TRIBUNAL

JUDICIAIRE

DE [Localité 7] [1]

[1]

Expéditions

délivrées le:

à

M^e ELIAOU

M^e DE HAUT DE SIGY

■

9ème chambre 2ème section

N° RG 24/04161 – N° Portalis 352J-W-B7I-C4KN5

N° MINUTE :

Assignation du :

26 Mars 2024

JUGEMENT

rendu le 12 Septembre 2025

DEMANDERESSE

FÉDÉRATION FRANCAISE DE PENTATHLON MODERNE

[Adresse 2]

[Localité 5]

représentée par Maître Manon ELIAOU, avocat au barreau de PARIS, vestiaire #P0100

DÉFENDERESSE

S.A.S. [E]

[Adresse 3]

[Localité 4]

représentée par Maître Claire DE HAUT DE SIGY et Maître Marie VOUTSAS de l’AARPI COAT HAUT DE SIGY DE ROUX, avocats au barreau de PARIS, vestiaire #A0297

Décision du 12 Septembre 2025

9ème chambre 2ème section

N° RG 24/04161 – N° Portalis 352J-W-B7I-C4KN5

COMPOSITION DU TRIBUNAL

Gilles MALFRE, 1er Vice-Président adjoint

Augustin BOUJEKA, Vice-Président

Alexandre PARASTATIDIS, Juge

assistés de Diane FARIN, Greffière.

DÉBATS

A l’audience du 27 Juin 2025 tenue en audience publique devant, Augustin BOUJEKA, juge rapporteur, qui, sans opposition des avocats, a tenu seul l’audience, et, après avoir entendu les conseils des parties, en a rendu compte au Tribunal, conformément aux dispositions de l’article 805 du Code de Procédure Civile. Avis a été donné aux avocats que la décision serait rendue le 12 Septembre 2025.

JUGEMENT

Rendu publiquement par mise à disposition au greffe

Contradictoire

En premier ressort

FAITS ET PROCÉDURE

La Fédération Française de Pentathlon moderne (ci-après FFPM), fédération sportive olympique dédiée à l’encadrement de la discipline olympique éponyme, a ouvert, le 26 octobre 2022, un compte dans les livres de la SAS [E], agissant sous la dénomination commerciale « Qonto ».

Deux cartes bancaires ont été émises sur ce compte, l’une pour Madame [R] [I], trésorière, l’autre pour Monsieur [O] [X], directeur technique national.

La FFPM expose que le jeudi 5 octobre 2023, Madame [I] a fait usage d’un numéro de téléphone trouvé sur « les pages jaunes » en ligne pour contacter la société [E] afin de créer une nouvelle carte bancaire à rattacher au compte bancaire de la FFPM, au profit de Monsieur [V] [M], président de la FFPM.

Elle indique que l’opérateur de la société [E], prénommé " [C] ", lui a demandé de changer son mot de passe.

Elle précise que Madame [I] a opéré ce changement, validant en outre une notification « push One-Touch » reçue sur son smartphone pour la création de la nouvelle carte bancaire de Monsieur [M].

Elle indique que le vendredi 6 octobre 2023, craignant de ne plus se souvenir du nouveau mot de passe, Madame [I] a de nouveau changé son mot de passe pour remettre son ancien mot de passe.

Elle affirme que ce même jour, le prénommé [C] a contacté Madame [I] pour lui confirmer la création de la nouvelle carte bancaire et l’informer que celle-ci serait livrée sous huitaine.

La FFPM expose encore que ce même vendredi 6 octobre 2023, Madame [I] s’est connectée au compte pour procéder à un virement, après quoi elle n’a plus eu accès audit compte.

Elle précise que Madame [I] a de nouveau pris attache avec son interlocuteur au 01.89.52.13.64 pour l’informer de la difficulté de connexion au compte pour s’entendre répondre que l’information allait être remontée au service compétent et que " [G] ", autre opérateur de la société [E], la rappellerait à cet effet dans l’après-midi ou le lundi 9 octobre suivant.

Elle indique qu’en l’absence de nouvelles de la société [E], Madame [I] a, le lundi 9 octobre 2023, vainement rappelé le 01.89.52.13.64 pour être rappelée, le mardi 10 octobre 2023, par le prénommé " [G] " qui lui a fait part de l’existence d’une maintenance du système de sécurité de la banque en cours, expliquant le blocage de l’accès du compte de la FFPM, précisant que ledit accès serait restauré ultérieurement.

La FFPM précise en outre qu’à la demande du prénommé [G], Madame [I] a adressé à la société [E], afin de débloquer l’accès au compte, une photo avec son passeport à l’adresse électronique [Courriel 6].

La FFPM expose en outre qu’en déplacement jusqu’alors, Monsieur [X], directeur technique national de la FFPM, a pris connaissance ce même vendredi 10 octobre 2023, des courriers électroniques reçus de la société [E] pendant cette période :

—  6 et 7 octobre 2023, un récapitulatif de plusieurs virements effectués à partir du compte de la FFPM ;

—  9 octobre 2023, une information selon laquelle son accès au compte de la FFPM avait été désactivé.

