Inscription
7 jours d’essai gratuit.
Inscription en moins d’une minute. Pas de carte de crédit requise.
Tribunal Judiciaire de Paris, 9e chambre 2e section, 26 mai 2026, n° 24/08011
TJ Paris 26 mai 2026

Commentaire0

Augmentez la visibilité de votre blog juridique : vos commentaires d’arrêts peuvent très simplement apparaitre sur toutes les décisions concernées. 

Sur la décision

Référence :
TJ Paris, 9e ch. 2e sect., 26 mai 2026, n° 24/08011
Numéro(s) : 24/08011
Importance : Inédit
Dispositif : Fait droit à une partie des demandes du ou des demandeurs sans accorder de délais d'exécution au défendeur
Date de dernière mise à jour : 4 juin 2026
Lire la décision sur le site de la juridiction

Sur les parties

Avocat(s) :
Cabinet(s) :
Parties :
S.A. ORANGE, S.A. BNP PARIBAS

Texte intégral

TRIBUNAL

JUDICIAIRE

DE [Localité 1] [1]

[1]

Copies délivrées le 26/05/2026 à :

Me DELMAS (A546) CE

Me [Localité 2] (J0011) CCC

Me CARTIER-MARRAUD (E1874) CE

9ème chambre 2ème section

N° RG :

N° RG 24/08011 – N° Portalis 352J-W-B7I-C46JR

N° MINUTE :

JUGEMENT

rendu le 26 Mai 2026

DEMANDEUR

Monsieur [R] [F]

Port de plaisance

[Localité 3]

représenté par Maître Isabelle DELMAS, avocat au barreau de PARIS, avocat postulant, vestiaire #A0546, et Maître Katia DEBAY, avocat au barreau de VERSAILLES, avocat plaidant

DÉFENDERESSES

S.A. BNP PARIBAS

[Adresse 1]

[Localité 4]

représentée par Maître Dominique PENIN du PARTNERSHIPS MORGAN LEWIS & BOCKIUS UK LLP, avocat au barreau de PARIS, vestiaire #J0011

S.A. ORANGE

[Adresse 2]

[Localité 5]

représentée par Maître Marie-Laure CARTIER-MARRAUD de la SELEURL CARTIER MEYNIEL, avocat au barreau de PARIS, vestiaire #E1874

Décision du 26 Mai 2026

9ème chambre 2ème section

N° RG 24/08011 – N° Portalis 352J-W-B7I-C46JR

COMPOSITION DU TRIBUNAL

Monsieur Gilles MALFRE, Premier vice-président adjoint

Monsieur Augustin BOUJEKA, Vice-Président

Monsieur Alexandre PARASTATIDIS, Juge

assistés de Madame Camille CHAUMONT, Greffière,

DÉBATS

A l’audience du 24 Mars 2026 tenue en audience publique devant Gilles MALFRE, juge rapporteur, qui, sans opposition des avocats, a tenu seul l’audience, et, après avoir entendu les conseils des parties, en a rendu compte au Tribunal, conformément aux dispositions de l’article 805 du Code de Procédure Civile, avis a été donné aux avocats que la décision serait rendue le 12 mai 2026, et le délibéré a été prorogé au 26 mai 2026.

JUGEMENT

Rendu publiquement par mise à disposition au greffe

Contradictoire

En premier ressort

EXPOSÉ DU LITIGE

Par acte du 21 juin 2024, M. [F] a fait assigner la BNP PARIBAS devant le tribunal judiciaire de Paris, afin qu’elle soit condamnée à lui payer la somme de 27 000 euros, au titre des sommes détournées, avec intérêts au taux légal à compter de l’assignation, celle de 10 000 euros en réparation de son préjudice moral, outre la somme de 3 500 euros au titre de l’article 700 du code de procédure civile.

Il expose avoir reçu un courriel promotionnel pour renouveller sa carte avantage de la SNCF et ce, trois semaines avant la fin de son abonnement, qu’il a été relancé sur cette promotion 10 jours plus tard, soit 5 jours avant la fin de son abonnement et a utilisé le lien depuis son smartphone qui l’a renvoyé sur le site « SNCF Connect ».

Il précise qu’après avoir renseigné les informations de sa carte bancaire pour le paiement, il a validé la transaction sur la plateforme bancaire puis a reçu un courriel confirmant ladite transaction.

Le 7 octobre 2023, il indique avoir voulu acheter des billets de train et s’est alors rendu compte qu’il avait été victime d’une fraude. M. [F] rappelle que le jour même, il a déclaré cette opération frauduleuse sur la plateforme sécurisée de sa banque.

