Tribunal Judiciaire de Paris, 9e chambre 2e section, 11 février 2026, n° 24/10897

Autour de la décision
- Arguments
  Nouveau
- Doctrine IA
- Commentaires
  0

Texte intégral
- Introduction
- Parties
- Composition de la Cour
- Débats
- Faits
- Motifs de la décision
- Motifs de la décision
- 1.1 – Sur les paiements des 19 et 20 novembre 2023
- 1.2 – Sur les opérations du 27 au 29 novembre 2023
- 2 – Sur la demande de dommages-intérêts
- 3 – Sur les autres demandes
- 3.1 – Sur les frais du procès
- 3.2 – Sur l'exécution provisoire
- Dispositif

Décisions similaires
- Citées dans les mêmes commentaires
- Citant les mêmes articles de loi
- De référence sur les mêmes thèmes
- Sur les mêmes thèmes

TJ Paris 11 février 2026

Arguments

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Signaler une erreur.

Accepté
Responsabilité contractuelle de la banque
La cour a jugé que la banque n'a pas démontré avoir mis en œuvre des dispositifs de sécurité appropriés pour éviter la fraude.
Rejeté
Préjudice moral subi
La cour a estimé que le préjudice moral n'était pas caractérisé et n'a pas été prouvé distinctement de la perte financière.
Accepté
Dépens et frais irrépétibles
La cour a condamné la banque aux dépens et a accordé une somme pour les frais irrépétibles.

Résumé par Doctrine IA

Dans cette décision, Madame [T] [A], divorcée [C], a assigné la Société Générale pour obtenir réparation d'un préjudice matériel de 20.895,95 € et d'un préjudice moral de 10.000 € suite à des opérations frauduleuses sur son compte bancaire. Les questions juridiques posées concernent la responsabilité de la banque en matière d'opérations non autorisées et la négligence de la demanderesse. Le tribunal a condamné la Société Générale à rembourser 125,95 € pour des paiements non autorisés, tout en déboutant Madame [C] de ses autres demandes, considérant qu'elle avait commis une négligence grave en remettant sa carte à un inconnu et en divulguant son code confidentiel. La banque a également été condamnée aux dépens et à verser 2.000 € à Madame [C] au titre de l'article 700 du Code de procédure civile.

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Commentaire • 0

Augmentez la visibilité de votre blog juridique : vos commentaires d’arrêts peuvent très simplement apparaitre sur toutes les décisions concernées.

Sur la décision

Référence :	TJ Paris, 9e ch. 2e sect., 11 févr. 2026, n° 24/10897
Numéro(s) :	24/10897
Importance :	Inédit
Dispositif :	Fait droit à une partie des demandes du ou des demandeurs sans accorder de délais d'exécution au défendeur
Date de dernière mise à jour :	20 février 2026
Lire la décision sur le site de la juridiction

Sur les parties

Avocat(s) :	Alexandre PARASTATIDISCaroline GOLDBERGDenis-Clotaire LAURENT
Cabinet(s) :	TARDIEU GALTIER LAURENT ET ASSOCIES
Parties :	S.A. SOCIETE GENERALE

Texte intégral

TRIBUNAL

JUDICIAIRE

DE PARIS [1]

[1]

Expéditions

délivrées le:

M^e GOLDBERG

M^e LAURENT

■

9ème chambre 2ème section

N° RG 24/10897 – N° Portalis 352J-W-B7I-C5KPX

N° MINUTE :

Assignation du :

11 Juillet 2024

JUGEMENT

rendu le 11 Février 2026

DEMANDERESSE

Madame [T] [A], divorcée [C]

[Adresse 1]

[Localité 1]

représentée par Maître Caroline GOLDBERG, avocat au barreau de PARIS, vestiaire #D0369

DÉFENDERESSE

S.A. SOCIETE GENERALE

[Adresse 2]

[Localité 2]

représentée par Maître Denis-Clotaire LAURENT de l’AARPI TARDIEU GALTIER LAURENT DARMON associés, avocats au barreau de PARIS, vestiaire #R0010

Décision du 11 Février 2026

9ème chambre 2ème section

N° RG 24/10897 – N° Portalis 352J-W-B7I-C5KPX

COMPOSITION DU TRIBUNAL

Gilles MALFRE, 1er Vice-Président adjoint

Augustin BOUJEKA, Vice-Président

Alexandre PARASTATIDIS, Juge

assistés de Diane FARIN, Greffière.

DÉBATS

A l’audience du 10 décembre 2025 tenue en audience publique devant Alexandre PARASTATIDIS, juge rapporteur, qui, sans opposition des avocats, a tenu seul l’audience, et, après avoir entendu les conseils des parties, en a rendu compte au Tribunal, conformément aux dispositions de l’article 805 du Code de Procédure Civile. Avis a été donné aux avocats que la décision serait rendue le 11 février 2026.

