TRIBUNAL JUDICIAIRE DE
CRETEIL TRIBUNAL DE PROXIMITÉ
DE VILLEJUIF
Minute N° 569/25 RG N° 1 1-24-001410
Madame X Y
C/
La S.A LE CREDIT
LYONNAIS (LCL)
RÉPUBLIQUE FRANÇAISE
AU NOM DU PEUPLE FRANÇAIS
JUGEMENT DU 17 juin 2025
JUGE DES CONTENTIEUX DE LA PROTECTION
DEMANDEUR :
Madame X Y
63, Allée de Rosny, 93190 LIVRY GARGAN,
représentée par M^e EL-ALAMI Anissa, avocat au barreau de PARIS
[…]
DÉFENDEUR:
LA SOCIETE LCL- LE CREDIT LYONNAIS 18 rue de la République,
69002 LYON,
représentée par M^e COAT Julian, avocat au barreau de PARIS
[…]
COMPOSITION DU TRIBUNAL :
Président : Philippe CHAMBARD Greffier lors des débats : Christine MOCEK
Greffier lors du délibéré : Elodie ERNY
DÉBATS :
Audience publique du : 3 avril 2025 mis en délibéré au 28 mai 2025 date indiquée à l’issue des débats prorogé au 17 juin 2025
JUGEMENT :
contradictoire, en dernierressort, prononcé publiquement par mise à disposition au greffe
1 9 JUIN 2025 Copie exécutoire délivrée le : à M^e EL-ALAMI
Copie conforme délivrée le : 1 9 JUIN 2025 à M^e COAT
1

---

EXPOSE DU LITIGE
Madame Y X est titulaire d’un compte bancaire ouvert auprès de la société anonyme LE CREDIT LYONNAIS (ci-après SA LCL), à l’agence de […].
Les 20 et 21 mars 2024, quatre prélèvements ont été opérés de son compte courant pour un montant total de 4 112 euros en direction du site marchand «< BitgetMultiexchange >>.
Le 21 mars 2024 Madame X a fait opposition à sa carte Visa Premier associé à son
compte courant.
Le même jour Madame X a avisé sa conseillère bancaire de ce que son compte aurait été piraté et qu’elle n’était pas à l’origine de ces opérations.
Le 25 mars 2024, Madame X a effectué un signalement en ligne à la Gendarmerie nationale visant les quatre opérations susvisées et le 22 mai suivant elle a déposé une plainte au commissariat de police de Bondy pour escroquerie.
Le 26 mars 2024, Madame X a sollicité de sa banque le remboursement des sommes prélevées sur son compte correspondant aux quatre opérations contestées.
Par un message en réponse du 28 mars 2024, la SA LCL lui indiquait qu’après vérification, il apparaissait qu’elle avait autorisé les opérations concernées et elle ajoutait ne pouvoir donner de suite favorable à sa demande.
Par courrier recommandé avec accusé de réception du 19 avril 2024, Madame X a réitéré sa demande de remboursement auprès de la SA LCL.
Par acte de commissaire de justice du 27 septembre 2024, Madame X a fait assigner la
SA LCL devant le juge des contentieux de la protection du tribunal judiciaire de Villejuif afin de voir, au visa des articles L 133-3 à L 133-6 et L 133-18 à 1.133-24 du code monétaire et financier, 123 1-1 du code civil, 700 du code de procédure civile et sous le bénéfice de
l’exécution provisoire :
- condamner la SA LE CREDIT LYONNAIS au paiement de la somme de 4 112 euros au titre du montant résiduel de la fraude ;
- condamner la SA LE CREDIT LYONNAIS au paiement d’une somme de 3 000 euros de dommages et intérêts au titre des préjudices subis par Madame X ;
- rappeler que l’exécution provisoire est de droit;
- condamner la SA LE CREDIT LYONNAIS à lui payer la somme de 1 200 euros au titre de
l’article 700 du code de procédure civile ;
- condamner la SA LE CREDIT LYONNAIS aux entiers dépens.
Aux termes de ses dernières écritures oralement soutenues à l’audience, Madame X reprend les mêmes demandes que celles contenues dans son assignation, sauf à abandonner sa demande tendant à voir :
- condamner la SA LE CREDIT LYONNAIS au paiement d’une somme de 3 000 euros de dommages et intérêts au titre des préjudices subis.
Au soutien de ses demandes, elle fait valoir, à titre principal, que le système d’authentification forte dont se prévaut la SA LCL était insuffisant et que cette dernière ne justifie pas de l’envoi

