TRIBUNAL JUDICIAIRE DE LORIENT

________________

JUGEMENT DU 10 DECEMBRE 2025

N° du jugement :

N° d’inscription au

répertoire général :

N° RG 24/00894 – N° Portalis DBZH-W-B7I-C5RAU

[K] [P]

C/

S.A. BOURSORAMA

COPIE EXECUTOIRE LE

10 Décembre 2025

à

M^e Bertrand MERLY de la SELARL CMA,

M^e Arnaud DELOMEL

entre :

Madame [K] [P]

née le [Date naissance 1] à [Localité 7] (56)

de nationalité Française

[Adresse 4]

[Localité 3]

représentée par Maître Arnaud DELOMEL, avocat au barreau de RENNES

Demanderesse

et :

S.A. BOURSORAMA

dont le siège social se situe [Adresse 2]

[Localité 5]

représentée par Maître Bertrand MERLY de la SELARL CMA, avocat postulant au barreau de RENNES et ayant comme avocat plaidant Maître Arnaud-Gilbert RICHARD, avocat plaidant au barreau de PARIS

Défenderesse

COMPOSITION DU TRIBUNAL LORS DES DEBATS ET DU DELIBERE :

Madame KASBARIAN, Vice-présidente, Juge Rapporteur

Madame BAUDON, Vice-présidente

Madame LE CHAMPION, Magistrat honoraire

GREFFIER : Madame LE HYARIC, lors des débats et du prononcé

DEBATS : à l’audience publique du 15 Octobre 2025

DECISION : publique, Contradictoire, rédigée et prononcée en premier ressort par Madame KASBARIAN,, par sa mise à disposition au greffe le 10 Décembre 2025, date indiquée aux parties à l’issue des débats.

Les avocats des parties ne s’y opposant pas, Madame KASBARIAN, a été chargée du rapport et a tenu seule l’audience pour entendre les plaidoiries dont elle a rendu compte au tribunal conformément à l’article 805 du code de procédure civile.

EXPOSE DU LITIGE

Faits et procédure

[K] [P] est titulaire d’un contrat de compte au sein de la société BOURSORAMA, banque en ligne et prétend avoir été victime de l’intervention d’un faux conseiller bancaire par téléphone. Le 16 février 2024 a lieu une modification du plafond de sa carte bancaire puis une première opération de débit de son compte pour une somme de 19.574,98 euros, suivie d’un ajout de bénéficiaire et une seconde opération de virement pour une somme de 14.986 euros, cette seconde opération étant annulée par la banque, laquelle procède en outre au blocage du compte et à la suppression du nouveau bénéficiaire.

La société BOURSORAMA refusant de lui rembourser la première opération de débit de 19.574,98 euros, [K] [P] a fait assigner cette dernière par acte d’huissier en date du 15 mai 2024 devant le tribunal Judiciaire de Lorient aux fins de la voir condamnée à lui rembourser ladite somme mais aussi à l’indemniser son préjudice moral et son préjudice de jouissance.

La société BOURSORAMA a constitué avocat.

Prétentions et moyens

Dans ses dernières conclusions récapitulatives notifiées par voie électronique le 14 octobre 2024, [K] [P] demande au tribunal de :

• Juger Madame [P] recevable et bien fondé en sa demande.

• Juger que la société BOURSORAMA est responsable de plein droit, en matière d’opérations de paiement non autorisées, aux termes des dispositions des articles L. 133-17 et suivants du Code monétaire et financier.

• Juger que la société BOURSORAMA n’a pas respecté son obligation de remboursement des fonds suite à des opérations de paiement non autorisées, conformément aux dispositions des articles L. 133-18 et suivants du Code monétaire et financier.

• Juger que la société BOURSORAMA ne rapporte pas la preuve de la commission d’agissements frauduleux ou de manquement intentionnel/négligence grave de la part de Madame [P].

• Juger que la société BOURSORAMA est responsable des préjudices subis par Madame [P].

EN CONSEQUENCE :

• Condamner la société BOURSORAMA à verser à Madame [P] la somme de 19.574,98 euros, en réparation de son préjudice matériel, au titre du remboursement du prélèvement frauduleux, au taux légal majoré de 15 points.

• Condamner la société BOURSORAMA à verser à Madame [P] la somme de 2.000 euros, en réparation de son préjudice moral et de jouissance.

• Condamner la société BOURSORAMA à verser à Madame [P] la somme de 2.500 euros, au titre des dispositions de l’article 700 du Code de procédure civile.

• Condamner la même aux entiers dépens.