Le 10 octobre 2023, il souligne avoir reçu un appel de la « conciergerie » de la BNP qui a duré 50 minutes, son interlocuteur lui précisant qu’il le contactait à la suite de sa déclaration de suspicion de fraude, le questionnant sur tous les échanges frauduleux avec le site de la SNCF.

Il ajoute que son correspondant lui a proposé de bloquer toutes les transactions sur internet et de procéder à un changement de carte bancaire, ce qu’il a validé et que, pour ce faire, son interlocuteur lui a affirmé qu’il devait lui adresser une clé digitale BNP pour l’identifier, de sorte qu’il a reçu un SMS en ce sens, à 16h53. Il souligne que par la suite, son correspondant lui a proposé de changer son code d’accès à la plateforme BNP pour sécuriser ses comptes bancaires, ce qu’il a validé, de sorte qu’il a reçu un SMS à ce titre à 17h08.

Le 14 octobre 2023, M. [F] a constaté trois débits frauduleux de 9 000 euros chacun, les 10, 11 et 12 octobre 2023, dénommés "[L] [Adresse 3]", opérations qu’il a contestées.

Il a déposé plainte le 18 octobre 2023.

Par acte du 16 décembre 2024, la BNP PARIBAS a assigné en intervention forcée la société ORANGE.

Cette instance a été jointe à l’instance initiale par ordonnance du 14 janvier 2025.

Par conclusions du 13 janvier 2025, M. [F] maintient ses demandes initiales.

Par conclusions du 19 janvier 2026, la BNP PARIBAS demande au tribunal de débouter M. [F] de ses demandes, de condamner la société ORANGE à la garantir de toute condamnation qui pourrait être prononcée à son encontre au profit de M. [F], de condamner in solidum ou l’un à défaut de l’autre, M. [F] et la société ORANGE, à lui payer la somme de 3 000 euros au titre de l’article 700 du code de procédure civile et d’écarter l’exécution provisoire de droit.

Par conclusions du 19 janvier 2026, la société ORANGE demande au tribunal :

— à titre principal de débouter la BNP PARIBAS de son appel en garantie ;

— subsidiairement, de dire sans objet cet appel en garantie, en ce que M. [F] a commis des négligences graves de nature à exclure la responsabilité de la BNP PARIBAS et en ce que la banque a manqué à ses obligations ;

— de condamner la BNP PARIBAS à lui payer la somme de 15 000 euros au titre de l’article 700 du code de procédure civile.

La clôture de l’instruction a été prononcée le 20 janvier 2026.

SUR CE

Sur la demande principale formée par M. [F] à l’encontre de la BNP PARIBAS :

M. [F] rappelle que le 7 octobre 2023, il a informé sa banque de sa connexion sur un site frauduleux de la SNCF en adressant un courriel sur la plateforme sécurisée, ce à quoi la banque n’a pas répondu dans les délais, permettant à la fraude de se réaliser le 10 octobre 2023.

De son côté, il conteste avoir commis une négligence grave, rappelant que s’il a suivi les instructions de son interlocuteur, il pensait qu’il s’agissait d’une procédure d’identification pour mettre un terme à la fraude, mais souligne qu’il n’a à cette occasion transmis aucun code, pas plus qu’il n’a validé de paiements ou reçu de SMS en ce sens.

Si la banque soutient qu’il a été enregistré l’enrôlement d’un nouveau téléphone portable préalablement à la fraude, M. [F] relève que le SMS produit par la banque ne précise pas qu’un nouveau numéro de téléphone serait associé aux comptes. Il indique d’ailleurs ne pas avoir reçu de courriel d’information sur ce point.

Par ailleurs, le demandeur estime que les prétendues traces informatiques communiquées par la banque en pièces n° 5 et 6 sont inopérantes dans la mesure où son téléphone n’était plus fiable. Il relève en outre que la pièce adverse n° 5 ne correspond pas aux logs techniques habituellement communiqués dans ce type d’affaire mais à une prétendue reconstitution des faits réalisée pour les besoins de la cause.

Enfin, M. [F] entend se prévaloir de l’arrêt de la Cour de cassation du 23 octobre 2024 (n° 23–16.267) excluant dans tous les cas qu’il ait commis une négligence grave. Il rappelle sur ce point qu’il n’est pas contesté que le fraudeur a utilisé le numéro de téléphone du service de la conciergerie de sa banque. Il ajoute que son interlocuteur connaissait la déclaration de fraude effectuée le 7 octobre 2023 sur la plateforme sécurisée, ainsi que son numéro de téléphone, de sorte qu’il ne peut être exclu d’envisager une fraude interne à la banque.

