— N° RG 25/00073 – N° Portalis DB2Y-W-B7J-CDYCU

TRIBUNAL JUDICIAIRE DE MEAUX

1ERE CHAMBRE

Date de l’ordonnance de

clôture : 13 octobre 2025

Minute n° 26/297

N° RG 25/00073 – N° Portalis DB2Y-W-B7J-CDYCU

Le

CCC : dossier

FE :

M^e JOFFRIN

M^e NEGREVERGNE

RÉPUBLIQUE FRANÇAISE

AU NOM DU PEUPLE FRANÇAIS

JUGEMENT DU TREIZE AVRIL DEUX MIL VINGT SIX

PARTIES EN CAUSE

DEMANDEUR

Monsieur [W] [Q]

[Adresse 1]

[Localité 1]

représenté par Maître Laetitia JOFFRIN de la SELARL HORME AVOCATS, avocats au barreau de MEAUX, avocats plaidant

DEFENDERESSE

S.A. BNP PARIBAS (HELLO BANK!)

[Adresse 2]

[Localité 2]

représentée par Maître Jean-charles NEGREVERGNE de la SELAS NEGREVERGNE FONTAINE DESENLIS, avocats au barreau de MEAUX, avocats plaidant

COMPOSITION DU TRIBUNAL

Lors des débats et du délibéré :

Président : M^me CAUQUIL, Vice-présidente

Assesseurs: M^me LEVALLOIS, Juge

M^me KARAGUILIAN, Juge

Jugement rédigé par : M^me CAUQUIL, Vice-présidente

DEBATS

A l’audience publique du 12 Février 2026

GREFFIER

Lors des débats et du délibéré : Madame KILICASLAN, Greffier

JUGEMENT

contradictoire, mis à disposition du public par le greffe le jour du délibéré, M^me CAUQUIL, Président, ayant signé la minute avec Madame KILICASLAN, Greffier ;

— N° RG 25/00073 – N° Portalis DB2Y-W-B7J-CDYCU

Exposé des faits et de la procédure

M. [W] [Q] est titulaire d’un compte ouvert dans les livres de la société anonyme BNP Paribas.

M. [Q] affirme avoir été contacté le 23 novembre 2023 par une personne se présentant comme un conseiller bancaire de la société BNP qui l’a informé qu’il devait mettre à jour sa clé digitale.

Le 27 novembre 2023, en se rendant sur son application BNP mobile pour consulter ses comptes, M. [Q] a constaté :

— un virement de 22 000 euros en débit de son compte après avoir été crédité de son compte d’épargne dont il est également titulaire chez BNP Paribas ;

— un second virement en cours de son compte d’épargne vers son compte courant à hauteur de 27.000 euros

Le même jour, il a pris contact avec la plateforme BNP Paribas pour alerter sur la fraude dont il était victime. Son compte a été clôturé.

Le 29 novembre 2023, il a été informé que les deux virements avaient été débités de son compte pour un montant total de 49 000 euros vers une banque polonaise.

Le 30 novembre 2023, M. [Q] a déposé plainte pour escroquerie au commissariat de police de [Localité 3] et contesté ces deux opérations auprès de la société BNP en sollicitant le remboursement de la somme globale de 49.000 euros.

Par réponse du 4 janvier 2024, la société BNP a rejeté la demande de M. [Q] au motif que les deux opérations avaient été validées à l’aide de la clé digitale de ce dernier dont l’activation n’avait pu être possible qu’à la suite de validation d’opérations nécessitant d’utiliser l’identifiant client et le code confidentiel qu’il était le seul à connaître.

Le 19 janvier 2024, la somme de 27 000 euros a été recréditée sur les comptes de M. [Q].

Le 24 janvier 2024, la société BNP Paribas a maintenu sa fin de non-recevoir considérant que M. [Q] avait contribué aux manœuvres frauduleuses dont il avait été victime.

M. [Q] a saisi le médiateur de la Fédération Bancaire Française (FBF) le 1er février 2024.

Il a, par lettre recommandée avec accusé de réception de son conseil en date du 24 octobre 2024, réitéré sa contestation.

C’est dans ce contexte que, par assignation en date du 13 décembre 2024, M. [Q] a introduit une action en justice à l’encontre de la société BNP Paribas devant le tribunal judiciaire de Meaux afin qu’il condamne la banque à lui rembourser la somme de 22.000 euros outre intérêts au taux légal, à lui verser la somme de 6.000 euros en réparation du préjudice moral subi ainsi que la somme de 4.000 euros au titre de l’article 700 du code de procédure civile et les entiers dépens.

