Tribunal Judiciaire de Paris, 9e chambre 1re section, 6 octobre 2025, n° 23/08706

TJ Paris 6 octobre 2025

Arguments

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Signaler une erreur.

Rejeté
Fraude par spoofing
La cour a estimé que les opérations litigieuses avaient été réalisées avec l'authentification forte requise et que la demanderesse avait fait preuve de négligence grave en communiquant ses informations à un tiers.
Rejeté
Préjudice moral lié à la fraude
La cour a jugé qu'en l'absence de preuve d'une faute de la banque, la demande d'indemnisation pour préjudice moral ne pouvait être acceptée.

Résumé par Doctrine IA

Dans cette décision, Madame [B] [T] a assigné la Société Générale pour obtenir le remboursement de sommes qu'elle conteste avoir autorisées, suite à des opérations de retrait et de paiement non reconnues, invoquant une fraude par "spoofing". Les questions juridiques posées concernent la responsabilité de la banque en matière de remboursement d'opérations non autorisées et la négligence de la demanderesse dans la protection de ses données. Le tribunal a conclu que les opérations litigieuses avaient été effectuées avec une authentification forte et que Madame [B] [T] avait commis une négligence grave en divulguant ses informations bancaires à un tiers. Par conséquent, elle a été déboutée de toutes ses demandes et condamnée à verser 2000 euros à la banque au titre des frais de justice.

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Commentaire • 0

Augmentez la visibilité de votre blog juridique : vos commentaires d’arrêts peuvent très simplement apparaitre sur toutes les décisions concernées.

Sur la décision

Référence :	TJ Paris, 9e ch. 1re sect., 6 oct. 2025, n° 23/08706
Numéro(s) :	23/08706
Importance :	Inédit
Dispositif :	Déboute le ou les demandeurs de l'ensemble de leurs demandes
Date de dernière mise à jour :	5 novembre 2025
Lire la décision sur le site de la juridiction

Sur les parties

Avocat(s) :	Dominique FONTANAMaude HUPIN
Cabinet(s) :	SELARL DREYFUS FONTANA
Parties :	S.A. SOCIETE GENERALE

Texte intégral

TRIBUNAL

JUDICIAIRE

DE PARIS [1]

[1]

Expéditions

exécutoires

délivrées le :

M^e HUPIN

M^e DREYFUS

■

9ème chambre 1ère section

N° RG 23/08706

N° Portalis 352J-W-B7H-C2A7L

N° MINUTE : 3

Assignation du :

14 Juin 2023

JUGEMENT

rendu le 06 Octobre 2025

DEMANDERESSE

Madame [B] [T]

[Adresse 3]

[Localité 6]

représentée par Maître Maude HUPIN, avocat au barreau de PARIS, vestiaire #G0625

DÉFENDERESSE

S.A. SOCIETE GENERALE

[Adresse 4]

[Localité 5]

représentée par Maître Dominique FONTANA de la SELARL DREYFUS FONTANA, avocats au barreau de PARIS, vestiaire #K0139

Décision du 06 Octobre 2025

9ème chambre 1ère section

N° RG 23/08706 – N° Portalis 352J-W-B7H-C2A7L

COMPOSITION DU TRIBUNAL

Anne-Cécile SOULARD, Vice-présidente

Marine PARNAUDEAU, Vice-présidente

Patrick NAVARRI, Vice-président

assistés de Chloé DOS SANTOS, Greffière.

DÉBATS

A l’audience du 07 Juillet 2025 tenue en audience publique devant Marine PARNAUDEAU, juge rapporteur, qui, sans opposition des avocats, a tenu seule l’audience, et, après avoir entendu les conseils des parties, en a rendu compte au Tribunal, conformément aux dispositions de l’article 805 du Code de Procédure Civile. Avis a été donné aux avocats que la décision serait rendue le 06 Octobre 2025.

