TRIBUNAL

JUDICIAIRE

DE [Localité 1] [1]

[1] Copie conforme délivrée

le :

à : Maître GOUTAIL

Copie exécutoire délivrée

le :

à : Maître GOSSET

Pôle civil de proximité

■

PCP JTJ proxi fond

N° RG 25/02817 – N° Portalis 352J-W-B7J-C74PD

N° MINUTE :

2 JTJ

JUGEMENT

rendu le jeudi 02 avril 2026

DEMANDERESSE

Madame [I] [J],

demeurant [Adresse 1] [Localité 2] [Adresse 2]

représentée par Maître GOUTAIL, avocat au barreau de Paris, vestiaire #A201

DÉFENDERESSE

S.A. LA BANQUE POSTALE,

dont le siège social est sis [Adresse 3]

représentée par Maître GOSSET, avocat au barreau de Paris, vestiaire #B812

COMPOSITION DU TRIBUNAL

Valérie OURSEL-ZUBER, Vice-présidente, statuant en juge unique

assistée de Laura JOBERT, Greffier,

DATE DES DÉBATS

Audience publique du 05 février 2026

JUGEMENT

contradictoire, en premier ressort, prononcé par mise à disposition le 02 avril 2026 par Valérie OURSEL-ZUBER, Vice-présidente assistée de Laura JOBERT, Greffier

Décision du 02 avril 2026

PCP JTJ proxi fond – N° RG 25/02817 – N° Portalis 352J-W-B7J-C74PD

EXPOSÉ DU LITIGE ET DE LA PROCÉDURE

Mme [I] [J] est titulaire d’un compte ouvert dans les livres de la société La Banque Postale sous le n° CCP 0265317D033, auquel est rattachée une carte bancaire.

Le 28 septembre 2023, trois achats d’un montant total de 2 350 euros sous l’intitulé « ACHATS CB PPG*PLACESALAR » ont été réalisés en utilisant la carte bancaire de Mme [I] [J] se terminant par les chiffres 476. Elle dit s’en être aperçue le 29 septembre 2023. Elle a fait opposition à sa carte bancaire et a effectué un signalement en ligne sur le site de la Gendarmerie nationale pour utilisation frauduleuse de sa carte bancaire le 01 octobre 2023.

Munie d’une nouvelle carte bancaire se terminant par les chiffres 875, elle s’en est servie le 10 octobre 2023. Le 12 octobre suivant, cette carte bancaire a été utilisée pour un montant de 4 499 euros intitulée « ACHAT CB IMAGES DISTRIB ». Mme [I] [J] a de nouveau effectué un signalement en ligne sur le site de la Gendarmerie nationale en ce sens et a formé opposition.

Elle dit avoir reçu un appel qu’elle a pensé provenir du service Fraude de la société La Banque Postale, présentant le même disque d’attente, lui annonçant qu’une utilisation frauduleuse était en cours et annonçant son blocage, sans en préciser la date.

Par lettre du 10 octobre 2023, la société La Banque Postale a refusé le remboursement des achats du 28 septembre 2023, sécurisés avec le protocole CERTICODE PLUS, et par lettre du 24 octobre 2023, elle a refusé le remboursement de l’achat du 12 octobre 2023, pour le même motif.

Mme [I] [J] a contesté le refus de prise en charge indiquant qu’elle n’était pas à l’origine de la mise en oeuvre du protocole CERTICODE PLUS et a saisi le Médiateur de la consommation de La Banque Postale le 27 novembre 2023, vainement.

Par acte de commissaire de justice du 06 mai 2025, Mme [I] [J] a fait assigner la société La Banque Postale devant le pôle civil de proximité du tribunal judiciaire de Paris aux fins de, sous le bénéfice de l’exécution provisoire :

— dire et juger qu’elle a subi des opérations non autorisées sur son compte bancaire les 28 septembre et 12 octobre 2023 pour un montant total de 6 849 €, constitutive d’une opération de fraude

— en conséquence, condamner la société BANQUE POSTALE à lui payer la somme de 6 849 € en remboursement des sommes prélevées indûment du fait de l’utilisation non-autorisée de ses services de paiements.

