Logo pappers Justice

Tribunal judiciaire de Paris, 24 juin 2026, 25/00972

Mots clés
Droit des affaires • Banque - Effets de commerce • Autres actions en responsabilité exercées contre un établissement de crédit • banque • preuve • prestataire • remboursement • remise • préjudice • retrait

Synthèse

Voir plus

Résumé

Vous devez être connecté pour pouvoir générer un résumé.
Partie demanderesse
Partie défenderesse
Personne physique anonymisée
défendu(e) par DESVEAUX Aurélia

Suggestions de l'IA

Texte intégral

TRIBUNAL JUDICIAIRE DE [Localité 1] [1] [1] Expéditions délivrées le: à Me DESVEAUX Me GOSSET ■ 9ème chambre 2ème section N° RG 25/00972 - N° Portalis 352J-W-B7J-C63AT N° MINUTE : Assignation du : 21 Janvier 2025 JUGEMENT rendu le 24 Juin 2026 DEMANDEUR Monsieur [M] [Q] [Adresse 1] [Localité 2] représenté par Maître Aurélia DESVEAUX, avocat au barreau de VAL-DE-MARNE, vestiaire #PC130 DÉFENDERESSE S.A. BRED BANQUE POPULAIRE [Adresse 2] [Localité 3] représentée par Maître Jean-Philippe GOSSET de la SELEURL CABINET GOSSET, avocats au barreau de PARIS, vestiaire #B0812 Décision du 24 Juin 2026 9ème chambre 2ème section N° RG 25/00972 - N° Portalis 352J-W-B7J-C63AT COMPOSITION DU TRIBUNAL Gilles MALFRE, 1er Vice-Président adjoint Augustin BOUJEKA, Vice-Président Alexandre PARASTATIDIS, Juge assistés de Diane FARIN, Greffière. DÉBATS A l'audience du 27 mai 2026 tenue en audience publique devant Alexandre PARASTATIDIS, juge rapporteur, qui, sans opposition des avocats, a tenu seul l'audience, et, après avoir entendu les conseils des parties, en a rendu compte au Tribunal, conformément aux dispositions de l'article 805 du Code de Procédure Civile. Avis a été donné aux avocats que la décision serait rendue le 24 juin 2026. JUGEMENT Rendu publiquement par mise à disposition au greffe Contradictoire En premier ressort

