TRIBUNAL

JUDICIAIRE

DE [Localité 1] [1]

[1]

Expéditions

délivrées le:

à

M^e MAUNOURY

M^e FOURNIER GILLE

■

9ème chambre 2ème section

N° RG 24/15517 – N° Portalis 352J-W-B7I-C6PWV

N° MINUTE :

Assignation du :

18 Décembre 2024

JUGEMENT

rendu le 27 Mars 2026

DEMANDEUR

Monsieur [M] [U]

[Adresse 1]

[Localité 2]

représenté par Maître Fabienne MAUNOURY, avocat au barreau de PARIS, vestiaire #P0172

DÉFENDERESSE

S.A. SOCIETE GENERALE

[Adresse 2]

[Localité 3]

représentée par Maître Marie-Christine FOURNIER GILLE du PARTNERSHIPS MORGAN LEWIS & BOCKIUS UK LLP, avocats au barreau de PARIS, vestiaire #J0011

Décision du 27 Mars 2026

9ème chambre 2ème section

N° RG 24/15517 – N° Portalis 352J-W-B7I-C6PWV

COMPOSITION DU TRIBUNAL

Gilles MALFRE, 1er Vice-Président adjoint

Augustin BOUJEKA, Vice-Président

Alexandre PARASTATIDIS, Juge

assistés de Diane FARIN, Greffière.

DÉBATS

A l’audience du 23 janvier 2026 tenue en audience publique devant Augustin BOUJEKA, juge rapporteur, qui, sans opposition des avocats, a tenu seul l’audience, et, après avoir entendu les conseils des parties, en a rendu compte au Tribunal, conformément aux dispositions de l’article 805 du Code de Procédure Civile. Avis a été donné aux avocats que la décision serait rendue le 27 mars 2026.

JUGEMENT

Rendu publiquement par mise à disposition au greffe

Contradictoire

En premier ressort

FAITS ET PROCÉDURE

Monsieur [M] [U], exerçant la profession de médecin ophtalmologue, était titulaire d’un compte bancaire ouvert dans les livres de la Société Générale, ce compte servant de support à une carte de paiement émise par l’établissement à son profit.

Le 15 mai 2024, Monsieur [U] a été appelé au téléphone par une personne se disant employée au service sécurité de la Société Générale, qui lui a fait part d’un paiement frauduleux effectué sur son compte.

Cette personne indiquait en outre à Monsieur [U] que pour régler la situation, il lui adressait un code de reconnaissance qu’il devait transmettre à un coursier pour s’assurer de l’identité de celui-ci avant de lui remettre la carte de paiement pour procéder à la résolution de la fraude.

Le soir même, le coursier se présentait au domicile de Monsieur [U] qui lui remettait sa carte de paiement après avoir reçu communication du code de reconnaissance précédemment reçu par SMS.

Monsieur [U] recevait en outre de ce coursier un formulaire récapitulatif de l’opération frauduleuse à communiquer à son agence bancaire.

Le lendemain 16 mai 2024, le même interlocuteur appelait Monsieur [U] par téléphone pour l’inviter à effectuer des virements sur des comptes ouverts à son profit afin de sécuriser ses avoirs.

C’est dans ce contexte que Monsieur [U] effectuait, le même jour, un virement de 9.000 euros, puis un autre de 7.000 euros sur les comptes indiqués par son interlocuteur téléphonique.

Pris d’un doute, Monsieur [U] contactait son agence bancaire par téléphone pour être informé de ce qu’il avait été probablement victime d’une fraude.

Il a alors sollicité l’annulation des deux virements, la Société Générale procédant à un rappel des fonds afférant, la procédure n’ayant été fructueuse que pour le virement de 7.000 euros.