En réponse, la BNP PARIBAS souligne qu’au vu des traces informatiques qu’elle produit, le fraudeur a nécessairement obtenu de M. [F] la communication de données confidentielles pour permettre le désenrôlement du portable du demandeur et l’enrôlement du portable du fraudeur, avec comme préalable la communication de l’identifiant et du mot de passe pour accéder à l’espace en ligne du client.

Sur l’enrôlement de la clé digitale de M. [F] sur le téléphone de l’escroc, intervenu le 7 octobre 2023 à 17h07, la BNP PARIBAS rappelle que le client a déclaré que son interlocuteur lui a affirmé qu’il devait lui adresser une clé digitale BNP pour l’identifier et qu’il a donc reçu un SMS à ce titre.

Elle en déduit que le demandeur a reconnu avoir transmis des informations confidentielles permettant à l’escroc d’enrôler la clé digitale le 10 octobre 2023 à 17h07 sur un nouveau téléphone portable.

Elle ajoute que M. [F] a reçu un courriel l’informant de l’activation de la clé digitale sur un nouvel appareil de téléphone, auquel il n’a pas réagi.

Elle précise que par la suite, l’escroc s’est connecté à l’espace client pour modifier le plafond de paiement de la carte bancaire de M. [F] et a validé les opérations litigieuses à l’aide de la clé digitale installée sur son téléphone portable.

Elle en conclut que le client a commis une négligence grave s’opposant au remboursement des opérations.

Par ailleurs, la banque ne conteste pas que M. [F] a été appelé par un numéro s’affichant comme étant celui de sa banque, relevant que le fraudeur n’a pas utilisé la ligne téléphonique de la banque mais a utilisé le numéro de BNP PARIBAS comme numéro de désignation secondaire (NDS), soit le numéro présenté sur le terminal de la personne recevant l’appel et que l’appelant peut modifier.

Sur la négligence grave, la société ORANGE, outre les éléments rappelés par la banque, reproche à M. [F] d’avoir répondu à une promotion irréaliste, soit une offre « carte Senior » à 0,99 euros pour un prix normal de 49 euros, sur un site dont il n’a pas vérifié l’authenticité et estime que les informations qu’il a alors communiquées ont facilité la fraude.

Elle ajoute que le 01 47 92 50 60 est un numéro du service opposition de BNP PARIBAS pour les cartes Visa Infinite, mais pas celui de l’agence bancaire du client ou de son conseiller bancaire, outre que ce service n’a généralement pas vocation à émettre des appels, circonstances qui auraient dû éveiller les soupçons du requérant.

Elle soutient en outre que le SMS reçu à 17h08 contenait une typographie « inconcevable » pour ce type de message professionnel, alors que le précédent de 16h53 indiquait émaner de « BNPP » et non de « BNP ».

Elle note par ailleurs que M. [F] n’a contacté sa banque que le 14 octobre 2023 et a attendu le 18 octobre 2023 pour contester les opérations et déposer plainte.

Ceci étant exposé.

En cas d’opération de paiement non autorisée signalée par l’utilisateur dans les délais prévus par l’article L. 133-24 du code monétaire et financier, le prestataire de services de paiement du payeur rembourse à ce dernier le montant de l’opération non autorisée sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement.

Dans cette hypothèse, il incombe au prestataire de paiement de prouver que l’opération litigieuse a été effectuée après une authentification forte, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre, l’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement, à savoir l’utilisation des identifiants du client et l’absence de déficience technique ou autre, notamment par le biais de la production d’un relevé de ses connexions, ne suffisant pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur.

L’article L. 133-4 (f) du code précité précise qu’une authentification forte s’entend d’une authentification reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories «connaissance» (quelque chose que seul l’utilisateur connaît telle qu’un mot de passe, un code secret, une question secrète, etc…), «possession» (quelque chose que seul l’utilisateur possède telle qu’un téléphone portable, une montre connectée, une clé USB etc…) et «inhérence» (quelque chose que l’utilisateur est telle que la reconnaissance faciale ou vocale, la reconnaissance par empreinte digitale, etc…) et indépendants en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d’authentification. L’authentification forte repose donc sur l’utilisation de deux de ces éléments, voire plus.

L’article L. 133-44 du même code monétaire et financier dispose par ailleurs que :

I. – Le prestataire de services de paiement applique l’authentification forte du client définie au f de l’article L. 133-4 lorsque le payeur :

1° Accède à son compte de paiement en ligne ;

2° Initie une opération de paiement électronique ;

3° Exécute une opération par le biais d’un moyen de communication à distance, susceptible de comporter un risque de fraude en matière de paiement ou de toute autre utilisation frauduleuse.

II. – Pour les opérations de paiement électronique à distance, l’authentification forte du client définie au f de l’article L. 133-4 comporte des éléments qui établissent un lien dynamique entre l’opération, le montant et le bénéficiaire donnés.

