Cour d'Appel · Pôle 5 - Chambre 6 — 28 janvier 2026

RÉPUBLIQUE FRAN'AISE

AU NOM DU PEUPLE FRAN'AIS





COUR D'APPEL DE PARIS

Pôle 5 - Chambre 6





ARRÊT DU 28 JANVIER 2026



(n° , 6 pages)



Numéro d'inscription au répertoire général : N° RG 24/01045 - N° Portalis 35L7-V-B7I-CIXVJ



Décision déférée à la Cour : Jugement du 13 Décembre 2023 - tribunal judiciaire de Paris 9ème chambre 2ème section - RG n° 22/141971





APPELANTE

 

S.A. LA BANQUE POSTALE

[Adresse 1]

[Localité 3]

N°SIREN : 421 100 645

agissant poursuites et diligences de ses représentants légaux domiciliés en cette qualité audit siège



Représentée par Me Jean-Philippe GOSSET de la SELEURL CABINET GOSSET, avocat au barreau de Paris, toque : B0812

Ayant pour avocat plaidant Me Armand COULON de la SELARL CABINET GOSSET, avocat au barreau de Paris, toque : B0812



INTIMÉE 



Madame [B] [D]

[Adresse 2]

[Localité 4]



Représentée par Me Lydie NAVENNEC-NORMAND de l'AARPI MODENA ADVOCATUS, avocat au barreau de Val-de-Marne, toque : PC 299





COMPOSITION DE LA COUR :



L'affaire a été débattue le 02 Décembre 2025, en audience publique, devant la Cour composée de :

M. Vincent BRAUD, président de chambre

Mme Valérie CHAMP, présidente de chambre chargée du rapport

Mme Laurence CHAINTRON, conseillère



qui en ont délibéré.



Greffier, lors des débats : Mme Mélanie THOMAS



 



ARRÊT :

- contradictoire



- par mise à disposition de l'arrêt au greffe de la Cour, les parties en ayant été préalablement avisées dans les conditions prévues au deuxième alinéa de l'article 450 du code de procédure civile.



- signé par Vincent BRAUD, président de chambre et par Mélanie THOMAS, greffier, présent lors de la mise à disposition.



* * * * *



FAITS, PROCÉDURE ET PRÉTENTIONS DES PARTIES



Mme [B] [D] est titulaire d'un compte n°0469429U026 ouvert dans les livres de la société La Banque postale (la banque).



Le 13 août 2021, Mme [D] a déposé plainte pour escroquerie, contestant être à l'origine de neuf virements effectués entre les 3 et 12 août 2021 depuis son compte pour un montant total de 23 000 euros, puis a effectué des démarches le même jour auprès de sa banque pour obtenir le remboursement de ces sommes, en vain.



Par lettre recommandée avec avis de réception du 25 août 2022 de son conseil, réitérée le 4 octobre 2022, Mme [D] a mis la banque en demeure de lui rembourser la somme précitée.



Par lettre du 13 octobre 2022, la banque lui a répondu qu'elle ne pouvait accéder à sa demande de remboursement dans la mesure où les opérations avaient été authentifiées depuis son espace « Client Internet » avec le service « Certicode Plus » au moyen de son identifiant et de son mot de passe.



Par exploit d'huissier de justice du 18 novembre 2022, Mme [D] a fait assigner la banque devant le tribunal judiciaire de Paris en responsabilité.



Par jugement du 13 décembre 2023, le tribunal a condamné la banque à lui payer la somme de 23 000 euros avec intérêts au taux légal à compter du 30 août 2022, a condamné la banque aux dépens et à lui payer une somme de 3 000 euros au titre de l'article 700 du code de procédure civile et a rejeté les autres demandes.



Le 27 décembre 2023, la banque a interjeté appel dudit jugement. 



Par dernières conclusions notifiées par voie électronique le 13 octobre 2025, la banque demande à la cour, de :

Vu l'article 1103 du code civil, 

Vu l'article 1104 du code civil, 

Vu l'article 1231-1 du code civil, 

Vu les articles L. 133-6 et L. 133-16 du code monétaire et financier, 

Vu la Jurisprudence citée, 

Vu les pièces versées aux débats, 

- recevoir la banque en ses conclusions, l'y déclarant bien fondée, 

- infirmer le jugement du 13 décembre 2023 en toutes ses dispositions,

Statuant à nouveau : 

- juger que Mme [D] a été victime d'un « phishing » grossier ayant comme conséquence la communication à un tiers des identifiant et mot de passe confidentiels de son espace de banque en ligne ayant permis d'effectuer les neufs virements litigieux d'un montant total de 23 000 euros, 