---

de message individualisé permettant de valider les opérations en amont depuis un appareil de confiance, que la SA LCL ne démontre pas l’absence de déficience technique et ne produit pas d’attestation d’un expert informatique sur le caractère fiable de son système pour la période concernée.
Madame X ajoute avoir déposé plainte dès la découverte des opérations contestées et avoir prévenu sa conseillère, qu’elle n’était pas chez elle mais au travail au moment où les opérations ont été réalisées et qu’il lui était donc impossible de se connecter depuis son mobile sur le Wifi de son domicile avec son adresse IP et qu’en outre il apparaît que son téléphone portable a été piraté avec l’ensemble de ses données personnelles.
Madame X ajoute, qu’en tout état de cause, la SA LCL ne démontre pas sa fraude ou sa négligence alors que ses données personnelles ont été utilisées sans qu’elle ait concouru à leur divulgation et qu’elle n’a jamais reçu ni validé aucune notification de la part de la SA LCL préalable pourtant nécessaire à la validation des paiements contestés.
A titre subsidiaire, Madame X soutient que la SA LCL a manqué à son devoir de vigilance en ce qu’elle n’a pas pris attache avec elle pour lui demander confirmation des différents ordres de paiement, alors que ces opérations étaient importantes au regard de ses ressources et qu’en outre la Société Bitget figure sur la liste noire des sites reconnus comme frauduleux par l’Autorité des Marchés Financiers (AMF).
Aux termes de ses dernières écritures oralement soutenues à l’audience, la SA LE CREDIT
LYONNAIS sollicite de voir :
- rejeter les demandes présentées par Madame X ;
- condamner Madame X à lui payer la somme de 1 200 euros au titre de l’article 700 du code de procédure civile;
- condamner Madame X aux entiers dépens.
Au soutien de ses demandes et à titre principal, elle fait valoir que, conformément aux article L
133-4 et suivants du code monétaire et financier, elle a mis en place une procédure
d’authentification forte à double facteur répondant aux exigences de la directive 2015/2366 sur les services de paiement et de l’article L 133-4 du code monétaire et financier. Elle ajoute que les opérations contestées ont bien été authentifiées au moyen de deux facteurs : le facteur de connaissance, à savoir l’usage du code personnel et le facteur de possession, à savoir l’usage du téléphone portable de Madame X a enregistré comme «< appareil de confiance, de sorte que seule une action délibérée ou une négligence grave peut permettre les opérations. La
SA LCL précise que Madame X a parallèlement et dans un temps très rapproché aux quatre opérations contestées, effectué quatre autres virements avec son « Appareil de confiance » qu’elle ne conteste pas et que de ce fait il convient de déduire qu’elle a donc nécessairement autorisé les opérations contestées en appuyant sur le bouton < valider
l’opération » de son «< appareil de confiance » et qu’elle n’apporte pas la preuve d’un piratage. A titre subsidiaire, la SA LCL indique que Madame X a commis des négligences graves pour préserver la sécurité de ses données personnelles, dès lors que les opérations ont été validées à partir de son «< appareil de confiance » via son code personnel et qu’elle était avisée en amont de chacune de ces opérations de paiement. De sorte que si ce n’est pas Madame
X qui a réalisé ces opérations, elle a été négligente dans la protection de ses données puisque le tiers fraudeur a nécessairement eu accès à son code personnel et à son téléphone.

---

Enfin elle ajoute que dès le 20 mars Madame X était en mesure de relever la première opération litigieuse ce qui aurait dû la conduire à changer sans délai d'«< appareil de confiance >> alors même qu’elle n’a changé de téléphone que le 3 juillet 2024.
A l’issue de l’audience du 3 avril 2025, la décision a été mise en délibéré au 28 mai 2025, puis prorogée au 17 juin 2025.
MOTIFS DE LA DECISION
^I. Sur la demande de remboursement des sommes prélevées sur le compte
Il résulte de l’article L.133-16 du code monétaire et financier que :
< Dès qu’il reçoit un instrument de paiement, l’utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées. Il utilise l’instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation qui doivent être objectives, non discriminatoires et proportionnées. »
Par ailleurs, conformément à l’article L.133-19 du code monétaire et financier, en cas
d’opération de paiement non autorisée signalée par l’utilisateur, la banque doit rembourser immédiatement le montant de l’opération litigieuse, sauf si elle établit que celle-ci a été autorisée ou que l’utilisateur a agi frauduleusement ou avec une négligence grave.
Par ailleurs, l’authentification forte ne constitue qu’une présomption simple de consentement, laquelle peut être renversée par la démonstration d’un stratagème frauduleux ayant vicié le consentement de l’utilisateur.
Aux termes de l’article L 133-23 du code monétaire et financier, lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre.
L’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière.
Il est constant que s’il appartient à l’utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d’informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l’instrument de paiement ou des données qui lui sont liées, c’est à ce prestataire qu’il incombe de rapporter la preuve que :
L’opération a bien été authentifiée, dûment enregistrée et comptabilisée, sans déficience technique ou autre;
L’utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou
n’a pas satisfait intentionnellement ou par négligence grave à ses obligations ; que cette preuve ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisées.
En l’espèce, la SA LCL qui affirme avoir mis en place une authentification forte et que Madame
X a autorisé les opérations litigieuses puisqu’elles ont été passées depuis son téléphone

