Cour d’appel de Paris, le 2 juillet 2025, n°23/10852
Now using node v22.15.1 (npm v10.8.2) Utilisation de Node.js v20.19.4 et npm 10.8.2 Codex est déjà installé. Lancement de Codex… Rendue par la Cour d’appel de Paris, Pôle 5 – Chambre 6, le 2 juillet 2025, la décision tranche un litige de paiement contesté sur livret réglementé. Deux virements de 5 000 euros chacun avaient été réalisés à la suite d’un appel d’hameçonnage, puis dénoncés par la titulaire qui a alerté sa banque et déposé plainte. L’établissement a refusé le remboursement en se prévalant d’une authentification forte et de prétendues négligences graves. Le tribunal judiciaire avait débouté la demanderesse. Saisie de l’appel, la cour infirme, condamne la banque au remboursement avec intérêts légaux, et alloue des frais irrépétibles.
Le débat porte sur l’articulation entre la preuve de l’authentification et la preuve du consentement au sens des articles L. 133‑18, L. 133‑19, L. 133‑23 et L. 133‑24 du code monétaire et financier. La question est de savoir si les traces d’authentification suffisent à établir une opération autorisée, ou si la banque doit en outre démontrer la fraude ou la négligence grave de l’utilisateur. La solution retient que « il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre », et surtout que « L’utilisation de l’instrument de paiement […] ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ». La cour constate une authentification formelle, mais juge la preuve de la négligence grave défaillante, ce qui impose le remboursement.
I. La charge probatoire des opérations contestées
A. Le cadre légal des services de paiement Le régime des paiements contestés repose sur une répartition claire des preuves et des risques. Le texte rappelle que « Le prestataire de services de paiement […] fournit des éléments afin de prouver la fraude ou la négligence grave commise par l’utilisateur de services de paiement ». La règle de forclusion de l’article L. 133‑24 est rappelée en ces termes : « L’utilisateur de services de paiement signale, sans tarder, […] au plus tard dans les treize mois suivant la date de débit ». S’agissant de la restitution, « En cas d’opération de paiement non autorisée […] le prestataire de services de paiement du payeur rembourse […] immédiatement », conformément à l’article L. 133‑18. La dérogation liée à la faute lourde est strictement circonscrite par l’article L. 133‑19, qui prévoit que « Le payeur supporte toutes les pertes […] s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133‑16 et L. 133‑17 ».
B. L’application rigoureuse aux faits de l’espèce La banque produit un listing prouvant une authentification forte sans défaillance technique. La cour retient d’ailleurs que « Il est ainsi établi que les opérations litigieuses ont été authentifiées, dûment enregistrées et comptabilisées, et qu’elles n’ont pas été affectées par une déficience technique ou autre ». Cette preuve n’épuise pourtant pas la charge qui pèse sur le prestataire. Il lui appartient encore d’établir des éléments positifs de fraude ou de négligence grave. Ici, « la banque ne fournit aucun élément de nature à prouver la fraude ou la négligence grave commise par l’utilisateur de services de paiement ». Les alertes formulées rapidement, les démarches en agence, et les tentatives ultérieures bloquées renforcent la qualification d’opérations non autorisées. Dans ces conditions, l’article L. 133‑18 commande la restitution, ce que consacre l’arrêt par la condamnation au remboursement du principal, avec intérêts légaux à compter de la décision.
II. Valeur et portée de la solution
A. Une solution conforme à l’économie de la DSP2 La décision repose sur une lecture fidèle de l’équilibre instauré par la directive services de paiement. L’authentification forte atteste de conditions d’exécution régulières, non du consentement matériel au débit. En soulignant que « L’utilisation de l’instrument de paiement […] ne suffit pas nécessairement […] à prouver que l’opération a été autorisée », la cour distingue clairement la preuve technique de l’authentification et la preuve juridique de l’autorisation. La cohérence est entière avec l’orientation jurisprudentielle exigeant des indices précis, concordants et imputables à l’utilisateur pour caractériser la négligence grave, au‑delà des seules clauses contractuelles.
B. Les exigences probatoires et opérationnelles pour l’avenir La portée pratique est nette pour les établissements. Une politique probatoire renforcée doit documenter l’acheminement du code à usage unique, son utilisation par l’utilisateur identifié, et d’éventuelles divulgations fautives. À défaut d’éléments circonstanciés, la charge de la preuve reste insurmontable et conduit au remboursement. Les dispositifs internes de prévention des escroqueries doivent intégrer les signaux faibles, la pédagogie anti‑hameçonnage, et des parcours d’alerte rapidement actionnables. L’arrêt rappelle aussi que la notification dans le délai légal préserve l’indemnisation, tandis que l’allocation de frais irrépétibles sanctionne l’inexécution fautive du devoir de restitution. En somme, l’authentification forte protège l’exécution, non le consentement, et ne dispense jamais de démontrer la négligence grave.
Nos données proviennent de la Cour de cassation (Judilibre), du Conseil d'État, de la DILA, de la Cour de justice de l'Union européenne ainsi que de la Cour européenne des droits de l'Homme.