Elle précise que Madame [I], après avoir pris connaissance de ces courriers électroniques, a immédiatement fait part de son inquiétude auprès de la société [E] par courriel à l’adresse [Courriel 6], réitérant sa préoccupation par appel du lendemain par le numéro de téléphone précédemment visé ([XXXXXXXX01]).

Elle indique que Madame [I] a reçu de l’opérateur [C] l’information selon laquelle la mise à jour du système de sécurité était toujours en cours et que le problème de connexion au compte provenait du téléphone qu’elle utilisait, invitant Madame [I] à se reconnecter avec son téléphone, opération qui n’a pu être menée à bien, l’opérateur faisant alors part à Madame [I] de ce qu’un QR code lui serait envoyé pour rétablir l’accès à l’application Qonto.

La FFPM expose enfin que le lundi 16 octobre 2023, n’ayant pas reçu le QR code annoncé, Madame [I] a tenté de prendre attache avec la société [E] sur le numéro composé ([XXXXXXXX01]) et, par la suite, a découvert sur internet l’existence d’un autre numéro de téléphone de Qonto dont elle a fait usage pour s’entendre dire que la FFPM avait été victime d’une arnaque.

Après divers échanges par courriers électroniques avec la société [E], le conseil de la FFPM a, par lettre recommandée avec accusé de réception du 13 novembre 2023, contesté 52 opérations de paiement non autorisées effectuées entre le 6 et le 12 octobre 2023 sur son compte, pour un montant de 672.139 euros, reproché à la société [E] de n’avoir pas mis en place une procédure d’authentification forte pour ces opérations et mis en demeure la destinataire de rembourser cette somme sous huitaine en application de l’article L.133-18 du code monétaire et financier.

Par courrier officiel du 22 novembre 2023, le conseil de la société [E] a répondu à la FFPM qu’elle avait été victime d’une fraude au « faux conseiller » et qu’elle avait commis une négligence grave au sens de l’article L.133-19 IV du code monétaire et financier, notamment en communiquant ses données personnelles à un tiers à propos d’opérations qui avaient au demeurant fait l’objet d’une authentification forte.

Par lettre officielle du 11 décembre 2023, le conseil de la FFPM a maintenu sa position auprès de la société [E], contestant toute négligence grave de la part de sa cliente, le conseil de la société [E] faisant de même par réponse du 19 janvier 2024.

C’est dans ce contexte que par acte du 26 mars 2024, la FFPM a fait assigner la société [E] en recherche de sa responsabilité du fait de paiements non autorisés et aux termes de ses dernières écritures signifiées le 12 décembre 2024, demande à ce tribunal, au visa des articles L133-4 f), L133-18 et suivants, L133-44 I. du code monétaire et financier, 1231-1 du code civil, de :

«  A TITRE PRINCIPAL :

CONDAMNER la société [E] (QONTO) à rembourser à la FEDERATION FRANCAISE DE PENTATHLON MODERNE la somme de 672.139,00 €, outre les intérêts au taux légal majoré de 5 points à compter du 11 novembre 2023, puis au taux légal majoré de 10 points à compter du 18 novembre 2023 et au taux légal majoré de 15 points à compter du 11 décembre 2023, et ce, jusqu’à parfait paiement ;

A TITRE SUBSIDIAIRE :

CONDAMNER la société [E] (QONTO) à payer à la FEDERATION FRANCAISE DE PENTATHLON MODERNE, la somme de 672.139,00 € à titre de dommages et intérêts pour manquement à son devoir de vigilance, outre les intérêts au taux légal à compter de l’assignation introductive d’instance, et ce, jusqu’à parfait paiement ;

EN TOUT ETAT DE CAUSE :

CONDAMNER la société [E] (QONTO) à payer à la FEDERATION FRANCAISE DE PENTATHLON MODERNE, la somme de 67.213,90 € à titre de dommages et intérêts en réparation du préjudice moral, économique, réputationnel et d’image, outre les intérêts au taux légal à compter de la décision à intervenir, et ce, jusqu’à parfait paiement ;

ORDONNER la capitalisation des intérêts dus au moins pour une année entière en application de l’article 1343-2 du Code civil ;

CONDAMNER la société [E] (QONTO) à payer à la FEDERATION FRANCAISE DE PENTATHLON MODERNE, la somme de 5.000 € au titre de l’article 700 du Code de procédure civile, ainsi qu’aux entiers dépens de la présente instance, dont distraction au profit de Maître Manon ELIAOU, conformément aux dispositions de l’article 699 du Code de procédure civile. "

Par dernières écritures signifiées le 27 mars 2025, la société [E] demande à ce tribunal, au visa des articles L. 133-6, L.133-18, L.133-19 et suivants du code monétaire et financier, de :

«  DÉBOUTER la FEDERATION FRANCAISE DE PENTATHLON MODERNE de l’intégralité de ses demandes, fins et prétentions ;

CONDAMNER la FEDERATION FRANCAISE DE PENTATHLON MODERNE à payer à la société [E] la somme de 5.000 euros au titre de l’article 700 du Code de procédure civile ;

CONDAMNER la FEDERATION FRANCAISE DE PENTATHLON MODERNE aux entiers dépens. "

La clôture a été prononcée le 6 juin 2025, l’affaire étant appelée à l’audience du 27 juin 2025 et mise en délibéré au 12 septembre 2025.