JUGEMENT

Rendu publiquement par mise à disposition au greffe

Contradictoire

En premier ressort

EXPOSE DU LITIGE

Mme [B] [T] est titulaire d’un compte bancaire ouvert dans les livres de la SOCIETE GENERALE.

Contestant avoir ordonné, les 4 et 5 novembre 2022, les douze opérations de retrait réalisées avec sa carte bancaire pour un montant total de 14 700 euros et trois opérations de paiement électronique pour un montant total de 1248,28 euros, Mme [B] [T] les a contestées auprès de la SOCIETE GENERALE et a déposé plainte contre X le 13 janvier 2023.

Seules deux opérations de paiement électronique d’un montant respectif de 21,95 euros et de 36,41 euros ont été remboursées par la banque.

La SOCIETE GENERALE n’ayant pas procédé au remboursement des autres opérations financières contestées, Mme [B] [T] a fait assigner, par acte d’huissier du 14 juin 2023, devant le tribunal judiciaire de Paris cette dernière, en responsabilité et en indemnisation.

Par conclusions récapitulatives notifiées par voie électronique le 6 septembre 2024, Mme [B] [T] demande au tribunal au visa des articles L.133-6 et suivants du code monétaire et financier et de l’article 1343-2 du code civil, de :

“- DECLARER Madame [B] [T] bien fondée en ses demandes, fins et conclusions,

— DEBOUTER SOCIETE GENERALE de l’ensemble de ses demandes, fins et prétentions,

— CONDAMNER SOCIETE GENERALE à payer à Madame [B] [T] la somme de 15.889,02 euros en remboursement des sommes détournées, outre les intérêts au taux légal majoré de quinze points,

— ORDONNER la capitalisation des intérêts,

— CONDAMNER SOCIETE GENERALE à payer à Madame [B] [T] la somme de 3.000 euros au titre du préjudice moral,

— CONDAMNER SOCIETE GENERALE au paiement de la somme de 3.000 € au titre de l’article 700 du Code de procédure civile,

— CONDAMNER SOCIETE GENERALE aux entiers dépens,

— ORDONNER l’exécution provisoire”.

Mme [B] [T] conteste avoir autorisé un quelconque retrait d’espèces ou paiement durant la période concernée. Elle réfute également avoir transmis à un tiers ses données personnelles confidentielles (identifiant, code personnel d’accès à ses comptes bancaires), soutenant avoir été victime d’une fraude très sophistiquée de type « spoofing ». Elle expose avoir reçu un appel téléphonique d’une personne qui l’a mise en confiance.

Elle fait valoir que la banque ne produit pas les prétendus SMS qu’elle lui aurait adressés pour chacune des opérations litigieuses. Elle observe que l’argumentation de la banque est incohérente, en ce qu’elle soutient à tort que sa cliente a communiqué ses informations confidentielles tout en déclarant que le fraudeur a consulté le code pin de sa carte bancaire le 4 novembre 2022 à 19h09. Elle souligne que l’argumentation de la banque établit une faille importante dans son système de sécurité. Elle relève par ailleurs que les clients sont persuadés qu’en remettant leur carte pour une simple analyse (ce qui est généralement expliqué par le fraudeur), l’intéressé ne pourra accomplir aucune action positive car il ne dispose pas du code secret.

Soutenant n’avoir commis aucune négligence grave, la demanderesse ajoute que le manquement de la banque à son devoir de vigilance est en lien de causalité direct avec son préjudice matériel et avec son préjudice moral.

Par conclusions récapitulatives notifiées par voie électronique le 24 janvier 2025, la SOCIETE GENERALE demande au tribunal de :

“-DECLARER Madame [B] [T] mal fondée en ses demandes.

En conséquence,

— L’EN DEBOUTER.

— CONDAMNER Madame [B] [T] à payer à SOCIETE GENERALE la somme de 3.000 € au titre de l’article 700 du C.P.C.

— CONDAMNER Madame [B] [T] en tous les dépens.

