l faut souligner, dans le domaine de la fraude au faux conseiller bancaire, deux décisions récentes de la Cour d’appel de Paris, qui sont favorables aux victimes de ce type de fraude, aussi appelé spoofing, et qui suivent ainsi la lignée jurisprudentielle initiée par la Cour de cassation le 23 octobre 2024 (Cass. com., 23 octobre 2024, n° 23-16.267).

Les deux décisions rendues par la Cour d’appel de Paris le 22 mai 2025, concernent la Banque Populaire et la Société Générale.

Cet article étudiera la première décision (CA Paris, Pôle 4 Chambre 9a, 22 mai 2025, n° 24/02286 [1]), qui concerne la Banque Populaire.

Un autre billet sera rédigé ultérieurement concernant la seconde décision.

Dans les deux affaires, les victimes ont été contactées par une personne prétendant être employée du service de sécurité de la banque, qui leur a affirmé qu’ils étaient victimes d’une fraude et qu’il convenait d’effectuer rapidement des virements sur un nouveau compte bancaire sécurisé venant d’être ouvert à leur nom, afin de préserver leur compte des mouvements frauduleux.

Les victimes ont chaque fois fait le nécessaire pour alerter immédiatement leur établissement bancaire et ont déposé plainte.

En dépit d’une mise en demeure par l’intermédiaire de leur Conseil, les victimes n’ont toutefois pas obtenu de leur banque le remboursement des sommes détournées.

Dans ces conditions, celles-ci ont assigné leur établissement bancaire en vue de les voir condamnés à les rembourser du montant de la fraude dont ils ont été victimes à leur insu.

Dans l’affaire qui vise la Banque Populaire, une première décision avait été rendue en première instance par le Juge des contentieux de la protection du Tribunal judiciaire de Paris le 10 janvier 2024.

Le Juge y avait fait droit aux demandes de la victime, et avait ainsi condamné l’établissement bancaire à lui payer la somme de 4 012,72 euros en remboursement des opérations bancaires réalisées à son insu le 5 mars 2022, outre 300 euros sur le fondement de l’article 700 du Code de procédure civile et les dépens.

Le juge avait retenu que les circonstances de la fraude litigieuse résultaient de l’activation d’un lien ayant permis l’authentification de la victime, mais que celle-ci n’avait pas voulu s’authentifier, et au contraire voulait refuser des virements, pensant que c’était ce qu’elle faisait. Le tribunal en avait ainsi déduit à juste titre que la victime de la fraude bancaire n’avait jamais sciemment validé les paiements en question.

La Banque Populaire a interjeté appel de la décision rendue.

Motivation de la Banque Populaire.

La Banque faisait valoir que si le client peut contester avoir autorisé une opération de paiement et demander de la banque le remboursement de l’opération contestée, ce n’est qu’à la condition de ne pas avoir lui-même enfreint ses propres obligations tendant à une utilisation adéquate de son instrument de paiement et de ses données personnelles, que ce soit intentionnellement ou par négligence grave.

Elle affirmait en outre justifier de l’authentification, de l’enregistrement, de la comptabilisation et de l’absence de déficience technique des opérations litigieuses et soutenait qu’à l’inverse, la victime avait manqué par négligence grave à son obligation de préserver la sécurité de ses données confidentielles de sorte que la banque devait être exonérée de toute obligation de remboursement.

Elle soulignait notamment, dans cette espèce, les points suivants :

  • la conversation téléphonique de la victime avec le fraudeur présentait de très nombreuses et sérieuses anomalies manifestes de nature à permettre à un utilisateur de services de paiement normalement attentif de déceler la fraude qui se profilait,
  • l’appel a été reçu d’un numéro inconnu provenant d’une femme inconnue et non d’un des numéros de la banque,
  • le sms a été reçu sous la dénomination « Bpopulaire »,
  • le lien de connexion adressé n’est pas celui de la banque [2],
  • il existe une contradiction flagrante entre les sms reçus par la banque actant de la validation des demandes de virements et d’achats et ceux reçus par « Bpopulaire »,
  •  le contenu des messages reçus de « Bpopulaire » visant « Madame », puis «  Madame  » ou encore « Monsieur » présentait une mauvaise maîtrise de la langue française.