JUGEMENT

Rendu publiquement par mise à disposition au greffe

Contradictoire

En premier ressort

FAITS ET PROCEDURE

Mme [T] [A], divorcée [C], est titulaire d’un compte bancaire n° [XXXXXXXXXX01] ouvert dans les livres de la SA Société générale, auquel est liée une carte bancaire « Visa Premier », et dispose d’un service de banque à distance doté d’un outil d’authentification forte, le « Pass Sécurité », permettant de gérer son compte via le site internet ou l’application mobile de la banque.

Le 5 décembre 2023, elle a déposé auprès des services de la gendarmerie nationale de [Localité 3] une plainte, consécutive à un signalement par internet en date du 30 novembre 2023, du chef d’escroquerie et vol de sa carte bancaire dans laquelle elle exposait les faits suivants :

«  Lundi 27 novembre 2023. de 15 heures 26 à 15 heures 27 je reçois trois appels successifs du [XXXXXXXX01] aux quels je ne réponds pas suivi d’un SMS à 15 heures 30 "Bonjour madame [C] vous venez d’avoir été appelée à trois reprises par le Centre d’Opposition de la Société Générale. Sans réponse de votre part je vous inviterai à me rappeler à ce même numéro dès que possible pour que nous puissions vous expliquer la situation. Cordialement. [R] [P] Centre d’Opposition SG". Je l’ai appelé sur le numéro ci-dessus il m’indique qu’un achat a été fait au Maroc pour 6000 euros environ, me demandant si j’en suis à l’origine. Puis m’indique que c’est un achat chez [N] [M]. M’informe que je dois rester en ligne, les assurances ayant mis en place un protocole à suivre. J’émets des doutes et contrôle le numéro ci-dessus qui est le bon. il m’indique alors qu’après enquête Il apparait que la fraude viendrait de l’agence de la Société Générale de [Localité 3] et de madame [S], la gestionnaire de mon compte et me donne le numéro de l’agence [XXXXXXXX02] lorsque je lui dis que c’est une information difficile à croire. Il m’indique que le commissariat de [Localité 3] est au courant de cette tentative de fraude. La conversation est coupée, Il rappelle avec le numéro [XXXXXXXX03], qui est son numéro de portable. il dit qu’un filtre fraude a été installé sur ma carte et me conseille d’appeler le service carte au [XXXXXXXX04] Ce que je fais, le service me confirme l’installation du filtre, il m’indique alors que la fraude est suivie par la Société Générale à [Localité 4] qui a besoin de récupérer ma carte. Il envoie un coursier. Mardi 28 novembre, il m’indique que les recherches sont en cours et me suggère de rappeler le service carte pour lever le filtre fraude, ce que je ne fais pas. Mercredi 29 novembre je fais opposition à ma carte au service [XXXXXXXX01] qui me confirme que j’ai affaire à un fraudeur et m’indique la procédure à suivre. J’ai rempli le formulaire de réclamation et contesté les opérations concernées dont le montant s’élevait å cette date à 15 895.95 euros. Je préviens madame [S] de cette fraude dans laquelle son nom a été cité ainsi que les numéros de téléphone de la Société Générale utilisés par le fraudeur.

Mon compte ayant été bloqué par la Société Générale je suis passée samedi 2 décembre matin à la Société Générale de [Localité 3] prendre un nouveau numéro de code secret pour accéder à mes comptes. En rentrant chez moi, la nouvelle carte terminant par 4760 était dans la boîte aux lettres. Accédant à mes comptes, je constate que des retraits supplémentaires ont été effectués le 28/11/2023 à 00 heure 02 pour 200 euros, le 29/11/2023 à 10 heures 42 pour 2000 euros à 10 heures 43 pour 2000 euros également et à 10 heures 44 pour 800 euros soit un total de 5000 euros qu’il faut rajouter au 15 895,95 euros. "

Mme [C] faisait ainsi état d’un préjudice total de 20.895,95 euros.

Sur questions de l’enquêteur, elle précisait être restée au téléphone avec le fraudeur presque cinq heures, lequel lui avait demandé de désinstaller l’application de son portable, et ne pas avoir modifié le plafond de retrait, ou effectué ou validé toute autre opération sur son compte, ni lui avoir communiqué des codes de connexion. Elle ajoutait ne pas avoir découpé sa carte avant de la remettre au coursier.