Par la suite, Monsieur [U] a constaté des paiements effectués au moyen de sa carte bancaire, dont la liste suit :

— Le 16 mai 2024 à 10 h 49 : un paiement de 1.052 euros au profit de [A] [T] ;

— Le 16 mai 2024 à 10 h 51 : un paiement de 1.000 euros au profit de [A] [T] ;

— Le 16 mai 2024 à 10 h 53 : un paiement de 900 euros au profit de [A] [T] ;

— Le 16 mai 2024 à 11 h 01 : un retrait de 20 euros au DAB BNP PARIBAS n° 028660 ;

— Le 16 mai 2024 à 11 h 50 : un paiement de 2.718 euros au profit de DBC Store 1 ;

— Le 16 mai 2024 à 11 h 51 : un paiement de 1.359 euros au profit de DBC Store 1 ;

— Le 16 mai 2024 à 13 h 18 : un retrait de 280 euros au DAB BNP PARIBAS n° 028660 ;

— Le 16 mai 2024 à 13 h 21 : un paiement de 526 euros au profit de [A] [T] ;

— Le 16 mai 2024 à 13 h 24 : un paiement de 526 euros au profit de [A] [T] ;

— Le 16 mai 2024 à 13 h 34 : un retrait de 400 euros DAB SOCIETE GENERALE n° 00917401 ;

Soit la somme totale de 8.781 euros, dont il a sollicité le remboursement par la Société Générale, outre le montant du virement de 9.000 euros.

Dans un premier temps, l’établissement bancaire a crédité le montant de la somme sur son compte avant de procéder à une écriture inverse, au motif que son client avait fait montre d’une négligence grave s’agissant des paiements par carte bancaire et autorisé le virement de 9.000 euros.

Monsieur [U] a déposé plainte pour escroquerie le 17 juin 2024, réitérant sa demande de remboursement par lettre recommandée avec accusé de réception de son conseil en date du 23 juillet 2024 pour essuyer un refus formulé par la Société Générale le 31 juillet 2024.

C’est dans ce contexte que par acte du 18 décembre 2024, Monsieur [U] a fait assigner la Société Générale en recherche de la responsabilité de cet établissement et aux termes de ses dernières écritures signifié le 4 novembre 2025, demande à ce tribunal, au visa des articles L 133-18 du code monétaire et financier, 1240 du code civil, 79 et 82 du RGPD, 700 du code de procédure civile, de :

«  – DIRE ET JUGER recevables et fondées les demandes formulées par Monsieur [M] [U],

Y faisant droit,

— CONDAMNER la SOCIETE GENERALE à verser à Monsieur [M] [U] la somme de somme de 17 781 euros assortie des intérêts au taux majoré prévus par l’article L 133-18 du Code monétaire et financier, à savoir :

— le taux légal majoré de 5 points pour les sept premiers jours de retard de la banque dans l’exécution de son obligation de remboursement, soit du 17 mai 2024 au 24 mai 2024,

— le taux légal majoré de 10 points jusqu’au trentième jour de retard, soit du 25 mai 2024 au 16 juin 2024,

— le taux légal majoré de 15 points au-delà du trentième jour de retard, soit depuis le 17 juin 2024.

— ORDONNER la capitalisation des intérêts dans les conditions de l’article 1343-2 du Code civil à compter du 16 mai 2024.

Par ailleurs,

— CONDAMNER la SOCIETE GENERALE à verser à Monsieur [M] [U] la somme de 5 000 euros en réparation du préjudice moral subi par ce dernier,

— CONDAMNER la SOCIETE GENERALE à verser à Monsieur [M] [U] la somme de 5 000 euros sur le fondement de l’article 700 du Code de procédure civile,

— CONDAMNER la SOCIETE GENERALE aux entiers dépens,

— RAPPELER que le jugement à intervenir sera de plein droit assorti de l’exécution provisoire. "

Aux termes de ses dernières écritures signifiées le 19 novembre 2025, la Société Générale demande à ce tribunal de :

«  A titre principal :

CONSTATER que les douze opérations contestées par M. [U] ont été autorisées ;

CONSTATER que les douze opérations contestées par M. [U] ont été authentifiées et validées par le biais d’un système d’authentification forte fourni par la SOCIETE GENERALE et comptabilisées ;

CONSTATER que la somme de 7000 € a été restituée à M. [U];

CONSTATER l’absence de déficience technique du système d’authentification forte utilisé pour la validation des opérations litigieuses ;

CONSTATER la négligence grave de M. [U] ;

En conséquence,

DEBOUTER M. [U] de l’intégralité de ses demandes à toutes fins qu’elles comportent.