III. – En ce qui concerne l’obligation du I, les prestataires de services de paiement mettent en place des mesures de sécurité adéquates afin de protéger la confidentialité et l’intégrité des données de sécurité personnalisées des utilisateurs de services de paiement.

IV. – Le prestataire de services de paiement gestionnaire du compte autorise le prestataire de services de paiement fournissant un service d’initiation de paiement et le prestataire de services de paiement fournissant le service d’information sur les comptes à se fonder sur ses procédures d’authentification lorsqu’ils agissent pour l’un de leurs utilisateurs conformément aux I et III et, lorsque le prestataire de services de paiement fournissant le service d’initiation de paiement intervient, conformément aux I, II et III.

V. – Le prestataire de services de paiement s’assure que les méthodes d’authentification qu’il fournit à ses clients respectent les exigences d’accessibilité fixées à l’article L. 412-13 du code de la consommation.

Cependant, le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17 du code précité.

Ainsi, pour échapper au remboursement de l’opération contestée, le prestataire de services de paiement doit démontrer, soit que l’ordre émanait bel et bien du client dûment authentifié dans son espace personnel, soit que le vol des identifiants de connexion (ou d’autres données) n’est que la conséquence d’une faute grave de sa part consistant à ne pas avoir satisfait intentionnellement aux obligations lui incombant en la matière ou à les avoir gravement négligées.

Il est par ailleurs rappelé que la preuve de la négligence grave ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés.

En particulier, le fait que les traces informatiques établissent que la clé digitale du client a été enrôlée sur un nouvel appareil ne permet pas de retenir une négligence grave de ce client, cette négligence étant alors déduite de la seule utilisation des données de sécurité personnalisées (Cass. com., 5 mars 2025, n° 23-22.687).

En l’espèce, s’agissant de l’authentification forte, il découle du relevé informatique produit par la banque en pièce n° 6 que les trois achats litigieux ont été authentifiés à l’aide de la clé digitale, le premier le 10 octobre 2023 à 17h26, le deuxième le 11 octobre 2023 à 15h25 et le troisième le 12 octobre 2023 à 9h51.

Si M. [F] soutient que son téléphone n’était alors plus fiable, la banque rappelle justement à cet égard que le « spoofing » a priori mis en place n’a pas pour origine le portable appelé. En effet, le spoofing est une modification illégitime de l’identifiant du numéro émetteur de l’appelant, de sorte que l’intégrité du portable du demandeur n’était pas en cause dans l’appel du fraudeur.

Par ailleurs, le demandeur n’indique pas en quoi les relevés informatiques de la banque ne correspondraient pas aux logs techniques habituellement communiqués et il n’est nullement établi que la banque aurait procédé à une reconstitution des faits réalisée pour les besoins de la cause, alors que la preuve de l’authentification forte qui lui incombe ne peut être déduite que des données informatiques qu’elle détient et des circonstances dans lesquelles les opérations ont éte effectuées.

Les opérations frauduleuses ont donc fait l’objet d’une authentification forte et n’ont été affectées d’aucune déficience technique.

Sur la négligence grave, la banque ne conteste pas que son client a été appelé par le numéro de téléphone de son service conciergerie « visa infinity », dans le cadre d’un « spoofing ». Sur ce point, M. [F] produit en pièce n° 2, une capture d’écran dont il indique qu’il provient de son portable, pour justifier qu’il a été appelé par ce numéro, le [XXXXXXXX01].

Si la société ORANGE indique que, généralement, ce service n’a pas vocation à émettre des appels, elle ne l’exclut cependant pas, outre que dans tous les cas, il n’est nullement établi que M. [F] pouvait savoir qu’il ne pouvait pas être appelé par ce numéro.

Pour autant, dans sa lettre de mise en demeure du 4 novembre 2023, M. [F] rappelle sur ce point avoir reçu un appel de la « conciergerie » de sa banque et ajoute : « j’ai depuis vérifié la correspondance de ce numéro d’appel ».

Il se déduit de cette dernière précision que ce n’est qu’a posteriori que le demandeur a eu la certitude que le 10 octobre 2023, il avait été appelé par ce service « conciergerie ».

A cet égard, si la banque considère que son client a été appelé par un numéro s’affichant comme étant le « [XXXXXXXX01] », ce dont il pourrait se déduire que ce numéro avait été préalablement enregistré sur le portable de M. [F], ce dernier ne le soutient pas. La vérification a posteriori de ce numéro exclut d’ailleurs cet enregistrement préalable.