Il est fait expressément référence aux pièces du dossier et aux écritures déposées et visées ci-dessus pour un plus ample exposé des faits de la cause et des prétentions des parties conformément aux dispositions de l’article 455 du code de procédure civile.

MOTIFS DE LA DÉCISION

1. Sur les demandes principales

La FFPM sollicite, à titre principal, le remboursement par la société [E] des sommes frauduleusement détournées, sur le fondement des dispositions des articles L.133-18, L.133-19 IV et L.133-23 du code monétaire et financier. Elle indique avoir été victime de « spoofing » et n’avoir pas autorisé les 52 opérations en litige, aux montants cumulés de 672.139 euros, ce qui n’est pas contesté par la société [E]. Elle conteste l’argument adverse selon lequel elle aurait commis une négligence grave exclusive de tout remboursement. En réponse à l’allégation adverse selon laquelle Madame [I], trésorière de la FFPM, aurait commis une négligence grave en utilisant, avant le 16 octobre 2023, un numéro de téléphone ne correspondant pas à celui figurant à l’article 15 des conditions générales de la convention de compte, la FFPM précise n’avoir jamais disposé du contrat d’ouverture de compte courant datant d’octobre 2022, encore moins de la version actualisée produite aux débats, ce contrat étant inopposable à la concluante. Elle ajoute que les coordonnées de la société [E] ne figuraient jamais sur les relevés reçus par la concluante ni sur la correspondance échangée entre celle-ci et la société [E], ce qui explique que Madame [I] ait eu recours aux « Pages jaunes » pour trouver le numéro de téléphone de la banque, avec confirmation de l’annuaire inversé des « Pages blanches ». Elle note le silence de la société [E] sur l’existence d’un numéro de téléphone qui lui est attribué figurant dans ces annuaires et ne correspondant pas à celui dont elle a l’usage, alors qu’il lui incombe de contrôler l’affichage de ses coordonnées. Elle expose avoir persisté à utiliser pendant des jours le numéro de téléphone usurpé, persuadée de son authenticité, ses interlocuteurs fraudeurs communiquant avec elle à la manière de véritables conseillers « Qonto ». Elle souligne que la société [E] n’a pas mis en œuvre tous les moyens nécessaires pour vérifier la fraude. Elle conteste l’affirmation adverse selon laquelle la société [E] aurait mené une campagne informative pour alerter ses clients sur les fraudes bancaires, en particulier par spoofing, alors qu’elle se borne à produire un unique courrier électronique adressé à Madame [I] le 15 juin 2023, insuffisant à établir la preuve de l’information alléguée, de telle sorte que la négligence grave n’est pas prouvée.

La FFPM conteste encore l’allégation adverse selon laquelle elle aurait commis pareille négligence en divulguant ses données bancaires à des tiers, en particulier ses identifiant et mot de passe, permettant ainsi l’accès du compte aux fraudeurs. Elle affirme que la défenderesse n’apporte aucune preuve étayant ce propos. Elle souligne que Madame [I] a modifié son code confidentiel à deux reprises le 5 octobre et le 6 octobre sans le communiquer à un tiers, le troisième changement étant intervenu le 6 octobre 2023 de sa propre initiative et non à la demande du fraudeur comme soutenu par la société [E], cette dernière connexion n’ayant pas abouti puisque le piratage du compte était en cours. Elle affirme qu’il ressort du questionnaire soumis le 16 octobre 2023 par la société [E] à Madame [I] que celle-ci n’a commis aucune négligence grave. Elle note par ailleurs que la société [E] affirme, sans preuve, que Madame [I] aurait validé des notifications transmises par des fraudeurs sur son téléphone portable. Elle dénie tout signalement tardif au sens de l’article L.133-24 du code monétaire et financier, qui aurait constitué une négligence grave dès lors que Madame [I] a alerté dès le 16 octobre 2023 la personne qu’elle croyait être son interlocuteur régulier, ayant confirmé cette information par courrier électronique du 10 octobre 2023, ajoutant qu’elle n’aurait pas pu alerter la société [E] comme celle-ci lui en fait le reproche, par recours à l’application dédiée ou à la messagerie sécurisée puisque l’accès à son compte était bloqué. Elle précise que Madame [I] croyait légitimement être en contact avec la société [E] alors que Monsieur [X], directeur général de la FFPM, en déplacement aux jours des faits, ne pouvait avoir accès immédiatement à l’information inhérente aux virements frauduleux émanant d’un courrier électronique du 16 octobre 2023. Elle affirme n’avoir été informée des détournements que le 17 octobre 2023, de telle sorte qu’aucune négligence ne peut lui être reprochée.