Subsidiairement,

— ECARTER l’exécution provisoire de la décision à intervenir”.

La défenderesse expose, tout d’abord, que les assertions de Mme [T] démontrent que cette dernière a concouru à la prétendue « invalidation » des opérations que ce tiers lui a présentées comme frauduleuses par téléphone, sans effectuer la moindre vérification préalable auprès de sa banque pour vérifier la véracité desdits propos. Elle observe ensuite qu’il n’est pas contesté que les achats et les retraits d’espèces aux distributeurs automatiques ont été réalisés à l’aide de la carte bancaire de Mme [T] et de son code confidentiel. Elle rappelle qu’elle a mis en place deux moyens d’authentification respectant la double identification imposée par la règlementation dite DSP2, à savoir le PASS SECURITE pour les paiements électroniques (code secret reçu par SMS) et l’OPEN ID pour les retraits d’espèces (code de sécurité renforcé). Elle note que Mme [T] n’a pas signalé de dysfonctionnement de son téléphone portable et que tous les messages lui ont été adressés sur le numéro de téléphone portable qui est le sien. Elle soutient que les relevés informatiques permettent d’établir la fiabilité de son système de sécurité et l’absence d’une quelconque défaillance technique. Elle souligne également que la demanderesse avait la possibilité de faire immédiatement opposition à sa carte bancaire sur le site internet de la banque SOCIETE GENERALE ou d’appeler son conseiller bancaire alors qu’elle y a procédé deux jours après les faits litigieux.

Elle relève par ailleurs que Mme [T] aurait dû être alertée par l’utilisation par le fraudeur d’un numéro de téléphone qui ne correspond à aucun numéro de la banque, par la communication par ce dernier d’un numéro de téléphone portable, par la demande de connexion à son espace personnel « banque à distance » qu’il lui a faite, par la demande de remise de sa carte bancaire qui lui a été adressée, lors d’un autre appel téléphonique, par ce tiers et par l’arrivée d’un véhicule conduit par un inconnu près de son domicile pour récupérer sa carte bancaire. Elle en conclut que Mme [T] n’a pas fait preuve de prudence et qu’elle a manqué à ses obligations contractuelles d’utilisation et de conservation de sa carte bancaire et du code PIN associé. Elle soutient que la négligence grave dont elle a fait preuve s’oppose à ce que la banque rembourse le montant total des fonds dissipés.

La SOCIETE GENERALE ajoute que la carte visa premier détenue par Mme [T] permet à son détenteur d’effectuer des achats pour un montant limité à 50 euros, sans avoir à composer le code confidentiel, justifiant le remboursement des deux opérations de paiement d’un montant respectif de 21,95 euros et de 36,41 euros. Elle relève, au surplus, que le plafond de paiement par carte bancaire d’un montant de 12 000 euros sur trente jours n’a pas été atteint durant la période concernée, que l’achat d’un montant de 11 460 euros a été effectué par carte bancaire après composition du code confidentiel, que les retraits d’argent ont aussi nécessité la composition du code confidentiel si bien qu’il est certain que Mme [T] a divulgué son code confidentiel à un tiers.

Conformément aux dispositions de l’article 455 du code de procédure civile, il est fait expressément référence aux écritures des parties visées ci-dessus quant à l’exposé de leurs moyens.

L’ordonnance de clôture est intervenue le 28 avril 2025.

MOTIFS

Sur la demande de remboursement des virements litigieux

En cas d’opération de paiement non autorisée signalée par l’utilisateur dans les délais prévus par l’article L. 133-24 du même code, le prestataire de services de paiement du payeur rembourse à ce dernier le montant de l’opération non autorisée, sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement.

Dans cette hypothèse, il incombe au prestataire de paiement de prouver que l’opération litigieuse a été effectuée après une authentification forte, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre, l’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement, à savoir l’utilisation des identifiants du client et l’absence de déficience technique ou autre, notamment par le biais de la production d’un relevé de ses connexions, ne suffisant pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur.