— dire que cette somme portera intérêts dans les conditions suivantes :

1° les sommes dues produisent intérêt au taux légal majoré de cinq points

2° au-delà de sept jours de retard, les sommes dues produisent intérêt au taux légal majoré de dix points

3° au-delà de trente jours de retard, les sommes dues produisent intérêt au taux légal majoré de quinze points.

et ce à compter du 16 octobre 2023, intérêts qui seront capitalisés en application des dispositions de l’article 1343-2 du code civil,

à titre subsidiaire,

— dire et juger que la société BANQUE POSTALE a commis une faute en manquant à son devoir de vigilance et de conseil vis-à-vis d’elle

— en conséquence, la condamner à lui payer la somme de 6 849 € à titre de dommages et intérêts en réparation de son préjudice financier

— en tout état de cause, la condamner à lui payer à la somme de 1 500 € au titre des dispositions de l’article 700 du code de procédure civile ainsi qu’aux entiers dépens.

Initialement appelée le 28 octobre 2025, l’affaire a fait l’objet d’un renvoi à la demande de la défenderesse, pour les besoins de la mise en état.

A l’audience du 05 février 2025, Mme [I] [J] représentée par son conseil, a maintenu ses demandes dans les termes de son assignation et selon ses conclusions visées par le greffe. Elle invoque le bénéfice des articles L.133-18, L. 133-20 et L. 133-23 du code monétaire et financier en faisant valoir qu’elle a été victime d’une fraude et qu’en cas d’opération de paiement non autorisée, le principe est celui du remboursement immédiat par la banque, sauf pour cette dernière à rapporter la preuve d’une négligence grave de l’utilisateur du moyen de paiement. Or elle conteste avoir commis une telle négligence. Elle fait valoir qu’après un échange avec sa gestionnaire de compte, elle s’est aperçue qu’un protocole CERTICODE PLUS a été souscrit puis désactivé et réactivé à plusieurs reprises sur son compte le 24 septembre 2023 dont elle n’avait aucune connaissance, n’ayant en sa possession qu’un CERTICODE et qu’aucun SMS ni courrier ne lui ayant été adressé concernant ces opérations. Elle dit qu’elle a résilié le CERTICODE PLUS et s’est aperçue que le 12 octobre, une opération a de nouveau eu lieu dont elle n’est pas à l’origine, révélant une fraude bancaire. Elle dit avoir réagi très rapidement lors des fraudes, nie avoir souscrit un CERTICODE PLUS, et n’a pas le souvenir d’avoir reçu un SMS d’alerte le 24 septembre 2023 tout en se souvenant d’avoir eu au téléphone une personne l’informant d’une escroquerie en cours sur son compte bancaire et l’informant effectuer un « remboursement ». Elle ajoute que si elle a cru avoir sa banque au téléphone (même disque d’attente) alors que l’appel émanait des fraudeurs, elle ne leur a communiqué aucune information personnelle mais qu’elle a « entré ses identifiants de connexion sur son clavier comme demandé par le disque Banque postale et c’est probablement ainsi que les fraudeurs ont récupéré les codes d’identification ». Selon elle, la concomitance entre le SMS de la banque et l’appel téléphonique des fraudeurs l’a empêchée de comprendre l’enjeu du message d’alerte. Elle indique n’avoir jamais enrôlé un tel CERTICODE PLUS sur son téléphone et que la banque ne l’a pas révoqué entre les deux fraudes, permettant une réitération. A titre subsidiaire, elle invoque le bénéficie des articles 1231 et suivants du code civil, la banque ayant failli à son obligation de vigilance.

De son côté, la société La Banque Postale représentée par son conseil, sollicite le bénéfice de ses conclusions déposées et soutenues oralement à l’audience. Elle demande au tribunal de débouter Mme [I] [J] de l’intégralité de ses demandes et reconventionnellement, de :

— juger que Mme [I] [J] a fait preuve d’une négligence grave de nature à exonérer la banque de toute éventuelle responsabilité à son encontre

— juger qu’elle n’a commis aucun manquement légal ou contractuel de nature à engager sa responsabilité à l’encontre de la demanderesse

— la condamner à lui payer la somme de 1000 euros au titre de l’article 700 du code de procédure civile, outre les entiers dépens.

