Cour d'Appel · 1ère Chambre civile — 14 avril 2026

ARRET 

N°





S.A. SOCIETE GENERALE





C/



[R]

















































Copie exécutoire 

le 14 avril 2026

à

Me LUSSON

Me RICHEZ





AF/SB





COUR D'APPEL D'AMIENS



1ERE CHAMBRE CIVILE



ARRET DU QUATORZE AVRIL 

DEUX MILLE VINGT SIX







Numéro d'inscription de l'affaire au répertoire général de la cour : N° RG 25/01711 - N° Portalis DBV4-V-B7J-JK22 



Décision déférée à la cour : JUGEMENT DU TJ HORS JAF, JEX, JLD, J. EXPRO, JCP DE [Localité 1] DU QUATRE FEVRIER DEUX MILLE VINGT CINQ





PARTIES EN CAUSE :



S.A. SOCIETE GENERALE

[Adresse 1]

[Localité 2]



Représentée par Me Christian LUSSON de la SCP LUSSON ET CATILLION, avocat au barreau d'AMIENS





APPELANTE



ET



Madame [O] [R]

de nationalité Française

[Adresse 2]

[Localité 3]



Représentée par Me Nicolas RICHEZ de la SELEURL NICOLAS RICHEZ, avocat au barreau de COMPIEGNE





INTIMEE



 



DEBATS :



A l'audience publique du 10 février 2026, l'affaire est venue devant Mme Anne BEAUVAIS et Mme Emilie DES ROBERT, Conseillères, magistrats rapporteurs siégeant sans opposition des avocats en vertu de l'article 805 du Code de procédure civile. Le Président a avisé les parties à l'issue des débats que l'arrêt sera prononcé par sa mise à disposition au greffe le 14 avril 2026.



La Cour était assistée lors des débats de Mme Sarah BOURDEAUDUCQ, greffière placée.





COMPOSITION DE LA COUR LORS DU DELIBERE :



Les magistrats rapporteurs en ont rendu compte à la Cour composée de Mme Agnès FALLENOT, Présidente, Mme Anne BEAUVAIS et Mme Emilie DES ROBERT, Conseillères, qui en ont délibéré conformément à la Loi.





PRONONCE DE L'ARRET :



Le 14 avril 2026, l'arrêt a été prononcé par sa mise à disposition au greffe et la minute a été signée par Mme Agnès FALLENOT, Présidente de chambre, et Mme Sarah BOURDEAUDUCQ, greffière placée.





*

* *



DECISION :





Mme [O] [R] est titulaire d'un compte bancaire ouvert dans les livres de la société Société générale.



Le 13 novembre 2023, elle a reçu un message téléphonique lui indiquant qu'une transaction suspecte de 859,99 euros était en cours sur son compte bancaire et qu'elle devait rappeler le numéro de téléphone qui lui était communiqué pour faire opposition à cette transaction. Elle s'est exécutée et s'est entretenue avec une personne se présentant comme une conseillère du centre d'opposition de la banque. Sur les instructions de cette personne, elle a remis sa carte bancaire pour destruction à un prétendu coursier qui s'est présenté à son domicile.



Le compte de Mme [R] a, par la suite, fait l'objet de plusieurs validations d'augmentation du plafond de retrait par des connections inhabituelles :

-le 13 novembre 2023 à 14h06, portant le plafond à 5000 euros jusqu'au 15 novembre 2023 ;

-le 14 novembre 2023 à 14h08, portant le plafond à 8000 euros jusqu'au 1er décembre 2023 ;

-le 14 novembre 2023 à 10h24, portant le plafond à 5000 euros jusqu'au 16 novembre 2023 ;

-le 15 novembre 2023 à 11h38, portant le plafond de 5000 euros jusqu'au 17 novembre 2023.



Le 15 novembre 2023, la banque a pris contact avec Mme [R] pour lui indiquer que de nombreux retraits d'espèces avaient été réalisés sur son compte bancaire. Dix-neuf transactions suspectes (huit retraits DAB et onze paiements) ont été comptabilisées pour un montant total de 22 257,70 euros.



Le 16 novembre 2023, Mme [R] a déposé plainte auprès de la gendarmerie de [Localité 4] pour escroquerie.



Le 21 novembre 2023, elle a rempli un formulaire d'opposition détaillant une partie des opérations frauduleuses dont elle a été victime, puis elle s'est rapprochée de la banque pour obtenir le remboursement de la somme de 22 257 euros. 