Par ailleurs, la responsabilité du payeur n’est pas engagée si l’opération de paiement non autorisée a été effectuée en détournant, à son insu, l’instrument de paiement ou les données qui lui sont liées. Cependant, il supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’agissements frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L.133-16 et L.133-17 du code précité.

Ainsi, pour échapper au remboursement de l’opération contestée, le prestataire de services de paiement doit démontrer, soit que l’ordre émanait bel et bien du client dûment authentifié dans son espace personnel, soit que le vol des identifiants de connexion (ou d’autres données) n’est que la conséquence d’une faute grave de sa part consistant à ne pas avoir satisfait intentionnellement aux obligations lui incombant en la matière ou à les avoir gravement négligées.

En l’espèce, Mme [B] [T] a contesté auprès de la SOCIETE GENERALE le 6 novembre 2022 les opérations financières opérées, les 4 et 5 novembre 2022, depuis son compte personnel à savoir :

— les douze opérations de retrait pour un montant total de 14 700 euros décomposé comme suit :

o le 4 novembre 2022 : 800 euros à 19h25, 900 euros à 19h17, 1000 euros à 19h23 et 2000 euros à 19h19 ;

o le 5 novembre 2022 : 100 euros à 00h16, 500 euros à 00h20, 1000 euros à 00h21, 1500 euros à 00h23, 1900 euros à 00h26, 2000 euros à 00h28, 2000 euros à 00h27 et 1000 euros à 00h30,

— Les trois opérations de paiement électronique pour un montant total de 1248,28 euros décomposé comme suit 1189,92 euros le 4 novembre 2022 ; 36,41 euros et 21, 95 euros le 6 novembre 2022), les deux dernières sommes ayant été ultérieurement remboursées par la banque.

Il appartient donc à la SOCIETE GENERALE d’apporter la preuve que les virements contestés ont été exécutés par suite du manquement intentionnel ou provoqué par une négligence grave du titulaire du compte à son obligation de prendre toute mesure raisonnable pour préserver la sécurité des dispositifs de sécurité personnalisés d’accès au compte bancaire sur lequel les virements ont été opérés.

La banque verse aux débats l’intégralité des relevés des opérations au cours de la période litigieuse, étant relevé que Mme [T] n’a pas déclaré la perte ou le vol de son téléphone portable enregistré par la banque comme son numéro de téléphone de sécurité.

Ces copies d’écran, issues du système informatique de la SOCIETE GENERALE, doivent être regardées comme un commencement de preuve dès lors que, d’une part, la partie adverse dispose de toute latitude pour en contester les termes et que, d’autre part, il s’agit des seuls documents justificatifs dont peut valablement disposer l’établissement bancaire. Dénier toute valeur probante, même relative, aux pièces fournies par l’établissement bancaire reviendrait, de fait, à priver ce dernier de toute possibilité de prouver l’authentification et l’enregistrement des opérations litigieuses.

Cet historique des connexions informatiques fait apparaitre que :

— le paiement en ligne d’un montant de 1189,92 euros a été validé le 4 novembre 2022 à 15h02 via le processus de sécurité OPEN ID ;

— le PASS SECURITE a été créé le 4 novembre 2022 à 14h57 et a été activé le même jour à 14h59 ;

— le code PIN de la carte bancaire de Mme [T] a été consulté et affiché le 4 novembre 2024 à 19h09 ;

— le 6 novembre 2022, le plafond de paiement par carte bancaire d’un montant initial de 3500 euros a été rehaussé à 5000 euros à 0h41, que le plafond de retrait d’un montant initial de 2000 euros a été élevé à 5000 euros le 4 novembre 2022 à 19h19 , le 5 novembre 2022 à 0h13 et le 6 novembre 2022 à 0h26, que ces quatre opérations financières ont toutes été authentifiées via le téléphone mobile de l’intéressée ;

— chacune de ces opérations a généré l’envoi d’un SMS sur le téléphone portable de Mme [T] ;

— chaque retrait a été effectué par l’utilisation de la carte bancaire litigieuse et après la composition du code secret qui y est associé.