La société La Banque Postale considère au visa des articles L.133-4, L.133-6 et L.133-7 du code monétaire et financier que les opérations de paiement par carte bancaire contestées ont été validées par le système d’authentification forte via le système CERTICODE PLUS qui requiert que le titulaire du compte, après avoir initié une opération de paiement, et s’être connecté à son application mobile, reçoit une notification sur son téléphone portable l’invitant à valider l’opération. La banque a analysé conformément à la Recommandation n°6 de l’Observatoire de la sécurité des moyens de paiement les caractéristiques techniques des opérations critiquées, à savoir que le 24 septembre 2023, le service CERTICODE PLUS a été activé sur un nouvel appareil et que Mme [I] [J] n’a pas répondu au message d’alerte, que les paiements ont été validés avec une authentification forte, ce qui est corroborés par les éléments informatiques produits aux débats, alors que Mme [I] [J] est restée en possession des cartes bancaires utilisées.

La société La Banque Postale soutient, en second lieu, que Mme [I] [J] a commis une négligence grave au visa des articles L.133-16 et L.133-19 du code monétaire et financier en ne donnant pas suite au message d’alerte reçu le 24 septembre 2023 sur son téléphone personnel s’agissant de l’activation de l’authentification forte sur un nouveau numéro de téléphone, en activant le service sur un nouvel appareil laquelle n’est pas possible sans son intervention, et en donnant à cette occasion son identifiant et son mot de passe de connexion à l’espace bancaire en ligne selon ses propres déclarations, relevant de la responsabilité exclusive de mamx, d’autant qu’elle a reconnu auprès de sa conseillère bancaire avoir transmis son numéro de carte bancaire à la personne se présentant faussement comme un agent de la société La Banque Postale.

Enfin la société La Banque Postale conteste tout manquement à son « obligation de vigilance ». Pour voir engager sa responsabilité, Mme [I] [J] se fonde sur le droit commun relatif au devoir général du banquier alors que seules les dispositions du code monétaire et financier relatives au virement bancaire sont applicables à l’espèce (article 133-1 et suivants) selon l’arrêt de la Cour de Justice de l’Union Européenne du 16 mars 2023. De plus, la société La Banque Postale rappelle que l’établissement teneur du compte est soumis au principe de non-ingérence de telle sorte qu’il doit exécuter les ordres de son client, sans pouvoir d’appréciation sur leur licéité et leur opportunité. Enfin, les opérations en litige ne présentent pas de caractère anormal aisément décelable par un banquier normalement diligent, celles-ci ayant été authentifiées, les paiements par carte ayant été effectués sur des sites français, non illicites, ne figurant pas sur la liste noire de l’Autorité des marchés financiers, et le compte de Mme [I] [J] étant resté en position créditrice.

L’affaire a été mise en délibéré au 02 avril 2026 par mise à disposition des parties au greffe.

MOTIFS DE LA DÉCISION

Sur la demande de remboursement des opérations contestées

En application des dispositions des articles et L.133-16 et L.133-19 IV du code monétaire et financier, dès qu’il reçoit un instrument de paiement, l’utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées et il supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave à cette obligation.

L’article L. 133-19 V du même code précise que sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si l’opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement du payeur n’exige une authentification forte du payeur prévue à l’article L.133-44, lequel vise notamment les opérations de paiement électronique.

Aux termes de l’article L.133-44 I. « Le prestataire de services de paiement applique l’authentification forte du client définie au f de l’article L.133-4 lorsque le payeur :

1° Accède à son compte de paiement en ligne ;

2° Initie une opération de paiement électronique ; … ».

Aux termes de l’article L133-23 de ce code, « Lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre ».