En tout état de cause :

ECARTER l’exécution provisoire en faveur de M. [U] ;

LE CONDAMNER à verser à la SOCIETE GENERALE la somme de 3.000 € au titre de l’article 700 du Code de procédure civile ainsi qu’aux entiers dépens. "

La clôture a été prononcée le 21 novembre 2025, l’affaire étant appelée à l’audience du 23 janvier 2026 et mise en délibéré au 27 mars 2026.

Il est fait expressément référence aux pièces du dossier et aux écritures déposées et visées ci-dessus pour un plus ample exposé des faits de la cause et des prétentions des parties conformément aux dispositions de l’article 455 du code de procédure civile.

MOTIFS DE LA DÉCISION

1. Sur les demandes principales

Prenant appui sur les dispositions des articles L.133-18, L.133-19, I et IV, L.133-23, L.133-16 et L.133-17 du code monétaire et financier, Monsieur [U] recherche la responsabilité de la Société Générale alors tenue, selon lui, de rembourser les sommes frauduleusement détournées. Il souligne n’avoir pas commis de négligence grave, se disant victime d’un « spoofing » dans les mêmes circonstances factuelles que celles jugées par la chambre commerciale de la Cour de cassation le 23 octobre 2024 (n°23-16.267). Il estime que ne saurait être assimilé à une négligence grave le fait qu’il a remis, le 15 mai 2024, sa carte bancaire à un tiers porteur d’un code de reconnaissance identique à celui qu’il a reçu précédemment d’un interlocuteur téléphonique affirmant être un employé de la Société Générale, en ce qu’il a été induit en erreur par la connaissance de son numéro de téléphone mobile et de son adresse personnelle par le coursier qui lui a en outre fourni un document récapitulatif à remplir et à remettre à son conseiller bancaire habituel. Il indique n’avoir pas communiqué le code confidentiel de sa carte bancaire, soulignant en outre avoir déposé le document récapitulatif remis par le coursier dès le 16 mai 2024 dans la boîte aux lettres de la Société Générale, sans la moindre réaction de celle-ci. Il considère que par son courrier du 10 juin 2024, la Société Générale reconnaît que les opérations en litige n’ont pas fait l’objet d’une authentification forte. Il affirme que la Société Générale n’apporte par ailleurs aucune preuve de négligence grave, laquelle ne peut lui être reprochée dès lors qu’il a été victime d’escroquerie. Il indique que l’établissement bancaire est particulièrement visé par ce type d’escroquerie, ainsi que le montre l’article produit aux débats. Il insiste sur le fait que la Société Générale concentre son argumentation sur la négligence grave alors qu’elle devrait commencer par établir préalablement la preuve d’une authentification forte des paiements litigieux, ce qu’elle ne fait pas, ce d’autant plus qu’elle ne peut prétendre qu’une opération a été autorisée alors qu’elle a procédé à son remboursement. Il conteste l’argument adverse selon lequel le remboursement ferait suite à un « recall », alors que cette procédure n’est utilisée, en matière de virement, que pour régulariser des virements en double, des virements erronés suite à un problème technique ou des virements frauduleux. Il ajoute que le recall s’effectue sous la responsabilité du banquier émetteur et qu’au cas particulier, la Société Générale, qui ne justifie pas de l’existence d’un doublon ou d’un problème technique, y a procédé pour la seule raison qu’il s’agissait de paiements frauduleux et, partant, nécessairement non autorisés. Il estime que les captures d’écran produites pour prouver l’authentification forte sont peu lisibles, l’adresse IP à partir de laquelle les comptes de tiers ont été ajoutés et qui serait utilisée couramment par le concluant relevant d’une pure fiction, les trois autres adresses IP n’ayant en outre aucun lien avec le concluant. Ceci n’explique pas, selon lui, la raison pour laquelle la Société Générale a remboursé l’un des virements et pas l’autre. Il estime que la Société Générale n’apporte pas la preuve de l’authentification forte des deux virements. Il souligne que la connexion du fraudeur a eu lieu grâce à un VPN, ce qui aurait dû alerter la Société Générale qui s’est montrée fautive en la circonstance. Il considère pareillement comme fautif le fait que la Société Générale n’a pas détecté l’utilisation d’un téléphone non répertorié comme appartenant au concluant pour accéder aux caractéristiques de la carte bancaire comme le plafond. A propos du paiement par carte bancaire, Monsieur [U] se prévaut du point de vue de l’un de ses patients, spécialiste en cybersécurité, pour soutenir que le code confidentiel à quatre chiffres auquel les fraudeurs ont eu directement accès sur son espace en ligne, relève d’une situation non seulement contraire à la directive DSP2 et aux recommandations de l’ACPR, mais encore à l’article 32 du règlement relatif à la protection des données personnelles (RGPD). Il estime dès lors être en droit d’obtenir réparation en application de l’article 32 RGPD.