Celle-ci ayant refusé de procéder à son indemnisation, Mme [R] l'a faite assigner par acte du 17 mai 2024.



Par jugement rendu le 4 février 2025, le tribunal judiciaire de Compiègne a :



-condamné la société Société générale à payer à Mme [O] [R] la somme de 22 257,70 euros ;

-rejeté les demandes formées par Mme [O] [R] au titre de son préjudice moral et de la résistance abusive de la banque ;

-rejeté les autres demandes, les demandes contraires ou plus amples ;

-condamné la société Société générale à payer à Mme [O] [R] la somme de 1500 euros en application des dispositions de l'article 700 du code de procédure civile ;

-condamné la société Société générale aux entiers dépens.



Par déclaration du 4 mars 2025, la société Société générale a relevé appel de l'ensemble des chefs de cette décision.



PRETENTIONS DES PARTIES



Par conclusions remises au greffe le 4 septembre 2025, la société Société générale demande à la cour de :



Infirmer le jugement rendu le 4 février 2025 en ce qu'il l'a condamnée à payer à Mme [R] : 

- la somme de 22 257,70 euros ; 

- la somme de 1500 euros en application des dispositions de l'article 700 du code de procédure civile ;

ainsi qu'aux dépens ; 



Confirmer le jugement rendu le 4 février 2025 en ce qu'il a : 

- rejeté les demandes formées par Mme [R] au titre de son préjudice moral et de la résistance abusive de la banque ; 



Statuant de nouveau, 

-débouter Mme [R] de l'intégralité des demandes formées à son encontre ;

-condamner Mme [R] au paiement de la somme de 5000 euros sur le fondement de l'article 700 du code de procédure civile ainsi qu'aux entiers dépens.



Par conclusions remises au greffe le 4 juin 2025, Mme [R] demande à la cour de :



-débouter la société Société générale de ses prétentions, 

-confirmer en toutes ses dispositions le jugement rendu le 4 février 2025 par le tribunal judiciaire de Compiègne sous le numéro RG 24/00530 ; 



Y ajoutant, 

-condamner la société Société générale à lui régler la somme 5 000 euros au titre de l'article 700 du code de procédure civile ; 

-condamner la société Société générale aux entiers dépens. 



L'ordonnance de clôture a été rendue le 5 novembre 2025.



MOTIFS



1. Sur la demande de remboursement des transactions frauduleuses



La banque expose que Mme [R] a fait preuve de négligence en appelant un numéro qu'elle ne connaissait pas. Elle ajoute que la jurisprudence retient qu'à défaut pour le demandeur de rapporter la preuve qu'il a été appelé par le numéro de téléphone de sa banque, il ne justifie pas avoir été victime d'une escroquerie de type « spoofing ». En outre, l'interlocutrice téléphonique de Mme [R] ne s'est pas présentée comme sa propre conseillère. Cette dernière a manqué gravement à son devoir de vigilance en communiquant spontanément à un tiers tant les codes secrets qui lui sont strictement personnels, que ses moyens de paiement et identifiants de connexion. La banque précise qu'en effet, le Pass sécurité n'était pas activé sur le compte de Mme [R]. Les augmentations de plafonds ont été validées sur son espace client, au moyen de la saisie de ses codes secrets aléatoires transmis par SMS sur son numéro de téléphone actif, méthode d'authentification forte au regard de la réglementation applicable en la matière. Les dix-neuf transactions ont quant à elles été validées avec la présence physique de la carte et par composition de son code confidentiel, ce qui correspond également à une authentification forte. Sa responsabilité est donc dégagée au sens des articles L133-4 et L133-19 du code monétaire et financier par ma négligence grave du client au travers de la remise de la carte bancaire à un tiers.



La banque rappelle que seuls les articles L. 133-18 et suivants du code monétaire et financier peuvent trouver à s'appliquer, à l'exclusion du régime de responsabilité de droit commun, notamment pour un manquement au devoir de vigilance.



Mme [R] répond que c'est dans un état psychologique dépressif et fragile, liée à une précédente escroquerie subie, qu'elle a reçu un SMS de sa banque le 13 novembre 2023, précisant qu'une transaction de 859,99 euros était en cours sur son compte bancaire et qu'elle devait immédiatement appeler le 01 87 66 27 60 pour faire opposition. Son interlocutrice disposait de l'adresse et du nom de sa conseillère. Elle a donc été victime de « spoofing téléphonique » et de fraude au faux coursier. Elle affirme qu'elle n'a jamais transmis ses identifiants et codes d'accès à ses comptes, ni autorisé les opérations frauduleuses. 



