉBATS À L’AUDIENCE PUBLIQUE DU 17 Février 2026

Marie-Cécile VILLA, Juge, assistée de Sylvie DEHAUDT, Greffier

COMPOSITION DU TRIBUNAL LORS DU DÉLIBÉRÉ

Par mise à disposition au Greffe le 27 Mai 2026, date indiquée à l’issue des débats par Marie-Cécile VILLA, Juge, assistée de Charlélie VIENNE, Greffier

EXPOSE DU LITIGE

Madame [A] [X] est titulaire d’un compte bancaire au sein de l’établissement bancaire la Caisse d’Epargne et de Prévoyance Hauts de France, agence de [Localité 3].

Exposant avoir été victime d’une arnaque sur son compte bancaire, elle a sollicité de sa banque le remboursement de deux prélèvements effectués le 26 avril 2024 d’un montant de 2.659,54 € (BKG*AT BOOKING) et d’un montant de 1.162,35 € ([G]), soit le remboursement de la somme totale de 3.821,89 €.

Par courrier du 30 avril 2024, la S.A. Caisse d’Epargne et de Prévoyance Hauts de France lui refusait ce remboursement.

Puis Madame [A] [X] informait le service de médiation bancaire sous l’égide de la Fédération Bancaire Française et sollicitait le conciliateur de justice près du tribunal judiciaire de LILLE qui, par procès-verbal du 12 décembre 2024, constatait l’échec de la conciliation.

Par requête reçue au greffe le 02 janvier 2025, Madame [A] [X] saisissait alors le Tribunal judiciaire de Lille afin de voir condamner la S.A. Caisse d’Epargne et de Prévoyance Hauts de France à lui payer la somme de 3.821,89 €, assortie des intérêts au taux légal à compter du 14 juin 2024 et les sommes de 1.000 € en réparation de sa résistance abusive et de 2.000 € en application de l’article 700 du code de procédure civile, outre les dépens.

Les parties ont été convoquées à l’audience du 23 septembre 2025.

A cette audience, Madame [A] [X] et la S.A. Caisse d’Epargne et de Prévoyance Hauts de France étaient toutes deux représentées de leur conseil.

L’affaire a été renvoyée à plusieurs reprises pour permettre sa mise en état, puis retenue et plaidée à l’audience du 17 février 2026.

Se référant à ses conclusions responsives et récapitulatives déposées à l’audience, Madame [A] [X] expose avoir été victime d’une personne faisant usage d’une fausse qualité de conseiller bancaire l’appelant par le biais d’un numéro utilisé par la banque et présentant une situation d’urgence, suivant laquelle elle était victime d’une fraude lui proposant d’y remédier à partir de son application bancaire, ce qu’elle faisait, mais sans toutefois transmettre aucun code confidentiel. Elle précise avoir été mise en confiance par son interlocuteur qui lui a transmis les derniers numéros de sa carte bancaire et son code postal, diminuant ainsi sa vigilance alors qu’en 2024, les usagers n’étaient pas encore spécialement alertés des escroqueries de type spoofing.

Sur le fondement des articles L133-18, L133-19 IV et L133-23 et suivants du code monétaire et financier, Madame [A] [X] soutient que l’établissement bancaire est garante du remboursement des opérations de paiement non consenties, ne prouvant aucune négligence grave de sa part, rappelant que cette négligence ne peut se déduire de la seule utilisation effective de son instrument de paiement ou des données personnelles qui lui sont liées. Elle précise n’avoir jamais reçu de notification de la part des sites marchands qu’elle n’a donc pas pu valider.

Elle allègue, au contraire, avoir effectué toutes les diligences requises, informée immédiatement sa banque de l’escroquerie, effectué opposition sur sa carte bancaire et porté plainte en ligne via le service Perceval. Elle précise que les services de gendarmerie auraient refusé de prendre sa plainte.

Elle réitère ses demandes formulées dans son acte introductif d’instance, précisant la condamnation au remboursement des opérations frauduleuses, soit la somme de 3.821,89 €, « avec intérêt au taux légal » sans en préciser le point de départ.

En réplique, se référant à ses dernières conclusions responsives n°2, la S.A. Caisse d’Epargne et de Prévoyance Hauts de France fait valoir que les opérations litigieuses ont été autorisées sous la forme convenue entre le payeur et son prestataire de services de paiement, en l’espèce, par le dispositif d’authentification forte SECURPASS, installé sur le dispositif personnel de Madame [X], nécessairement validées par l’utilisation de son appareil et de son code confidentiel et personnel ou par ses données biométriques, lesquels sont strictement personnels.

