TRIBUNAL

JUDICIAIRE

DE [Localité 1] [1]

[1]

Expéditions exécutoires

délivrées le 24/02/2026

A M^e HUPIN (G0625)

Me [Localité 2] (J0011)

■

9ème chambre 2ème section

N° RG :

N° RG 25/01168 – N° Portalis 352J-W-B7J-C6PYG

N° MINUTE :

JUGEMENT

rendu le 24 Février 2026

DEMANDEUR

Monsieur [A] [O]

[Adresse 1]

[Localité 3]

représenté par Maître Maude HUPIN, avocat au barreau de PARIS, vestiaire #G0625

DÉFENDERESSE

S.A. BNP PARIBAS

[Adresse 2]

[Localité 4]

représentée par Maître Dominique PENIN du PARTNERSHIPS MORGAN LEWIS & BOCKIUS UK LLP, avocat au barreau de PARIS, vestiaire #J11

Décision du 24 Février 2026

9ème chambre 2ème section

N° RG 25/01168 – N° Portalis 352J-W-B7J-C6PYG

COMPOSITION DU TRIBUNAL

Monsieur Gilles MALFRE, Premier vice-président adjoint

Monsieur Augustin BOUJEKA, Vice-Président

Monsieur Alexandre PARASTATIDIS, Juge

assistés de Madame Camille CHAUMONT, Greffière,

DÉBATS

A l’audience du 06 Janvier 2026 tenue en audience publique devant Gilles MALFRE, juge rapporteur, qui, sans opposition des avocats, a tenu seul l’audience, et, après avoir entendu les conseils des parties, en a rendu compte au Tribunal, conformément aux dispositions de l’article 805 du Code de Procédure Civile, avis a été donné aux avocats que la décision serait rendue le 24 février 2026.

JUGEMENT

Rendu publiquement par mise à disposition au greffe

Contradictoire

En premier ressort

EXPOSÉ DU LITIGE

Par acte du 24 janvier 2025, M. [O] a fait assigner la BNP PARIBAS devant le tribunal judiciaire de Paris, afin qu’elle soit condamnée à lui payer, sous le bénéfice de l’exécution provisoire, la somme de 13 326,48 euros en remboursement des sommes détournées, avec intérêts au taux légal majoré de quinze points à compter du 15 juin 2024, ces intérêts étant capitalisés, celle de 3 000 euros en réparation de son préjudice moral, outre la somme de 3 000 euros au titre de l’article 700 du code de procédure civile.

Il expose avoir reçu le 10 mai 2024 un SMS l’invitant à régler les frais de livraison d’une commande sur le site « CDISCOUNT », pour un montant de 2,47 euros, et avoir payé cette somme.

Il ajoute qu’il a ensuite été contacté par sa prétendue banque, son interlocuteur lui indiquant une suspicion de fraude sur son compte bancaire et énumérant diverses opérations en lui demandant s’il en était l’auteur, ce qu’il a contesté.

Il précise que son interlocuteur, indiquant travailler pour le service fraude de sa banque, l’a rassuré et lui indiqué qu’il faisait opposition à ces opérations. Il souligne avoir, à la fin de cette conversation, refusé de communiquer le code confidentiel attaché à sa carte bancaire.

M. [O] rappelle que le 11 mai 2024, il s’est rendu à sa banque pour faire opposition à sa carte bancaire, sa conseillère bancaire lui confirmant qu’il y avait un « avertisseur » de vigilance fraude sur son compte mais que tout était en ordre.

Le 15 mai 2024, il souligne avoir constaté plusieurs opérations frauduleuses sur son compte, pour un montant total de 13 326,48 euros, se détaillant comme suit :

— Mh France : 817,70 euros,

— Booking.com : 7 119,70 euros (2 187,78 + 778,60 + 4 153,32),

— [Q] : 1 993 euros,

— Go Voyages : 1 275,08 euros,

— Icpf : 2 121 euros

Par conclusions du 23 juin 2025, le requérant s’oppose aux prétentions de la banque et maintient ses demandes.

Par conclusions du 23 juin 2025, la BNP PARIBAS demande au tribunal de débouter M. [O] de ses demandes. Si le tribunal entendait faire droit à la demande de remboursement, elle sollicite que les pénalités de retard prévues à l’article L. 133-18 du code monétaire et financier ne s’appliquent qu’à compter du prononcé de la décision. Elle demande par ailleurs au tribunal de condamner le requérant à lui payer la somme de 2 500 euros au titre de l’article 700 du code de procédure civile et d’écarter l’exécution provisoire.

La clôture de l’instruction a été prononcée le 7 octobre 2025.

SUR CE

Sur la demande principale :

M. [O] fait valoir qu’il n’est pas démontré que les opérations de paiement litigieuses ont été autorisées par ses soins.

Il estime que les pièces produites à cet égard par la banque ne sont pas probantes, relevant au surplus que les adresses IP diffèrent à chaque fois.

Il en conclut qu’il n’est pas démontré que les opérations ont été authentifiées par ses soins.

Il considère qu’il a été victime d’une défaillance du système de la BNP PARIBAS dont il ne saurait supporter la charge.

Il rappelle par ailleurs n’avoir transmis aucune informations personnelle (identifiant ou code personnel d’accès à ses comptes) et avoir refusé de communiquer le code de sa carte bancaire.

Il se prévaut de la jurisprudence de la Cour de cassation en matière de « spoofing » (arrêt du 23 octobre 2024, n° 23-16.267), dans le cadre de laquelle la négligence grave du client n’a pas été retenue, alors qu’il était contacté par sa banque.

Ceci étant exposé.

En cas d’opération de paiement non autorisée signalée par l’utilisateur dans les délais prévus par l’article L. 133-24 du code monétaire et financier, le prestataire de services de paiement du payeur rembourse à ce dernier le montant de l’opération non autorisée sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement.