Mme [R] expose qu'elle a subi plus de 20 000 euros de retrait dans un distributeur automatique de billets, dont 10 000 euros le 14 novembre 2023, alors même qu'elle ne retire jamais d'argent par ce mode. La banque aurait donc dû constater le caractère anormal de ces cinq opérations qui ont été réalisées en moins de cinq heures. Ces opérations ainsi que celles qui ont eu lieu les jours suivants auraient dû contraindre la banque à renforcer son devoir de vigilance à l'égard de sa cliente. En outre, les conditions générales de la convention de compte versée par la banque rappellent que Mme [R] avait une capacité de retrait journalier de 300 euros, soit 40 fois moins que les opérations frauduleuses. La responsabilité de la banque est donc pleinement engagée pour manquement à son devoir de vigilance.



Sur ce,



Aux termes de l'article 1231-1 du code civil, le débiteur est condamné, s'il y a lieu, au paiement de dommages et intérêts soit à raison de l'inexécution de l'obligation, soit à raison du retard dans l'exécution, s'il ne justifie pas que l'exécution a été empêchée par la force majeure.



En application des articles L 133-6, L 133-16 à L133-24 du code monétaire et financier, une opération de paiement est autorisée si le payeur a donné son consentement à son exécution.

Dès qu'il reçoit un instrument de paiement, l'utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées.

En cas d'opération de paiement non autorisée signalée par l'utilisateur dans les conditions légales, le prestataire de services de paiement du payeur rembourse au payeur le montant de l'opération non autorisée immédiatement après avoir pris connaissance de l'opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant.

Sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si l'opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement du payeur n'exige une authentification forte du payeur prévue à l'article L. 133-44.

En revanche, le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d'un agissement frauduleux de sa part ou s'il n'a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17.

Lorsqu'un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l'opération de paiement n'a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l'opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu'elle n'a pas été affectée par une déficience technique ou autre.

L'utilisation de l'instrument de paiement telle qu'enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l'opération a été autorisée par le payeur ou que celui-ci n'a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière. Le prestataire de services de paiement fournit des éléments afin de prouver la fraude ou la négligence grave commise par l'utilisateur de services de paiement.



Les établissements bancaires peuvent ainsi s'exonérer de leur responsabilité s'ils démontrent les deux conditions cumulatives suivantes : 

-d'une part, que l'opération en cause a été authentifiée, dûment enregistrée et comptabilisée et qu'elle n'a pas été affectée par une déficience technique ou autre, 

-d'autre part, que le client a commis une négligence grave à ses obligations notamment dans la conservation de ses données bancaires confidentielles.



En l'espèce, Mme [R] conteste être l'auteur des opérations litigieuses. Les pièces produites aux débats, et particulièrement le contenu de son dépôt de plainte du 16 novembre 2023, attestent qu'à réception d'un SMS en provenance d'un numéro inconnu, supposé lui signaler une opération suspecte, elle a appelé un numéro de téléphone qui n'était pas celui de sa banque sans procéder à sa vérification préalable, puis a échangé avec une interlocutrice inconnue s'étant présentée comme une conseillère du centre d'opposition, et a remis, à la demande de cette dernière, sa carte de paiement à un individu s'étant présenté comme un coursier.



Or il a nécessairement fallu que Mme [R] remette aux fraudeurs ses identifiants et codes d'accès à ses comptes, outre le code secret de sa carte bancaire, pour qu'ils puissent réaliser les augmentations temporaires successives de son plafond de retrait, privant de légitimité ses critiques quant au montant journalier autorisé prévu par son contrat, et réaliser les paiements frauduleux, ce dont la banque justifie en versant le détail des opérations effectuées en pièce n°4, lequel fait ressortir que la méthode d'authentification du porteur de la carte était bien le code secret, ainsi que l'historique des augmentations de plafond en pièce n°15, qui fait apparaître des validations sécurisées faites en ligne via l'authentification forte de la banque à travers le terme « Internet-secure » ainsi que des signatures électroniques sécurisées à travers le terme 'signature par CSA -T ». Par ailleurs, la banque justifie qu'elle a multiplié les notifications sur l'espace client de Mme [R] afin de l'alerter des opérations suspectes réalisées sur son compte, sous les intitulés « carte transaction risquée » (sa pièce n°17). La force probante de ces pièces n'est pas contestée par l'intéressée.