Elle ajoute que le procédé d’authentification du dispositif SECURPASS serait conforme aux exigences édictées à l’article L133-4 du code monétaire et financier et apporter la preuve des connexions effectuées par Madame [X] pour ces opérations litigieuses. Cette autorisation par procédé d’authentification forte impliquant la présence d’un second facteur d’authentification suffit à démontrer le caractère autorisé du paiement et, de ce seul fait, exonérer la banque de toute responsabilité.

A titre subsidiaire, elle prétend encore que Madame [X] se serait montrée gravement négligente dans la conservation de ses données de sécurité personnalisées, excluant tout remboursement de la part de la banque. Elle aurait, en effet, suivi des instructions d’un inconnu demandant de procéder à « des remboursements » alors qu’elle a validé des paiements au bénéfice de destinataires dont les noms étaient expressément présentés, à savoir [G] et BOOKING ; elle aurait manqué à son obligation de préserver la sécurité de ses données de sécurité personnalisées résultant des dispositions de l’article L.133-16 et aurait, de la sorte, commis une grave négligence.

Elle expose encore que le processus d’autorisation de l’opération par le dispositif SECURPASS informe précisément le payeur – donc en l’espèce Madame [X] – qu’elle doit confirmer une opération d’un montant précis au profit d’un site marchand clairement identifié, de sorte qu’elle ne pouvait pas ignorer le contenu exact de l’opération, ajoutant qu’en cas de refus, il lui est encore proposé l’option n’être pas à l’origine de la demande et enfin, que ce processus ne nécessite pas de code à ce stade qui aurait pu être malencontreusement donné au fraudeur. Elle ajoute encore que Madame [X] aurait procédé à la validation de l’augmentation de son plafond d’autorisation de paiement via le dispositif d’authentification forte.

Par ailleurs, elle fait grief à Madame [X] de ne pas apporter la preuve de ses allégations s’agissant des manœuvres d’escroquerie de son interlocuteur. Enfin, elle précise que le juge doit tenir compte du fait que le phénomène de « spoofing » est désormais notoirement connu, de sorte qu’un utilisateur normalement vigilent ne doit jamais communiquer par téléphone ses données de sécurité, même à une personne se présentant comme un conseiller bancaire.

Conformément à l’article 455 du code civil, il est renvoyé aux écritures des parties pour un plus ample exposé de leurs prétentions et moyens.

A l’issue des débats, l’affaire a été mise en délibéré au 27 mai 2026.

MOTIFS DE LA DECISION

Sur la demande en remboursement

Aux termes de l’article L133-3 du code monétaire et financier, «  I. – Une opération de paiement est une action consistant à verser, transférer ou retirer des fonds, indépendamment de toute obligation sous-jacente entre le payeur et le bénéficiaire, initiée par le payeur, ou pour son compte, ou par le bénéficiaire (…).

Aux termes de l’article L133-6 du même code : I. – Une opération de paiement est autorisée si le payeur a donné son consentement à son exécution.

Toutefois, le payeur et son prestataire de services de paiement peuvent convenir que le payeur pourra donner son consentement à l’opération de paiement après l’exécution de cette dernière (…).

Suivant l’article L133-7 suivant : « le consentement est donné sous la forme convenue entre le payeur et son prestataire de services de paiement (…) ».

Sur la responsabilité en cas d’opération de paiement non autorisée :

Il résulte des articles L133-18 et L133-19 du code monétaire et financier qu’en cas d’opération de paiement non autorisée, réalisée au moyen d’un instrument de paiement doté de données de sécurité personnalisées, et signalée par l’utilisateur dans les conditions prévues à l’art. L. 133-24, le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée, sauf si la responsabilité du payeur est engagée en application de l’art. L. 133-19.

L’article L133-19, II, du code monétaire et financier précise que la responsabilité du payeur n’est pas engagée si l’opération de paiement non autorisée a été effectuée en détournant, à l’insu du payeur, l’instrument de paiement ou les données qui lui sont liées.

A l’inverse, le payeur supporte, en application de l’article L133-19, IV, du code monétaire et financier, toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L133-16, qui l’oblige à prendre toute mesure raisonnable pour préserver la sécurité des données de sécurité personnalisées de son instrument de paiement, et L. 133-17, qui l’oblige à informer sans tarder le prestataire de service de paiement de la perte, du vol, du détournement ou de toute utilisation non autorisée de son instrument de paiement ou des données qui lui sont liées.