- juger que les neufs virements litigieux d'un montant total de 23 000 euros ont été réalisés sur son accès personnel [Adresse 5] (BEL) par la saisie de son identifiant et mot de passe et la saisie de codes reçus par SMS sur son téléphone mobile, 

- juger que la responsabilité de la banque n'est pas engagée, 

- juger que dans l'hypothèse où Mme [D] ne serait pas à l'origine des virements litigieux, elle a fait preuve d'une négligence grave de nature à exonérer la banque de toute éventuelle responsabilité retenue à son encontre, 

- débouter Mme [D] de l'ensemble de ses demandes, fins et prétentions à son encontre,

En tout état de cause : 

- condamner Mme [D] à lui payer la somme de 3 000 euros au titre des dispositions de l'article 700 du code de procédure civile, 

- condamner Mme [D] aux entiers dépens.



Par dernières conclusions notifiée par voie électronique le 15 octobre 2025, Mme [D] demande à la cour, de :

Vu l'article 542 du CPC 

Vu l'article L133-4 du Code monétaire et financier 

Vu les articles L. 133-16, L. 133-17, L133-18, L133-19, L133-23 du code monétaire et financier 

Vu l'article R. 212-1 du code la consommation 

La jurisprudence 

Les CGV liant les parties, 

A titre principal,

- rejeter les demandes de la banque et confirmer le jugement entrepris,

A titre subsidiaire,

Avant dire-droit,

- condamner sous astreinte de 100 euros par jour de retard la Banque postale à faire connaître les modalités précises de vérification des opérations d'ajout de bénéficiaires et de validation de virements, et notamment le numéro de mobile sur lequel ont été envoyés les SMS de certification ainsi que des modalités d'activation et d'utilisation concrètes du service Certicode ou Certicode plus,

En tout état de cause,

- condamner la banque, au titre de la résistance abusive, à lui verser la somme de 5 000 euros,

- condamner la banque à lui payer la somme de 8 000 euros en application des dispositions de l'article 700 du code de procédure civile et aux dépens.



En application des dispositions de l'article 455 du code de procédure civile, il est fait expressément référence aux conclusions des parties visées ci-dessus quant à l'exposé du surplus de leurs prétentions et de leurs moyens.



L'ordonnance de clôture est intervenue le 21 octobre 2025 et l'affaire fixée à l'audience du 2 décembre 2025.



MOTIFS



Sur la demande de remboursement



Moyens



La banque poursuit l'infirmation du jugement déféré en ce qu'il a retenu que les virements n'étaient pas autorisés et l'a condamnée à procéder au remboursement des virements litigieux au motif qu'elle ne justifiait pas, contrairement aux stipulations contractuelles et, en particulier à l'article VI « Sécurisation des opérations » que l'ajout des bénéficiaires des fonds détournés, avait fait l'objet de la double authentification prévue à l'article L. 133-4 du code monétaire et financier, de sorte que la négligence grave du payeur était sans portée.

Elle précise liminairement que contrairement à ce qu'a retenu le tribunal, Mme [D] bénéficie du service d'authentification Certicode Plus et non Certicode lequel comprend notamment l'ajout de bénéficiaires et la réalisation de virements. Elle soutient que Mme [D] a été victime d'un « phishing » grossier, qu'elle a communiqué à un tiers les identifiant et mot de passe confidentiels de son espace de banque en ligne et que l'ajout d'un bénéficiaire a été effectué par une demande de validation sur le terminal de l'utilisateur, à savoir son téléphone mobile, non par l'envoi d'un SMS. Elle précise que ce service Certicode Plus permet une fois l'ajout de bénéficiaire réalisé d'effectuer des virements en ligne directement depuis l'espace de la banque en ligne sans utilisation d'un nouveau code de sécurité. Elle ajoute que Mme [D] a commis une négligence grave, ce dont elle est consciente, ce qui l'a conduite à produire sa plainte de manière partielle et a éludé le fait qu'elle avait été victime d'un phishing. Elle avance qu'elle ne pouvait dès lors s'opposer à des virements émanant de sa cliente parfaitement authentifiés et dûment autorisés par celle-ci.