Il s'en déduit que Mme [R], en dépit de la situation inhabituelle à laquelle elle s'est trouvée confrontée, et malgré la précédente escroquerie qu'elle indique avoir subi, n'a pris ni la peine de contacter sa conseillère bancaire habituelle pour lui signaler les faits, ni la simple précaution de consulter régulièrement ses comptes dans les jours suivants afin de vérifier l'absence d'opérations non autorisées. Elle ne justifie pas suffisamment de l'état de fragilité psychique qu'elle allègue en produisant uniquement sa carte d'invalidité et un certificat médical postérieur aux faits objets de la présente procédure, comme daté du 19 décembre 2023, évoquant « un état dépressif évoluant depuis plusieurs semaines ». Elle a indubitablement commis une succession de négligences graves dans la protection de ses données personnelles. 



Enfin, il est jugé que la responsabilité contractuelle de droit commun résultant de l'article 1231-1 du code civil n'est pas applicable en présence d'un régime de responsabilité exclusif, puisque suite à un arrêt du 16 mars 2023, Beobank (C-351/21), la Cour de justice a interprété en ces termes les article 58, 59 et 60 de la directive 2007/64/CE :



« 37 [...] le régime de responsabilité des prestataires de services de paiement prévu à l'article 60, paragraphe 1, de la directive 2007/64 ainsi qu'aux articles 58 et 59 de cette directive a fait l'objet d'une harmonisation totale. Cela a pour conséquence que sont incompatibles avec ladite directive tant un régime de responsabilité parallèle au titre d'un même fait générateur qu'un régime de responsabilité concurrent qui permettrait à l'utilisateur de services de paiement d'engager cette responsabilité sur le fondement d'autres faits générateurs (voir, en ce sens, arrêt du 2 septembre 2021, C-337/20, CRCAM, [...] points 42 et 46).



38 En effet, le régime harmonisé de responsabilité pour les opérations non autorisées ou mal exécutées établi dans la directive 2007/64 ne saurait être concurrencé par un régime alternatif de responsabilité prévu dans le droit national reposant sur les mêmes faits et le même fondement qu'à condition de ne pas porter préjudice au régime ainsi harmonisé et de ne pas porter atteinte aux objectifs et à l'effet utile de cette directive (arrêt du 2 septembre 2021, C-337/20, CRCAM, [...] point 45). ».



Il s'ensuit que, dès lors que la responsabilité d'un prestataire de services de paiement est recherchée en raison d'une opération de paiement non autorisée ou mal exécutée, seul est applicable le régime de responsabilité défini aux articles L. 133-18 à L. 133-24 précités, qui transposent les articles 58, 59 et 60, paragraphe 1, de la directive 2007/64/CE, à l'exclusion de tout régime alternatif de responsabilité résultant du droit national (Com. 27 mars 2024, n°22-21200).



La responsabilité de la banque ne peut donc être recherchée sur le fondement d'un manquement à son obligation de vigilance telle qu'elle résulte de l'article 1231-1 du code civil.



L'ensemble de ces éléments justifie d'infirmer la décision entreprise en ce qu'elle a condamné la société Société générale à payer à Mme [O] [R] la somme de la somme de 22 257,70 euros, l'appelante étant déboutée de sa prétention de ce chef.



2. Sur les demandes accessoires



En application de l'article 696 du code de procédure civile, il convient de condamner Mme [R] aux dépens d'appel et de première instance. La décision entreprise est réformée en ce sens.



En application de l'article 700 du code de procédure civile, Mme [R] est par ailleurs condamnée à payer à la banque la somme indiquée au dispositif du présent arrêt et déboutée de sa propre demande au titre de ses frais irrépétibles, la décision querellée étant infirmée du chef des frais irrépétibles de première instance. 





PAR CES MOTIFS



La cour, statuant par mise à disposition au greffe, après débats publics, par arrêt contradictoire, en dernier ressort,





Infirme le jugement rendu le 4 février 2025 par le tribunal judiciaire de Compiègne en toutes ses dispositions querellées ;



Statuant à nouveau des chefs infirmés, 



Déboute Mme [O] [R] de l'ensemble de ses prétentions ;



Condamne Mme [O] [R] aux dépens de première instance et d'appel ;



Condamne Mme [O] [R] à payer à la société Société générale la somme de 3000 euros au titre de ses frais irrépétibles.













LA GREFFIERE LA PRESIDENTE