Exposé des prétentions et moyens

Par dernières conclusions notifiées par RPVA le 7 mai 2025, M. [W] [Q] demande au tribunal de :

Vu l’article L133-16 et suivants du Code monétaire et financier,

Vu l’article 1240 et l’article 1343-2 du Code civil,

Vu les articles 514-1, 699, 700 du Code de Procédure civile,

Vu les moyens qui précèdent et les pièces versées aux débats,

— Déclarer ses demandes, fins et prétentions recevables et bien fondées,

En conséquence,

— Condamner la SA BNP Paribas au remboursement de la somme de 22 000 euros, avec intérêt au taux légal à compter du 30 octobre 2024, date de la réception de la mise en demeure,

— Ordonner la capitalisation des intérêts,

— La condamner également au paiement d’un montant de 6000 euros au titre de dédommagement pour le dommage moral subi,

— Condamner la SA BNP Paribas à lui payer la somme de 4000 euros, à titre d’indemnité sur le fondement de l’article 700 du code de procédure civile,

— Débouter la SA BNP Paribas de l’ensemble de ses demandes, fins et prétentions,

— Ordonner l’exécution provisoire du jugement à intervenir, nonobstant appel et sans caution,

— Condamner la SA BNP Paribas aux entiers dépens de la présente instance, en ce compris les frais éventuels d’exécution, et qui seront recouvrés conformément aux dispositions de l’article 699 du Code de procédure civile.

M. [Q] soutient avoir été victime d’une fraude appelée spoofing téléphonique et assure ne s’être jamais départi de son instrument de paiement et n’avoir communiqué aucun code ou information personnelle. Il ne peut dès lors lui être reproché aucune négligence grave. A ce titre, il rappelle, prenant appui sur les dispositions des articles L.133-19 et L.133-23 du code monétaire et financier, qu’il revient au prestataire de rapporter la preuve qu’il a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence grave à ses obligations. Or, la banque ne démontre pas l’existence d’un “phishing” préalable. M. [Q] assure que l’accès à ses comptes n’a été possible qu’en raison d’une faille de sécurité dans le système de la banque.

Il soutient avoir été particulièrement diligent dès la découverte de la fraude en alertant sa banque et en déposant plainte. Il estime, sur le fondement de l’article 1240 du code civil, que la banque a manqué de réactivité dans le traitement de son dossier lui occasionnant un préjudice moral dont il demande réparation.

***

Par dernières conclusions notifiées par RPVA le 18 septembre 2025, la société BNP Paribas, Société anonyme, demande au tribunal judiciaire de Meaux de

Vu les articles L.133-4, L. 133-16 et suivants, L. 133-44 du Code monétaire et financier

Vu les Directives (CE) 2007/64/CE du 13 novembre 2007 (« DSP 1 ») et la Directive (UE) 2015/366

du Parlement européen et du Conseil du 25 novembre 2015 (« DSP 2 ») concernant les services de

paiement dans le marché intérieur ;

Vu les articles 1231-1 et suivants du Code civil ;

Vu les articles 696 et 700 du Code de procédure civile ;

Sur la demande formée par M. [Q] tendant au remboursement des virements litigieux

— Juger que les transactions litigieuses ont été dûment authentifiées et que BNP Paribas a parfaitement respecté ses obligations en matière de sécurisation de l’instrument de paiement et des opérations en ligne de M. [Q] ;

— Juger que M. [Q] a commis une négligence grave au sens de l’article L.133-19, IV. du Code monétaire et financier ;

En conséquence,

— Débouter M. [Q] de sa demande de remboursement de l’opération litigieuse à hauteur de 22.000 euros, outre intérêts au taux légal ;

Sur la demande formée par M. [Q] tendant au paiement de dommages et intérêts

— Juger que le régime de responsabilité des prestataires de services de paiement tel qu’issu des articles L.133-1 et suivants du Code monétaire et financier fait l’objet d’une application exclusive et autonome ;

— Juger, en tout état de cause, que BNP Paribas n’a commis aucune inexécution contractuelle

En conséquence,

— Débouter M. [Q] de sa demande de dommages et intérêts à hauteur de 6.000 euros au titre du préjudice moral qu’il aurait subi ;

En tout état de cause

— Débouter M. [Q] de l’intégralité de ses demandes, fins et conclusions à l’encontre de BNP Paribas ;

— Condamner M. [Q] à verser à BNP Paribas la somme de 2.500 euros au titre de l’article 700 du Code de procédure civile ainsi qu’aux entiers dépens ;

— Ecarter l’exécution provisoire de la décision à intervenir.