La banque prétendait encore qu’il ne s’agissait pas d’apprécier la volonté ou non du client de procéder aux opérations mais de déterminer s’il avait ou non volontairement validé l’opération, s’il avait pu avoir conscience du caractère frauduleux de l’appel téléphonique reçu et si, par conséquence, le fait d’avoir communiqué à un tiers des informations confidentielles ayant permis audit tiers de valider les paiements litigieux caractérisait un manquement, par négligence grave, aux obligations mentionnées à l’article L133-16 du Code monétaire et financier.

La motivation de la victime.

De son côté, la victime, au visa des dispositions des articles L133-23, L133-18, L133-19 et L133-44 du Code monétaire et financier, estimait qu’il appartenait à la banque de prouver que son client, qui niait fermement avoir autorisé une opération de paiement, aurait agi frauduleusement ou n’aurait effectivement pas satisfait, intentionnellement ou par négligence grave, à ses obligations, la preuve d’une négligence grave ne pouvant se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été utilisés.

Fort d’une jurisprudence constante, la victime a ainsi rappelé que c’est à la banque qu’il appartient de rapporter la preuve que l’utilisateur a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence grave à ses obligations, et que les conditions très particulières du spoofing, qui met en confiance la victime, empêche la négligence grave, ce d’autant que la banque n’a pas même été en mesure elle-même de protéger son numéro de téléphone et donc de garantir la sécurité des appels provenant de son propre établissement.

La motivation de la cour.

Aux termes de son arrêt, la cour d’appel a rappelé à bon escient qu’il résultait des dispositions du Code monétaire et financier que la détermination du caractère « autorisé » d’une opération ne dépend pas de l’obligation sous-jacente, qui est sans conséquence sur la validité de l’ordre, mais du consentement du payeur lequel est donné « sous la forme convenue entre le payeur et son prestataire », que ce n’est que dans le cas où une opération n’est pas autorisée par le client et qu’il l’a signalée dans les conditions prévues à l’article L133-24 que la banque rembourse au payeur le montant de l’opération non autorisée, et que pour éviter toute fraude, la banque se doit de mettre en ouvre des procédés techniques de protection des opérations au moyen d’éléments personnels d’identification de l’utilisateur.

Ainsi, la cour considère que la banque doit démontrer que :

1/ ce sont bien les données d’authentification de l’utilisateur qui ont été utilisées et qu’il n’y a pas eu de défaillance technique, et
2/ même dans le cas où l’authentification est renforcée et où ces données ont été utilisées, la fraude ou la négligence grave commise par l’utilisateur de services de paiement.

En l’espèce, la cour a relevé que les opérations qui avaient été passées sur le compte et que la victime niait avoir autorisées étaient :

  • 15h27 : un ajout de compte tiers au nom de [N] [H],
  • 15h30 : une transaction d’un montant de 840 euros par CB pour Kenzo, 
  • 15h56 : un virement de 800 euros à [N] [H] France,
  • 5h59 : un virement de 3 000 euros à [N] [H] France,  6h00 : un virement de 1 000 euros à [N] [H] France.

La cour a observé alors que le jour de la fraude, le compte de la victime était contacté à la fois par le réseau Free mobile en France et par un réseau Vodaphone Spain en Espagne à une ou deux minutes d’intervalle, et que le numéro de téléphone utilisé par le fraudeur pour contacter la victime était bien celui de l’agence de la banque où elle a son compte, ce qui était de nature à mettre cette dernière en confiance.

Elle a pu ainsi sans faute procéder via le lien qui lui était envoyé par la personne qu’elle pensait légitimement être une personne de son agence bancaire à des opérations sur un site miroir qui a permis la capture de ses identifiants.

La cour a alors jugé que, contrairement à ce soutenait la banque, les faits ne démontraient pas une négligence grave de la victime dans de telles circonstances, et que la décision de première instance devait donc être confirmée.

Cette décision doit être applaudie, la réelle négligence grave se situant du côté de la banque qui ne parvient pas à sécuriser ses coordonnées et ses données.

 

[1https://www.dalloz.fr/documentation/Document?id=CA_PARIS_2025-05-22_2402286

[2https://connexionbp.com et https://banquepopulaire.fr

 

Virginie Audinot, Avocat
Barreau de Paris
Audinot Avocat
www.audinot-avocat.com