Mme [D] fait principalement valoir qu'elle a été victime de neuf virements frauduleux, dont elle n'est pas à l'origine, que la banque a soutenu devant les premiers juges que les virements avaient été autorisés, notamment par l'envoi de SMS, qu'elle conteste avoir reçu des SMS contenant des codes à usage unique qui lui auraient permis de valider, d'une part, l'ajout de nouveaux bénéficiaires, d'autre part, les virements litigieux. Elle ajoute que la banque se contredit en soutenant en appel qu'elle bénéficiait de la méthode d'authentification Certicode Plus et non Certicode, de sorte qu'il n'y avait pas lieu à envoi d'un SMS à usage unique, mais recours à un code personnel Certicode Plus et conteste bénéficier d'une telle méthode d'authentification. Elle souligne ensuite que la banque ne démontre ni l'envoi de SMS avec des codes de sécurité visant à l'ajout de bénéficiaires, ni qu'elle bénéficiait sur son téléphone au moment des faits d'un service d'authentification forte Certicode Plus, validé par ses propres soins et qu'elle aurait par la suite autorisé l'ajout de bénéficiaires et validé les virements litigieux avec son propre terminal de confiance. Elle soutient encore que la banque a manqué à son obligation de vigilance, en ne prenant pas les mesures nécessaires face au compte d'une cliente qui, ne procédait usuellement jamais à des virements. Elle fait enfin valoir que la banque ne démontre pas qu'elle ait commis une négligence grave, exonératoire de responsabilité.



Réponse de la cour



Mme [D] recherche la responsabilité de la banque en raison d'opérations non autorisées sur le fondement, notamment, des articles L. 133-16, L. 133-17, L. 133-19 et L. 133-23 du code monétaire et financier.



L'article L. 133-23 du code monétaire et financier dispose que :

« Lorsqu'un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l'opération de paiement n'a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l'opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu'elle n'a pas été affectée par une déficience technique ou autre.

L'utilisation de l'instrument de paiement telle qu'enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l'opération a été autorisée par le payeur ou que celui-ci n'a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière.

Le prestataire de services de paiement, y compris, le cas échéant, le prestataire de services de paiement fournissant un service d'initiation de paiement, fournit des éléments afin de prouver la fraude ou la négligence grave commise par l'utilisateur de services de paiement. »



L'article L. 133-24 de ce code prévoit que :

« L'utilisateur de services de paiement signale, sans tarder, à son prestataire de services de paiement une opération de paiement non autorisée ou mal exécutée et au plus tard dans les treize mois suivant la date de débit sous peine de forclusion à moins que le prestataire de services de paiement ne lui ait pas fourni ou n'ait pas mis à sa disposition les informations relatives à cette opération de paiement conformément au chapitre IV du titre 1er du livre III. »



En l'espèce, la banque soutient que les opérations litigieuses ont été effectuées via son service sécurisé de banque à distance, que Mme [D] bénéficiait du service d'authentification Certicode Plus et qu'elle produit le journal d'activation du service Certicode Plus sur l'espace en ligne de celle-ci.



Il sera rappelé que si la banque avance que les opérations litigieuses ont été effectuées via son service sécurisé de banque à distance, il n'en ressort pas pour autant que l'utilisation de l'instrument de paiement telle qu'enregistrée par elle suffit à prouver que les opérations ont été autorisées, encore moins qu'elles résultent d'une négligence grave de Mme [D].



Au contraire, il est constant que Mme [D] a immédiatement contacté sa banque pour signaler les opérations litigieuses.



Le contenu de la plainte déposée le 13 août 2021 pour « des faits d'escroquerie » ayant eu lieu entre le 3 et le 12 août 2021 révèle que Mme [D] dit avoir été victime de neuf virements réalisés pour un montant de 23 000 euros au bénéfice de [W] [H] et [J] [U], qu'elle a reçu plusieurs messages de sa banque lui indiquant qu'elle avait ajouté différents bénéficiaires sur son compte, qu'elle n'a pas réagi avant pensant qu'il s'agissait d'une arnaque et qu'elle a fait opposition à sa carte bancaire le 12 août 2021 après avoir découvert ces virements. 



La banque invoque le caractère autorisé des opérations, mais ne conteste pas vraiment que Mme [D] n'a pas donné son consentement aux opérations litigieuses puisqu'elle indique dans ses écritures que l'appelante a été victime de hameçonnage via un « courriel frauduleux », reçu le 26 juillet 2021. 



Il s'en induit que les neuf opérations de virements effectués critiqués par Mme [D] entre le 3 et le 12 août 2021 n'étaient pas autorisées au sens des dispositions légales précitées.