Enfin, elle indiquait avoir rempli ses informations bancaires suite à la réception le 10 novembre 2023 d’un SMS du [XXXXXXXX05] contenant un lien internet la dirigeant vers un site « dhl-expresstrack.com » sur lequel elle avait été invitée à payer des droits de douane, précisant que cette demande ne lui a pas paru suspecte dans la mesure où, à cette époque, elle avait passé une commande sur un site anglais. Elle ajoutait avoir constaté huit achats les 19 et 20 novembre 2023 chez " mcdo [Adresse 3], [Localité 5] " pour des sommes pouvant représenter un repas.

Après avoir procédé au remboursement des sommes litigieuses, suite à la contestation formulée par Mme [C], la Société générale a revu sa position et débité du compte de sa cliente lesdites sommes.

Les échanges précontentieux n’ont pas abouti à une solution amiable du litige.

C’est dans ce contexte que, par exploit de commissaire de justice du 11 juillet 2024, Mme [C] a fait assigner la Société générale en recherche de sa responsabilité devant le tribunal judiciaire de Paris.

Aux termes de ses dernières conclusions signifiées le 30 mai 2025, aux visas des articles 1217, 1231 du code civil et L.133-18, L.133-23 à L.133-24 du code monétaire et financier, et du Règlement (UE) 2016/679, il est demandé de :

«  DIRE ET JUGER Madame [T] [A], divorcée [C], recevable et bien fondée en ses demandes,

Et y faisant droit,

CONDAMNER la SG SOCIETE GENERALE à payer à Madame [T] [A], divorcée [C], la somme de 20.895,95 € (somme à parfaire) au titre de la réparation du préjudice matériel subi par cette dernière du fait de la responsabilité contractuelle de la SG Société Générale,

CONDAMNER la SG SOCIETE GENERALE à payer à Madame [T] [A], divorcée [C], la somme de 10.000 € au titre de la réparation du préjudice moral subi par cette dernière du fait de la responsabilité contractuelle de la SG Société Générale,

En tout état de cause,

CONDAMNER la SG SOCIETE GENERALE à supporter les entiers dépens de l’instance et à payer à Madame [T] [A], divorcée [C], la somme de 7.000, € au titre des frais irrépétibles sur le fondement de l’article 700 du Code de procédure civile. "

Par dernières conclusions signifiées le 9 octobre 2025, aux visas des articles L.133-18 et suivants du code monétaire et financier, et 514-1, 514-5, 699 et 700 du code de procédure civile, la Société générale demande au tribunal de :

«  DEBOUTER Madame [T] [A], divorcée [C] de l’intégralité de ses demandes ;

CONDAMNER Madame [T] [A], divorcée [C] au paiement d’une somme de 5.000 € au titre de l’article 700 du Code de procédure civile ;

CONDAMNER Madame [T] [A], divorcée [C] à supporter l’intégralité des dépens.

En toute hypothèse,

ECARTER l’exécution provisoire de la décision à intervenir ou subsidiairement, la subordonner à la constitution par Madame [T] [A], divorcée [C] d’une garantie émanant d’un établissement bancaire de premier ordre et d’un montant suffisant pour répondre de toutes restitutions dues en cas d’infirmation du jugement."

Conformément aux dispositions de l’article 455 du code de procédure civile, il est renvoyé aux dernières écritures des parties pour l’exposé des moyens et arguments venant au soutien de leurs demandes.

La clôture de l’instruction a été prononcée le 19 novembre 2025. L’affaire a été évoquée à l’audience de plaidoiries tenue en juge rapporteur du 10 décembre 2025 et mise en délibéré au 11 février 2026.

MOTIFS DE LA DÉCISION

1 – Sur la demande de remboursement

En réponse à la présentation des faits ressortant des écritures de la Société générale, Mme [C] entend tout d’abord apporter les précisions suivantes :

— Seules les manœuvres frauduleuses du 27 novembre 2023 sont en rapport avec les réclamations formulées dans la présente instance, raison pour laquelle elle n’a plus évoqué le SMS « DHL » reçu le 10 novembre 2023 et mentionné dans sa plainte seulement à titre indicatif sans pour autant le relier à l’escroquerie qu’elle dénonce ; elle ajoute que ce SMS, dont la banque ne démontre pas qu’il s’agirait d’une opération de phishing, ne saurait constituer un signe d’alerte à première vue dès lors qu’elle a été livrée de sa commande le 13 novembre 2023 par un transporteur international, ce dont elle justifie par la production de la facture de sa commande. Elle soutient ainsi que la banque ne saurait se servir de ce moyen pour tenter de renverser la charge de la preuve et se soustraire à son obligation de démontrer l’absence de défaillance technique de son système ni la façon dont les fraudeurs ont eu connaissance de ses données personnelles ;

— Elle fait également grief à la banque d’extrapoler des conséquences de faits anodins, alors qu’il n’y a rien d’anormal pour un client de ne pas connaître le numéro de son conseiller ou d’être mis en confiance par une personne qui connaît des informations sensibles, et ce à une période antérieure aux campagnes de sensibilisation des autorités publiques et des banques auprès des utilisateurs de services de paiement, précisant que celles relatives à la fraude aux « faux conseillers » ou « faux coursiers » n’ont commencé au plus tôt qu’à compter du début de l’année 2024 ;

— Elle soutient que son cas est similaire à celui ayant donné lieu à un arrêt de la chambre commerciale de la Cour de cassation le 23 octobre 2024 (n° pourvoi 23-16.267) écartant la négligence grave invoquée par une banque à l’encontre d’un client victime de spoofing.