La FFPM expose en outre que même à supposer sa négligence grave établie, l’absence d’authentification forte mise en place par la société [E] fait obstacle au refus de remboursement des sommes détournées, et ce en application des dispositions des articles L.133-23 et L.133-44 du code monétaire et financier. Elle indique que selon un courrier officiel du conseil de la société [E], les fraudeurs se sont connectés sur le compte dès le 5 octobre 2023 à l’aide du seul mot de passe prétendument communiqué par Madame [I] et cela fait, ils ont dû procéder à l’ajout d’un nouvel appareil sans mis en œuvre de la moindre authentification forte. Elle indique que l’appareil enregistré au nom de Madame [I] figure sur deux numéros distincts, les pièces produites par la partie adverse n’étant pas pertinentes en raison de leur imprécision et en outre rédigées en partie en langue anglaise. Elle indique avoir vainement sommé la société [E] de communiquer l’ensemble des opérations validées depuis l’iPhone de Madame [I], dont il n’est pas démontré qu’elle ait approuvé le premier accès des fraudeurs au compte le 5 octobre et les opérations frauduleuses qui ont suivi.

A titre subsidiaire, la FFPM recherche la responsabilité de la société [E] pour manquement au devoir de vigilance lui incombant. Elle lui reproche de n’avoir pas détecté les anomalies apparentes tenant notamment aux montants particulièrement élevés des opérations de paiement litigieuses et de leur fréquence rapprochée, abstraction faite du devoir de non-ingérence. Elle affirme ne pas formuler cette prétention sur le fondement factuel de paiements non autorisés, mais au titre du seul manquement au devoir de vigilance caractérisant une faute contractuelle au sens de l’article 1231 du code civil. La FFPM sollicite, en tout état de cause, la réparation de son préjudice moral, économique, réputationnel et d’image en ce qu’elle est une petite fédération olympique, disposant de peu de moyens, subissant une atteinte à son image et à sa réputation auprès des autorités publiques et sportives.

En réplique, la société [E] sollicite, à titre principal, le rejet des demandes de la FFPM, en se fondant sur les dispositions des articles L.133-18, L.133-19, IV et L.133-23 du code monétaire et financier ainsi que des stipulations de l’article 14 du contrat « Qonto ». Elle affirme que les opérations en litige ont été authentifiées, dûment enregistrées et comptabilisées et que leur exécution n’a été affectée par aucune déficience technique. A l’argument adverse contestant le dispositif d’authentification forte, déplorant la production de pièces en anglais et faisant injonction à la concluante de produire une nouvelle liste des opérations contestées avec des colonnes supplémentaires, la société [E] réplique que les logs techniques ne peuvent être modifiés a posteriori pour rajouter des colonnes supplémentaires. Elle entend produire aux débats une expertise corroborant les logs techniques et établissant la conformité de son système d’authentification forte reposant sur les facteurs de connaissance et de possession, tout en démontrant la réalité de la validation par authentification forte réalisée par Madame [I] et le fraudeur. Elle indique que la première connexion du fraudeur est intervenue le 5 octobre 2023 à 17h23 avec les données de Madame [I] qui n’a pas réagi au courrier électronique de la concluante l’en ayant avisée. Elle souligne que l’expertise technique décrit précisément les modalités d’accès au compte et les validations par authentification forte, Madame [I] reconnaissant en outre avoir changé son mot de passe le 5 octobre 2023 à la demande des fraudeurs puis, de sa propre initiative, le 6 octobre 2023 à 8h50, étant observé que Madame [I] a exécuté ce même 6 octobre 2023 à 10h50 un virement qui n’est pas contesté. Elle rappelle que Madame [I] dispose d’un numéro de membership ID « e9198c8a-3e82-4495-8ea2-21551af9a309 » et d’un numéro user ID « 6c8788cd-8ab0-4cac-a432-d0eeee7b3833 », le premier étant rattaché au numéro de compte du client et le second, qui est immuable, identifiant une fois pour toute la personne désignée comme interlocutrice de la société [E] dans une opération de paiement et ce indifféremment du compte de paiement. Elle souligne que le numéro « aa0e5a82-5aea-4ecd-bde3-7a7171612db4 » correspond au numéro d’identifiant Futura de Madame [I]. Elle souligne que ces différents numéros ne doivent pas être confondus. Elle considère dès lors comme vaine l’authentification forte formulée par la FFPM alors que l’ensemble des opérations a fait l’objet d’une telle authentification. Elle affirme que le système d’authentification forte tel qu’exigé par la directive DSP2 comporte une faiblesse fondamentale exploitée par les fraudeurs, consistant dans le comportement négligeant du client.