L'article L. 133-18, alinéa 1, du code monétaire et financier pose le principe du remboursement par la banque des opérations non autorisées dans les termes suivants :

« En cas d'opération de paiement non autorisée signalée par l'utilisateur dans les conditions prévues à l'article L. 133-24, le prestataire de services de paiement du payeur rembourse au payeur le montant de l'opération non autorisée immédiatement après avoir pris connaissance de l'opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, sauf s'il a de bonnes raisons de soupçonner une fraude de l'utilisateur du service de paiement et s'il communique ces raisons par écrit à la Banque de France. Le cas échéant, le prestataire de services de paiement du payeur rétablit le compte débité dans l'état où il se serait trouvé si l'opération de paiement non autorisée n'avait pas eu lieu. »



Par dérogation, l'article L. 133-19 de ce code, paragraphe IV, dispose, dans le cas particulier des instruments de paiement dotés de données de sécurité personnalisées que:

« Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d'un agissement frauduleux de sa part ou s'il n'a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17 », lesquels lui font obligation de préserver la sécurité de ses données.



Il est jugé de manière constante qu'il résulte des articles L. 133-19, IV, et L. 133-23, alinéa 1, du code monétaire et financier, que s'il entend faire supporter à l'utilisateur d'un instrument de paiement doté d'un dispositif de sécurité personnalisé les pertes occasionnées par une opération de paiement non autorisée rendue possible par un manquement de cet utilisateur, intentionnel ou par négligence grave, aux obligations mentionnées aux articles L. 133-16 et L. 133-17 de ce code, le prestataire de services de paiement doit, au préalable, prouver que l'opération en cause a été authentifiée, dûment enregistrée et comptabilisée et qu'elle n'a pas été affectée par une déficience technique ou autre (Com., 12 novembre 2020, pourvoi n° 19-12.112, publié ; Com., 20 novembre 2024, pourvoi n° 23-15.099, publié ; Com., 30 avril 2025, pourvoi n° 24-10.149, publié). 



Il sera relevé que si la banque soutient qu'à l'occasion du présent litige le service d'authentification utilisé est le service Certicode Plus et que les conditions générales de la Banque à distance précisent les modalités de ce service applicables à Mme [D], elle verse aux débats les pages 27 à 33 de ces conditions générales, lesquelles ne sont pas identifiables dans le temps faute d'inclure les autres pages et, en particulier la première page, qu'elles ne comportent aucune signature ni aucun paraphe et ne produit pas la convention d'ouverture de compte de Mme [D], de sorte qu'il n'est pas justifié que ces conditions lui sont applicables.



Il sera, en outre, observé que si la banque produit un document intitulé « Certicode plus Résiliation-historique du client », ce document ne mentionne que les dates des 12, 13, 15, 29 et 30 juillet 2021, alors que le mail litigieux est daté du 26 juillet 2021 et que Mme [D] aurait été informée de l'ajout de nouveaux bénéficiaires à compter du 2 août 2021. 



Il s'ensuit que la banque ne justifiant pas du service d'authentification applicable, la preuve préalable à toute invocation d'une négligence grave du client d'opérations authentifiées, dûment enregistrées et comptabilisées et non affectées par une déficience technique ou autre n'est pas rapportée, de sorte que la banque est tenue de rembourser sa cliente.



En conséquence de ce qui précède, il y a lieu de confirmer le jugement entrepris en ce qu'il a condamné la banque à payer à Mme [D] la somme de 23 000 euros avec intérêts au taux légal à compter du 30 août 2022.



Sur la demande de dommages et intérêts pour résistance abusive



Les premiers juges ayant retenu à bon droit que la mauvaise appréciation de ses droits par la banque ne permettait pas de caractériser une résistance abusive de sa part et Mme [D] n'apportant pas de nouvel élément en appel, le jugement sera confirmé, en ce qu'il a rejeté la demande de dommages et intérêts formée à l'encontre de la banque pour résistance abusive.



Sur les dépens et les frais irrépétibles



Aux termes de l'article 696, alinéa premier, du code de procédure civile, la partie perdante est condamnée aux dépens, à moins que le juge, par décision motivée, n'en mette la totalité ou une fraction à la charge d'une autre partie. L'appelante sera donc condamnée aux dépens.



En application de l'article 700 du code de procédure civile, le juge condamne la partie tenue aux dépens ou qui perd son procès à payer à l'autre partie la somme qu'il détermine, au titre des frais exposés et non compris dans les dépens. En l'espèce, la banque sera condamnée à payer à Mme [D] une somme de 2 500 euros au titre de l'article 700 du code de procédure civile.



LA COUR, PAR CES MOTIFS,



CONFIRME le jugement du tribunal judiciaire de Paris du 13 décembre 2023 ;



Y ajoutant,



CONDAMNE La Banque postale aux dépens ;



CONDAMNE La Banque postale à payer à Mme [D] une somme de 2 500 euros en application de l'article 700 du code de procédure civile ;



REJETTE toute autre demande.



 

 Le greffier Le président