Monsieur [U] sollicite, au regard de ce qui précède, le paiement de la somme de 17.781 euros correspondant aux paiements détournés, augmentée des intérêts au taux légal majoré dans les conditions de l’article L.133-18 du code monétaire et financier. Il sollicite en outre la condamnation de la Société Générale en réparation de son préjudice moral, la banque ayant fait montre d’une résistance abusive et de mauvaise foi, justifiant l’allocation à son profit de la somme de 5.000 euros.

En réplique, la Société Générale soutient que les opérations en litige ont été autorisées par Monsieur [U], qu’elles ont fait l’objet d’une authentification forte, que Monsieur [U] a commis des négligences graves à l’origine de ses préjudices et que sa responsabilité civile ne saurait en conséquence être engagée.

A propos du caractère autorisé des opérations en litige, elle prend appui sur les dispositions de l’article L.133-7 du code monétaire et financier et des stipulations de l’article 4 des conditions générales « carte » ainsi que de l’article 3 du « Contrat Progeliance net », pour soutenir que Monsieur [U] a donné son consentement aux opérations réalisées le 16 mai 2024, tant de virements que de retraits, tant sur l’espace de paiement en ligne qu’au moyen de la carte de paiement de l’intéressé. Elle souligne que les deux virements en cause ont suivi la procédure d’authentification forte prévue par l’article L.133-17, f, et précisée par les stipulations contractuelles applicables, Monsieur [U] l’ayant mise en œuvre, notamment en ajoutant de nouveaux comptes bénéficiaires à l’aide de trois adresses IP habituellement utilisées par lui. Elle défend la valeur probatoire des traces informatiques qu’elle produit, qui constituent, à tout le moins, un commencement de preuve par écrit au sens des dispositions de l’article 1161 du code civil, corroboré non seulement par les certificats d’authentification forte qu’elle produit, mais encore par la chronologie des faits. Elle considère par ailleurs, en réponse à l’argument adverse selon lequel si les virements avaient été autorisés, ils n’auraient pas été rappelés, que le demandeur opère une confusion entre un remboursement et une annulation faisant suite à une procédure de recall. Elle précise que les virements étaient autorisés, raison pour laquelle elle n’a pas procédé au remboursement dans la mesure où son système avait bien fonctionné, ce qui ne l’a pas empêchée de faire diligence pour un recall sur déclaration de fraude de Monsieur [U], observant ainsi que la somme de 7.000 euros demeurée sur le compte bénéficiaire a pu être rappelée. Elle souligne que le succès d’un recall dépend de la provision encore disponible sur le compte de réception des fonds quand la banque du payeur donne les instructions appropriées, ainsi que l’accord du bénéficiaire. Elle indique encore qu’un recall peut revêtir un caractère conservatoire, ne pouvant jamais être analysé comme la reconnaissance par le prestataire du caractère autorisé d’un paiement.