Dans son arrêt n°23-16.267 du 23 octobre 2024 (n°23-16.267, publié au Bulletin), la chambre commerciale de la Cour de cassation a jugé qu’aucune négligence grave ne pouvait être imputée au titulaire d’un compte qui, contacté téléphoniquement par une personne se faisant passer pour un préposé de sa banque dont le numéro s’affichait (spoofing), utilise à sa demande le dispositif de sécurité personnalisé pour supprimer puis réinscrire des bénéficiaires de virements dans le but d’éviter des opérations malveillantes.

Sur la preuve :

Suivant l’article L133-23 du code monétaire et financier, « lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre.

L’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière. Le prestataire de services de paiement, y compris, le cas échéant, le prestataire de services de paiement fournissant un service d’initiation de paiement, fournit des éléments afin de prouver la fraude ou la négligence grave commise par l’utilisateur de services de paiement ».

Au visa des articles L133-16, L133-17, L133-19, IV, et L133-23 du code monétaire et financier, la Cour de cassation juge que s’il appartient à l’utilisateur de service de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d’informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l’instrument de paiement ou des données qui lui sont liées, c’est à ce prestataire qu’il incombe de rapporter la preuve que l’utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence grave à ses obligations. Cette preuve ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont lies ont été effectivement utilisées (Com. 18 janvier 2017, n°15-18.102).

Sur l’authentification forte :

Enfin, l’article L133-19, V, du code monétaire financier ajoute que, sous réserve de la fraude, le payeur ne supporte aucune conséquence financière si l’opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement du payeur n’exige une authentification forte du payeur prévue à l’article L133-44.

L’article L133-4, f, du code monétaire et financier définit une authentification forte comme une authentification reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories « connaissance », « possession » et « inhérence » et indépendants, en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des mesures d’authentification.

L’article L133-44 du code monétaire et financier l’exige pour l’accès au compte de paiement en ligne, l’initiation d’une opération de paiement électronique et l’exécution d’une opération par le biais d’un moyen de communication à distance, susceptible de comporter un risque de fraude en matière de paiement ou de toute autre utilisation frauduleuse.

Il résulte de l’ensemble de ces dispositions, que dans l’hypothèse d’une opération de paiement non autorisée et obtenue par fraude l’obligation de remboursement pour la banque est le principe et que pour s’en exonérer, elle doit établir, d’une part, que l’opération a été authentifiée et, d’autre part, que le payeur a agi avec négligence grave ou de manière frauduleuse.

Il est constant par ailleurs que la négligence grave prévue à l’article L133-19 est exclusive de toute appréciation de la bonne foi du payeur mais impose au juge de se référer au comportement d’un utilisateur normalement attentif.

En l’espèce, Madame [X] produit le relevé de son compte individuel justifiant les deux prélèvements effectués le 26 avril 2024 d’un montant de 2.659,54 € ([G] ) et d’un montant de 1.162,35 € (BKG*AT BOOKING), soit le remboursement de la somme de 3.821,89 €.

Ce compte individuel montre également le prélèvement d’un montant de 2.659,54 € ([Y] [G]) aussitôt recrédité par la banque sur son compte.

De même, il n’est pas contesté par les parties, comme il est d’ailleurs prouvé par la S.A. Caisse d’Epargne et de Prévoyance Hauts de France que cette dernière a mis en place un dispositif d’authentification forte.

Madame [X] justifie également avoir adressé un mail à son conseiller bancaire le même jour que les prélèvements, soit le 26 avril 2024, indiquant « je viens de me faire arnaquer par téléphone et ai accepté des paiements de plus de 4000 €. J’ai de suite fait opposition à ma carte. Que puis-je faire maintenant ? ».

Elle justifie également d’un signalement en ligne effectué le 29 avril suivant à la Gendarmerie nationale déclarant de pas être à l’origine des transactions suscitées et de sa saisine du service de médiation bancaire le 22 mai 2024 ;

Elle produit un premier courrier de refus de sa banque daté du 30 avril 2024, démontrant encore avoir été très réactive auprès de cette dernière.

Enfin, elle justifie d’une lettre de mise en demeure adressée par son conseil en date du 11 juin 2024 distribuée par recommandé avec accusé de réception signé par son destinataire le 13 juin suivant.