Il découle de ce qui précède que les opérations litigieuses ont été réalisées en suivant la procédure d’authentification forte, à savoir, pour les retraits par carte bancaire, l’utilisation physique, supposant sa possession, de la carte bancaire présentée dans le DAB, ainsi que la connaissance du code secret et, pour le paiement en ligne, l’augmentation des plafonds et la consultation à distance du code secret associé à la carte bancaire de Mme [T], l’initiation de ces opérations au moyen d’un PASS SECURITE enrôlé depuis l’espace en ligne de Mme [T] qui cependant conteste avoir communiqué des informations personnelles et confidentielles à son interlocuteur, tout en ne déniant pas être restée en possession de son téléphone portable sur lequel étaient envoyés les SMS de l’établissement bancaire à la suite desdites opérations.

Il s’en déduit que le système de sécurisation de l’espace en ligne n’était pas affecté d’une déficience technique, sauf à ce que la demanderesse rapporte la preuve contraire, ce qu’elle ne fait pas au cas particulier. La banque ne discute pas le fait qu’elle n’est pas à l’origine des paiements et retrait par carte qu’elle a remise à un tiers.

Cependant, il ne peut se déduire du seul fait que l’instrument de paiement et/ou les données personnelles qui lui sont liées ont été effectivement utilisés qu’en l’espèce, Mme [T] a autorisé les opérations contestées.

Mme [T] n’ayant consenti ni aux montants ni aux bénéficiaires des opérations litigieuses, ces dernières ne peuvent être considérés comme autorisées au sens des articles L.133-3 et L.133-6 du code monétaire et financier.

Il convient dès lors de rechercher si la demanderesse peut se voir reprocher une négligence grave au sens des articles L.133-16 et suivants du code monétaire et financier faisant obstacle à son indemnisation, étant rappelé que le régime de responsabilité s’appliquant aux opérations non autorisées énoncé par ces articles est exclusif de tout autre régime de responsabilité, notamment sur le fondement d’un manquement à l’obligation générale de vigilance.

Il ressort du procès-verbal de dépôt de plainte produit aux débats, que :

— Mme [T] a reçu, le 4 novembre 2022, un appel d’un tiers se présentant comme " Monsieur [L] « , un » agent des fraudes " de sa banque, dont le numéro est [XXXXXXXX01],

— ce tiers lui a indiqué que son agence bancaire était située à [Localité 7], que son numéro de téléphone de fonction était le [XXXXXXXX02] – qu’elle a immédiatement après appelé en vain -, qui lui a précisé son numéro de téléphone portable, son numéro de compte bancaire et l’existence du compte bancaire qu’elle détient avec son frère,

— ce tiers lui a « envoyé un SMS avec l’entête de la banque un 1er débit de 1189,92 euros ainsi qu’un 1er virement du compte indivisible sur mon compte personnel de 5000 euros » ;

— cet homme lui a demandé de se connecter à son espace personnel bancaire au cours de la conversation téléphonique ;

— Mme [T] a constaté, en se connectant son espace personnel, que ses codes avaient changé et que son espace était bloqué ;

— Mme [T] a reçu, le 5 novembre 2022, soit le lendemain de l’entrée en relation, un nouvel appel de " Monsieur [L] " qui lui a indiqué venir récupérer sa carte bancaire dans un quart d’heure, l’intéressée expliquant, dans son dépôt de plainte, qu’un quart d’heure plus tard vers 20 heures, une voiture s’était présentée devant son domicile, qu’elle avait posé sa carte bleue sur le siège passager et que la voiture avait ensuite quitté les lieux.

Le motif avancé par ce tiers pour justifier la remise de la carte bancaire n’est pas explicité par Mme [T].