A propos de l’authentification forte, la Société Générale note qu’il s’est opéré une connexion inhabituelle sur l’espace bancaire de Monsieur [U] le 15 mai 2024 à 20h40, au moyen d’un VPN depuis l’IP 136.244, soulignant, en réponse à l’argument de Monsieur [U] affirmant que la concluante aurait dû en être alertée, que l’usage du VPN est devenu fréquent en France, les autorités et les spécialistes de cybersécurité en recommandant d’ailleurs l’emploi afin d’assurer la protection des connexions. Elle relève l’absence d’échec de connexion comme l’absence d’erreur préalable à cette connexion du 15 mai 2024 ou l’existence de connexions répétées ayant précédé celle effectivement réalisée avec succès. Elle souligne la consultation du code pin de la carte de Monsieur [U] effectué sur l’espace en ligne ce même 15 mai 2024 à 20h59 au moyen d’une connexion avec l’IP [Localité 4] 90.92 habituellement utilisé par Monsieur [U], ce qui est conforme aux stipulations de l’article 19 du contrat « Progeliance net » souscrit par celui-ci, notant encore que le RGPD n’interdit nullement à une personne d’accéder à ses propres données sensibles, l’article 32 du RGPD visant seulement les accès non autorisés et non ceux légitimes initiés par la personne titulaire des données. Elle affirme que Monsieur [U] a reçu sur l’appareil associé à son compte depuis 2021 la notification de la consultation du code pin de sa carte. Elle estime que les dix opérations de retrait ont été effectuées avec ce code confidentiel et les virements régulièrement effectués par Monsieur [U] qui les a autorisés afin, selon lui, de sécuriser ses fonds, de telle sorte qu’il n’y a pas eu de défaillance technique du système. Elle soutient que la preuve d’une telle défaillance est impossible à rapporter dès lors que le système a fonctionné, ajoutant que les traces informatiques produites confirment la relation des faits telle que figurant dans la plainte déposée par Monsieur [U], ce qui prouve l’absence de défaillance technique du système. Elle affirme que la production de traces informatiques comme mode de preuve de l’authentification forte et de l’absence de défaillance technique est désormais admise par la jurisprudence.

La Société Générale soutient par ailleurs que Monsieur [U] a commis une négligence grave excluant tout remboursement à son profit, en prenant appui sur les dispositions de l’article L.133-16 du code monétaire et financier et les stipulations des articles 3.4 et 2 des conditions générales de carte Business Société Générale. Elle rappelle que Monsieur [U] a été appelé par le fraudeur depuis un numéro de téléphone portable dont il est peu probable qu’il ait appartenu à la banque, ce qui aurait dû attirer son attention, l’usage d’un tel numéro de téléphone excluant un « spoofing » en même temps que l’application de la solution retenue par la chambre commerciale de la Cour de cassation dans son arrêt du 23 octobre 2024 (n°23-16.267) dont se prévaut à tort Monsieur [U]. Elle ajoute que Monsieur [U] aurait dû s’étonner d’être appelé par une personne autre que son conseiller bancaire pour l’alerter sur une fraude en cours, ce d’autant plus que le demandeur indique dans ses écritures avoir été victime de fraudes semblables non portées à la connaissance de la concluante. Elle souligne encore que Monsieur [U] aurait dû être alerté par la démarche invraisemblable de son interlocuteur lui demandant de confier sa carte bancaire à un coursier prétendument envoyé par la banque, lequel lui a remis deux documents à remettre à la Société Générale, comportant des mentions plus que surprenant telle l’en-tête de la Direction générale de la concurrence, de la consommation et de la répression des fraudes. Elle affirme que Monsieur [U] a nécessairement remis l’ensemble de ses identifiants et codes confidentiels, sans quoi l’accès à son espace bancaire n’aurait pas eu lieu, ainsi que le prouve la notification du code pin de la carte bancaire du demandeur sur l’appareil enregistré auprès de la banque. Elle estime qu’au regard de tous ces éléments, la négligence grave de Monsieur [U] est démontrée, observant que celui-ci a autorisé en outre les deux virements.

La Société Générale conteste encore la demande subsidiaire de Monsieur [U] en réparation d’un préjudice supplémentaire fondée sur les dispositions de l’article L.133-18 du code monétaire et financier, ainsi que celle d’un préjudice moral, rappelant le caractère exclusif du régime de responsabilité prévu aux articles L.133-18 et suivants du code monétaire et financier.

Sur ce,

En application des dispositions des articles L.133-6, L.133-7, L.133-18, L.133-23, L.133-19, IV, et L.133-16 du code monétaire et financier, une opération de paiement est autorisée si le payeur a donné son consentement à son exécution.

En l’absence d’un tel consentement, l’opération ou la série d’opérations de paiement est réputée non autorisée.

En cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L. 133-24, le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement et s’il communique ces raisons par écrit à la Banque de France.

Lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre.

L’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière.

Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17.

Dès qu’il reçoit un instrument de paiement, l’utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées.

Il utilise l’instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation qui doivent être objectives, non discriminatoires et proportionnées.

Au cas particulier, la Société Générale soutient que les opérations de paiement en litige ont été autorisées alors que Monsieur [U] défend la position contraire.