Ainsi, si ces opérations ont été effectuées à l’issue d’un procédé d’authentification forte, elles n’ont pas, pour autant, été autorisées par le payeur, au sens des articles précités, tels qu’interprétés par la jurisprudence, Madame [X] ayant constamment déclaré, et le justifie, avoir agi dès le jour même des opérations, pour obtenir leur remboursement. En ce sens, elle ne peut avoir consenti au montant des paiements frauduleux.

Les trois opérations de paiement constituent donc des opérations de paiement non autorisées. Une seule de ces trois opérations a été remboursée par la banque.

En ce cas, il appartenait à la banque de prouver la négligence grave de l’utilisatrice des moyens de paiement.

Madame [X], justifie, par capture d’écran de son téléphone portable, avoir été contacté par le numéro 33 7 79 87 72 70 entre 17H50 et 18H08 le 26 avril 2024. Toutefois, elle ne justifie pas que ce numéro de téléphone mobile appartenait à son conseiller bancaire ou s’y apparentait de manière troublante qui aurait excusé une vigilance amoindrie.

En outre, dans son signalement en ligne, elle ne donne aucun élément circonstancié démontrant qu’elle aurait été l’objet d’une escroquerie, mais indique seulement « ne pas être à l’origine des transactions » et avoir effectué opposition sur sa carte. De même, dans son premier message adressé à sa banque, elle indique « je viens de me faire arnaquer » sans avoir précisé spontanément avoir été contactée par un faux conseiller bancaire.

Aussi, en l’espèce, il ne résulte d’aucun élément versé aux débats que Madame [X] a été victime de spoofing ou d’une escroquerie relativement sophistiquée.

Par exemple, elle ne produit pas un SMS l’alertant d’une activité inhabituelle détectée sur son compte.

Ce n’est que dans ces dernières écritures que sont évoqués des éléments propres au spoofing (évoquant une usurpation d’identité et le fait que son interlocuteur fraudeur aurait transmis les données de sa carte bancaire et son code postal, ce dont elle ne justifie pas).

Toutefois, il revient, suivant les dispositions précitées, à l’organisme bancaire de caractériser un comportement fautif, apprécié concrètement au regard des circonstances de l’espèce, l’exonérant de son obligation de rembourser les opérations de paiement non autorisées.

Or, en l’espèce, la S.A. Caisse d’Epargne et de Prévoyance Hauts de France se contente de verser un listing historique de toutes les opérations autorisées par sa cliente et démontrant que deux opérations le 26 avril 2024 à 18 :00 :43 et à 17 :54 :14 ont fait l’objet d’une authentification forte par le dispositif SECURPASS et ont été validées par la banque.

Toutefois, ces lignes indiquent uniquement l’identifiant de la cliente sans préciser le numéro de téléphone destinataire du message de validation, alors que Madame [X] dément avoir donné ses codes personnels.

Ce listing ne démontre pas davantage que Madame [X] aurait transmis ses données personnelles (identifiants et mots de passe) à l’auteur des virements frauduleux. A ce titre, la S.A. Caisse d’Epargne et de Prévoyance Hauts de France procède par voie de pure affirmation lorsqu’elle prétend qu’elle aurait nécessairement communiqué au fraudeur ses identifiants et mots de passe.

Elle ne prouve pas plus que le processus de confirmation mobile aurait fait apparaître l’information selon laquelle son but était de confirmer un paiement et, en aucun cas, un remboursement ou une annulation de paiement.

Elle ne justifie pas plus que Madame [X] aurait procédé à la validation de l’augmentation de son plafond d’autorisation de paiement via le dispositif d’authentification forte.

Enfin, elle ne s’explique pas pourquoi seul le troisième virement au profit de [Y] [G] effectué le même jour a bien été remboursé (ou bloquée), à l’inverse des deux autres.

Elle ne prouve pas non plus avoir alerté ses clients sur les opérations de spoofing qui, en 2024, n’étaient pas encore nécessairement connues du grand public.

Il résulte de l’ensemble de ces éléments que la banque ne démontre ni que l’opération en question n’a pas été affectée par une déficience technique ni de la négligence grave de la requérante.

En conséquence, la S.A. Caisse d’Epargne et de Prévoyance Hauts de France sera condamnée à rembourser à Madame [X], la somme de 3.821,89 € au titre des opérations de paiements non autorisées du 26 avril 2024.

Sur la majoration des intérêts

Aux termes de l’article L133-18 du code monétaire et financier, « En cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L. 133-24, le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement et s’il communique ces raisons par écrit à la Banque de France. Le cas échéant, le prestataire de services de paiement du payeur rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu (…).

