Cour d’appel de Montpellier, le 19 juin 2025, n°23/06277
Par un arrêt de la Cour d’appel de Montpellier du 19 juin 2025, la 4e chambre civile confirme la condamnation d’un prestataire de services de paiement à rembourser des opérations par carte contestées. Une cliente, contactée par un interlocuteur se présentant comme un agent antifraude, a communiqué identifiant et code de confirmation, avant de faire opposition. Trois paiements pour 5 259,75 euros ont été portés au débit le 4 novembre 2020.
Par jugement du 30 novembre 2023, le juge des contentieux de la protection du tribunal judiciaire de Montpellier a ordonné le remboursement avec intérêts, la capitalisation et une indemnité de procédure. L’appelant a demandé l’infirmation intégrale, en soutenant que les opérations avaient été validées par un dispositif d’authentification forte interne et que la négligence grave devait être retenue. L’intimée a sollicité la confirmation, en invoquant l’inopposabilité du dispositif et l’absence de négligence grave.
La question posée était double. D’une part, l’établissement pouvait‑il opposer un mécanisme d’authentification forte mis en œuvre avant sa pleine entrée en vigueur et non contractualisé, pour refuser le remboursement des paiements non autorisés. D’autre part, la communication du code par téléphone caractérisait‑elle une négligence grave au sens des articles L. 133‑19 et L. 133‑23 du code monétaire et financier. La cour répond négativement aux deux points, affirmant d’abord que « L’authentification forte n’était pas en vigueur au jour des opérations litigieuses », puis retenant que « la banque […] ne peut s’en prévaloir » et que le régime légal de remboursement trouve à s’appliquer.
I. L’opposabilité de l’authentification forte et le cadre normatif
A. Temporalité de la DSP2 et absence d’exigibilité au jour des faits La cour constate que, lors des paiements du 4 novembre 2020, l’exigence d’authentification forte n’était pas encore applicable en droit positif. Elle énonce clairement que « L’authentification forte n’était pas en vigueur au jour des opérations litigieuses – elle ne le sera qu’à compter du 15 mai 2021 en application de la directive européenne DSP2-. » Le rappel de cette temporalité est décisif, car l’établissement ne peut transposer à son avantage une exigence ultérieure pour déplacer le risque juridique.
Cette mise au point neutralise l’argument tiré de l’existence d’un dispositif interne d’authentification. Un procédé technique anticipé n’emporte pas, à lui seul, décharge légale, faute d’assise normative applicable à la date des opérations. La solution replace la discussion sur le terrain pertinent, combinant exigibilité de la norme et opposabilité contractuelle effective.
B. Défaut d’information, absence d’adhésion et insuffisance probatoire La cour relève ensuite l’inopposabilité du dispositif au contrat à la date des faits. Le document de souscription interne n’emporte pas adhésion, ainsi qu’il est rappelé: « Ce document émane de la banque et n’est pas constitutif d’un avenant ». Elle précise encore, à propos des conditions générales évoquant le procédé, que « seul l’avenant du 26 octobre 2022 les rend opposables à la relation contractuelle. » Il s’ensuit une inopposabilité claire du mécanisme lors des opérations contestées.
La preuve d’une authentification renforcée utile fait par ailleurs défaut. La cour note que le justificatif technique produit « ne peut […] constituer la preuve de la mise en œuvre d’une double authentification », les mentions étant « particulièrement absconses pour un non banquier non informaticien. » Partant, « la banque ayant manqué tant à son obligation précontractuelle d’information […] qu’à son devoir de conseil […] ne peut s’en prévaloir. » Le juge articule ainsi l’exigence probatoire avec les devoirs d’information, pour refuser l’exception tirée du dispositif.
II. Les opérations non autorisées, la négligence grave et la portée de l’arrêt
A. Le principe de remboursement et l’appréciation in concreto de la faute En l’absence d’authentification forte exigible et opposable, le régime légal s’applique. La cour cite l’article L. 133‑19, V du code monétaire et financier: « Sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si l’opération de paiement non autorisée a été effectuée sans que le prestataire […] n’exige une authentification forte […]. » L’établissement devait donc rembourser, sauf à démontrer une fraude ou une négligence grave.