En l’occurrence, une opération est considérée comme autorisée, au sens des dispositions des articles L.133-6 et L.133-7, si le payeur a consenti non seulement à l’opération elle-même, mais également à son montant et à son bénéficiaire.

Or en ce qui concerne les opérations effectuées au moyen de la carte de paiement, Monsieur [U] a certes remis cet instrument à un tiers mais il est constant qu’il n’a pas effectué ces opérations, n’en ayant eu connaissance qu’après coup.

Quant au virement de 9.000 euros dont il a donné l’ordre le 16 mai 2024, Monsieur [U] soutient, sans être utilement contredit par la Société Générale, avoir effectué cette opération à son profit, dans le but, affirme-t-il, de sécuriser ses avoirs alors qu’il versait en réalité les fonds à un tiers.

Il en résulte que tant pour la première série d’opérations que pour le virement, Monsieur [U] n’a pas donné son consentement.

Par suite, il y a lieu de considérer tous les paiements en litige comme n’ayant pas été autorisés par Monsieur [U].

En conséquence, pour échapper à l’obligation de remboursement qui lui incombe, la Société Générale doit démontrer, dans un premier temps, que ces paiements ont été authentifiés, dûment enregistrés et comptabilisés, sans que son système ait été affecté d’une déficience technique et, dans un second temps, que Monsieur [U] a commis une négligence grave.

A propos de l’authentification des opérations, Monsieur [U] conteste la valeur probante des traces informatiques produites par la Société Générale, en particulier en raison de leur manque de lisibilité.

Cependant, outre que la pièce est parfaitement lisible, il sera retenu que les traces informatiques d’opérations de paiement produites par le prestataire de services de paiement peuvent valoir commencement de preuve par écrit au sens des dispositions de l’article 1361 du code civil, lequel doit être complété par des éléments extérieurs.

Un élément extérieur peut tenir, en l’espèce, dans des éléments figurant dans la plainte déposée par le payeur (Cass. Com., 30 avril 2025, n°24-13.663).

En l’espèce, Monsieur [U] expose dans sa plainte avoir remis sa carte de paiement à un tiers le 15 mai 2024 en début de soirée alors que l’ensemble des achats et les retraits bancaires en litige ont eu lieu le 16 mai 2024, ainsi que les deux virements contestés.

Il en résulte que la valeur probante des traces informatiques produites aux débats ne saurait utilement être querellée.

Ceci étant précisé, il convient de distinguer, au sujet de l’authentification, tout d’abord la situation des paiements effectués au moyen de la carte bancaire de Monsieur [U].

Il sera relevé que ces opérations correspondent, tantôt à des paiements de proximité, tantôt à des retraits sur des distributeurs automatiques de billets de banque, qui exigent, les uns et les autres, tout à la fois l’utilisation de la carte physique et la composition du code confidentiel dédié sur un terminal idoine.

L’ensemble de ces opérations, récapitulé dans l’exposé des faits, ont été toutes réalisées le 16 mai 2024 alors que Monsieur [U] indique avoir remis sa carte à un coursier prétendument envoyé par la Société Générale en début de soirée le 15 mai 2024, la Société Générale précisant pour sa part que le code confidentiel de la carte a été consulté depuis l’espace en ligne de Monsieur [U] ce même 15 mai 2024 à 20h59.

Certes, Monsieur [U] produit aux débats une attestation de Monsieur [R] [B] qu’il présente comme un spécialiste de cybersécurité, soutenant que la possibilité de consulter en clair le code confidentiel de la carte bancaire de Monsieur [U] est contraire à la directive DSP.

Or, outre que ce témoignage, issu d’un patient du demandeur, n’est pas recevable en tant que preuve en raison de la qualité de l’auteur de l’attestation, il résulte de surcroît des dispositions combinées des articles L.133-44 et L.133-4, f, du code monétaire et financier que l’accès à l’espace bancaire en ligne d’un client doit être soumis à la procédure d’authentification forte dès lors que cet accès permet d’effectuer des paiements.

Il n’est ni allégué, ni démontré que l’accès à l’espace bancaire de Monsieur [U] était exclu de la procédure d’authentification forte aux jours de la fraude, de telle sorte que c’est à tort qu’il est allégué que la consultation du code à quatre chiffres dédié à la carte de Monsieur [U] était accessible « en clair ».

