Transmettez-nous les pièces de votre dossier. Maître Hassan KOHEN vous répond personnellement sous 24 heures avec une première analyse stratégique de votre situation.
Nous utilisons des cookies pour mesurer l'efficacite de nos campagnes et ameliorer le site. Votre choix peut etre modifie a tout moment.
La Cour d’appel de Toulouse, 9 septembre 2025, se prononce sur le remboursement d’opérations de virement déclenchées après une manipulation téléphonique. Des titulaires de comptes ont validé, via authentification forte, des ordres initiés par des fraudeurs, après un appel alarmant prétendument émis par un service interne. Un rappel de fonds a permis de récupérer vingt mille euros, mais dix mille demeuraient débités malgré une dénonciation rapide et une plainte pénale. Le tribunal judiciaire de Toulouse, 21 juillet 2023, a ordonné le remboursement du solde et alloué des dommages-intérêts pour préjudice moral. La banque a interjeté appel en soutenant l’autorisation des opérations et, subsidiairement, une négligence grave des clients, opposant aussi l’exclusivité du régime spécial. Les intimés ont demandé confirmation du remboursement, l’indemnisation renforcée du préjudice moral, et, subsidiairement, l’engagement de la responsabilité contractuelle. La cour confirme la restitution sur le fondement des articles L133-18 et suivants, écarte la négligence grave, mais infirme l’indemnisation du préjudice moral. La question posée est double: l’usage de l’authentification forte suffit‑il à caractériser un consentement valable, et quelles limites encadrent l’indemnisation accessoire? Après avoir rappelé la qualification d’opérations non autorisées et le régime probatoire applicable, l’arrêt précise la portée des restitutions et écarte tout préjudice moral.
I. La caractérisation des opérations non autorisées et la charge probatoire
A. Le consentement à l’opération et au bénéficiaire
La cour rappelle que l’autorisation suppose un consentement valable au sens des articles L133-6 et L133-7 du code monétaire et financier. Elle cite une orientation récente de la jurisprudence: « Il a été récemment jugé qu’en application des dispositions des articles L133-3 et L133-6 du code monétaire et financier, une opération de paiement initié par le payeur, qui donne un ordre de paiement à son prestataire de service de paiement, est réputée autorisée uniquement si le payeur a également consenti à son bénéficiaire. » (Com., 1 juin 2023, n° 21-19.289, 21-21.831). Ainsi, l’authentification ne suffit pas; l’autorisation requiert l’adhésion au transfert et à son destinataire.
La cour souligne ensuite, dans les termes mêmes de l’arrêt, que « L’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur. » Cette affirmation, issue de l’article L133-23, dissocie nettement la preuve technique de l’authentification et la preuve juridique du consentement. En l’espèce, le contexte de vishing a vicié la manifestation de volonté, les fraudeurs dirigeant l’initiation tandis que les titulaires ne faisaient que valider des notifications trompeuses.
B. La négligence grave écartée au regard des circonstances
La motivation précise l’économie probatoire du contentieux des paiements. Elle énonce: « Il résulte de ces textes que s’il appartient à l’utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d’informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l’instrument de paiement ou des données qui lui sont liées, c’est à ce prestataire qu’il incombe, de rapporter la preuve que l’utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence grave à ses obligations. Cette preuve ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés. » La solution est conforme aux décisions rappelées par la cour (Com., 20 novembre 2024, n° 23-15.099; Com., 30 avril 2025, n° 24-10149).
La cour s’aligne encore sur l’orientation protectrice en matière de vishing: « Par ailleurs, il est constant qu’aucune négligence grave au sens de l’article L133-19 du code monétaire et financier ne peut être imputée au titulaire d’un compte qui, contacté téléphoniquement par une personne se faisant passer pour un préposé de sa banque dont le numéro s’affichait, utilise à sa demande le dispositif de sécurité personnalisé pour supprimer puis réinscrire des bénéficiaires de virements dans le but d’éviter des opérations malveillantes. » (Com., 23 octobre 2024, n° 23-16.267). Les juges retiennent plusieurs éléments objectivement déstabilisants: appel à une heure peu propice, invocation de l’urgence, détention par l’appelant d’informations confidentielles, et absence de divulgation de codes par les titulaires. Le prestataire, qui a prouvé l’authentification forte, échoue à établir une négligence grave; la qualification d’opérations non autorisées s’impose donc.
II. Le périmètre de la réparation et l’exclusion du préjudice moral
A. L’obligation de remboursement et le rejet des frais annexes
Le régime spécial impose la remise en état du compte pour les seules opérations non autorisées. L’arrêt l’énonce nettement: « Le fait que l’article L133-18 du code monétaire et financier impose à la banque de rétablir le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu, ne lui fait obligation que de rembourser les opérations de paiement litigieuses, et non pas les autres conséquences de l’escroquerie. » La demande visant les frais d’émission d’une nouvelle carte est ainsi écartée, faute de lien direct avec une faute du prestataire dans l’exécution des paiements.
Cette lecture, classique, conforte l’exclusivité fonctionnelle du code monétaire et financier sur les paiements, sans préjudice d’actions distinctes en responsabilité si une faute autonome est démontrée. En l’espèce, la cour confirme le remboursement des dix mille euros et la capitalisation des intérêts, tout en refusant l’extension de la réparation aux dépenses consécutives à l’escroquerie.
B. L’absence de faute autonome et la limitation de l’indemnisation morale
La cour infirme l’allocation de dommages-intérêts pour préjudice moral, en retenant la diligence du prestataire dans la procédure de rappel et l’absence de faute caractérisée. Elle rappelle un principe de prudence contentieuse: « Or, le simple fait de faire erreur sur son droit, ou de voir son action échouer en justice, ne suffit pas à démontrer l’existence d’un préjudice moral découlant de l’action. » La contestation par le prestataire, bien qu’infondée au fond, ne révèle pas en soi un comportement fautif générateur d’un dommage moral indemnisable.
La solution circonscrit l’office du juge à la remise en état imposée par l’article L133-18, tout en évitant une automaticité de l’indemnisation extra-patrimoniale. Elle promeut un équilibre entre la protection du payeur victime de vishing et l’exigence d’une faute distincte pour réparer l’atteinte morale. Enfin, l’octroi d’une indemnité de procédure au profit des intimés confirme la logique d’équité, sans altérer le cantonnement de la responsabilité au périmètre légal des paiements.