L’appréciation des circonstances écarte la négligence grave. Le stratagème a reposé sur une usurpation d’identité crédible, l’interlocuteur maîtrisant des données bancaires exactes. La cour souligne qu’il s’agit d’« une époque où celle‑ci ne justifie pas avoir mis ses clients en garde contre ce type d’escroquerie encore ignorée du grand public. » Cette motivation s’inscrit dans une lecture in concreto des comportements, qui refuse l’assimilation automatique entre communication d’un code et négligence grave.
B. Portée pratique: gouvernance du risque fraude et conformité contractuelle La solution rappelle d’abord une hiérarchie nette: l’exigence légale d’authentification forte, sa date d’applicabilité et l’opposabilité contractuelle conditionnent la répartition du risque. L’anticipation technique d’un dispositif interne n’exonère pas, en l’absence d’adhésion claire, d’information préalable et de preuve intelligible de la procédure suivie. L’arrêt invite ainsi les prestataires à documenter avec rigueur le consentement aux parcours d’authentification et leur traçabilité compréhensible pour un non‑spécialiste.
La décision précise ensuite le périmètre de la négligence grave. La communication d’un code à un interlocuteur se présentant comme un agent antifraude, sans alerte préalable ni pédagogie adaptée, ne suffit pas à caractériser une faute lourde. L’arrêt renforce, ce faisant, l’effectivité du principe de remboursement et la nécessité de politiques proactives d’information et de mise en garde. À l’avenir, lorsque l’authentification forte est pleinement exigible et contractuellement acceptée, la solution pourra différer, mais la charge et la qualité de la preuve resteront déterminantes.
Nos données proviennent de la Cour de cassation (Judilibre), du Conseil d'État, de la DILA, de la Cour de justice de l'Union européenne ainsi que de la Cour européenne des droits de l'Homme.
En savoir plus sur Kohen Avocats
Abonnez-vous pour poursuivre la lecture et avoir accès à l’ensemble des archives.
Par un arrêt de la Cour d’appel de Montpellier du 19 juin 2025, la 4e chambre civile confirme la condamnation d’un prestataire de services de paiement à rembourser des opérations par carte contestées. Une cliente, contactée par un interlocuteur se présentant comme un agent antifraude, a communiqué identifiant et code de confirmation, avant de faire opposition. Trois paiements pour 5 259,75 euros ont été portés au débit le 4 novembre 2020.
Par jugement du 30 novembre 2023, le juge des contentieux de la protection du tribunal judiciaire de Montpellier a ordonné le remboursement avec intérêts, la capitalisation et une indemnité de procédure. L’appelant a demandé l’infirmation intégrale, en soutenant que les opérations avaient été validées par un dispositif d’authentification forte interne et que la négligence grave devait être retenue. L’intimée a sollicité la confirmation, en invoquant l’inopposabilité du dispositif et l’absence de négligence grave.
La question posée était double. D’une part, l’établissement pouvait‑il opposer un mécanisme d’authentification forte mis en œuvre avant sa pleine entrée en vigueur et non contractualisé, pour refuser le remboursement des paiements non autorisés. D’autre part, la communication du code par téléphone caractérisait‑elle une négligence grave au sens des articles L. 133‑19 et L. 133‑23 du code monétaire et financier. La cour répond négativement aux deux points, affirmant d’abord que « L’authentification forte n’était pas en vigueur au jour des opérations litigieuses », puis retenant que « la banque […] ne peut s’en prévaloir » et que le régime légal de remboursement trouve à s’appliquer.