Invoquant les dispositions des articles 1217 et 1231 et suivants du code civil, Mme [C] entend rechercher la responsabilité de droit commun de la Société générale, à laquelle elle reproche deux types de fautes.

Elle soutient tout d’abord que la banque a manqué aux obligations mises à sa charge par le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, dit Règlement Général de Protection des Données (ci-après le « RGPD »), les fraudeurs ayant eu connaissance d’informations sensibles la concernant extraites des fichiers de la banque, laquelle ne peut se dédouaner de toute responsabilité en se contentant d’arguer que le fraudeur était extérieur à ses services et sans rapporter la preuve des systèmes de sécurité mis en place pour éviter les fuites de données.

Elle fait valoir ensuite que la défenderesse a également manqué à son obligation contractuelle de résultat de conservation des fonds déposés dans le cadre d’un contrat de dépôt, laquelle a pour corollaire, en application des articles L.133-18 et suivants du code monétaire et financier, l’obligation pour la banque de rembourser au payeur le montant de l’opération non autorisée immédiatement après avoir pris connaissance de l’opération ou après en avoir été informée, condition dont il n’est pas discuté qu’elle a été remplie, puisque la Société générale a procédé, dans un premier temps, à ce remboursement.

Mme [C] conclut, en conséquence, à la responsabilité de la défenderesse à laquelle elle réclame la réparation de son entier dommage matériel qu’elle évalue à la somme de 20.895,95 euros et celle de 10.000 euros pour son préjudice moral, ce dernier résultant de la détresse ressentie face à l’attitude de la banque qui a rompu leur relation de confiance.

En réplique, la Société générale expose que les opérations de paiement litigieuses s’inscrivent dans le cadre d’une fraude commise sur une période de 19 jours, au moyen de plusieurs procédés frauduleux, outre le concours de Mme [C], dont elle ne conteste pas le caractère involontaire, qui sont les suivants :

— Un phishing le 10 novembre 2023 consistant en la réception d’un faux SMS DHL qui a orienté Mme [C] vers une plateforme en ligne sur laquelle elle a divulgué ses données bancaires ;

— La réalisation de huit opérations de paiement au profit de « MC DONALD’S » les 19 et 20 novembre 2023 pour un montant total de 125,95 euros ;

— La fraude au faux conseiller exposée par la demanderesse du 27 novembre au 29 novembre 2023, consistant en un échange téléphonique de près de cinq heures avec l’escroc concomitant, selon les données télématiques, à la réalisation de différentes actions sur son espace bancaire en ligne, dans le respect de la procédure d’authentification forte et avec notification à la demanderesse à 16h24, de la réattribution du code secret de connexion à l’espace bancaire en ligne, à 18h37 d’une augmentation du plafond de paiement, à 20h09 d’une augmentation du plafond de retrait, et à 20h31 de l’activation d’un nouveau « Pass Sécurité » nommé " [T] [C] ", outre la remise de sa carte à un individu se présentant à son adresse entre 18h et 19h et la désinstallation, toujours à la demande du fraudeur, de son application bancaire de son téléphone portable, la privant ainsi de l’un de ses moyens de contrôle de la situation qui a abouti à la réalisation des huit opérations non autorisées suivantes pour un montant total de 20.770 euros :

— le 27 novembre 2023, trois retraits d’espèces de 2.500 euros, 770 euros et 900 euros ;

— le 27 novembre 2023, un paiement d’un montant de 11.600 euros ;

— le 28 novembre 2023, un retrait d’espèces de 200 euros ;

— le 29 novembre 2023, trois retraits d’espèces de 2.000 euros, 800 euros et 2.000 euros.

La banque fait tout d’abord valoir, en matière d’opérations non autorisées, le caractère exclusif du régime de responsabilité institué par les directives européennes sur les services de paiement (« directives DSP ») et transposées aux articles L.133-1 et suivants du code monétaire et financier et conclut au rejet des demandes fondées sur les dispositions de droit commun.