La société [E] expose ensuite que la FFPM a commis une négligence grave au sens des dispositions de l’article L.133-19, IV du code monétaire et financier, à considérer en l’espèce avec celles des articles L.133-16 et L.133-17 alinéa 1er du même code, ajoutant que la bonne foi du client est indifférente. Elle indique que cette négligence résulte d’une succession d’éléments et d’actions, précisant avoir mené à l’endroit de ses clients de nombreuses campagnes de sensibilisation à la fraude, notamment par « spoofing », la demanderesse ayant reçu, par cette campagne ciblée, plusieurs communications sur les bonnes pratiques, en particulier un courrier électronique à Madame [I] fournissant des conseils explicites sur les risques de fraude. Elle précise que l’article 15 des conditions générales Qonto mentionne l’adresse mail, l’adresse postale et le numéro de téléphone par lequel joindre les conseillers de l’établissement, ces conditions générales étant accessibles en ligne et sur l’application dédiée. Elle indique qu’une première alerte pour Madame [I] aurait pu résider dans la discordance entre ce numéro de téléphone et celui qu’elle a utilisé après recherche en ligne. Elle estime que l’affirmation adverse selon laquelle les escrocs prénommés [C] et [G], communiquaient avec Madame [I] à la manière des conseillers de Qonto, démontre que la FFPM connaissait le canal habituel de communication avec Qonto. Elle note encore que compte tenu du processus sécurisé mis en place par la concluante, les fraudeurs n’ont pu accéder au compte que grâce aux identifiant et mot de passe de la cliente, soulignant que ces données ont nécessairement dû être communiquées alors qu’elles devaient demeurer confidentielles, sans que la FFPM n’apporte aucune explication. Elle ajoute que la chronologie des faits confirme ces propos. Elle note encore que Madame [I] a validé des actions sensibles initiées par les fraudeurs, en-dehors de toute logique, lesquelles actions, sans lien avec la création d’une carte de paiement, ne pouvaient que l’alerter sur la fraude. Elle identifie ainsi trois changements de mot de passe, la validation de la connexion de l’ordinateur du fraudeur, la validation d’un nouveau membre au compte FFPM sans vérification, en l’occurrence [C] [Z], la modification du numéro de téléphone de contact, la modification de l’adresse mail de contact, avec, à chaque fois, des notifications dénuées d’ambigüité reçues par Madame [I]. La société [E] voit encore dans le signalement tardif du détournement de l’utilisation non autorisée des données de sécurité personnalisées de la FFPM une preuve supplémentaire de la négligence grave commise par celle-ci. Elle relève que Madame [I] indique dans sa plainte s’être trouvée dans l’impossibilité, dès le 6 octobre 2023, d’accéder au compte de la FFPM alors qu’elle aurait dû en informer la concluante sans délai. Selon la société [E], il devait en aller de même pour la FFPM après réception par Monsieur [X], dès le 6 octobre 2023, du courrier électronique l’informant des virements, celui-ci ayant été reçu par ailleurs sans davantage de réaction, un courrier électronique du 9 octobre 2023 l’ayant en outre informé qu’un administrateur ou un manager avait désactivé son accès au compte de la FFPM ouvert dans les livres de la concluante, Madame [I] s’étant d’ailleurs connectée sur son compte pour s’apercevoir qu’elle n’avait plus accès au compte de la FFPM alors que les 10 et 12 octobre 2023, six nouvelles opérations non autorisées étaient effectuées sur ce dernier compte. Elle note que la FFPM s’en est tenue, à tort, aux explications fantaisistes du fraudeur, consistant dans la maintenance du système, un problème de QR code ou un problème de téléphone, alors qu’une réaction urgente de sa part s’imposait. Elle relève que c’est seulement le 16 octobre 2023 que, constatant l’impossibilité pour elle d’accéder au compte de la FFPM, Madame [I] a pris attache avec la concluante par le canal sécurisé, soit plus de dix jours après le début des opérations frauduleuses, ce qui constitue une négligence grave excluant toute indemnisation.

A titre subsidiaire, la société [E] sollicite le rejet des demandes de la FFPM fondées sur l’article 1231-1 du code civil régissant le devoir général de vigilance du banquier. Elle estime à cet égard que le régime de responsabilité prévu en matière de paiement non autorisé exclut l’application du régime de responsabilité de droit commun. La société [E] fait en outre valoir, à propos du préjudice, que la somme correspondant à 10% des montants détournés, réclamée par la FFPM en réparation de son préjudice moral et d’image, n’est en rien justifiée, la prétendue affliction causée à Madame [I] ne pouvant davantage donner lieu à réparation.

Sur ce,

En application des dispositions des articles L.133-18, L.133-19, IV et L.133-24 du code monétaire et financier, en cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L. 133-24, le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement et s’il communique ces raisons par écrit à la Banque de France. Le cas échéant, le prestataire de services de paiement du payeur rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu.

Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17.

L’utilisateur de services de paiement signale, sans tarder, à son prestataire de services de paiement une opération de paiement non autorisée ou mal exécutée et au plus tard dans les treize mois suivant la date de débit sous peine de forclusion à moins que le prestataire de services de paiement ne lui ait pas fourni ou n’ait pas mis à sa disposition les informations relatives à cette opération de paiement conformément au chapitre IV du titre 1er du livre III.

Au cas particulier, il est acquis aux débats que les paiements en litige n’ont pas été autorisés au sens des dispositions de l’article L.133-18 du code monétaire et financier et que leurs montants correspondent à la somme globale de 672.139 euros.

Pour autant, la FFPM persiste dans sa contestation selon laquelle lesdites opérations n’auraient pas fait l’objet d’une authentification forte, l’absence d’une telle authentification faisant obstacle à ce que la société [E] se prévale d’une négligence grave pour s’opposer à la demande en paiement de sa cliente.

A titre liminaire, il sera relevé que la FFPM prétend avoir fait l’objet d’un « spoofing », consistant dans l’usurpation du numéro de téléphone d’un prestataire de service de paiement par l’auteur d’une fraude ayant pour conséquence la réalisation d’un paiement non autorisé.