De plus, il est établi que Mme [T] s’est dépossédée de sa carte bancaire au profit d’un tiers dont elle ne connaissait pas l’identité.

La communication à un tiers de données personnelles sécurisées telles que sa carte bancaire, caractérise une négligence grave au sens de l’article L.133-19 du code monétaire et financier qui la prive de la possibilité de faire supporter par la banque les pertes occasionnées par l’opération financière non autorisée.

Force est de souligner que le mode opératoire par l’utilisation du « spoofing » a diminué la vigilance de Mme [T], vigilance inférieure, face à un appel téléphonique émanant prétendument de sa banque tout en lui rappelant l’existence d’informations bancaires exactes la concernant, à celle d’une personne réceptionnant un courriel, laquelle aurait pu disposer de davantage de temps pour s’apercevoir d’éventuelles anomalies révélatrices de son origine frauduleuse.

S’il est constant que Mme [T] s’est connectée à son espace client sur le site de la SOCIETE GENERALE durant son appel téléphonique alors qu’elle était en relation téléphonique avec une personne se présentant comme étant un préposé de cet établissement, force est d’observer que Mme [T] n’a pas précisé ce qu’elle avait indiqué à ce tiers lors de ses difficultés de connexion à son espace client.

Le dysfonctionnement affectant l’accès à son espace client aurait dû attirer son attention.

La teneur des instructions émanant d’un tiers au téléphone et le déplacement d’une tierce personne en taxi sur son lieu de travail pour venir prendre possession de son moyen de paiement alors que la finalité de cette démarche n’est pas explicitée, auraient dû alerter Mme [T] et l’amener à refuser d’exécuter les actions demandées, aucune banque n’agissant de la sorte quel que soit l’incident survenu sur le compte bancaire.

En acceptant de se déposséder de sa carte bancaire et en permettant à un tiers d’avoir connaissance du numéro, de la date de validité et du cryptogramme de sa carte bancaire, Mme [T] qui ne présente aucune cause de vulnérabilité en raison de son âge, de ses facultés intellectuelles ou de son état de santé, a, au vu du déroulement des faits rappelés ci-dessus, manqué, par négligence grave, à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés.

De tels indices auraient permis à un utilisateur normalement prudent et diligent de douter de l’authenticité des dires de son interlocuteur.

Par suite, les opérations financières litigieuses effectuées les 4 et 5 novembre 2022 inclus, trouvent leur source dans la négligence grave commise par Mme [T] dans la protection des données de sécurité personnalisées associées à son compte bancaire.

Mme [T] sera donc déboutée de sa demande de remboursement de la somme dissipée correspondant aux opérations financières querellées.

En l’absence de preuve d’une faute commise par la banque, la demande indemnitaire formée par Mme [T] en réparation de son préjudice moral, sera rejetée.

Sur les demandes accessoires

Partie perdante au procès, Mme [B] [T] sera condamnée aux dépens en application de l’article 695 du code de procédure civile.

Pour ce motif, Mme [B] [T] sera déboutée de sa demande formée au titre de l’article 700 du code de procédure civile.

L’équité commande de condamner Mme [B] [T] à verser à la SOCIETE GENERALE une somme de 2000 euros en application des dispositions de l’article 700 du code de procédure civile.

La présente décision est revêtue de droit de l’exécution provisoire conformément à l’article 514 du code de procédure civile.

PAR CES MOTIFS

Le tribunal, statuant par jugement contradictoire, en premier ressort et publiquement par mise à disposition au greffe,

DÉBOUTE Mme [B] [T] de l’intégralité de ses demandes ;

CONDAMNE Mme [B] [T] à verser à la SOCIETE GENERALE une somme de 2000 euros au titre de l’article 700 du code de procédure civile ;

CONDAMNE Mme [B] [T] aux dépens ;

RAPPELLE que l’exécution provisoire de la présente décision est de droit.

Fait et jugé à Paris le 06 Octobre 2025.

LA GREFFIERE LA PRÉSIDENTE