---

portable < appareil de confiance » se contente de produire :
Un relevé de compte de Madame X faisant état des traces d’activités de son compte courant pour la période du mois de mars 2024 et qui reprend le montant des opérations concernées, sans davantage de précision ; Des extraits du système de contrôle d’Accès de la Banque qui montrent que les quatre
-
opérations concernées ont été autorisées via un Iphone ;
L’historique des opérations.
-
Ainsi, il ressort seulement de ces éléments et notamment du relevé de compte du mois arrêté au
2 avril 2024 auquel est rattaché la carte de paiement concernée que quatre opérations autorisées via un téléphone portable ont donné lieu à quatre versements au profit de BitgetxMultiexchange, à savoir :
- le premier d’entre eux pour un montant de 72 euros, le 20 mars 2024,
- Les trois autres pour des montants de 240 euros, 2 600 euros et 1 200 euros le 21 mars 2024.
Or, il est établi et non contesté que Madame X a, dès le 21 mars 2024, avisé sa conseillère et contesté les opérations litigieuses auprès de la banque, fait opposition à sa carte Visa Premier associée à son compte courant et formalisé un signalement en ligne auprès de la
Gendarmerie Nationale complété par la suite d’un dépôt de plainte pour des faits d’escroquerie.
Madame X a notamment déclaré que sa carte ne lui avait pas été volée
Ce faisant, si la SA LCL démontre que les opérations en cause ont été manifestement validées par le code PIN attribué à la carte de paiement que Madame X avait en sa possession, dûment enregistrées et comptabilisées, la SA LCL ne produit pas les messages SMS qui auraient été adressés à Madame X les 20 et 21 mars 2024 pour valider les opérations litigieuses, depuis son < appareil de confiance » et qui demande au destinataire de saisir le code de sécurité pour validation. La SA LCL se contente de communiquer des photos types du processus de validation en amont d’une opération via un «< appareil de confiance >>.
Ces éléments sont insuffisants pour permettre de considérer que les opérations litigieuses ont bien été authentifiées par la SA LCL et que Madame X aurait effectivement validé lesdites opérations en saisissant son code de sécurité demandé par un message de la banque.
En outre, elle échoue à démontrer que Madame X aurait divulgué à un tiers, de manière intentionnelle, par imprudence ou par négligence grave, des éléments d’identification strictement confidentiels ayant permis les opérations contestées, étant par ailleurs fait observer
que :
- Madame X justifie avoir été très rapidement réactive en formulant une contestation, en faisant opposition à sa carte bancaire et en déposant plainte au titre de ces opérations de paiement dès le 21 mars 2024, de sorte qu’il ne peut lui être reproché de n’avoir changé
d'< appareil de confiance » que le 3 juillet 2024 ni d’avoir dans un temps très rapproché aux quatre opérations contestées, effectué quatre autres virements qu’elle ne conteste pas;
- La présentation < sérielle » des paiements’ contestés sur le relevé de compte produit est suspecte, notamment en ce qui concerne les paiements en date du 21 mars 2024, qui sont tous réalisés à la suite et qui ont tous été réalisés au profit d’un même bénéficiaire, à savoir
BitgetMultiexchange.

---

Dans ces conditions, il convient de faire droit à la demande de Madame X et de condamner la SA LCL à lui payer la somme de 4 1 12 euros au titre des opérations non autorisées par lui.
Il n’y a pas lieu, dans ces conditions, d’examiner si la SA LCL a manqué à son devoir de vigilance et de surveillance.
Sur les demandes accessoires
En application de l’article 696 du code de procédure civile, la SA LCL qui succombe à la présente instance sera condamnée aux dépens.
Par ailleurs, en application de l’article 700 du code de procédure civile, elle sera condamnée à payer à Madame X la somme de 1 200 euros au titre de l’article 700 du code de
procédure civile.
Enfin, en application de l’article 5 14 du code de procédure civile, le présent jugement est assorti de l’exécution provisoire de droit.
PAR CES MOTIFS
Le juge des contentieux de la protection, statuant après débats tenus en audience publique, par décision contradictoire, rendue en dernier ressort, et par mise à disposition au greffe,
CONDAMNE la société anonyme LE CREDIT LYONNAIS à payer à Madame Y
X la somme de 4 1 12 euros au titre d’opérations non autorisées du 20 et 21 mars 2024 depuis le compte n° 0000022151U dont elle est titulaire auprès d’elle ;
CONDAMNE la société anonyme LE CREDIT LYONNAIS à payer à Madame Y X la somme la somme de 1 200 euros au titre de l’article 700 du code de procédure
civile ;
REJETTE la demande présentée à ce même titre par la société anonyme LE CREDIT
LYONNAIS ;
CONDAMNE la société anonyme LE CREDIT LYONNAIS aux dépens de l’instance ;
RAPPELLE que le présent jugement est assorti de l’exécution provisoire de droit.
Le Greffier Le Président
EN CONSÉQUENCE, LA RÉPUBLIQUE FRANÇAISE
E DE CRE Mande et Ordonne
A tous Huissiers de justice. sur ce requis. de mettre la présente décision à exécution.
Aux Procureurs Généraux et aux Procureurs de la République WIR près les Tribunaux Judiciaires d’y tenir la main.
A tous Commandants et Officiers de la Force Publique
e prêter main-forte lorsqu’ils en seront légalement requis.
Extrait des minutes. certifié conforme.
P/ Le directeur des services de greffe judiciaires