FAITS ET PROCEDURE

Exposant avoir été victime d'une escroquerie de type " spoofing " au cours d'un appel reçu le 30 juin 2022 d'un faux conseiller bancaire lui faisant croire qu'il était en ligne avec le service anti-fraude de la SA Bred Banque populaire coopérative (ci-après " la Bred "), M. [M] [Q] a contesté trois opérations de retrait effectuées dans un distributeur automatique de billets le même jour, pour un montant total de 7.000 euros, avec la carte bancaire liée à son compte courant ouvert dans les livres de cet établissement qu'il avait remise à un tiers sur instructions du fraudeur qui prétextait l'urgence de procéder au remplacement de cet instrument de paiement en raison d'opérations de fraude en cours. Le 1er juillet 2022, M. [Q] a déposé une plainte auprès du commissariat de police des [Localité 4] [Localité 5]. Le 4 juillet 2022, il a adressé un formulaire de contestation à la banque, laquelle lui a notifié son refus de procéder au remboursement. Les échanges précontentieux et une tentative de médiation n'ont pas abouti à une résolution amiable du litige. C'est dans ce contexte que, par exploit de commissaire de justice du 21 janvier 2025, M. [Q] a fait assigner la Bred aux fins d'obtenir sa condamnation à le rembourser de ses préjudices matériel et moral. Aux termes de ses dernières conclusions signifiées par voie électronique le 10 février 2026, aux visas des articles L.133-6 et L.133-19 du code monétaire et financier, il est demandé au tribunal de: " JUGER que les retraits sur distributeur automatique de billets réalisés le 30 juin 2022 ne correspondent pas à des opérations bancaires autorisées par Monsieur [Q], qui n'en a pas été l'initiateur, n'en ayant ni frappé le code, ni le montant, sur le clavier du distributeur ; JUGER que la détention par un tiers d'informations bancaires personnelles et confidentielles que seule la banque pouvait détenir telles que celles figurant sur un relevé bancaire a légitimement engendré un excès de confiance chez un client normalement averti; et ce, même si le numéro de téléphone de la banque n'était pas apparu sur le téléphone du client, JUGER que la BRED échoue à prouver avoir valablement informé ses clients de l'apparition sur leur espace personnel du site internet de la BRED de leur code secret à 4 chiffres de carte de crédit, dès lors, la banque ne démontre pas un manquement intentionnel de M. [Q] à la préservation de la sécurité de ses données, JUGER qu'aucune négligence fautive ne peut être imputée à M. [Q], qui ne savait pas que transmettre son identifiant d'accès équivalait à révéler son code confidentiel de carte de crédit ; JUGER que sans la connaissance de ces codes confidentiels de carte de Crédit, le fraudeur n'aurait pu commettre son méfait, En conséquence, JUGER que Monsieur [Q] n'a pas commis de négligence grave, JUGER que la responsabilité de l'établissement bancaire est engagée, CONDAMNER la société Bred à payer à Monsieur [Q] la somme de 7 000 € au titre de son préjudice financier, CONDAMNER la société Bred à payer à Monsieur [Q] la somme de 1 500 € au titre de son préjudice moral, CONDAMNER la société Bred à payer à Monsieur [Q] la somme de 3 500 € au titre de l'article 700 du code de procédure civile ainsi qu'en tous les dépens, en ce compris les frais d'huissiers déboursés par M. [Q] dans le cadre de cette affaire. " Par dernières conclusions signifiées le 26 janvier 2026, aux visas des articles 1103, 1104 et 1231-1 du code civil, et L.133-6 et L.133-16 du code monétaire et financier, la Bred demande au tribunal de : " RECEVOIR la BRED BANQUE POPULAIRE en ses conclusions, l'y déclarant bien fondée ; JUGER que Monsieur [Q] a fait preuve d'une négligence grave de nature à exonérer la BRED BANQUE POPULAIRE de toute éventuelle responsabilité à son encontre ; JUGER en conséquence que la BRED BANQUE POPULAIRE n'a commis aucun manquement légal ou contractuel de nature à engager sa responsabilité à l'encontre de Monsieur [Q] ; DEBOUTER Monsieur [Q] de l'intégralité de ses demandes, fins et prétentions ; CONDAMNER Monsieur [Q] à verser à la BRED BANQUE POPULAIRE la somme de 2.000 euros au titre des dispositions de l'article 700 du Code de Procédure Civile ; CONDAMNER Monsieur [Q] aux entiers dépens. " Conformément aux dispositions de l'article 455 du code de procédure civile, il est renvoyé aux dernières écritures des parties pour l'exposé des moyens et arguments venant au soutien de leurs demandes. La clôture de l'instruction a été prononcée le 1er avril 2026. L'affaire a été évoquée à l'audience de plaidoiries tenue en juge rapporteur du 27 mai 2026 et mise en délibéré au 24 juin 2026.