En outre, le processus ayant conduit à la réalisation des opérations de paiement par carte et de retraits au distributeur automatique de billets, est retracé dans des relevés informatiques produits par la Société Générale indiquant les dates, heures, montants et lieux d’exécution, ainsi que les modalités techniques tenant dans la présentation de l’instrument de paiement et la validation au moyen du code confidentiel dédié.

De plus, les relevés de compte produits aux débats révèlent l’effectivité de l’ensemble des paiements concernés.

Par suite, il y a lieu de retenir que les paiements effectués au moyen de la carte bancaire de Monsieur [U] ont été authentifiés, dûment enregistrés et comptabilisés, sans que le système de la Société Générale ait été affecté par une déficience technique.

Au sujet du virement de 9.000 euros effectué le 16 mai 2024, il est acquis aux débats que Monsieur [U] en a donné l’ordre, lequel a été exécuté au moyen d’une authentification forte à l’initiative du demandeur, l’opération ayant été en outre dûment enregistrée et comptabilisée, sans que le système de la banque ait été affecté par une déficience technique.

Il résulte des éléments qui précèdent que l’ensemble des paiements contestés a fait l’objet d’une authentification et a été dûment enregistré et comptabilisé, sans que le système de la Société Générale ait été affecté d’une déficience technique.

Concernant la négligence grave alléguée, que la Société Générale impute à Monsieur [U] pour faire obstacle à la demande de remboursement, il sera tout d’abord retenu que la solution rendue par la chambre commerciale de la Cour de cassation le 23 octobre 2024 (n°23-16.267) n’est pas applicable au présent litige.

A cet égard, il sera relevé que Monsieur [U] ne démontre pas que le numéro de téléphone utilisé par son interlocuteur prétendument employé par la Société Générale pour l’alerter sur une supposée fraude aux paiements, est celui habituellement utilisé par son conseiller bancaire.

De plus, Monsieur [U] a remis volontairement sa carte de paiement à un tiers antérieurement à la réalisation des paiements en litige au moyen de cet instrument.

Or la solution dont se prévaut le demandeur en matière de spoofing exclut, a contrario, l’hypothèse où le numéro à partir duquel le client a été appelé n’est pas celui habituellement utilisé par son conseiller bancaire et celle où le client a remis l’instrument de paiement ayant servi à effectuer les opérations en litige ou communiquer des données confidentielles dédiées.

Ceci étant précisé, il est établi que, relativement aux opérations de paiement par carte et de retrait bancaire, celles-ci sont intervenues après que Monsieur [U] a remis l’instrument à un tiers s’étant présenté comme un coursier de l’établissement bancaire.

Sur ce point, il sera rappelé qu’en vertu des dispositions de l’article L.133-16 du code monétaire et financier, l’utilisateur d’une carte de paiement doit en assurer la conservation, sans pouvoir s’en dessaisir en toute occasion au profit d’un tiers.

C’est dès lors à tort que Monsieur [U] justifie la remise par la connaissance du coursier de son adresse personnelle et du code de reconnaissance fourni au demandeur précédemment par son interlocuteur téléphonique.

Aucun établissement bancaire n’envoie de coursier pour récupérer une carte de paiement en évoquant une fraude dont l’utilisateur serait victime, de surcroît en début de soirée au domicile du client.

Au demeurant, Monsieur [U] prétend avoir été plus encore rassuré par un formulaire que lui a remis le prétendu coursier pour être déposé le lendemain à son agence bancaire, alors que ce document comportait certes l’en-tête de la Société Générale mais également le sigle « DGCCRF », autant d’anomalies qui auraient dû conduire le demandeur à faire montre de vigilance.

La circonstance que le dépôt dudit formulaire dans la boîte à lettre de la Société Générale n’ait suscité aucune réaction de l’établissement, doit être considérée comme indifférente tant au regard du caractère incongru du document que de l’authentification des paiements en litige.

De surcroît, Monsieur [U] indique dans sa plainte avoir fait l’objet de deux fraudes bancaires, ce qui aurait dû le conduire à se montrer vigilant au regard de circonstances anormales comme le déplacement de ce coursier et la remise d’un document manifestement incongru.