Le requérant n’est donc pas fondé à se prévaloir de l’arrêt de la Cour de cassation du 23 octobre 2024 (n° 23–16.267) pour considérer que sa vigilance a été légitimement amoindrie, puisque dans les faits de l’arrêt d’appel ayant donné lieu à cet arrêt de cassation, il était établi que le client avait préalablement enregistré sur son portable le numéro de son conseiller bancaire, usurpé par le fraudeur, de sorte que lorsque ce dernier a appelé le client, c’est le numéro de ce conseiller qui s’est affiché sur le portable du client victime.

Sur la négligence grave, la banque rappelle le détail de la procédure permettant l’enrôlement d’un téléphone portable sur l’application bancaire.

Le client, à l’aide de ses identifiant et mot de passe, se connecte à son application pour activer la clé digitale sur son portable. Il reçoit un SMS sur son portable. Sur Android, l’activation se fait automatiquement à réception du SMS. Sur IOS pour les Iphones, le client doit cliquer sur le lien contenu dans le corps du message suivant : "BNP Paribas NE JAMAIS COMMUNIQUER CE CODE Activer la Clé Digitale en cliquant : mescomptes://activation/6@71_76757 Un doute ? Contactez-nous".

Une fois cette manipulation réalisée, la clé digitale est enrôlée et le client bénéficie d’une authentification forte pour ses paiements en ligne.

La banque estime qu’en l’espèce, au vu de ses déclarations, M. [F] a reconnu avoir transmis des informations confidentielles permettant à l’escroc d’enrôler la clé digitale sur un nouveau téléphone portable.

A cet égard, M. [F] rappelle que son interlocuteur lui a indiqué qu’il devait être procédé au changement de sa carte bancaire, ce qu’il a validé et que, pour ce faire, le fraudeur lui a affirmé qu’il devait lui adresser une clé digitale pour l’identifier, de sorte qu’il a reçu un SMS en ce sens, à 16h53.

Décision du 26 Mai 2026

9ème chambre 2ème section

N° RG 24/08011 – N° Portalis 352J-W-B7I-C46JR

Ce SMS comportait le texte suivant « « BNP Paribas NE JAMAIS COMMUNIQUER CE CODE Activer la Clé Digitale en cliquant : mescomptes://act/qjSYkKVW2FGCqN Un doute ? Contactez-nous ».

Par la suite, M. [F] précise que son interlocuteur lui a proposé de changer son code d’accès à la plateforme BNP pour sécuriser ses comptes, ce qu’il a validé. Il souligne avoir reçu un SMS à ce titre à 17h08.

Ce SMS comportait le texte suivant « Votre nouvelle clé est le 672083, merci de la noter en dehors d’un support digital ».

A aucune de ces étapes, M. [F] n’a reconnu avoir communiqué au fraudeur des informations confidentielles.

En particulier, il n’est pas établi que le demandeur ait communiqué au fraudeur ses identifiant et mot de passe pour se connecter à son espace personnel, alors qu’il s’agit d’un préalable au désenrôlement de la clé digitale et à son enrôlement sur le portable du fraudeur.

Par ailleurs, si la banque souligne que M. [F] a reçu un courriel l’informant de l’activation de la clé digitale sur un nouvel appareil de téléphone, soit celui du fraudeur, ce qui aurait été de nature à alerter le client, elle n’en justifie pas, ne produisant qu’un exemple de ce type de courriel, alors que le requérant conteste avoir reçu un tel courriel.

Il ne saurait donc être reproché à M. [F] une négligence grave, en ce qu’il aurait communiqué au fraudeur des données bancaires personnelles.

Les autres anomalies relevées par la banque et la société ORANGE ne sont pas d’une gravité telle qu’elles peuvent être reprochées au demandeur, à savoir le caractère suspect de la promotion faussement proposée par la SNCF, étant ajouté que les informations communiquées à cette occasion ne sont pas directement à l’origine des opérations de paiement non autorisées.

Il en est de même de la typographie « inconcevable » des deux SMS, soulevée par la société ORANGE, sans que cette dernière n’explicite ce point, ainsi que du fait qu’un des deux SMS émanait de « BNPP » et non de « BNP », ce qui est secondaire et sans conséquence.

La banque sera par conséquent condamnée à payer à M. [F] le montant des trois opérations contestées, avec intérêt au taux légal à compter de l’assignation.

Sur les demandes formées par M. [F] au titre du préjudice moral :

Comme le rappelle justement la BNP PARIBAS, le régime de responsabilité du prestataire de services de paiement à l’égard de l’utilisateur de services de paiement en cas d’opération non autorisée, établi par la directive 2007/64, a fait l’objet d’une harmonisation totale de sorte que ce régime est exclusif de tout régime de responsabilité concurrent.

Les Etats membres ne peuvent donc pas maintenir un régime de responsabilité parallèle, au titre du même fait générateur.