Ce faisant, la demanderesse invoque à son profit la solution rendue par la Chambre commerciale le 23 octobre 2024 (n°23-16.267).

Toutefois, cette solution n’est pas transposable au cas particulier dans la mesure où elle règle une situation où un tiers avait usurpé le numéro de téléphone du conseiller bancaire d’un prestataire de services de paiement pour prendre attache avec un utilisateur afin de mettre en confiance celui-ci pour obtenir son concours involontaire dans la réalisation de paiement non autorisé.

En l’espèce, la FFPM expose dans la plainte qu’elle a déposée le 18 octobre 2023, comme dans ses dernières écritures, que sa trésorière, Madame [I], a recherché sur internet le numéro de téléphone de la banque Qonto à l’aide duquel elle a, de sa propre initiative, pris attache avec un interlocuteur s’étant présenté comme un préposé de la banque alors qu’il se livrait en réalité à une fraude par usage d’un numéro de téléphone faussement attribué à Qonto et d’une fausse qualité de préposé de cet établissement.

Dès lors, la solution rendue par la Cour de cassation dans son arrêt mentionné plus avant du 23 octobre 2024 ne peut être transposée en tout point au présent litige.

Ceci étant précisé et s’agissant de l’authentification forte, la FFPM conteste la mise en place d’un pareil système de sécurisation pour les opérations de paiement en litige alors que la société [E] affirme avoir mis en place un tel mécanisme.

En l’espèce, la société [E] produit aux débats un rapport d’expertise amiable, en date du 19 mars 2025, émanant de Monsieur [K] [T], présenté comme un spécialiste des usages cryptographiques.

En pages 4 et 5 de ce rapport, il est exposé en ces termes le mécanisme d’authentification forte mis en place par la société [E] :

« Le mécanisme d’authentification mis en place par Qonto est nommé SCA, abréviation de » Strong Customer Authentication ".

Il consiste en l’utilisation d’une adresse courriel afin d’identifier l’utilisateur demandant l’accès. En même temps est demandé à l’utilisateur de fournir un secret de type mot de passe. Ce facteur est un facteur de connaissance uniquement connu de l’utilisateur et dont il doit en protéger la confidentialité.

Une fois ce facteur correctement vérifié par Qonto, le système demande à l’utilisateur sur quel compte il souhaite l’accès. Cette étape est nécessaire car le second facteur d’authentification est lié à l’utilisateur mais aussi au compte bancaire.

Ensuite le mécanisme d’authentification se poursuit par l’utilisation d’un téléphone mobile. Cette étape d’authentification est mise en œuvre par la société Futurae qui gère la vérification du secret qui sera fournit par le téléphone. Ainsi le système de la société Qonto sollicite par un appel d’interface chez Futurae (fonction « push ») la vérification d’un facteur d’authentification en fournissant l’identifiant unique de l’utilisateur/compte demande l’accès.

La solution Futurae est intégrée, via un SDK, dans l’application mobile Qonto. Ainsi l’application mobile Qonto est lancée lorsque l’utilisateur clique sur la notification push d’authentification, et cette dernière demande à l’utilisateur s’il valide l’accès au compte bancaire indiqué.

Techniquement l’application mobile protège des données secrètes qui ont été initialisées lors de l’inscription du téléphone de l’utilisateur à son compte Qonto. Ces données sont fortement liées au compte bancaire de l’utilisateur et aux propriétés techniques du téléphone de sorte qu’il ne soit pas possible de les dupliquer sur un autre téléphone ou de les utiliser pour accéder à un autre compte.

Pour finir lorsque la société Futurae a correctement vérifié le facteur du téléphone mobile, elle retourne à la société Qonto une confirmation de réussite. Cette confirmation contient un identifiant unique de vérification nommé « SCA token ». Ce jeton de preuve d’authentification est conservé dans les journaux des événements d’authentification.

Le mécanisme d’authentification utilise donc deux facteurs d’authentification, l’un dans la catégorie connaissance (le mot de passe secret) l’autre dans la catégorie possession (le secret protégé par le téléphone mobile). Ces deux facteurs sont gérés l’un uniquement par la société Qonto l’autre par uniquement par la société Futurae. De plus l’utilisation des deux facteurs s’effectue via des canaux de communications différents et indépendants. De sorte, la compromission de l’un ne peut pas remettre en question la fiabilité de l’autre. "

La FFPM ne conteste ni la teneur de ces propos, ni la qualité de son auteur alors qu’elle aurait pu, soit produire une contre-expertise, soit solliciter du juge de la mise en état qu’il en soit ordonné une.

Elle se borne donc à contester l’existence de cette authentification forte lors même qu’elle affirme que Madame [I], après avoir pris attache avec le faux conseiller Qonto le 5 octobre 2023, a accédé à son espace bancaire en ligne et modifié, à la demande du fraudeur, son mot de passe, validant par la suite une notification « push one touch » pour, selon ses dires, créer une nouvelle carte bancaire.