I. L’opposabilité de l’authentification forte et le cadre normatif
A. Temporalité de la DSP2 et absence d’exigibilité au jour des faits
La cour constate que, lors des paiements du 4 novembre 2020, l’exigence d’authentification forte n’était pas encore applicable en droit positif. Elle énonce clairement que « L’authentification forte n’était pas en vigueur au jour des opérations litigieuses – elle ne le sera qu’à compter du 15 mai 2021 en application de la directive européenne DSP2-. » Le rappel de cette temporalité est décisif, car l’établissement ne peut transposer à son avantage une exigence ultérieure pour déplacer le risque juridique.
Cette mise au point neutralise l’argument tiré de l’existence d’un dispositif interne d’authentification. Un procédé technique anticipé n’emporte pas, à lui seul, décharge légale, faute d’assise normative applicable à la date des opérations. La solution replace la discussion sur le terrain pertinent, combinant exigibilité de la norme et opposabilité contractuelle effective.
B. Défaut d’information, absence d’adhésion et insuffisance probatoire
La cour relève ensuite l’inopposabilité du dispositif au contrat à la date des faits. Le document de souscription interne n’emporte pas adhésion, ainsi qu’il est rappelé: « Ce document émane de la banque et n’est pas constitutif d’un avenant ». Elle précise encore, à propos des conditions générales évoquant le procédé, que « seul l’avenant du 26 octobre 2022 les rend opposables à la relation contractuelle. » Il s’ensuit une inopposabilité claire du mécanisme lors des opérations contestées.
La preuve d’une authentification renforcée utile fait par ailleurs défaut. La cour note que le justificatif technique produit « ne peut […] constituer la preuve de la mise en œuvre d’une double authentification », les mentions étant « particulièrement absconses pour un non banquier non informaticien. » Partant, « la banque ayant manqué tant à son obligation précontractuelle d’information […] qu’à son devoir de conseil […] ne peut s’en prévaloir. » Le juge articule ainsi l’exigence probatoire avec les devoirs d’information, pour refuser l’exception tirée du dispositif.
II. Les opérations non autorisées, la négligence grave et la portée de l’arrêt
A. Le principe de remboursement et l’appréciation in concreto de la faute
En l’absence d’authentification forte exigible et opposable, le régime légal s’applique. La cour cite l’article L. 133‑19, V du code monétaire et financier: « Sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si l’opération de paiement non autorisée a été effectuée sans que le prestataire […] n’exige une authentification forte […]. » L’établissement devait donc rembourser, sauf à démontrer une fraude ou une négligence grave.
L’appréciation des circonstances écarte la négligence grave. Le stratagème a reposé sur une usurpation d’identité crédible, l’interlocuteur maîtrisant des données bancaires exactes. La cour souligne qu’il s’agit d’« une époque où celle‑ci ne justifie pas avoir mis ses clients en garde contre ce type d’escroquerie encore ignorée du grand public. » Cette motivation s’inscrit dans une lecture in concreto des comportements, qui refuse l’assimilation automatique entre communication d’un code et négligence grave.
B. Portée pratique: gouvernance du risque fraude et conformité contractuelle
La solution rappelle d’abord une hiérarchie nette: l’exigence légale d’authentification forte, sa date d’applicabilité et l’opposabilité contractuelle conditionnent la répartition du risque. L’anticipation technique d’un dispositif interne n’exonère pas, en l’absence d’adhésion claire, d’information préalable et de preuve intelligible de la procédure suivie. L’arrêt invite ainsi les prestataires à documenter avec rigueur le consentement aux parcours d’authentification et leur traçabilité compréhensible pour un non‑spécialiste.
La décision précise ensuite le périmètre de la négligence grave. La communication d’un code à un interlocuteur se présentant comme un agent antifraude, sans alerte préalable ni pédagogie adaptée, ne suffit pas à caractériser une faute lourde. L’arrêt renforce, ce faisant, l’effectivité du principe de remboursement et la nécessité de politiques proactives d’information et de mise en garde. À l’avenir, lorsque l’authentification forte est pleinement exigible et contractuellement acceptée, la solution pourra différer, mais la charge et la qualité de la preuve resteront déterminantes.