L’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière. Le prestataire de services de paiement, y compris, le cas échéant, le prestataire de services de paiement fournissant un service d’initiation de paiement, fournit des éléments afin de prouver la fraude ou la négligence grave commise par l’utilisateur de services de paiement. »

Selon l’article L133-6 I, « Une opération de paiement est autorisée si le payeur a donné son consentement à son exécution » et selon l’article L.133-7, « Le consentement est donné sous la forme convenue entre le payeur et son prestataire de services de paiement ».

En l’espèce, Mme [I] [J] justifie être titulaire d’un compte bancaire auprès de la société La Banque Postale et d’une carte bancaire adossée à ce compte pour laquelle elle utilise un code confidentiel. Elle nie avoir autorisé les paiements électroniques effectués à son préjudice et indique ne pas avoir souscrit un protocole CERTICODE PLUS permettant une authentification forte.

Au cours des débats contradictoires, la société La Banque Postale a présenté une description précise et circonstanciée de l’authentification forte que constitue le protocole CERTICODE PLUS tel que requis par l’article L.133-44 susvisé s’agissant d’opérations de paiement électroniques nécessitant obligatoirement une telle authentification. Le client, après avoir initié une opération de paiement électronique et s’être connecté à son application mobile avec ses identifiant et code, reçoit une notification sur son téléphone portable l’invitant à valider l’opération.

Il est établi par la société La Banque Postale que le 24 septembre 2023, elle a adressé à Mme [I] [J] le SMS suivant en utilisant son numéro de téléphone portable personnel : « La Banque Postale le 24/09/2023 à 11 :08, vous avez activé Certicode Plus sur votre Terminal Remboursement… Si ce n’est pas vous, alertez-nous rapidement. ».

Si Mme [I] [J] indique n’avoir aucun souvenir d’avoir reçu un tel SMS, il est justifié par la banque que le numéro de téléphone qu’elle a utilisé pour l’alerter, terminé par les chiffres 425, est bien celui que la demanderesse lui a communiqué comme étant « à privilégier » et enregistré au titre des modes de contacts la concernant. Par ailleurs, elle ne fait état ni d’un vol, ni d’une perte de son téléphone portable.

Or Mme [I] [J] n’a pas réagi à ce message d’alerte et il ne ressort d’aucune pièce en procédure qu’elle a averti le conseiller bancaire de la société La Banque Postale en charge de son compte ou le numéro dédié 3639, qu’elle n’était pas à l’origine de l’activation du protocole CERTICODE PLUS à partir d’un numéro de téléphone qui n’était pas le sien, ni de sa volonté de supprimer l’usage de ce protocole.

Il est établi que postérieurement à l’envoi de cette alerte, le 28 septembre 2023, quatre opérations de paiements électroniques ont été effectuées à partir du compte de Mme [I] [J] d’un montant de 1 200 euros, 500 euros et 650 euros pour un total de 2 350 euros, et le 10 octobre 2023 pour un montant de 4 499 euros, validées avec l’usage de ses identifiants, codes et numéro de carte bancaire, et autorisées par l’intermédiaire de l’authentification forte du système CERTICODE PLUS, activée le 24 septembre 2023.

Mme [I] [J] déclare « se souvenir parfaitement avoir eu en ligne une personne l’informant d’une escroquerie en cours sur son compte bancaire et l’informant effectuer une remboursement », que le disque d’attente étant celui de la société La Banque Postale, qu’elle a cru qu’il s’agissait de sa banque et qu’elle a entré ses identifiants de connexion comme demandé par le « disque » pour entrer en relation avec un conseiller et qu’elle a compris plus tard qu’il s’agissant de fraudeurs.

Toutefois, la demanderesse ne produit aucun élément concernant l’appel téléphonique qu’elle aurait reçu des fraudeurs et notamment des captures d’écran de son téléphone portable. Le signalement en ligne qu’elle a fait auprès de la Gendarmerie nationale les 01 et 14 octobre 2023 visant les quatre opérations litigieuses ne le mentionne pas. Elle y expose que ces opérations ont été réalisées au moyen de sa carte de paiement, qu’elle est toujours en possession de celle-ci, qu’elle a informé la banque aux fins de blocage et a formé opposition. Elle ne précise pas s’être inquiétée auprès de sa banque du CERTICODE PLUS activé le 24 septembre 2023. Elle n’a pas déposé de plainte pénale.