La société BNP Paribas fait valoir que la demande de remboursement des fonds détournés au détriment de M. [Q] doit être rejetée en ce qu’il ne démontre pas le défaut de vigilance de sa part. Elle se prévaut des dispositions des articles L.133-44 et L.133-4 du code monétaire et financier pour soutenir avoir mis en place un mécanisme d’authentification forte par recours à une clé digitale. Elle considère que le fraudeur n’a pu enrôler la clé digitale de M. [Q] sur son propre appareil que grâce à une action humaine exclusive d’une défaillance du système de la concluante. Elle note qu’un tel enrôlement ne peut intervenir sans connexion sur l’espace de M. [Q] au moyen d’un identifiant et d’un mot de passe dont seul le défendeur a la garde. Elle précise que la clé digitale, installée sur l’appareil de M. [Q], pouvait techniquement, à l’initiative de celui-ci, être transférée sur l’appareil d’un tiers. Elle note que M. [Q] ne justifie pas de l’appel reçu malgré la sommation de communiquer du journal d’appel. Elle indique que les opérations en litige ont été authentifiées, enregistrées et comptabilisées, effectuées sans aucune défaillance technique ou autre, la concluante ayant parfaitement rempli ses obligations.

La BNP soutient que sa responsabilité est exclue, en ce que M. [Q] a commis une négligence grave au sens des dispositions des articles L.133-19, IV, L.133-17 et L.133-16 du code monétaire et financier. Elle affirme que M. [Q] n’a pas pris toutes les mesures raisonnables pour préserver la sécurité de ses dispositifs de sécurité personnalisés, commettant une négligence ayant permis au fraudeur de soustraire de son compte bancaire la somme de 49 000 euros. Elle souligne que M. [Q] a communiqué au fraudeur ses identifiant et mot de passe personnels, dans la mesure où l’enrôlement de la clé digitale sur son espace de paiement implique nécessairement l’usage de ces données, ainsi que le montre le relevé informatique produit, le demandeur n’expliquant pas comment, sans ces données, le fraudeur a pu se connecter sur son espace en ligne. Elle estime dès lors que la demande d’indemnisation, infondée, doit être rejetée. Elle considère, à propos des demandes de M. [Q] fondées sur la résistance abusive, que l’action en responsabilité des prestataires de services de paiement, régie par les dispositions du code monétaire et financier, est exclusive de tout régime alternatif de responsabilité prévu en droit national, la demande afférente devant être rejetée.

Conformément aux dispositions de l’article 455 du code de procédure civile, il est fait expressément référence aux écritures des parties visées ci-dessus quant à l’exposé du surplus des moyens.

L’ordonnance de clôture est intervenue le 13 octobre 2025, l’affaire appelée à l’audience du 12 février 2026 et mise en délibéré au 13 avril 2026.

Motivation :

I. Sur la demande de remboursement des opérations bancaires non autorisées

L’article L. 133-16 du code monétaire et financier oblige l’utilisateur de services de paiement à prendre toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées :

« Dès qu’il reçoit un instrument de paiement, l’utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées.

Il utilise l’instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation qui doivent être objectives, non discriminatoires et proportionnées. »

L’article L. 133-17, I, du code monétaire et financier prévoit ainsi :

« I. — Lorsqu’il a connaissance de la perte, du vol, du détournement ou de toute utilisation non autorisée de son instrument de paiement ou des données qui lui sont liées, l’utilisateur de services de paiement en informe sans tarder, aux fins de blocage de l’instrument, son prestataire ou l’entité désignée par celui-ci. »

L’article L.133-18 du code monétaire et financier poursuit en disposant :

« En cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L. 133-24, le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement et s’il communique ces raisons par écrit à la Banque de France. »

Enfin, l’article L.133-19, IV, du code monétaire et financier prévoit que:

« IV. — Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17. »

Ainsi, en cas de négligence grave de la part d’un utilisateur de service de paiement, la responsabilité incombe au client et non à la banque.