Dans leurs dernières conclusions récapitulatives notifiées par voie électronique le 6 décembre 2025, la société BOURSORAMA demande au tribunal de :

DEBOUTER Madame [K] [P] de toutes ses prétentions, fins et conclusions, mal fondées,

CONDAMNER Madame [K] [P] à régler la somme de 2.500 € à BOURSORAMA sur le fondement de l’article 700 du Code de procédure civile, ainsi qu’aux entiers dépens du procès qui seront recouvrés directement par Maître Bertrand MERLY, avocat au barreau de Rennes, sur le fondement de l’article 699 du Code de procédure civile.

Il est renvoyé aux écritures des parties pour plus ample exposé de leurs prétentions et moyens en application de l’article 455 du code de procédure civile.

La clôture de l’instruction est intervenue le 21 février 2025 par ordonnance du juge de la mise en état.

L’affaire a été fixée pour plaidoirie à l’audience du 15 octobre 2025, date à laquelle elle a été mise en délibéré au 10 décembre 2025, date du présent jugement.

MOTIFS DE LA DECISION

Sur la demande de remboursement

Il n’est pas contesté que les dispositions applicables relèvent du régime spécial.

[K] [P] soutient que la société BOURSORAMA doit lui rembourser la somme de 19.574,98 euros dès lors qu’elle n’a pas autorisé ce paiement, qu’elle n’a consenti ni au montant ni au bénéficiaire, que l’instrument de paiement a été détourné à son insu, que la banque ne démontre pas une authentification forte de l’opération de paiement, qu’en conséquence, sa responsabilité en tant que titulaire du compte ne peut être engagée qu’en cas d’agissements frauduleux de sa part. Elle estime que le tableau PDF produit par la société BOURSORAMA ne prouve pas une authentification forte. Ainsi, elle considère que la banque doit prouver soit un agissement frauduleux soit une négligence grave, ajoutant que l’utilisation par un tiers de la carte bancaire avec composition du code condidentiel ne peut à elle seule constituer la preuve d’une négligence grave, ainsi que la seule utilisation des données personnelles, ou l’usurpation d’identité téléphonique.

La société BOURSORAMA soutient que [K] [P] a consenti à l’opération de paiement et qu’elle n’est pas tenue de la rembourser dès lors qu’elle a validé une authentification forte comme cela est prouvé par la production du journal des connexions et authentifications fortes qui n’est pas une preuve constituée à soi-même mais un enregistrement prévu contractuellement dans les conditions générales qui fera foi sauf preuve contraire rapporté par le Client. Elle soutient également que l’opération a été bien exécutée et que [K] [P] ne prouve pas avoir reçu un appel téléphonique, que si cet appel a eu lieu, elle a divulgué les éléments d’accès à son compte et ses informations confidentielles pour permettre le paiement par carte ou a suivi très imprudemment les instructions de ce tiers inconnu, ajoutant qu’elle n’établit pas l’existence d’un infraction. Elle estime démontrer la négligence grave de [K] [P] dès lors qu’elle a autorisée l’opération de paiement sur instructions d’une personne inconnue au téléphone en rentrant elle-même ses données sur son appareil habituel, contrairement à ce qu’aurait fait toute autre personne raisonnablement prudente et diligente placée dans les mêmes circonstances.

L’article L. 133-6 du code monétaire et financier dispose qu’une opération de paiement est autorisée si le payeur a donné son consentement à son exécution.

L’article L. 133-23 du code monétaire et financier dispose que lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre. L’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière. Le prestataire de services de paiement, y compris, le cas échéant, le prestataire de services de paiement fournissant un service d’initiation de paiement, fournit des éléments afin de prouver la fraude ou la négligence grave commise par l’utilisateur de services de paiement.

Il ressort de ces textes qu’il appartient au prestataire de service, en l’occurrence la banque BOURSORAMA, de démontrer que :

— l’opération litigieuse a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre, c’est à dire que l’ordre de paiement émane bien de l’utilisateur du service.

— le payeur n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière, cela ne pouvant se déduire de la seule utilisation de son instrument de paiement ou des données personnelles qui lui sont liées, d’autres éléments devant être fournis afin de prouver la fraude ou la négligence grave commise par l’utilisateur de services de paiement.

1 -Sur la preuve que l’opération a été authentifiée, dûment enregistrée et comptabilisée, et sur l’absence de défaillance technique ou autre

En l’espèce, la société BOURSORAMA produit le journal des connexions et authentifications fortes enregistrées le 16 février 2024 ; exceptée une connexion à 21h13, les enregistrements concernent toujours des opérations provenant du même appareil Iphone 12 mini, avec le même accès par l’application BoursoBank et le même IP.