Elle soutient que les certificats d’authentification et le relevé bancaire démontrent que l’ensemble des opérations litigieuses ont toutes fait l’objet d’une authentification du payeur, et ont été correctement enregistrées et comptabilisées par ses services, cette preuve positive du bon déroulement des opérations permettant de déduire l’absence de déficience technique, conformément à une décision de la Cour de cassation du 30 avril 2025 (n° pourvoi 24-13.663).

Elle affirme par ailleurs que la demanderesse ne démontre pas avoir subi un spoofing, faute de pouvoir identifier les appels entrants et sortants sur la copie d’écran de son téléphone, et donc d’une situation lui permettant de se prévaloir de l’arrêt de la Cour de cassation du 23 octobre 2024 rendu dans le cas d’une escroquerie par spoofing téléphonique, qui en tout état de cause, ne pose pas une solution de principe et doit s’examiner à l’aune des circonstances particulières que sont la date des faits (2019) et l’absence de remise de sa carte bancaire par la victime, contrairement à la demanderesse.

Elle estime par ailleurs que la négligence grave de Mme [C] est établie au regard du faisceau d’indices que caractérisent :

— Son absence de réaction pendant les 17 jours suivant le phishing dont elle a été victime et qui a constitué l’étape préparatoire à la fraude, et les 7 jours suivant le premier paiement frauduleux ;

— Son absence de réaction à la réception de plusieurs SMS sur trois jours du prétendu service fraude de la Société générale, procédé qui n’est à l’évidence utilisé par aucune banque et, a fortiori, par un service fraude, expliquant qu’au surplus Mme [C] aurait dû rappeler son conseiller en composant le numéro de sa banque et non en utilisant la touche rappel de son téléphone qui l’a dirigée automatiquement vers la ligne du fraudeur ;

— Son absence de réaction, d’une part, à l’incohérence des propos de son interlocuteur sur l’existence d’une fraude en cours dont l’auteur, en la personne de sa conseillère bancaire, aurait déjà été identifiée par les services de police saisis dans le même temps et, d’autre part, à la coupure téléphonique et à son rappel via, cette fois, d’une ligne de téléphone portable ;

— La remise de sa carte bancaire à un coursier et la divulgation de son code, celle-ci étant reconnue par la demanderesse dans le formulaire de contestation sur lequel elle a coché la case « oui » à la proposition « Le code secret de ma carte est susceptible d’avoir été volé en même temps que ma carte » ;

— La nécessaire transmission de données confidentielles au fraudeur au cours des échanges téléphoniques qui ont duré près de cinq heures concomitamment aux actions réalisées sur son espace bancaire en ligne au moyen de la procédure d’authentification forte qui a généré la notification à la demanderesse des événements suivants :

— à 16h24, la réattribution du code secret de connexion à l’espace bancaire en ligne ;

— à 18h37, une augmentation du plafond de paiement ;

— à 20h09, une augmentation du plafond de retrait ;

— à 20h31, l’activation d’un nouveau Pass Sécurité nommé " [T] [C] » ;

— Le contexte de prévention précédant la fraude, précisant que depuis plusieurs années, la Société générale diffuse des messages de prévention contre la fraude bancaire auprès de sa clientèle, et plus particulièrement quant à la pratique de la fraude au « coursier » depuis février 2021.

Elle affirme en conséquence, qu’en application des articles L.133-18 et suivants du même code, Mme [C] doit être privée de son droit à remboursement au regard de la négligence grave qu’elle a commise, précisant qu’aucun partage de responsabilité sur le fondement du droit commun n’est possible lorsque le litige se situe sur le régime exclusif des opérations non autorisées.

Enfin, sur la prétendue violation de la confidentialité des données personnelles et des moyens de télécommunication, la banque affirme démontrer l’absence de toute déficience technique de son système ainsi que les circonstances dans lesquelles Mme [C] a divulgué elle-même ses données bancaires, rappelant de nouveau le caractère inopérant de ce moyen en raison du caractère exclusif de régime de responsabilité posé par le code monétaire et financier.

Elle conclut en conséquence au rejet des demandes.

Enfin, elle demande au tribunal, à titre subsidiaire, d’écarter l’exécution provisoire qui est incompatible avec la nature de l’affaire et, à titre infiniment subsidiaire, que l’exécution provisoire soit subordonnée à la constitution d’une garantie suffisante pour répondre de toutes restitutions en cas d’infirmation du jugement.

Sur ce,

Une opération de paiement n’est autorisée au sens des articles L.133-3 et L.133-6 du code monétaire et financier que si le payeur l’a initiée et a consenti au montant de l’opération et au bénéficiaire.

En cas d’opération de paiement non autorisée signalée par l’utilisateur dans les délais prévus par l’article L.133-24 du même code, le prestataire de services de paiement du payeur rembourse à ce dernier le montant de l’opération non autorisée, sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement.