Par ailleurs, Monsieur [U] prétend n’avoir communiqué le code confidentiel de sa carte ni à son interlocuteur téléphonique, ni au coursier.

Or la Société Générale affirme, sans être utilement démentie par Monsieur [U], que le code à quatre chiffres de la carte de paiement en litige a été consulté le 15 mai 2024 à 20h59 sur l’espace bancaire en ligne du demandeur.

Or Monsieur [U] expose avoir remis la carte de paiement le même jour en début de soirée au coursier et n’allègue ni ne démontre que cette remise ait été postérieure à cette consultation de son espace bancaire.

Il demeure que la remise de la carte de paiement à un tiers fraudeur par Monsieur [U] établit la négligence grave de celui-ci, abstraction faite de la communication à un tiers du code confidentiel afférent dans la mesure où les paiements et les retraits litigieux n’auraient pu être réalisés sans l’instrument physique et les données liées.

Au sujet du virement de 9.000 euros, il n’est pas sérieusement discuté par Monsieur [U] que l’ordre en a été donné par lui-même, avec comme destinataire un compte dont l’IBAN n’est pas argué d’erreur par le demandeur.

La Société Générale n’a fait que répondre à la demande de Monsieur [U] de procéder à un rappel des fonds auprès de la banque réceptionnaire, sans succès.

Monsieur [U] soutient que le rappel des fonds ne peut être initié qu’en présence de virements en doublon, de virement erroné ou de virement frauduleux.

Or c’est précisément en raison d’une fraude dont il a estimé avoir été victime qu’il a sollicité un rappel des fonds et n’est pas fondé à faire reproche à la Société Générale du caractère infructueux de cette procédure diligemment exécutée.

Plus substantiellement, Monsieur [U], après avoir remis sa carte de paiement à un faux coursier, à la demande d’un interlocuteur téléphonique prétendant agir en qualité de préposé de la Société Générale, a donné, toujours sur demande de ce prétendu préposé, l’ordre de virement de 9.000 euros en litige.

C’est après avoir donné cet ordre de virement le 16 mai 2024 à 14h46, puis un second de 7.000 euros le même jour à 15h03, qu’il a pris l’initiative d’avertir la Société Générale par appel téléphonique également du 16 mai 2024 à 15h28 qui a procédé au rappel des fonds.

Monsieur [U] affirme dans ses dernières écritures avoir été « pris de doute », raison pour laquelle il a signalé les deux virements et sollicité le blocage de la carte bancaire auprès de la Société Générale.

Au regard des éléments qui précèdent, il sera retenu une négligence grave de Monsieur [U] qui, non seulement a signalé tardivement les paiements frauduleux réalisés au moyen de sa carte de paiement, mais en outre remis l’instrument de paiement à un tiers tout en suivant les instructions de celui-ci dans l’exécution de deux virements manifestement frauduleux, dans la mesure où aucun établissement bancaire ne sollicite son client pour effectuer des virements à destination de comptes situés dans des établissements tiers afin de sécuriser les fonds de ce client.

En conséquence, Monsieur [U] sera débouté de sa demande de remboursement des fonds frauduleusement détournés.

Au surplus, la demande de Monsieur [U] tendant à obtenir la réparation de son préjudice moral sera rejetée, le régime de responsabilité prévu aux articles L.133-18 à L.133-24 du code monétaire et financier étant exclusif de tout autre régime de responsabilité prévu en droit national, la négligence grave commise par l’intéressé s’avérant d’autant plus dirimante.

2. Sur les demandes annexes

Succombant, Monsieur [M] [U] sera condamné aux dépens et à verser à la Société Générale la somme de 3.000 euros au titre de l’article 700 du code de procédure civile.

PAR CES MOTIFS

Le tribunal, statuant publiquement par jugement contradictoire, en premier ressort et par mise à disposition au greffe,

— DÉBOUTE Monsieur [M] [U] de l’ensemble de ses demandes;

— CONDAMNE Monsieur [M] [U] aux dépens ;

— CONDAMNE Monsieur [M] [U] à verser à la Société Générale la somme de 3.000 euros en application de l’article 700 du code de procédure civile.

Fait et jugé à [Localité 1] le 27 Mars 2026

LA GREFFIÈRE LE PRÉSIDENT