Ces enregistrements indiquent que :

— à 20h13, une connexion avec “l’appareil reconnu”, IP 90.28.211.144, avec accès par l’application BoursoBank

— à 20h22 un message de “sensibilisation fraude”

— à 20h23 et 7 secondes une authentification forte, méthode “biométry”

— à 20h23 et 11 secondes une modification de plafonds CB à 20.000,00 euros

— à 20h23 et 11 secondes une notification au client “vous avez demandé une modification de votre plafond de carte à 20.000,00 euros

— à 20h43 une notification au client “paiement en cours de 756000.00 THB chez Hotel at Booking.com. Veuillez vous authentifier”

— à 20h44 et 36 secondes un “message fraude avec consentement client”, “challenge opération à haut risque de la lutte contre la fraude”

— à 20h44 et 41 secondes une authentification forte, méthode “biométry”

— à 20h44 et 43 secondes “Achat 3DS” “Montant 756000.0 THB”

— à 20h44 et 59 secondes un notification au client “Une autorisation de paiement de 756000.00 THB chez Hotel at Booking com [Localité 6] NL a été validée avec votre carte **9419. Si vous n’êtes pas à l’origine de l’opération, appuyer ici pour opposer votre carte”

— à 20h44 et 59 secondes “vous avez atteint 80% du plafond de paiement de votre carte…”

— à 20h45 une connexion sur le même appareil

— à 20h49 une connexion sur le même appareil

— à 20h58 et 43 secondes un message de “sensibilisation fraude”

— à 20h58 et 48 secondes une authentification forte, méthode “biométry”

— à 20h58 et 51 secondes un ajout de bénéficiaire avec enregistrement de l’IBAN

— à 20h58 et 51 secondes notification de l’enregistrement d’un nouveau bénéficiaire. Si vous n’êtes pas à l’origine de l’opération, veuillez consulter notre rubrique Sécurité”

— à 21h00 et 26 secondes un message de “sensibilisation fraude”

— à 21h00 et 32 secondes un “message fraude avec consentement client”, “challenge opération à haut risque de la lutte contre la fraude”

— à 21h00 et 34 secondes une authentification forte, méthode “biométry”

— à 21h00 et 36 secondes un virement sur l’IBAN précédemment enregistré, “Motif : virement de [K] [P]”

— à 21h00 et 36 secondes un message au client “vous venez d’initier un virement de 14986 euros depuis votre compte Boursorama vers [E] [D]. Si vous n’êtes pas à l’origine de l’opération, veuillez consulter notre rubrique Sécurité”

— à 21h13 connexion sur un Apple Mac reconnu et par l’accès Web-Chrome

— à 21h57 une notification sur l’Iphone 12 Mini “votre carte 4165***a été mise en opposition. Sauf irrégularité ou incident lié à votre compte bancaire, une nouvelle carte vous sera envoyée”.

Ces enregistrements sont prévus contractuellement au paragraphe 3.4 des conditions générales qui “constitueront pour BOURSORAMA la preuve desdites instructions et la justification de l’imputation au(x) compte(s) concerné(s) des opérations correspondantes. Sauf preuve contraire rapportée par le Client par tous moyens, l’enregistrement précité fera foi en cas de litige entre le Client et BOURSORAMA”.

Cet historique de connexion répond à l’obligation mise à la charge du prestataire de paiement d’enregistrer et comptabiliser les opérations par les dispositions de l’article L. 133-23 du code monétaire et financier, ces enregistrements produits ont donc bien une valeur probante d’authentifications des opérations, dûment enregistrées et comptabilisées sans déficience technique.

2 – Sur la preuve que [K] [P] n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière

L’article L 133-16 du code monétaire et financier dispose que dès qu’il reçoit un instrument de paiement, l’utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées.

L’article L. 133-4 du code monétaire et financier dispose que a) Les données de sécurité personnalisées s’entendent des données personnalisées fournies à un utilisateur de services de paiement par le prestataire de services de paiement à des fins d’authentification, e) Une authentification s’entend d’une procédure permettant au prestataire de services de paiement de vérifier l’identité d’un utilisateur de services de paiement ou la validité de l’utilisation d’un instrument de paiement spécifique, y compris l’utilisation des données de sécurité personnalisées de l’utilisateur, f) Une authentification forte du client s’entend d’une authentification reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories « connaissance » (quelque chose que seul l’utilisateur connaît), « possession » (quelque chose que seul l’utilisateur possède) et « inhérence » (quelque chose que l’utilisateur est) et indépendants en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d’authentification.