Dans cette hypothèse, il incombe au prestataire de paiement de prouver que l’opération litigieuse a été effectuée après une authentification forte, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre, l’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement, à savoir l’utilisation des identifiants du client et l’absence de déficience technique ou autre, notamment par le biais de la production d’un relevé de ses connexions, ne suffisant pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur.

Par ailleurs, la responsabilité du payeur n’est pas engagée si l’opération de paiement non autorisée a été effectuée en détournant, à son insu, l’instrument de paiement ou les données qui lui sont liées. Cependant, il supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’agissements frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L.133-16 et L.133-17 du code précité.

Ainsi, pour échapper au remboursement de l’opération, le prestataire de services de paiement doit démontrer, soit que l’ordre émanait bel et bien du client dûment authentifié dans son espace personnel, soit que le vol des identifiants de connexion (ou d’autres données) n’est que la conséquence d’une faute grave de sa part consistant à ne pas avoir satisfait intentionnellement aux obligations lui incombant en la matière ou à les avoir gravement négligées.

Enfin, dès lors que la responsabilité d’un prestataire de services de paiement est recherchée en raison d’une opération de paiement non autorisée ou mal exécutée, seul est applicable le régime de responsabilité défini aux articles L.133-18 à L.133-24 du code monétaire et financier qui transposent les articles 58, 59 et 60, § 1, de la directive 2007/64/CE, tout autre régime alternatif de responsabilité résultant du droit national devant être écarté.

1.1 – Sur les paiements des 19 et 20 novembre 2023

En l’espèce, s’agissant de la demande de remboursement de la somme de 125,95 euros correspondant aux huit paiements effectués les 19 et 20 novembre 2023 au profit de la société Mc Donald’s dont Mme [C] conteste en être la donneuse d’ordre, le seul document produit par les parties est le relevé de compte pour la période considérée qui fait apparaître à la date du 30 novembre 2023 des « régularisations sur carte » pour des montants compris entre 3,70 et 36,95 euros.

Si Mme [C] indique dans ses écritures que ces opérations sont sans rapport avec ses demandes, le tribunal relève néanmoins que la somme totale sollicitée dans son dispositif intègre la somme de 125,95 euros correspondant à ces opérations et que la demanderesse argumente sur le caractère non autorisé de ces paiements. Le tribunal considère dès lors être saisi de cette prétention.

En l’espèce, La banque, qui ne conteste pas ces paiements, expose en page 16 de ses écritures que « les certificats indiquent que l’authentification du payeur a été réalisée par des méthodes compatibles avec l’absence de la carte physique, à savoir des authentifications manuelles et/ou l’utilisation d’une carte enregistrée ( » Card On File « ). Ces modalités sont caractéristiques des transactions à distance ou sans présentation physiques de la carte ».

Les certificats produits par la banque confirment que les transactions litigieuses ont ainsi été traitées de manière non automatisées et en dehors des standards de sécurité habituels comme l’EMV (la puce), et sans l’utilisation du code PIN.

Or, il résulte du I de l’article L. 133-19 du code monétaire et financier que " En cas d’opération de paiement non autorisée consécutive à la perte ou au vol de l’instrument de paiement, le payeur supporte, avant l’information prévue à l’article L. 133-17, les pertes liées à l’utilisation de cet instrument, dans la limite d’un plafond de 50 €. Toutefois, la responsabilité du payeur n’est pas engagée en cas : – d’opération de paiement non autorisée effectuée sans utilisation des données de sécurité personnalisées ; (…) « et du IV du même article que » – Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17. "

En application de ce texte, pour des paiements par carte bancaire de faibles montants, réalisés sans présentation physique de la carte ni composition du code confidentiel, la banque doit rembourser immédiatement le montant de l’opération non autorisée et ne peut s’exonérer de sa responsabilité que si elle prouve qu’elle a mis en œuvre les dispositifs de sécurité appropriés, ou que le client a manqué à ses obligations de sécurité de manière intentionnelle ou par négligence grave.

La simple utilisation de la carte ou des données de paiement, sans authentification forte, ne suffit pas à établir la responsabilité du client.

Au cas particulier, la banque ne peut pas se contenter de dire que « le paiement a été enregistré » pour refuser le remboursement.

Puisque le certificat indique « saisie manuelle », la banque reconnaît elle-même qu’elle n’a pas utilisé le protocole sécurisé EMV (puce + code) et ne démontre dès lors pas avoir exigé du payeur l’activation de dispositifs de sécurité appropriés.

De plus, la victime de phishing ne peut se voir reprocher une négligence grave au sens de l’article L.133-19 IV du code monétaire et financier en l’absence d’autres éléments caractérisant une imprudence ou un manquement intentionnel à ses obligations de sécurité. En effet, il incombe à la banque de rapporter la preuve de tels éléments qui sont soumis au juge dans le cadre d’une appréciation circonstanciée et objective du comportement du client.