Il n’est contesté ni par la FFPM, ni par la société [E] que par cette connexion initiale, le fraudeur a pu accéder à l’espace en ligne de la fédération sportive et procéder aux 52 opérations contestées, réalisées entre le 6 et le 12 octobre 2023.

En accédant ainsi à l’espace en ligne de la FFPM, le fraudeur a pu procéder à l’enregistrement d’un nouvel appareil de validation et d’un nouveau numéro de téléphone associé afin de pouvoir, grâce à sa qualité de nouveau « member user », mettre en œuvre le double mécanisme d’authentification forte dans la réalisation des opérations de paiement contestées.

A ce stade de l’authentification forte, il est indifférent que Madame [I] a pu communiquer des identifiant et mot de passe propres à la FFPM au fraudeur dès lors qu’en suivant les indications de son interlocuteur malveillant, Madame [I] lui a permis d’accéder au compte bancaire pour effectuer les paiements litigieux.

Il résulte des éléments qui précèdent que la société [E] a mis en place un mécanisme d’authentification forte à l’occasion de l’exécution des paiements en litige, de telle sorte que la contestation afférente s’avère inopérante.

Par ailleurs, encore qu’elle conteste l’existence d’une authentification forte, la FFPM ne remet pas en cause le fait que les opérations en litige ont été enregistrées et comptabilisées par la société [E], le fait étant au demeurant établi, tant par les logs techniques produits par la société [E] que le rapport d’expertise du 19 mars 2025.

Concernant la négligence grave invoquée par la société [E] pour faire obstacle à la demande en paiement, il sera rappelé, préalablement, que la charge de la preuve lui en incombe.

Ceci étant précisé, la société [E] prétend avoir mené plusieurs campagnes à l’attention de ses clients au cours de la période ayant précédé les paiements en litige.

Ce faisant, elle produit aux débats un unique courrier électronique, en date du 15 juin 2023, mettant en garde Madame [I] contre les fraudes par hameçonnage, par faux conseiller et aux investissements frauduleux.

Cependant, outre que cet unique envoi matérialise difficilement une véritable campagne d’information, il sera en outre relevé que le message ne fait pas état de la technique de fraude mise en place en l’espèce, consistant, pour les fraudeurs, à publier en ligne et dans les pages jaunes un numéro de téléphone prétendument attribué à Qonto lors même que l’appel aboutit aux fraudeurs.

De plus, la société [E] fait reproche à Madame [I] de n’avoir pas utilisé le véritable numéro de téléphone de Qonto en précisant que ce numéro figurait dans ses conditions générales accessibles sur l’application dédiée et en ligne dans l’espace dédié.

Pour autant, Madame [I] prétend, sans être démentie par la société [E], que les conditions générales comportant le véritable numéro de téléphone de Qonto ne lui ont jamais été remises, soulignant en outre que ce numéro n’a jamais figuré dans les relevés transmis à la FFPM comme dans la correspondance à destination de cette fédération.

Au demeurant, si la société [E] prétend que le numéro de téléphone associé à sa marque Qonto était indiqué dans l’application dédiée et sur l’espace en ligne approprié, elle ne s’explique pas sur l’argument adverse selon lequel il lui incombait en outre de s’assurer que le numéro de téléphone existant en ligne, en particulier dans les annuaires électroniques courants, était conforme.

Or si cet établissement s’abstient de procéder à une telle vérification, elle expose nécessairement sa clientèle à une fraude telle que celle dont a été victime la FFPM dès lors qu’un risque de défaillance dans l’accès par courrier électronique ou par connexion sur son espace dédié n’apparaît pas négligeable.

Par suite, elle ne saurait faire grief à la FFPM de n’avoir pas eu recours au véritable numéro de téléphone de Qonto pour procéder à l’appel du 5 octobre 2023 qui allait déclencher le processus de fraude lors même que selon ses propres dires, ce numéro n’était accessible qu’à partir d’une recherche sur l’application dédiée et sur un espace en ligne dont la localisation demeure imprécise.

En outre, la société [E] reproche à la FFPM d’avoir, par le truchement de Madame [I], communiqué ses données personnelles, en particulier ses identifiant et mot de passe au fraudeur, afin de permettre à celui-ci d’accéder à son espace en ligne et de procéder à l’enrôlement d’un nouvel appareil destiné à procéder à l’authentification forte des opérations de paiement.

Cependant, tant dans le questionnaire qu’elle a complété le 16 octobre 2023 à la demande de la société [E] que dans ses dernières écritures, la FFPM conteste la transmission de telles données.

Or la preuve de la communication au tiers de tels éléments incombe à la société [E] qui échoue à l’établir, de telle sorte que le grief manque en faits.

Certes, la société [E] reproche à la FFPM d’avoir signalé tardivement les opérations de paiement litigieuses, alors que tant Madame [I], en sa qualité de trésorière ayant accès au compte que Monsieur [X], directeur technique national ayant également accès au compte, ont reçu des alertes concernant les opérations litigieuses.

A propos des alertes reçues par Monsieur [X], il est constant que celui-ci a reçu, les 6 et 7 octobre 2023, les notifications par courrier électronique des opérations exécutées à ces deux dates, lors même que, à partir du 10 octobre 2023, il a reçu notification de sa déconnection de l’accès au compte de la FFPM.