Elle ne produit aucun justificatif permettant de confirmer son appel, sans tarder, auprès de sa banque à l’issue des opérations de paiement du 28 septembre 2023.

En revanche, la société La Banque Postale justifie d’un appel entrant de Mme [I] [J] du 12 octobre 2023. Cet appel a donné lieu au compte rendu suivant :

« cliente a donné son numéro de carte à un faux agent LBP (encore) – opp carte ok – va faire contestation qd les op seront visibles – résiliation C / va changer son mdp – mise en garde sur les faux agents LBP ».

Il en ressort que les identifiants et codes et notamment le numéro de carte bancaire, requis pour l’usage de CERTICODE PLUS, ont bien été communiqués par la demanderesse.

Enfin, il est établi par la société La Banque Postale que les opérations ont été authentifiées, enregistrées et comptabilisées sur deux journées différentes, qu’il s’est écoulé 12 jours entre la première opération et la dernière opération, et qu’il s’en déduit l’absence de dysfonctionnement.

Il résulte de ce qui précède qu’en ne réagissant pas dès le 24 septembre 2023 au message d’alerte l’informant de l’activation du programme CERTICODE PLUS dont elle n’était pas à l’origine et en communiquant ses identifiants, numéros et codes rendant possibles les opérations électroniques de paiement, Mme [I] [J] a commis une négligence grave au sens des textes précités, qui justifie l’absence de remboursement par la société La Banque Postale des sommes prélevées sur son compte.

En conséquence, elle sera déboutée de sa demande.

A titre subsidiaire, sur le manquement de la banque à son obligation de vigilance de nature contractuelle

Il est constant que la responsabilité contractuelle de droit commun résultant des articles 1231-1 du code civil n’est pas applicable en présence d’un régime de responsabilité exclusif. Dès lors que la responsabilité d’un prestataire de services de paiement est recherchée en raison d’une opération de paiement non autorisée ou mal exécutée, seul est applicable le régime de responsabilité défini aux articles L. 133-18 à L.133-24 précités, qui transposent les articles 71 à 75 de la directive UE 2015/2366 à l’exclusion de tout régime alternatif de responsabilité résultant du droit national (Cass, Com., 15 janvier 2025, n°23-15.437 et 23-13.579).

En l’espèce, dans la mesure où Mme [I] [J] conteste être à l’origine des opérations de paiement effectuées sur son compte bancaire, la responsabilité de la banque ne peut être recherchée que sur le fondement des articles susvisés du code monétaire et financier.

Par suite, elle n’est pas fondée à invoquer l’application des articles 1231-1 et suivants du code civil au titre du manquement au devoir général de vigilance de la banque qui aurait permis l’exécution des opérations litigieuses.

En conséquence, Mme [I] [J] sera déboutée de sa demande subsidiaire de remboursement de ce chef.

Sur les demandes accessoires

Mme [I] [J], partie perdante, supportera les dépens en application de l’article 696 du code de procédure civile.

L’équité et la situation économique respective des parties commandent cependant de ne pas faire application des dispositions de l’article 700 du code de procédure civile au profit de la défenderesse.

La présente décision est exécutoire à titre provisoire, conformément à l’article 514 du code de procédure civile.

PAR CES MOTIFS

Le tribunal judiciaire, statuant après débats publics, par jugement contradictoire mis à disposition au greffe, rendu en premier ressort,

DÉBOUTE Mme [I] [J] de l’ensemble de ses demandes ;

CONDAMNE Mme [I] [J] aux dépens ;

DIT n’y avoir lieu à application de l’article 700 du code de procédure civile au profit de la société La Banque Postale.

RAPPELLE que l’exécution provisoire de la présente décision est de droit.

La greffière La juge