MOTIFS

DE LA DÉCISION Il est rappelé, à titre liminaire, qu'il n'y a pas lieu de statuer sur les demandes de " dire/juger " ou " Constater " qui ne constituent pas des prétentions susceptibles d'entraîner des conséquences juridiques au sens de l'article 4 du code de procédure civile, mais uniquement la reprise des moyens développés dans le corps des conclusions, et qui ne doivent pas, à ce titre, figurer dans le dispositif des écritures des parties. Par ailleurs, en application de l'article 768 du code de procédure civile, la juridiction n'est tenue de statuer que sur les prétentions énoncées au dispositif et n'examine les moyens au soutien de ces prétentions que s'ils sont invoqués dans la discussion. 1 - Sur l'obligation de remboursement M. [Q] expose avoir été contacté téléphoniquement par un prétendu conseiller de la Bred qui, en possession d'informations confidentielles telles son état civil et les dernières opérations bancaires effectuées sur son compte, l'a convaincu de lui transmettre les six chiffres de l'identifiant donnant accès à son espace en ligne aux fins de faire opposition à de prétendus virements frauduleux en cours ainsi que de remettre ses cartes de paiement à un coursier en vue d'accélérer une prétendue procédure de changement de cartes. Revendiquant la qualité de victime d'une escroquerie de type spoofing, laquelle est selon lui caractérisée même en l'absence de présentation trompeuse d'un numéro de téléphone, il conteste avoir consenti aux opérations litigieuses qui doivent être qualifiées de non autorisées. Invoquant à son profit l'arrêt rendu par la Cour de cassation le 23 octobre 2024 (n°23-16.267) qui, dans un cas similaire, a considéré que l'existence d'une négligence grave ne pouvait être déduite du seul comportement du client victime de spoofing, il fait valoir que l'excès de confiance dont il a fait preuve est excusée par la sophistication des manœuvres frauduleuses qui étaient difficilement détectables. Il soutient que la défenderesse ne rapporte pas la preuve de sa négligence grave et, qu'au contraire, cette dernière est fautive en ce qu'elle ne l'a pas informé de la mise en place de la consultation de son code confidentiel sur son espace en ligne, les conditions générales versées aux débats qui sont postérieures aux faits litigieux, étant sans force probante sur ce point. Il soutient dès lors qu'il ne pouvait pas avoir conscience que la communication de son identifiant, en plus de donner accès à son espace en ligne, permettrait au fraudeur de consulter le code confidentiel à quatre chiffres lié à sa carte bancaire. Il conclut également à une nécessaire fuite de données du système de la banque qui expliquerait que le fraudeur avait connaissance d'informations confidentielles le concernant, lesquelles ont rendu vraisemblable le discours de son interlocuteur et donc contribué à abaisser son niveau de vigilance. Enfin, il soutient que la remise d'une carte ne constitue pas, par principe, un manquement aux obligations prévues à l'article L.133-16 du code monétaire et financier dans le contexte de spoofing qu'il décrit où ses capacités de vigilance ont été neutralisées, précisant que ce type d'escroquerie n'était pas identifié à l'époque. Il ajoute que la défenderesse ne rapporte pas la preuve d'une information suffisante auprès de sa clientèle sur ce risque dès lors que les avertissements qu'elle produits sont postérieurs aux faits litigieux. Il soutient ainsi ne pas avoir fait preuve de naïveté blâmable mais au contraire avoir eu une attitude raisonnable en demandant en début de conversation à son interlocuteur de décliner des informations confidentielles, en relevant le nom du coursier (" Mme [J] ") et en réagissant immédiatement par une prise de contact avec son banquier dans le quart d'heure suivant la remise. Il estime que la seule remise de la carte n'a permis que partiellement la réalisation du préjudice, soutenant que les retraits n'auraient pas eu lieu si le fraudeur n'avait pas eu connaissance du code confidentiel, ce qui est imputable à la banque qui ne l'avait pas informé de la mise à disposition de cette information sur son espace en ligne. Il affirme qu'en effet, il n'aurait jamais communiqué son identifiant s'il avait eu conscience que le fraudeur pouvait accéder à cette information. Il conclut en conséquence à l'obligation pour la défenderesse de lui rembourser le montant des opérations litigieuses. Il sollicite également l'indemnisation de son préjudice moral résultant de la résistance abusive opposée par la banque qu'il évalue à la somme de 1.500 euros. En réplique, la Bred soutient que M. [Q] a été victime dans un premier temps d'un " phishing " (hameçonnage) puis d'une escroquerie dite " au faux coursier " et qu'à cette occasion le demandeur a fait preuve d'une négligence grave de nature à l'exonérer de toute obligation de remboursement en ce que : - Il n'a pas été alerté par le fait que le prétendu conseiller l'appelait depuis un numéro de téléphone mobile (06 XX XX XX 16) ne correspondant pas, en toute hypothèse, à un numéro de sa banque ; - Il a remis intentionnellement ses cartes bancaires à un tiers en méconnaissance totale des pratiques et protocoles de sécurité habituels des établissements bancaires ; - Il a transmis des informations confidentielles, à savoir son identifiant de connexion à son espace en ligne, au fraudeur qui a pu ainsi accéder au code confidentiel de sa carte bancaire, lequel est accessible via l'espace personnel en cas d'oubli, comme l'indique son site internet et les conditions générales de la carte bancaire qu'elle produit ; - Il ne peut se prévaloir de l'arrêt du 23 octobre 2024 rendu par la Cour de cassation dans un cas de spoofing, en ce qu'il n'a pas été trompé par une présentation trompeuse d'un numéro, soutenant par ailleurs que cette décision ne pose pas le principe d'un lien d'automaticité entre le spoofing, en l'espèce non démontré, et l'exclusion de la négligence grave du client, mais invite à une appréciation des circonstances précises de l'espèce. Faisant valoir qu'il n'est pas contesté que les opérations de retrait ont été réalisées avec la carte bancaire du demandeur et la composition du code confidentiel, elle affirme que celles-ci ont été authentifiées et qu'en l'absence de manquement contractuel imputable à ses services, sa responsabilité ne peut être engagée. Sur ce, Une opération de paiement n'est autorisée au sens des articles L.133-3 et L.133-6 du code monétaire et financier que si le payeur l'a initiée et a consenti au montant de l'opération et au bénéficiaire. En cas d'opération de paiement non autorisée signalée par l'utilisateur dans les délais prévus par l'article L.133-24 du même code, le prestataire de services de paiement du payeur rembourse à ce dernier le montant de l'opération non autorisée, sauf s'il a de bonnes raisons de soupçonner une fraude de l'utilisateur du service de paiement. Dans cette hypothèse, il incombe au prestataire de paiement de prouver que l'opération litigieuse a été effectuée après une authentification forte, dûment enregistrée et comptabilisée et qu'elle n'a pas été affectée par une déficience technique ou autre, l'utilisation de l'instrument de paiement telle qu'enregistrée par le prestataire de services de paiement, à savoir l'utilisation des identifiants du client et l'absence de déficience technique ou autre, notamment par le biais de la production d'un relevé de ses connexions, ne suffisant pas nécessairement en tant que telle à prouver que l'opération a été autorisée par le payeur. Par ailleurs, la responsabilité du payeur n'est pas engagée si l'opération de paiement non autorisée a été effectuée en détournant, à son insu, l'instrument de paiement ou les données qui lui sont liées. Cependant, il supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d'agissements frauduleux de sa part ou s'il n'a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L.133-16 et L.133-17 du code précité. Ainsi, pour échapper au remboursement de l'opération, le prestataire de services de paiement doit démontrer, soit que l'ordre émanait bel et bien du client dûment authentifié dans son espace personnel, soit que le vol des identifiants de connexion (ou d'autres données) n'est que la conséquence d'une faute grave de sa part consistant à ne pas avoir satisfait intentionnellement aux obligations lui incombant en la matière ou à les avoir gravement négligées. Enfin, dès lors que la responsabilité d'un prestataire de services de paiement est recherchée en raison d'une opération de paiement non autorisée ou mal exécutée, seul est applicable le régime de responsabilité défini aux articles L.133-18 à L.133-24 du code monétaire et financier qui transposent les articles 58, 59 et 60, § 1, de la directive 2007/64/CE, tout autre régime alternatif de responsabilité résultant du droit national devant être écarté. En l'espèce, il est constant que les retraits contestés doivent être qualifiés d'opérations non autorisées au sens des articles précités, lesquelles ont été effectuées dans un contexte frauduleux relaté par M. [Q] que ne discute pas la banque. En revanche, la Bred invoque une négligence grave de son client pour s'exonérer de l'obligation de remboursement pesant sur les prestataires de services de paiement pour cette catégorie d'opérations. Il lui incombe dès lors de démontrer, d'une part, que les retraits en litige ont été authentifiés, dûment enregistrés