Or il n’est pas contesté par la société [E] que l’ensemble de ces notifications ont été transmises par Monsieur [X] à Madame [I] alors que celle-ci, en sa qualité de trésorière de la FFPM, était l’interlocutrice privilégiée de la société [E] dans la relation de la convention de compte et la réalisation et la surveillance des opérations de paiement exécutées sur le compte en cause.

Cette qualité d’interlocuteur privilégié est en outre attestée par le fait que la demande initiale de création d’une carte de paiement à l’attention du président de la FFPM a été initiée par Madame [I], en sa qualité de trésorière.

Au demeurant, il ne s’aurait être fait reproche à la FFPM d’un défaut de signalement des paiements litigieux par Monsieur [X] dès lors que celui-ci, dès réception des notifications des paiements intervenus les 6 et 7 octobre 2023, en a avisé Madame [I] et a été déconnecté de l’accès au compte dès le 10 octobre 2023, ce dernier fait ayant également été signalé à Madame [I] par Monsieur [X].

Au sujet du signalement tardif reproché à Madame [I], il sera relevé qu’au cours de la période courant du 5 octobre 2023 au 11 octobre 2023, Madame [I] était en relation avec deux personnes prénommées [C] et [G], se faisant passer pour des conseillers de la banque Qonto alors qu’ils se livraient à une fraude.

Ces deux personnes, qui ont été contactées par Madame [I] à partir d’un numéro de téléphone faussement attribué à la banque Qonto, ont mis en confiance, par leurs propos et par leurs manœuvres, Madame [I] qui sollicitait la création d’une carte de paiement à l’usage du président de la FFPM.

Il est constant que pendant toute la période, Madame [I] a entretenu des relations avec les fraudeurs soit avec le faux numéro de téléphone attribué à Qonto, soit par l’adresse électronique [Courriel 6] tout aussi faussement attribuée à Qonto.

Ainsi, durant tout le temps de réalisation de la fraude, mise en confiance par les auteurs de la fraude, le niveau de vigilance de Madame [I] était considérablement réduit, de telle sorte que c’est seulement le 16 octobre, après avoir en vain attendu le QR code promis le 11 octobre précédent par l’un des fraudeurs pour débloquer l’accès au compte de la FFPM ouvert dans les livres de la société [E], que Madame [I] a pu se rendre compte de la fraude et en a prévenu immédiatement la société [E].

Par suite, il sera retenu que la banque Qonto ne caractérise pas l’existence d’une négligence grave au sens de l’article L.133-19, IV du code monétaire et financier de nature à exclure le droit à réparation de la FFPM.

Par ailleurs, la FFPM se prévaut non seulement d’un préjudice matériel consistant dans le remboursement des sommes détournées, mais encore d’un préjudice moral établit à la somme de 67.213,90 euros, réparant l’atteinte à l’image et à la réputation de la FFPM.

Cependant, il est de principe que le régime de responsabilité prévu aux articles L.133-18 et suivants du code monétaire et financier, issu de la directive (UE) n°2015/2366 du 25 novembre 2015, d’harmonisation totale, exclut l’application de tout régime de responsabilité alternatif, prévu notamment en droit national.

Par suite, le préjudice susceptible d’être invoqué par la victime d’un paiement non autorisé, ne peut consister que dans le montant des paiements en litige, augmenté des intérêts au taux légal dans les conditions prévues à l’article L.133-18 du code monétaire et financier.

En conséquence, la société [E] sera condamnée à payer à la FFPM la somme de 672.139 euros, outre les intérêts au taux légal majoré de 5 points à compter du 11 novembre 2023, puis au taux légal majoré de 10 points à compter du 18 novembre 2023 et au taux légal majoré de 15 points à compter du 11 décembre 2023, et ce, jusqu’à parfait paiement.

2. Sur les demandes annexes

Succombant, la SAS [E] sera condamnée aux dépens, dont distraction au profit de Maître Manon Eliaou et à verser à la Fédération Française de Pentathlon moderne la somme de 5.000 euros en application de l’article 700 du code de procédure civile.

PAR CES MOTIFS

Le tribunal, statuant publiquement par jugement contradictoire, en premier ressort et par mise à disposition au greffe,

— DÉBOUTE la SAS [E] de l’ensemble de ses demandes ;

— CONDAMNE la SAS [E] à payer à la Fédération Française de Pentathlon moderne la somme de 672.139 euros, outre les intérêts au taux légal majoré de 5 points à compter du 11 novembre 2023, puis au taux légal majoré de 10 points à compter du 18 novembre 2023 et au taux légal majoré de 15 points à compter du 11 décembre 2023, et ce, jusqu’à parfait paiement ;

— CONDAMNE la SAS [E] aux dépens, dont distraction au profit de Maître Manon Eliaou ;

— CONDAMNE la SAS [E] à verser à la Fédération Française de Pentathlon moderne la somme de 5.000 euros en application de l’article 700 du code de procédure civile ;

— DÉBOUTE les parties de leurs demandes plus amples ou contraires.

Fait et jugé à [Localité 7] le 12 Septembre 2025

LA GREFFIÈRE LE PRÉSIDENT