Il en résulte que l’utilisateur ne peut pas rechercher la responsabilité de sa banque sur le fondement d’un régime de responsabilité autre que celui défini aux articles L. 133-18 à L. 133-24 du code monétaire et financier.

M. [F] ne peut donc pas solliciter le paiement de dommages-intérêts sur le fondement du droit commun.

Sa demande d’indemnisation au titre du préjudice moral ne peut donc qu’être rejetée.

Sur l’appel en garantie formée par la BNP PARIBAS à l’encontre de la société ORANGE :

A l’appui de son appel en garantie, la BNP PARIBAS rappelle que les réseaux téléphoniques utilisent deux informations différentes comme métadonnées associées à un appel : le numéro de désignation d’installation (NDI), ou P-Asserted-Identity (PAI), qui désigne le numéro de l’appareil ayant émis l’appel, qui ne peut être modifié, et le numéro de désignation secondaire (NDS) ou identifiant d’appelant (CLI), qui désigne le numéro présenté sur le terminal de la personne recevant l’appel et que l’appelant peut modifier, le « spoofing » consistant à modifier ce NDS.

Or, elle souligne que la société ORANGE est l’opérateur de M. [F], qui a été appelé par un numéro s’affichant comme le « [XXXXXXXX02] », attribué à la BNP PARIBAS mais qui a été usurpé dans son affichage par des escrocs appelant sous un autre numéro de téléphone.

Elle fait valoir que l’opérateur téléphonique ne s’est pas conformé aux dispositions de l’alinéa IV de l’article L.44 du Code des Postes et des Communications Electroniques (CPCE), applicable depuis le 25 juillet 2023, de sorte qu’il a commis une faute en permettant le spoofing dont a été victime M. [F].

Elle précise que la société ORANGE a été dans l’incapacité de confirmer l’authenticité de l’appel attribué à la banque mais a néanmoins poursuivi l’acheminement de la communication en provenance de l’escroc, alors que cette communication a duré 50 minutes, ce qui laissait à l’opérateur le temps d’interrompre l’acheminement de cette communication.

Si la société ORANGE lui reproche d’avoir manqué à son obligation de vigilance lors de la réalisation de la fraude, elle souligne à cet égard que le régime de responsabilité qui lui est applicable en cas d’opérations de paiement non autorisées est exclusif de tout régime de responsabilité concurrent, notamment au titre du devoir de vigilance.

Dans tous les cas, elle relève sur ce point que le fait que les traces informatiques indiquent que les achats opérés par l’escroc ont été faits depuis une adresse I.P qui n’était pas celle du demandeur ne démontre pas que les opérations étaient en soi frauduleuses, d’autant plus que M. [F] aurait pu les initier lui-même en utilisant un VPN pour masquer l’IP.

Elle ajoute qu’aucune règlementation n’impose aux banques de bloquer une opération de paiement au motif que l’adresse IP serait localisée à l’étranger, surtout quand cette opération est validée à l’aide d’un processus d’authentification forte.

La banque conteste par ailleurs ne pas avoir respecté les obligations qui lui incombent en matière de sécurisation des instruments de paiement et d’authentification forte.

En réponse, la société ORANGE estime que sa responsabilité ne saurait être engagée pour les motifs suivants :

— Le spoofing allégué par M. [F] n’est pas établi, relevant que les captures d’écran ne font pas apparaitre le numéro récipiendaire de l’appel et des messages frauduleux de sorte qu’il est impossible de savoir sur quel téléphone et à quel numéro l’appel et les messages ont été transmis, outre que de simples copies de captures d’écran sont insuffisamment probantes.

Elle ajoute sur ce point qu’il est hautement improbable que M. [F] ait enregistré le numéro en question dans son téléphone sous l’intitulé « Mon Concierge », d’autant que le demandeur a reconnu, dans sa lettre adressée à la banque, ne pas connaître le numéro en question.

Elle souligne en outre qu’il n’est pas établi que le 06 74 83 64 99 est une ligne attribuée par la société ORANGE.

La société ORANGE estime par ailleurs que l’usurpation du numéro de téléphone utilisé n’est pas prouvée, alors que la gestion de ce type de numéro est externalisée et qu’il ne peut être exclu que M. [F] a été contacté par un salarié indélicat travaillant pour la banque.

— Elle a respecté les obligations qui lui incombent en application de l’article L. 44, IV du CPCE, soulignant en particulier qu’en sa qualité d’opérateur « de terminaison », elle n’est pas tenue d’authentifier les appels reçus par M. [F] mais uniquement de les acheminer, de sorte qu’elle n’est pas tenue d’interrompre l’acheminement de l’appel qui a été certifié par l’opérateur « d’émission ».