et comptabilisés et que son système n'a pas été affecté d'une déficience technique et, d'autre part, que l'utilisateur a commis une négligence grave. Il est tout d'abord rappelé qu'il convient uniquement pour la banque de rapporter la preuve de l'authentification pour les seules opérations de paiement ou retrait dont le remboursement est sollicité et non pour les actes préparatoires à ces opérations, tels l'accès à l'espace en ligne de l'utilisateur ou la modification des plafonds. S'agissant de l'authentification d'une opération de paiement ou de retrait au moyen d'une carte de paiement, elle est rendue effective par l'usage combiné de l'instrument physique et la composition du code confidentiel, tantôt sur un terminal de paiement dédié, tantôt sur un distributeur automatique de billets de banque ou un guichet automatique de prestation de services de paiement. En l'espèce, il n'est pas contesté que l'ensemble des opérations en litige a été effectué au moyen de la carte de paiement de M. [Q] alors qu'il l'avait remise quelques instants plus tôt à un coursier, ce qui résulte de sa plainte et des explications fournies dans le cadre des échanges avec la banque. De plus, aucune des parties ne discute le fait que le fraudeur a eu accès à l'espace en ligne de M. [Q], ce dernier reconnaissant avoir communiqué son identifiant à son espace en ligne depuis lequel le code confidentiel lié à sa carte bancaire a pu être consulté par le tiers. A cet égard, la banque verse aux débats les traces informatiques des trois opérations litigieuses. Ces certificats doivent être regardés comme un commencement de preuve par écrit au sens des dispositions de l'article 1361 du code civil (Cass. Com., 30 avril 2025, n°24-13.663), à corroborer par des éléments extérieurs. Un élément extérieur peut tenir, en l'espèce, dans des éléments figurant dans la plainte déposée par le payeur (Cass. Com., 30 avril 2025, n°24-13.663). Ces données confirment que les opérations dont le remboursement est sollicité ont bien été réalisées au moyen de la présentation physique de la carte bancaire de M. [Q] avec la composition du code confidentiel lié à cet instrument de paiement. Les opérations litigieuses doivent dès lors être considérées comme ayant été authentifiées, les relevés de compte produits attestant par ailleurs de leur enregistrement et de leur comptabilisation. Dès lors qu'il est démontré le respect de la procédure d'authentification, M. [Q] ne saurait utilement soutenir sans en rapporter la preuve que le système de paiement de la Bred a été affecté d'une déficience technique. Cependant, il ne peut se déduire du seul fait que l'instrument de paiement et/ou les données personnelles qui lui sont liées ont été effectivement utilisés qu'en l'espèce M. [Q] a autorisé les paiements et retrait contestés dès lors que ce dernier a été trompé dans le cadre de la fraude qu'il dénonce et n'a pas ainsi consenti à la nature de ces opérations. Or, en présence d'opérations non autorisées au sens des articles L.133-3 et L.133-6 du code monétaire et financier, il convient de rechercher si le demandeur peut se voir reprocher une négligence grave au sens des articles L.133-16 et suivants du code monétaire et financier faisant obstacle à son droit à indemnisation, étant rappelé que le régime de responsabilité s'appliquant aux opérations non autorisées énoncé par ces articles est exclusif de tout autre régime de responsabilité, notamment sur le fondement d'un manquement à l'obligation générale de vigilance. Ainsi, s'il appartient à l'utilisateur de services de paiements de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d'informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l'instrument de paiement ou des données qui lui sont liées, c'est au prestataire qu'il incombe de rapporter la preuve que l'utilisateur a agi frauduleusement ou n'a pas satisfait intentionnellement ou par négligence grave à ses obligations. Là encore, cette preuve ne peut se déduire du seul fait que l'instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés. Au cas particulier, si M. [Q] revendique la qualité de victime de la technique dite de " spoofing ", il reconnaît que le fraudeur l'a contacté à partir d'une ligne mobile et non fixe. Il ne soutient pas par ailleurs que la présentation du numéro de téléphone correspondait à celui d'un service de sa banque. Il résulte de ces éléments que M. [Q] ne rapporte pas la preuve d'avoir été victime d'une fraude selon la technique dite du spoofing dont la caractéristique principale est la présentation trompeuse d'un numéro de téléphone pour induire en erreur la victime sur la qualité de son interlocuteur. Il ne saurait dès lors invoquer à son profit la solution