Dans cette hypothèse, il incombe au prestataire de paiement de prouver que l’opération litigieuse a été effectuée après une authentification forte, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre, l’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement, à savoir l’utilisation des identifiants du client et l’absence de déficience technique ou autre, notamment par le biais de la production d’un relevé de ses connexions, ne suffisant pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur.

L’article L. 133-4 (f) du code précité précise qu’une authentification forte s’entend d’une authentification reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories « connaissance » (quelque chose que seul l’utilisateur connaît telle qu’un mot de passe, un code secret, une question secrète, etc…), « possession » (quelque chose que seul l’utilisateur possède telle qu’un téléphone portable, une montre connectée, une clé USB etc…) et « inhérence » (quelque chose que l’utilisateur est telle que la reconnaissance faciale ou vocale, la reconnaissance par empreinte digitale, etc…) et indépendants en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d’authentification. L’authentification forte repose donc sur l’utilisation de deux de ces éléments, voire plus.

Par ailleurs, la responsabilité du payeur n’est pas engagée si l’opération de paiement non autorisée a été effectuée en détournant, à son insu, l’instrument de paiement ou les données qui lui sont liées. Cependant, il supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’agissements frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17 du même code.

Ainsi, pour échapper au remboursement de l’opération contestée, le prestataire de services de paiement doit démontrer, soit que l’ordre émanait bel et bien du client dûment authentifié dans son espace personnel, soit que le vol des identifiants de connexion (ou d’autres données) n’est que la conséquence d’une faute grave de sa part consistant à ne pas avoir satisfait intentionnellement aux obligations lui incombant en la matière ou à les avoir gravement négligées.

La banque produit en pièce n° 10 les traces informatiques des opérations litigieuses du 10 mai 2024, qui se détaillent comme suit :

—  15h41, un montant de 1 275,08 euros auprès de Go Voyages/eDreams,

—  16h00, un montant de 2 187,78 euros auprès de Booking,

—  16h05, un montant de 2 121 euros auprès de Icpf,

—  16h15, un montant de 4 153,32 euros (4 326,76 $) auprès de Miami Vacation Rentals,

—  16h18, un montant de 1 993 euros auprès de [Q],

—  16h41, un montant de 817,70 euros auprès de MH France,

—  16h51, un montant de 778,60 euros auprès de Booking.com.

Ces pièces établissent que ces opérations d’achat en ligne ont été validées à l’aide du téléphone portable du requérant, les traces informatiques produites démontrant que ces opérations ont été réalisées sur l’espace en ligne de M. [O].

La BNP PARIBAS rappelle à cet égard que, dans le cadre du système d’authentification forte mis en place, lorsqu’un paiement par carte bancaire est effectué sur un site internet, cette opération est associée au téléphone portable du client, qui reçoit une notification l’invitant à valider l’opération, en composant le code confidentiel de la clé digitale créée par le client.

Il est donc établi que les opérations ont fait l’objet d’une authentification forte et qu’elles n’étaient affectées d’aucune déficience technique.

Il est rappelé que dans le cadre de cette authentification forte, il n’est pas fait usage du code confidentiel attaché à la carte, de sorte qu’il importe peu que M. [O] indique ne pas avoir communiqué ce code.

De même, il est indifférent, au regard de la régularité du processus de paiement, que les achats en ligne aient été faits depuis une adresse IP qui n’était pas celle du demandeur, la BNP PARIBAS soulignant à juste titre qu’aucune règlementation ne lui impose de bloquer une opération de paiement au motif que l’adresse IP serait localisée à l’étranger, alors que l’opération en question a fait l’objet d’une authentification forte.

Sur la négligence grave, c’est à tort que M. [O] se prévaut de l’arrêt de la Cour de cassation susvisé.

En effet, il ne justifie nullement que le numéro de téléphone par lequel il a été joint ([XXXXXXXX01]) correspondrait à un numéro de la BNP PARIBAS qui aurait été usurpé, s’agissant au surplus d’un numéro de téléphone mobile.

En outre, dans sa plainte, M. [O] indique : “Il (l’escroc) m’informe qu’il y a des mouvements suspects sur mon compte bancaire et qu’il faut le sécuriser. J’avais donc des opérations à effectuer sur mon application bancaire. Pour faciliter notre échange, je lui ai communiqué mon numéro de téléphone fixe afin que je puisse effectuer les opérations sur mon téléphone portable. Je fais les opérations qu’il m’indique au téléphone”.

Dans la lettre qu’il a adressée à sa banque le 20 août 2024, M. [O] ajoute que son interlocuteur lui a “fait exécuter différentes opérations”.

Il est donc manifeste que le demandeur a, sous un faux prétexte et alors qu’il ne pouvait raisonnablement penser être en ligne avec sa banque, lui-même validé les opérations d’achat réalisées en ligne par le fraudeur.

La négligence grave est par conséquent constituée, de sorte que M. [O] ne peut qu’être débouté de ses demandes.

Sur les autres demandes :

Au titre des frais exposés et non compris dans les dépens, M. [O] sera condamné à payer la somme de 2 000 euros.

Il n’y a pas lieu d’écarter l’exécution provisoire.

PAR CES MOTIFS

Le tribunal, statuant publiquement par jugement contradictoire, en premier ressort et par mise à disposition au greffe,

DÉBOUTE M. [A] [O] de ses demandes ;

LE CONDAMNE aux dépens, ainsi qu’à payer à la SA BNP PARIBAS la somme de 2 000 euros en application de l’article 700 du code de procédure civile.

Fait et jugé à [Localité 1] le 24 Février 2026

La Greffière Le Président