C’est au prestataire qu’il incombe de rapporter la preuve que l’utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n’a pas satisfait, intentionnellement ou par négligence grave, à ses obligations. De plus, cette preuve ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées, ont été effectivement utilisées.

En l’espèce, il faut constater que la SA BNP Paribas justifie du fait que les opérations litigieuses ont été autorisées et validées via la clé digitale de M. [Q]. Il est également établi que le service clé digitale a été activé le 22 novembre 2023 à 14h35 sur un autre appareil.

Pour procéder à de telles opérations, l’auteur de l’escroquerie devait d’une part, disposer du code confidentiel et de l’identifiant de M. [Q] pour se connecter à son espace sécurisé en ligne ou sur l’application mobile, d’autre part disposer du code d’activation de la clé digitale, code qui a été envoyé sur le téléphone de M. [Q].

Si M. [Q] conteste avoir communiqué ses codes personnels à un tiers, il reconnait avoir cliqué sur le lien envoyé par le service qu’il pensait être celui de la banque. En outre, bien qu’il allègue avoir reçu préalablement à cette opération, un appel téléphonique provenant du numéro figurant sur le recto de la carte bleue Visa BNP, il faut relever que M. [Q] s’abstient de verser aux débats les éléments qui auraient permis de s’assurer de la réalité de la réception de cet appel ou du caractère avéré de spoofing dont il aurait été victime et ce malgré sommation de la banque en date du 30 janvier 2025 de communiquer son journal d’appels de la journée du 23 novembre 2023.

Le fait que M. [Q] justifie son impossibilité de produire la pièce sollicitée par le fait que le numéro de téléphone sur lequel il a reçu l’appel frauduleux ([XXXXXXXX01]) est une ligne et un numéro mis à sa disposition par son employeur dont il a pu demander la portabilité au moment de son départ en retraite n’explique pas son absence de réponse à la sommation de communiquer également l’identité de l’opérateur téléphonique au moment de la réalisation des opérations frauduleuses.

En outre, M. [Q] n’évoque ni dans son dépôt de plainte en date 30 novembre 2023 ni dans la lettre de contestation d’opérations datée du 30 novembre 2023 ou encore dans son courrier recommandé adressé à la banque en date du 11 décembre 2023, un appel reçu le 23 novembre 2023.

Si cet appel est mentionné dans sa saisine adressée au médiateur FBF le 1er décembre 2024, le numéro de téléphone sur lequel il aurait reçu cet appel n’est pas précisé. Il ne l’est pas davantage dans l’assignation délivrée le 13 décembre 2024.

Enfin, il convient de relever une incohérence dans l’enchaînement des faits puisque M. [Q] soutient avoir reçu un appel le 23 novembre 2023 alors que le transfert de la clé digitale a été opéré le 22 novembre à 14h35 nécessitant que soit préalablement adressé sur le téléphone de M. [Q] le code nécessaire à l’enrôlement du smartphone du fraudeur.

Dès lors, s’il est certain que l’enrôlement de la clé digitale sur l’appareil fraudeur a bien été opéré à partir du numéro [XXXXXXXX01] tel que cela résulte de la pièce 1 de la défenderesse, il n’est pas démontré par M [Q] que cette opération a été précédée d’un appel téléphonique qu’il assimile à une opération frauduleuse de “spoofing” téléphonique.

Ainsi, dans ce contexte, et alors que M. [Q] étant le seul à connaître ses identifiants et codes d’accès à son espace personnel en ligne, il s’en déduit, nonobstant ses dénégations, que lui seul a pu les communiquer au fraudeur ; celui-ci a ainsi pu solliciter l’enrôlement d’un autre téléphone, lequel a été validé par le code transmis sur le téléphone de M. [Q], qu’il a également nécessairement communiqué.

La banque, qui permet à ses clients d’effectuer des virements en ligne, a la qualité de prestataire de service de paiement et se trouve tenue, à ce titre, à un devoir général de vérification qui lui impose de s’assurer, avant toute exécution d’un ordre de virement (ou de paiement), du consentement du payeur.

L’article L.133-7 du code monétaire et financier précise que le consentement est donné sous la forme convenue entre le payeur et son prestataire de services de paiement.

À cet égard, l’article L. 133-44 du même code impose au prestataire de services de paiement de mettre en place une authentification forte.

Il n’est pas justifié d’une défaillance de ce dispositif de sécurité en l’espèce.

