Transmettez-nous les pièces de votre dossier. Maître Hassan KOHEN vous répond personnellement sous 24 heures avec une première analyse stratégique de votre situation.
Nous utilisons des cookies pour mesurer l'efficacite de nos campagnes et ameliorer le site. Votre choix peut etre modifie a tout moment.
Par un arrêt du 9 septembre 2025, la Cour d’appel de Rennes tranche un litige relatif à des virements bancaires contestés. L’appelante, titulaire d’un compte, a vu deux virements exécutés après la création d’un compte sur un service de paiement en ligne. Elle a immédiatement signalé la fraude à l’établissement teneur du compte, puis a sollicité le remboursement des sommes débitées, en vain. Le tribunal judiciaire de Rennes, le 27 février 2023, l’a déboutée de l’ensemble de ses demandes et l’a condamnée à divers frais. Devant la juridiction d’appel, l’utilisateur demande le remboursement des virements et des dommages-intérêts, tandis que la banque soulève la forclusion et requiert confirmation. Deux questions dominent le litige: l’effet dévolutif de l’appel et la responsabilité en cas d’opérations non autorisées au regard de l’authentification forte. La Cour déclare l’appel recevable, écarte la forclusion, et condamne la banque à restituer 5 900 euros, refusant cependant toute indemnisation pour préjudice moral. L’arrêt précise le cadre probatoire et normatif issu des articles L. 133-24 et L. 133-19 du code monétaire et financier.
I. Recevabilité de l’appel et temporalité de l’action
A. L’effet dévolutif de l’appel
La banque invoquait l’absence de dévolution au motif d’une déclaration imprécise. La Cour retient au contraire, dans une formulation limpide: « Il apparaît ainsi que la déclaration d’appel satisfait à l’énumération des chefs du jugement critiqués exigée par l’article 901, 4°, du code de procédure civile dans sa rédaction alors applicableet qu’elle emporte ainsi effet dévolutif de l’appel ». Le rappel textuel de l’article 901, 4°, suffit dès lors que les chefs critiqués sont identifiables sans ambiguïté. La solution, rigoureuse, s’inscrit dans l’exigence d’une motivation procédurale précise, mais non formaliste.
Cette position consacre une logique d’accès au juge d’appel conforme au droit au recours effectif. Elle valide des déclarations d’appel structurées autour des chefs critiqués, sans exiger la reprise exhaustive des motifs, ce qui préserve la clarté du litige. L’effet dévolutif se trouve ainsi assuré, permettant à la Cour d’examiner le fond dans toutes ses composantes pertinentes.
B. La portée du délai de treize mois de l’article L. 133-24
La banque soutenait une forclusion acquise, l’action ayant été engagée plus de treize mois après la fraude. La Cour rappelle d’abord la règle légale, en des termes précis: « Par application des dispositions de l’article L. 133-24 du code monétaire et financier l’utilisateur de services de paiement signale, sans tarder, à son prestataire de services de paiement une opération de paiement non autorisée ou mal exécutée et au plus tard dans les treize mois suivant la date de débit sous peine de forclusion à moins que le prestataire de services de paiement ne lui ait pas fourni ou n’ait pas mis à sa disposition les informations relatives à cette opération de paiement conformément au chapitre IV du titre 1er du livre I. » La notification a été faite immédiatement, puis confirmée, ce qui purge le risque de forclusion de la contestation.
La Cour en déduit que l’utilisateur, ayant signalé à temps, « est autorisé à agir en paiement […] dans le délai de droit commun » selon la jurisprudence la plus récente (Cass. com., 2 juill. 2025, n° 24-16.590). La distinction est décisive: le délai de treize mois borne la notification des anomalies, non la prescription de l’action en restitution, soumise au droit commun après signalement régulier.
II. Authentification forte et responsabilité du prestataire
A. L’entrée en vigueur de l’authentification forte et l’erreur de calendrier
La Cour fixe avec netteté le cadre temporel de l’obligation d’authentification forte. Elle énonce: « Il résulte de l’article 34, VIII, 3°, de l’ordonnance n° 2017-1252 du 9 août 2017, que l’article L. 133-44 du code monétaire et financier, dans sa rédaction issue de l’ordonnance n° 2017-1252 du 9 août 2017, auquel renvoie l’article L. 133-19, V, est entré en vigueur le 14 septembre 2019, dix-huit mois après l’entrée en vigueur du règlement délégué (UE) 2018/389 de la Commission du 27 novembre 2017 complétant la directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 par des normes techniques de réglementation relatives à l’authentification forte du client et à des normes ouvertes communes et sécurisées de communication. » Dès lors, la thèse d’un report au 15 juin 2021 est écartée sans détour: « C’est en conséquence vainement que la banque soutient que le dispositif de l’authentification forte n’est devenu obligatoire qu’à compter du 15 juin 2021. »
Cette solution concorde avec la jurisprudence de principe sur la mise en œuvre de la PSD2 et de ses normes techniques (Cass. com., 30 août 2023, n° 22-11.707). Elle confirme que l’exigence d’authentification forte, opposable aux prestataires, s’impose depuis septembre 2019, hors dérogations légales limitées et strictement encadrées. La charge d’en rapporter la preuve pèse alors sur le prestataire, gardien de ses dispositifs.
B. La charge de la preuve et l’inopérance de la négligence
La Cour rappelle la règle substantielle, en citant expressément le texte: « Il ressort de l’article L. 133-19, V, du code monétaire et financier, dans sa rédaction issue de l’ordonnance n° 2017-1252 du 9 août 2017, que, sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si l’opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement du payeur n’exige une authentification forte du payeur prévue par le second de ces textes. » Deux voies de défense demeurent donc au prestataire: établir une authentification forte régulière, ou prouver une fraude imputable au payeur.
La banque invoquait l’impossibilité d’extraire une preuve exploitable, en raison de l’ancienneté. L’arrêt consigne l’argument: « Elle soutient par ailleurs qu’un dispositif d’authentification forte a été appliqué mais que compte tenu de l’ancienneté de l’opération elle n’est pas en mesure d’extraire une preuve exploitable de ce dossier. » L’argument est déclaré inopérant: la conservation et la production des éléments techniques conditionnent précisément l’exonération. À défaut, la responsabilité du prestataire demeure engagée, la négligence du payeur, même grave, ne pouvant se substituer à la preuve d’une fraude.
La conséquence s’impose logiquement: remboursement intégral des virements contestés, faute d’authentification forte établie et d’agissement frauduleux prouvé. La demande de dommages-intérêts pour préjudice moral est rejetée, la preuve de ce chef n’étant pas rapportée. L’arrêt affirme ainsi un équilibre net entre protection du payeur et rigueur probatoire du prestataire, tout en imposant une gouvernance technique conforme aux exigences normatives.