La biométrie est un moyen sécurisé d’accéder à l’application de la banque, utilisant des caractéristiques biologiques comme l’empreinte digitale ou la reconnaissance faciale, pour vérifier l’identité du client et ainsi s’assurer qu’il est bien physiquement à l’origine de l’opération. Une authentification par biométrie suppose donc l’activation de l’opération par le titulaire du compte en personne.

En l’espèce, il ressort des enregistrements que l’Iphone 12 Mini de [K] [P] a été utilisé pour les opérations litigieuses et que la biométrie a été utilisée pour l’authentification forte desdites opérations.

Il convient de relever en tout état de cause que la réalisation des opérations listées sur le journal produit par la société BOURSORAMA telles qu’une modification de plafond, qu’un ajout de bénéficiaire, qu’un virement à bénéficiaire, que le paiement litigieux par carte bancaire sur site internet, ont objectivement eu lieu et ont nécessairement exigé le recours à ces authentifications.

[K] [P] n’est en effet pas fondée à contester ces nécessaires authentifications apparaissant sur le listing produit puisque son compte a effectivement été débité de ladite somme grâce au préalable dépassement du plafond de sa carte bancaire.

Elle conteste les avoir personnellement autorisées, prétendant que c’est un faux conseiller bancaire se faisant passer pour une personne du service des fraudes de la banque BOURSORAMA qui a réalisé l’opération au débit de son compte pour la somme de 19.574,98 euros.

Elle justifie à ce titre avoir fait un signalement en ligne auprès de la gendarmerie nationale le 17 février 2024 de l’utilisation frauduleuse de sa carte bancaire, mais il ne s’agit pas d’une plainte et aucune suite n’a manifestement été donnée à ce signalement.

Par ailleurs, si elle ne peut justifier le contenu des échanges lors de l’appel qu’elle prétend avoir reçu d’un faux conseiller de la banque, contenu au demeurant qu’elle ne décrit pas, affirmant juste n’avoir communiqué aucun donnée personnelle, il est toutefois relevé que [K] [P] ne justifie pas de la réalité de cet appel téléphonique alors que cette preuve est objectivement facile à produire dès lors qu’elle en connait sa date et l’heure approximative.

Pourtant, dès lors qu’elle invoque que ce n’est pas elle qui a autorisé le paiement mais un tiers inconnu et que sa responsabilité n’est pas engagée si l’opération de paiement non autorisée a été effectuée en détournant, à l’insu du payeur, l’instrument de paiement ou les données qui lui sont liées au sens de l’article L. 133-19 du code monétaire et financier, il lui appartient d’apporter a minima des éléments confirmant la possibilité du fait allégué, à savoir qu’elle a reçu un appel téléphonique d’un tiers qui aurait détourné son instrument de paiement. En effet, elle ne peut invoquer qu’un tiers a autorisé l’opération à sa place par fraude sans fonder son allégation par un élément objectif.

Elle prétend également qu’elle n’a fourni à cet interlocuteur inconnu aucun code ni informations personnelles au téléphone mais il convient de relever que, même à supposer que la biométrie n’ait pas été utilisée pour autoriser les opérations (contrairement à la mention du listing produit par la banque), il ne peut être expliqué comment les opérations auraient pu être réalisées par ce tiers à distance sans identifiant, sans mot de passe et sans même posséder le téléphone où ces données auraient pu être imprudemment enregistrées.

Il ne peut a fortiori pas davantage être expliqué comment ce tiers, si tant est qu’il ait pu en réalité convaincre [K] [P] de donner oralement ses identifiants et mot de passe malgré les messages préalables de précautions de la banque tant dans le contrat initial qu’au cours du fonctionnement du compte, aurait pu permettre un enregistrement des opérations depuis son Iphone 12 Mini qu’elle n’a pas signalé perdu ou volé, par biométrie comme mentionné dans l’historique des connexions, à savoir au moyen de son empreinte digitale ou de sa reconnaissance faciale.

Enfin, dès lors qu’elle est restée en possession de son téléphone comme bien mentionné dans le signalement fait à la gendarmerie, il est relevé que [K] [P] n’a pas réagi aux notifications multiples reçues et notamment celle de 20h44 et 59 secondes lui indiquant “Une autorisation de paiement de 756000.00 THB chez Hotel at Booking com [Localité 6] NL a été validée avec votre carte **9419. Si vous n’êtes pas à l’origine de l’opération, appuyer ici pour opposer votre carte”, cette alerte ne pouvant que lui indiquer qu’il s’agissait d’une fraude vu le montant et le destinataire du paiement.