En effet, le virement litigieux a été effectué conformément à la procédure d’authentification mise en place et la banque, qui n’avait pas à s’immiscer plus en avant dans les affaires de son client, ne pouvait qu’exécuter l’ordre de virement qui émanait de M. [Q]. Aucune faute ne peut donc être reprochée à la banque dont il sera observé qu’elle a satisfait à son devoir de vigilance puisque M. [Q] a reçu le 22 novembre 2023 à 14h35 soit concomitamment à l’enrôlement de la Clé Digitale un courriel qu’il verse en procédure l’informant de l’activation de la Clé Digitale et précisant “si vous n’êtes pas à l’origine de cette demande de changement, merci de contacter rapidement le service Relation Client”.

Il sera par ailleurs constaté que l’absence de déficience technique dans la réalisation des opérations est établie. En effet, celles-ci n’ont pu être effectuées que par le biais de l’utilisation frauduleuse de la clé digitale, permise par la négligence de M. [Q], par l’entremise de la clé digitale sur un téléphone tiers.

Par suite, il sera constaté que M. [Q] n’a pas satisfait aux obligations mises à sa charge par l’article L133-16 du Code monétaire et financier, et qu’il a ainsi commis une négligence grave au sens de l’article L133-19 IV du Code monétaire et financier, IV , qui le prive de toute possibilité de faire supporter par la banque les pertes et préjudices occasionnés par les opérations de paiement non autorisées.

Dès lors, M. [Q] sera débouté de sa demande en remboursement formée à l’encontre de la SA BNP Paribas.

II. Sur la demande d’indemnisation d’un préjudice moral

M. [Q] sollicite sur le fondement de l’article 1240 du code civil, le versement de la somme de 6.000 euros à titre de dommages et intérêts en réparation du préjudice moral subi au regard des tracasseries administratives et du stress généré par le manque de réactivité de la banque dans la prise en charge de son dossier.

Selon les dispositions de l’article 1240 du code civil, “tout fait quelconque de l’homme, qui cause à autrui un dommage, oblige celui par la faute duquel il est arrivé à le réparer.”

Il sera rappelé à titre liminaire que lorsque le différend concerne des relations entre le prestataire de services de paiement et l’utilisateur des services de paiement, les règles édictées par les articles L. 133-18 et L. 133-24 du code monétaire et financier s’appliquent de manière exclusive.

En effet, un régime juridique spécial des services de paiement, issu de la transposition de la directive 2007/64/CE puis de la directive (UE) 2015/2366 concernant les services de paiement dans le marché intérieur, est codifié en France aux articles L.133-1 et suivants du code monétaire financier.

La Cour de Justice de l’Union Européenne, dans un arrêt du 2 septembre 2021 a jugé que « l’article 58 et l’article 60, paragraphe 1, de la directive 2007/64 doivent être interprétés en ce sens qu’ils s’opposent à ce qu’un utilisateur de services de paiement puisse engager la responsabilité du prestataire de ces services sur le fondement d’un régime de responsabilité autre que celui prévu par ces dispositions lorsque cet utilisateur a manqué à son obligation de notification prévue audit article 58 ».

Cependant, le régime de responsabilité du prestataire de services de paiement à l’égard de l’utilisateur de services de paiement en cas d’opération non autorisée, établi par ladite directive, fait l’objet d’une harmonisation totale de sorte que ce régime est exclusif de tout régime de responsabilité concurrent.

Il s’ensuit que le régime de responsabilité des prestataires de services de paiement prévu à l’article 60, paragraphe 1, de la directive 2007/64 ainsi qu’aux articles 58 et 59 de cette directive a fait l’objet d’une harmonisation totale si bien que les Etats membres ne peuvent maintenir un régime de responsabilité parallèle au titre du même fait générateur.

En conséquence, le tribunal déboutera M. [Q] de sa demande d’indemnisation au titre du préjudice moral.

III. Sur les autres demandes :

M. [Q] qui succombe, sera condamné aux dépens.

Il n’apparait cependant pas inéquitable de ne pas faire droit aux demandes au titre de l’article 700 du code de procédure civile.

Par ces motifs

Le tribunal, statuant par jugement contradictoire, en premier ressort et publiquement par mise à disposition au greffe,

Déboute M. [W] [Q] de l’ensemble de ses demandes ;

Rejette les demandes sur le fondement de l’article 700 du code de procédure civile ;

Condamne M. [W] [Q] aux dépens.

LE GREFFIER LE PRESIDENT