— Dans tous les cas, elle n’est tenue en la matière qu’à une obligation de moyens qu’elle a exécutée.

Elle précise sur ce point que si l’opérateur d’origine authentifie l’appel, l’opérateur d’arrivée qui transmet l’appel au client final est assuré a priori de l’authenticité du numéro et doit transmettre l’appel, ne pouvant pas savoir que le numéro d’émission est potentiellement un appel frauduleux.

— Le caractère non déterminant du spoofing exclut l’existence d’un lien de causalité, alors que les informations que M. [F] a communiquées lors de l’achat de la carte de réduction SNCF ont été déterminantes dans la réalisation de la fraude, mettant en confiance le client.

— A titre subsidiaire, les manquements de la BNP PARIBAS justifient le rejet de l’appel en garantie.

La société ORANGE estime que la banque a commis des fautes, au titre de son devoir de vigilance qui s’applique en l’espèce alors qu’elle ne recherche pas sa responsabilité au titre d’opérations de paiement non autorisées.

Elle rappelle que la banque n’a donné aucune suite à l’alerte transmise par son client le 7 octobre 2023, lorsqu’il a réalisé qu’il avait été victime d’un hameçonnage, qu’elle n’a pas non plus réagi au fait que des connexions depuis plusieurs adresses IP autres que celle de M. [F] sont intervenues sur l’espace bancaire en ligne le 10 octobre 2023 et les jours suivants.

Elle ajoute que la banque reconnaît que son système de sécurité a été défaillant.

Ceci étant exposé.

Dans sa plainte, M. [F] mentionne comme numéro de portable sur lequel il a été appelé le [XXXXXXXX03], ce qui est confirmé par les traces informatiques de la banque qui mentionnent ce numéro lors du désenrôlement de la clé digitale.

Il est précisé en procédure que depuis le 23 octobre 2023, soit postérieurement à la fraude, le portable du demandeur est le [XXXXXXXX04].

Au vu de l’attestation produite par M. [F] en pièce n° 12, la ligne 06 74 83 64 99 lui avait été attribuée alors qu’il travaillait pour la société ROCKWELL AUTOMATION, du 15 juillet 2015 au 15 janvier 2025.

Il peut par conséquent être considéré que le client a été contacté, lors de la fraude, sur une ligne de téléphone portable mise à sa disposition par son employeur de l’époque.

La société ORANGE conteste que le 06 74 83 64 99 soit une ligne téléphonique qu’elle gérait. Elle produit aux débats une pièce n° 2, mentionnant que ce numéro ne correspond pas à un client mobile ORANGE, pas plus qu’à un contrat signé avec ORANGE et résilié.

M. [F] n’apporte aucun élément sur ce point.

Dans tous les cas, la charge de la preuve que ce numéro correspond à une ligne ORANGE repose sur la banque, en ce qu’elle a appelé en garantie l’opérateur téléphonique.

Or, la banque se contente à cet égard de renvoyer à sa pièce n° 32, soit un courriel officiel de l’avocat de M. [F], qui indique à l’avocat de la banque que le 06 74 83 64 99 est un numéro professionnel d’ORANGE mais sans en justifier.

Il n’est donc pas établi que la ligne utilisée par M. [F] lors de la fraude était une ligne gérée par ORANGE.

Décision du 26 Mai 2026

9ème chambre 2ème section

N° RG 24/08011 – N° Portalis 352J-W-B7I-C46JR

Au surplus et dans tous les cas, il n’a pas été précédemment retenu que M. [F] avait été victime d’un « spoofing » pouvant justifier l’appel en garantie formé par la banque.

En effet, ce n’est que postérieurement à l’appel du fraudeur que le demandeur a eu la certitude d’avoir été appelé par le service « conciergerie » de sa banque, ce qui exclut que ce numéro ait été préalablement enregistré par M. [F] sur son portable.

La banque sera par conséquent déboutée de son appel en garantie.

Sur les autres demandes :

Au titre des frais exposés et non compris dans les dépens, la BNP PARIBAS sera condamnée à payer à M. [F] la somme de 3 000 euros et à la société ORANGE celle de 1 500 euros.

Aucune considération ne justifie d’écarter l’exécution provisoire de droit.

PAR CES MOTIFS

Le tribunal, statuant publiquement par jugement contradictoire, en premier ressort et par mise à disposition au greffe,

CONDAMNE la SA BNP PARIBAS à payer à M. [R] [F] la somme de 27 000 euros au titre des trois opérations de paiement non autorisées des 10, 11 et 12 octobre 2023, avec intérêts au taux légal à compter du 21 juin 2024 ;

DÉBOUTE M. [R] [F] de sa demande de dommages-intérêts au titre du préjudice moral ;

DÉBOUTE la SA BNP PARIBAS de son appel en garantie formée à l’encontre de la SA ORANGE ;

CONDAMNE la SA BNP PARIBAS aux dépens, ainsi qu’à payer, en application de l’article 700 du code de procédure civile, à M. [R] [F] la somme de 3 000 euros et à la SA ORANGE la somme de 1 500 euros.