Force est donc de constater que les opérations de modification du plafond de carte bancaire et de paiement au profit de Booking [Localité 6] ont été authentifiées depuis le téléphone Iphone 12 Mini de [K] [P] que cette dernière a gardé en sa possession, et ce par biométrie donc par son intervention physique, avec de nombreuses notifications d’information et d’alerte immédiatement après chacune de ces opérations, notamment l’information immédiate du montant et de la destination du paiement (Booking Hotel [Localité 6]) avec une dernière possibilité de s’y opposer.

[K] [P] entend contester avoir authentifié les opérations par biométrie, tout en affirmant qu’elle n’a transmis aucun code ni informations personnelles au téléphone, mais il ne peut qu’être retenu qu’un tiers qui n’est en possession ni du téléphone ni des données personnelles permettant l’accès à son compte à distance, ne peut avoir autorisé les opérations à sa place, qui plus est physiquement par biométrie.

Dans ces conditions, la société BOURSORAMA rapporte la preuve des opérations authentifiées sans déficience technique et par biométrie depuis le téléphone du titulaire du compte, complétée par le fait que [K] [P] a reçu des messages d’alerte immédiatement, avec le détail du montant et du destinataire du paiement litigieux qui indiquaient une anomalie mais aussi par le fait qu’elle ne justifie pas de l’appel prétendu par la production de son relevé d’appels et qu’elle n’a pas déposé une plainte mais fait un simple signalement.

Il convient de souligner que la société BOURSORAMA ne peut pas prouver que [K] [P] a validé intentionnellement l’opération, ni prouver l’existence du prétendu appel téléphonique, elle ne peut non plus déposer une plainte à la place du titulaire du compte pour qu’une enquête pénale permettent des vérifications et il est retenu qu’elle complète alors la preuve de l’enregistrement des opérations authentifiées par biométrie par ce comportement de [K] [P] qui, d’une part n’a pas donné suite au message lui permettant d’opposer sa carte pour bloquer le paiement litigieux alors qu’elle était en possession de son téléphone, et qui d’autre part ne permet pas de vérifier les faits dont elle allègue avoir été victime en ne justifiant pas de l’existence d’un prétendu appel qui serait à l’origine de la fraude d’un tiers et en ne permettant pas des investigations sur cette infraction par le dépôt d’une plainte.

Il s’en suit que ces éléments viennent compléter le listing des opérations et notifications enregistrées par la banque et suffisent à démontrer que [K] [P] n’a pas satisfait par négligence grave caractérisée aux obligations mentionnées aux articles L. 133-16 et L. 133-17 du code monétaire et financier.

[X] [P] est en conséquence déboutée de l’ensemble de ses demandes.

Sur les dépens

Aux termes de l’article 696 du code de procédure civile, la partie perdante est condamnée aux dépens, à moins que le juge, par décision motivée, n’en mette la totalité ou une fraction à la charge d’une autre partie.

[K] [P] étant perdante aux termes du jugement, elle sera condamnée à payer les dépens.

Sur les frais irrépétibles :

Aux termes de l’article 700 du code de procédure civile, le juge condamne la partie tenue aux entiers dépens ou qui perd son procès à payer à l’autre partie la somme qu’il détermine, au titre des frais exposés et non compris dans les dépens. Dans tous les cas, le juge tient compte de l’équité ou de la situation économique de la partie condamnée. Il peut même d’office, pour des raisons tirées des mêmes considérations, dire qu’il n’y a pas lieu à condamnation.

[K] [P] étant tenue aux dépens, l’équité impose de la condamner à payer à la société BOURSORAMA, qui a été contrainte d’assumer des frais irrépétibles pour assurer sa défense, la somme de 800 euros au titre des dispositions de l’article 700 du code de procédure civile.

Il sera rappelé que l’exécution provisoire est de droit.

PAR CES MOTIFS

Le tribunal statuant publiquement, contradictoirement, en premier ressort et par mise à disposition au greffe :

DÉBOUTE [K] [P] de l’ensemble de ses demandes ;

CONDAMNE [K] [P] à payer à la société BOURSORAMA la somme de 800 euros au titre des dispositions de l’article 700 du code de procédure civile,

CONDAMNE [K] [P] aux dépens qui seront recouvrés directement par Maître Bertrand MERLY, avocat au barreau de Rennes, sur le fondement de l’article 699 du code de procédure civile,

RAPPELLE que l’exécution provisoire est de droit.

Ainsi jugé et mis à disposition au greffe le 10 décembre 2025.

LE GREFFIER LE PRESIDENT