Or, s’il ne peut être exclu que Mme [C] a fait l’objet d’un phishing dans les jours qui ont précédé les paiements, la facture qu’elle produit à l’entête de la société Museum Sélection ne rapportant pas la preuve de la réalité des droits de douanes qu’elle indique avoir acquittés suite à la réception d’un SMS, la banque ne démontre pas pour autant que les opérations litigieuses sont en lien avec les données communiquées par la demanderesse à l’occasion de ce prétendu paiement.

Il résulte de ces éléments que la Société générale, laquelle ne démontre pas avoir recouru à des dispositifs de sécurité appropriés, le fraudeur n’ayant eu qu’à communiquer les données de la carte bancaire sans avoir à fournir le code confidentiel lié à cet instrument de paiement, n’est pas fondée à invoquer une négligence grave de Mme [C] et est, en conséquence, condamnée à rembourser à cette dernière la somme de 125,95 euros.

1.2 – Sur les opérations du 27 au 29 novembre 2023

Il découle des certificats d’authentification produit par la banque que les opérations litigieuses ont consisté en sept retraits dans des distributeurs automatiques de billets et un paiement, au moyen de la présentation physique de la carte, ou du moins de la puce initialement présente sur l’instrument de paiement délivré à Mme [C], associée à la composition du code confidentiel attaché à ce microcircuit.

Ces opérations ont donc été réalisées selon un processus d’authentification puisqu’il a été utilisé deux éléments : la possession de la carte bancaire et la composition du code secret.

Il est donc établi que les opérations frauduleuses ont bien été authentifiées et dûment enregistrées et comptabilisées, et n’étaient pas affectées par une déficience technique.

Cependant, il ne peut se déduire du seul fait que l’instrument de paiement et/ou les données personnelles qui lui sont liées ont été effectivement utilisés qu’en l’espèce, Mme [C] a autorisé les opérations contestées.

En l’espèce, la banque ne conteste d’ailleurs pas la qualité de victime de la demanderesse ni le caractère non autorisé des huit opérations dès lors qu’elle discute seulement le droit au remboursement de Mme [C] en tentant de démontrer la négligence grave de cette dernière.

Le paiement et les retraits litigieux doivent dès lors être qualifiés d’opérations non autorisées au sens des articles L.133-3 et L.133-6 du code monétaire et financier, lesquelles sont soumises au régime exclusif de responsabilité des articles L.133-18 est suivants du code monétaire et financier qui exclut la recherche de la responsabilité de la banque sur le fondement d’une violation de la confidentialité des données personnelles et des moyens de télécommunication et/ou de l’obligation de conservation des fonds découlant du contrat de dépôt.

Il convient dès lors de rechercher si la demanderesse peut se voir reprocher une négligence grave au sens des articles L.133-16 et suivants du code précité faisant obstacle à son droit à remboursement.

Au cas particulier, il est acquis aux débats que Mme [C] a remis sa carte bancaire à un inconnu sur instruction du fraudeur.

S’agissant de l’utilisation du code confidentiel associé à la carte, Mme [C] ne la conteste pas mais soutient seulement ne pas être à l’origine de la divulgation de cette donnée de sécurité personnelle.

La banque soutient que la fuite alléguée ne lui est pas imputable et qu’il ressort des traces informatiques que diverses opérations préparatoires à ces paiements et retraits frauduleux, initiées depuis l’espace en ligne de Madame [C] et validées par authentification forte le 27 novembre 2023, à savoir la réattribution du code secret de connexion à l’espace bancaire en ligne de Mme [C] (16h24), une augmentation du plafond de paiement (18h37), une augmentation du plafond de retrait (20h09), et l’activation d’un nouveau Pass Sécurité nommé " [T] [C] " (20h31) avec l’envoi d’une notification pour l’informer de l’activation du Pass Sécurité, d’une part, sur le numéro de téléphone enregistré sur son contrat par SMS et, d’autre part, sur son espace client, permettent de déduire que la demanderesse est à l’origine de cette divulgation.

Tout d’abord, le tribunal observe que les traces informatiques concernant l’activité sur l’espace en ligne de Mme [C] ne sont pas versées aux débats, la défenderesse se contentant de reproduire seulement des extraits dans le corps de ses écritures dont la valeur probante n’est que relative.