Fait et jugé à [Localité 1] le 26 Mai 2026.

La Greffière Le Président

Décisions similaires

Citées dans les mêmes commentaires3

  • Médecin du travail ·
  • Avis motivé ·
  • Maladie professionnelle ·
  • Adresses ·
  • Comités ·
  • Lien ·
  • Stress ·
  • Date ·
  • Tribunal judiciaire ·
  • Courrier
  • Hospitalisation ·
  • Santé publique ·
  • Centre hospitalier ·
  • Tribunal judiciaire ·
  • Trouble ·
  • Ministère public ·
  • Certificat médical ·
  • Sûretés ·
  • Certificat ·
  • Avis
  • Concept ·
  • Habitat ·
  • Tribunal judiciaire ·
  • Sociétés ·
  • Exécution ·
  • Liquidation ·
  • Juge des référés ·
  • Sous astreinte ·
  • Obligation ·
  • Référé

Citant les mêmes articles de loi3

  • Droit d'asile ·
  • Séjour des étrangers ·
  • Tribunal judiciaire ·
  • Prolongation ·
  • Adresses ·
  • Personnes ·
  • Liberté ·
  • Détention ·
  • Visioconférence ·
  • Télécommunication
  • Tribunal judiciaire ·
  • Accident du travail ·
  • Incapacité ·
  • État antérieur ·
  • Barème ·
  • Comparution ·
  • Expertise ·
  • Courriel ·
  • Jugement ·
  • Adresses
  • Copropriété : droits et obligations des copropriétaires ·
  • Demande en paiement des charges ou des contributions ·
  • Biens - propriété littéraire et artistique ·
  • Syndicat de copropriétaires ·
  • Copropriété ·
  • Consorts ·
  • Résidence ·
  • Commissaire de justice ·
  • Établissement ·
  • Épouse ·
  • In solidum ·
  • Intérêt ·
  • Lot

De référence sur les mêmes thèmes3

  • Bail ·
  • Loyer ·
  • Commandement de payer ·
  • Expulsion ·
  • Résiliation ·
  • Indemnité d 'occupation ·
  • Paiement ·
  • Tribunal judiciaire ·
  • Délai ·
  • Locataire
  • Loyer ·
  • Code de commerce ·
  • Bail commercial ·
  • Facteurs locaux ·
  • Renouvellement ·
  • Bail renouvele ·
  • Congé ·
  • Modification ·
  • Révision ·
  • Demande
  • Tribunal judiciaire ·
  • Adresses ·
  • Rétractation ·
  • Lettonie ·
  • Motif légitime ·
  • Caducité ·
  • Citation ·
  • Père ·
  • Avocat ·
  • Comparution

Sur les mêmes thèmes3

  • Nationalité française ·
  • Acte ·
  • Révocation ·
  • Clôture ·
  • Maroc ·
  • Etat civil ·
  • Ministère ·
  • Électronique ·
  • Ordonnance ·
  • Copie
  • Délais ·
  • Adresses ·
  • Exécution ·
  • Habitation ·
  • Logement ·
  • Juge ·
  • Bail ·
  • Loyer ·
  • Résiliation du contrat ·
  • Tribunal judiciaire
  • Contrat tendant à la réalisation de travaux de construction ·
  • Contrats ·
  • Assureur ·
  • Responsabilité civile ·
  • Tribunal judiciaire ·
  • Expertise ·
  • Commissaire de justice ·
  • Adresses ·
  • Assurances ·
  • Mutuelle ·
  • Intervention ·
  • Commune

Textes cités dans la décision

  1. DSP I - Directive 2007/64/CE du 13 novembre 2007 concernant les services de paiement dans le marché intérieur
  2. Code de la consommation
  3. Code de procédure civile
  4. Code des postes et des communications électroniques
  5. Code monétaire et financier
Extraits similaires à la sélection

Aucune décision de référence ou d'espèce avec un extrait similaire.

Inscrivez-vous gratuitement pour imprimer votre décision
Tribunal Judiciaire de Paris, 9e chambre 2e section, 26 mai 2026, n° 24/08011
  1. Doctrine
  2. Décisions de justice
  3. 2026
  4. TJ Paris, 9e ch. 2e sect., 26 mai 2026, n° 24/08011
Contactez notre service commercial au 01 84 80 33 48