Avocat Associé
Hassan Kohen
Avocat au Barreau de Paris • Droit Pénal & Droit du Travail
Maître Kohen, avocat à Paris en droit pénal et droit du travail, accompagne ses clients avec rigueur et discrétion dans toutes leurs démarches juridiques, qu'il s'agisse de procédures pénales ou de litiges liés au droit du travail.
Now using node v22.15.1 (npm v10.8.2)
Utilisation de Node.js v20.19.4 et npm 10.8.2
Codex est déjà installé.
Lancement de Codex…
Rendue par la Cour d’appel de Paris, Pôle 5 – Chambre 6, le 2 juillet 2025, la décision tranche un litige de paiement contesté sur livret réglementé. Deux virements de 5 000 euros chacun avaient été réalisés à la suite d’un appel d’hameçonnage, puis dénoncés par la titulaire qui a alerté sa banque et déposé plainte. L’établissement a refusé le remboursement en se prévalant d’une authentification forte et de prétendues négligences graves. Le tribunal judiciaire avait débouté la demanderesse. Saisie de l’appel, la cour infirme, condamne la banque au remboursement avec intérêts légaux, et alloue des frais irrépétibles.
Le débat porte sur l’articulation entre la preuve de l’authentification et la preuve du consentement au sens des articles L. 133‑18, L. 133‑19, L. 133‑23 et L. 133‑24 du code monétaire et financier. La question est de savoir si les traces d’authentification suffisent à établir une opération autorisée, ou si la banque doit en outre démontrer la fraude ou la négligence grave de l’utilisateur. La solution retient que « il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre », et surtout que « L’utilisation de l’instrument de paiement […] ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ». La cour constate une authentification formelle, mais juge la preuve de la négligence grave défaillante, ce qui impose le remboursement.
I. La charge probatoire des opérations contestées
A. Le cadre légal des services de paiement
Le régime des paiements contestés repose sur une répartition claire des preuves et des risques. Le texte rappelle que « Le prestataire de services de paiement […] fournit des éléments afin de prouver la fraude ou la négligence grave commise par l’utilisateur de services de paiement ». La règle de forclusion de l’article L. 133‑24 est rappelée en ces termes : « L’utilisateur de services de paiement signale, sans tarder, […] au plus tard dans les treize mois suivant la date de débit ». S’agissant de la restitution, « En cas d’opération de paiement non autorisée […] le prestataire de services de paiement du payeur rembourse […] immédiatement », conformément à l’article L. 133‑18. La dérogation liée à la faute lourde est strictement circonscrite par l’article L. 133‑19, qui prévoit que « Le payeur supporte toutes les pertes […] s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133‑16 et L. 133‑17 ».
B. L’application rigoureuse aux faits de l’espèce
La banque produit un listing prouvant une authentification forte sans défaillance technique. La cour retient d’ailleurs que « Il est ainsi établi que les opérations litigieuses ont été authentifiées, dûment enregistrées et comptabilisées, et qu’elles n’ont pas été affectées par une déficience technique ou autre ». Cette preuve n’épuise pourtant pas la charge qui pèse sur le prestataire. Il lui appartient encore d’établir des éléments positifs de fraude ou de négligence grave. Ici, « la banque ne fournit aucun élément de nature à prouver la fraude ou la négligence grave commise par l’utilisateur de services de paiement ». Les alertes formulées rapidement, les démarches en agence, et les tentatives ultérieures bloquées renforcent la qualification d’opérations non autorisées. Dans ces conditions, l’article L. 133‑18 commande la restitution, ce que consacre l’arrêt par la condamnation au remboursement du principal, avec intérêts légaux à compter de la décision.
II. Valeur et portée de la solution
A. Une solution conforme à l’économie de la DSP2
La décision repose sur une lecture fidèle de l’équilibre instauré par la directive services de paiement. L’authentification forte atteste de conditions d’exécution régulières, non du consentement matériel au débit. En soulignant que « L’utilisation de l’instrument de paiement […] ne suffit pas nécessairement […] à prouver que l’opération a été autorisée », la cour distingue clairement la preuve technique de l’authentification et la preuve juridique de l’autorisation. La cohérence est entière avec l’orientation jurisprudentielle exigeant des indices précis, concordants et imputables à l’utilisateur pour caractériser la négligence grave, au‑delà des seules clauses contractuelles.
B. Les exigences probatoires et opérationnelles pour l’avenir
La portée pratique est nette pour les établissements. Une politique probatoire renforcée doit documenter l’acheminement du code à usage unique, son utilisation par l’utilisateur identifié, et d’éventuelles divulgations fautives. À défaut d’éléments circonstanciés, la charge de la preuve reste insurmontable et conduit au remboursement. Les dispositifs internes de prévention des escroqueries doivent intégrer les signaux faibles, la pédagogie anti‑hameçonnage, et des parcours d’alerte rapidement actionnables. L’arrêt rappelle aussi que la notification dans le délai légal préserve l’indemnisation, tandis que l’allocation de frais irrépétibles sanctionne l’inexécution fautive du devoir de restitution. En somme, l’authentification forte protège l’exécution, non le consentement, et ne dispense jamais de démontrer la négligence grave.