En cas de manquement du prestataire de services de paiement aux obligations prévues aux deux premiers alinéas du présent article, les pénalités suivantes s’appliquent :

1° Les sommes dues produisent intérêt au taux légal majoré de cinq points ;

2° Au-delà de sept jours de retard, les sommes dues produisent intérêt au taux légal majoré de dix points ;

3° Au-delà de trente jours de retard, les sommes dues produisent intérêt au taux légal majoré de quinze points.

(…)

Il résulte de ces dispositions qui instaure un régime spécial de droit commun excluant le droit commun de la responsabilité que la majoration des intérêts de retard s’applique de plein droit, également lorsque le paiement non autorisé résulte d’une fraude de type spoofing dès lors que la banque reste tenue au remboursement.

Le point de départ de l’obligation au remboursement est fixé à compter du jour de signalement de la fraude, soit, en l’espèce, le 26 avril 2024 ;

Il y a donc lieu de faire droit à la demande de majoration des intérêts au taux légal selon les modalités précisées au dispositif.

Sur la résistance abusive

Conformément à l’article 1240 du code civil, pour engager la responsabilité d’une partie dont la faute réside dans un comportement déloyal, refusant de manière abusive de faire droit aux demandes de celui qui s’en prévaut, il est nécessaire de démontrer que ce comportement soit à l’origine d’un préjudice particulier.

En l’espèce, il n’est démontré ni une résistance de la banque qui pourrait être considérée comme abusive ou relever de la mauvaise foi, ni l’existence d’un préjudice distinct du simple retard de paiement d’ores et déjà réparé par l’octroi des intérêts au taux légal.

La demande de Madame [X] à ce titre sera donc rejetée.

Sur les demandes accessoires :

En application de l’article 696 du code de procédure civile, la partie perdante est condamnée aux dépens, à moins que le juge, par décision motivée, n’en mette la totalité ou une fraction à la charge d’une autre partie.

En l’espèce, la S.A. Caisse d’Epargne et de Prévoyance Hauts de France, partie perdante, supportera la charge des dépens.

En application de l’article 700 du code de procédure civile, le juge condamne la partie tenue aux dépens ou qui perd son procès à payer à l’autre partie la somme qu’il détermine, au titre des frais exposés et non compris dans les dépens. Dans tous les cas, le juge tient compte de l’équité ou de la situation économique de la partie condamnée. Il peut, même d’office, pour des raisons tirées des mêmes considérations, dire qu’il n’y a pas lieu à ces condamnations.

En l’espèce, il n’existe aucun motif pour déroger au principe établi à l’article 700 du code de procédure civile, la S.A. Caisse d’Epargne et de Prévoyance Hauts de France sera condamnée à payer à Madame [A] [X] la somme de 1500 € au titre des frais exposés pour la présente procédure.

En application de l’article 514 du code de procédure civile, les décisions de première instance sont, de droit, exécutoires à titre provisoire à moins que la loi ou la décision rendue n’en dispose autrement.

PAR CES MOTIFS

Le Tribunal, statuant publiquement par décision contradictoire mise à disposition au greffe, rendue en dernier ressort,

CONDAMNE la S.A. Caisse d’Epargne et de Prévoyance Hauts de France à rembourser à Madame [A] [X] la somme de de 3.821,89 € au titre des opérations de paiement non autorisées du 26 avril 2024, assortie des intérêts au taux légal à compter du 26 avril 2024 ;

CONDAMNE la S.A. Caisse d’Epargne et de Prévoyance Hauts de France à payer à Madame [A] [X] la somme de 1.500 € sur le fondement de l’article 700 du code de procédure civile,

CONDAMNE la S.A. Caisse d’Epargne et de Prévoyance Hauts de France aux dépens ;

DEBOUTE Madame [A] [X] de sa demande de dommages et intérêts pour résistance abusive,

RAPPELLE que l’exécution provisoire de la présente décision est de droit.

Ainsi jugé et prononcé à [Localité 1], le 27 mai 2026

LE GREFFIER LA JUGE

EN CONSÉQUENCE

LA RÉPUBLIQUE FRANÇAISE MANDE ET ORDONNE

A tous commissaires de justice sur ce requis, de mettre les présentes à exécution ;

Aux Procureurs Généraux et aux Procureurs de la République près des Tribunaux Judiciaires d’y tenir la main ;

A tous Commandants et Officiers de la force publique de prêter main-forte lorsqu’ils en seront légalement requis ;

En foi de quoi les présentes ont été signées et scellées du sceau du Tribunal ;