retenue par la chambre commerciale de la Cour de cassation le 23 octobre 2024 (Cas. Com., n° n°23-16.267), laquelle n'énonce nullement le principe d'une exonération de plein droit de la victime d'un tel stratagème. Ce n'est donc que sur les seules déclarations de son correspondant que M. [Q] a considéré qu'il était en contact avec sa banque et il ne peut donc être retenu que sa vigilance a légitimement été diminuée lors d'un échange téléphonique dont la durée qu'il estime à une heure et demi constituait déjà un indice de fraude, l'alerte donnée à un client et la mise en opposition d'une carte ne justifiant pas un appel d'une telle durée. De plus, il résulte de la relation des faits par le demandeur dans sa plainte et ses écritures que celui-ci a remis ses cartes bancaires, dont celle utilisée pour les opérations contestées, dans des circonstances qui auraient dû nécessairement l'alerter sur la fausse qualité de son interlocuteur, l'envoi d'un coursier pour récupérer ses instruments de paiement ne pouvant correspondre à une procédure régulière d'un établissement bancaire. En effet, dès lors que M. [Q] pensait avoir fait opposition à ses cartes, aucun motif ne justifiait que la banque se fasse remettre en urgence les instruments de paiement. M. [Q] ne pouvait, sans manquer aux obligations lui incombant relativement à l'utilisation de sa carte de paiement, remettre cet instrument à un tiers alors qu'il en avait l'usage exclusif et qu'aucun établissement bancaire n'agit de la sorte. Si le demandeur invoque un manquement de l'établissement bancaire à son obligation d'information et de mise en garde contre ce type d'escroquerie, un tel défaut d'information, à le supposer établi, ne saurait l'exonérer de sa faute. L'imprudence manifeste, consistant à se déposséder de son instrument de paiement au profit d'un inconnu, constitue en effet la cause exclusive et déterminante du dommage. Par conséquent, l'absence de campagnes d'information spécifiques par la banque ne saurait dispenser le titulaire du compte de l'obligation de vigilance élémentaire qui lui incombe, ni exonérer ce dernier des conséquences de sa propre légèreté. Au surplus, la communication des identifiants donnant accès à son espace en ligne caractérise également un manquement grave à l'obligation légale de préserver les données de sécurité personnalisées prévue par l'article L.133-16 du code monétaire et financier. Si la banque ne rapporte pas la preuve de la date à laquelle le service de consultation du code confidentiel lié à la carte bancaire a été mis en place ni celle à laquelle elle aurait personnellement informé son client, il n'en reste pas moins que M. [Q] ne saurait raisonnablement soutenir que l'accès donné au fraudeur à son espace en ligne aurait été sans conséquence au regard des informations confidentielles accessibles sur cet espace et des opérations qui peuvent être initiées depuis ce dernier, notamment les achats en ligne avec les informations portées sur la carte bancaire (numéro de carte, date d'expiration et cryptogramme) qu'il a remise au coursier. Une telle remise s'analyse en une négligence grave au sens de l'article L.133-19 IV en ce qu'elle a permis la réalisation des opérations frauduleuses, lesquelles n'auraient pu être effectuées sans la présentation physique de la carte, et exclut toute responsabilité du prestataire de paiement, en l'espèce la Bred, laquelle est dès lors fondée à ne pas procéder au remboursement des sommes débitées. En conséquence, M. [Q] est débouté de ses demandes, en ce compris celle formée au titre du préjudice moral résultant de la résistance abusive de la banque qui n'est pas caractérisée du fait de l'exonération retenue. 2 - Sur les autres demandes 2.1 - Sur les frais du procès M. [Q] qui succombe est condamné aux dépens ainsi qu'à payer à la défenderesse la somme de 1.500 euros sur le fondement de l'article 700 du code de procédure civile. 2.2 - Sur l'exécution provisoire La présente décision est revêtue de droit de l'exécution provisoire conformément aux dispositions de l'article 514 du code de procédure civile dans sa version applicable en l'espèce, l'instance ayant été introduite postérieurement au 31 décembre 2019.

PAR CES MOTIFS

Le tribunal, statuant publiquement, contradictoirement et en premier ressort, par mise à disposition au greffe, DEBOUTE M. [M] [Q] de ses demandes ; CONDAMNE M. [M] [Q] aux dépens ; CONDAMNE M. [M] [Q] à payer à la SA Bred banque populaire la somme de 1.500 euros sur le fondement de l'article 700 du code de procédure civile. Fait et jugé à [Localité 1] le 24 juin 2026. LA GREFFIÈRE LE PRÉSIDENT

Commentaires sur cette affaire

L'accès aux commentaires est réservé aux utilisateurs premium.
Note...