La juridiction relève cependant que Mme [C] reconnaît avoir été en conversation téléphonique pendant près de cinq heures avec le fraudeur et ne discute pas la concomitance de cette plage horaire avec celle des opérations relevées ci-dessus, ni le caractère authentique de celles-ci, contestant seulement être à l’origine de ces manipulations. Or, la durée d’une telle relation téléphonique ne peut s’expliquer que par la nécessité pour le fraudeur d’obtenir de la victime sa participation aux manipulations effectuées depuis son espace en ligne et ainsi au processus d’authentification de ces différentes opérations qui ont entouré la remise de la carte, laquelle se serait avérée inutile si le fraudeur n’avait pas obtenu dans le même temps le code confidentiel associé à cet instrument de paiement, soit directement auprès de la victime, soit indirectement, par la consultation de celui-ci sur l’espace en ligne auquel il a pu accéder en trompant la demanderesse.

De plus, il est exact que Mme [C] a répondu par l’affirmative dans le formulaire de contestation à la question portant sur la possibilité que son code confidentiel ait été volé « en même temps » que sa carte, précisant à la question suivante la raison de sa réponse en indiquant « arnaque suite à paiement en ligne ». Il ressort de ses réponses que la demanderesse liait directement le vol du code à l’appel frauduleux.

Il résulte de ces éléments que la preuve est rapportée que Mme [C] a participé, de manière même involontaire, aux opérations décrites ci-dessus qui ont permis au fraudeur de prendre connaissance du code confidentiel associé à sa carte bancaire.

Enfin, si Mme [C] rapporte la preuve, par la production d’une copie d’écran de son journal d’appel, avoir été à de multiples reprises en communication téléphonique avec le n° 3969397777, dont il n’est pas contesté qu’il correspond à un service de la Société générale, elle ne saurait se prévaloir de la solution adoptée par la chambre commerciale de la Cour de cassation dans un arrêt du 23 octobre 2024 (n° pourvoi 23-16.267) en matière de « spoofing » ayant donné lieu à des paiements frauduleux. En effet, les faits du litige soumis à la Cour de cassation avaient notamment trait à l’usurpation du numéro de téléphone d’un conseiller bancaire interlocuteur du client victime, lequel ne s’était volontairement dessaisi d’aucune donnée liée à un instrument de paiement ou à son espace en ligne au bénéfice du tiers auteur de la fraude, et ce à une période bien antérieure aux présents faits à laquelle les banques et autorités publiques n’avaient pas encore développé une campagne d’avertissement à l’attention des utilisateurs sur ce type d’escroquerie.

Au cas particulier, le fait pour Mme [C] de remettre dans de telles circonstances sa carte bancaire, laquelle est le support nécessaire à toute opération de retrait dans un DAB ou de tout paiement auprès d’un commerçant en boutique, à un coursier agissant prétendument pour le compte d’une banque, constitue une négligence grave, aucune banque n’agissant de la sorte, et ce a fortiori en communiquant, même involontairement, le code confidentiel qui lui est associé.

En conséquence, Mme [C] est déboutée de sa demande de remboursement.

2 – Sur la demande de dommages-intérêts

Mme [C] ne rapporte pas la preuve d’un préjudice distinct de la perte financière indemnisée ci-avant.

En conséquence, elle est déboutée de sa demande de dommages-intérêts pour préjudice moral, lequel n’est pas caractérisé.

3 – Sur les autres demandes

3.1 – Sur les frais du procès

La SA Société générale qui succombe partiellement est condamnée aux dépens ainsi qu’à payer à Mme [C] la somme de 2.000 euros au titre de l’article 700 du code de procédure civile.

3.2 – Sur l’exécution provisoire

La présente décision est revêtue de droit de l’exécution provisoire conformément aux dispositions de l’article 514 du code de procédure civile dans sa version applicable en l’espèce, l’instance ayant été introduite postérieurement au 31 décembre 2019.

Au regard du montant accordé à la demanderesse, le risque d’insolvabilité de cette dernière dans l’hypothèse où le présent jugement serait infirmé en cas de recours n’est pas sérieusement caractérisé.

Il n’y a dès lors pas lieu d’écarter l’exécution provisoire de droit.

Les mêmes considérations conduisent à rejeter la demande subsidiaire de voir constituer une garantie de restitution.

PAR CES MOTIFS

Le tribunal, statuant publiquement, contradictoirement et en premier ressort, par mise à disposition au greffe,

CONDAMNE la SA Société générale à rembourser à Mme [T] [A] divorcée [C] la somme de 125,95 euros ;

DEBOUTE les parties de toutes demandes plus amples ou contraires;

CONDAMNE la SA Société Générale aux dépens ;

CONDAMNE la SA Société générale à payer à Mme [T] [A] divorcée [C] la somme de 2.000 euros sur le fondement de l’article 700 du code de procédure civile.

Fait et jugé à Paris le 11 Février 2026

LA GREFFIÈRE LE PRÉSIDENT