Tribunal judiciaire de Orléans, le 13 juin 2025, n°23/04176
Now using node v22.15.1 (npm v10.8.2) Utilisation de Node.js v20.19.4 et npm 10.8.2 Codex est déjà installé. Lancement de Codex… Tribunal judiciaire d’Orléans, 13 juin 2025, n° RG 23/04176. Le litige naît de deux virements exécutés après un appel masqué se présentant comme une assistance technique, validés via un dispositif d’authentification forte. Les sociétés titulaires des comptes contestent toute autorisation, sollicitent le remboursement et invoquent l’absence de négligence grave. Le prestataire conteste, soutenant la faute exclusive des utilisatrices et l’absence d’anomalie apparente, en rappelant la nature sécurisée du parcours d’authentification.
La procédure a conduit à une réinscription après radiation pour défaut de diligences, puis à la clôture et au délibéré. Les demanderesses ont maintenu leurs demandes indemnitaires et fondé leur argumentation sur le régime des opérations non autorisées. Le défendeur a opposé la violation des conditions d’utilisation et l’obligation de non-immixtion, en ajoutant avoir initié des demandes de recall. Le débat s’est concentré sur l’articulation des articles L 133-18 à L 133-24 du code monétaire et financier, la charge probatoire de l’établissement et le critère de négligence grave en contexte de fraude par ingénierie sociale.
La question posée consistait à déterminer si des opérations authentifiées par un dispositif sécurisé, mais consécutives à une tromperie, demeuraient non autorisées au sens du code monétaire et financier, et si la banque pouvait s’exonérer par la preuve d’une négligence grave. La décision retient l’applicabilité du régime légal, constate la recevabilité temporelle de la contestation, écarte la négligence grave et exige une vigilance accrue du professionnel au regard des caractéristiques des virements. La solution ordonne le remboursement assorti des intérêts au taux légal à compter du jugement.
« Les dispositions des articles L 133-18 à L 133-24 du code monétaire et financier sont applicables en pareille hypothèse. » Le juge confirme ainsi le terrain normatif pertinent, en présence d’ordres consécutifs à une usurpation de qualité. La recevabilité est également tranchée: « Il sera constaté que le délai de forclusion de treize mois prévu par les dispositions de l’article L133-24 de ce code a été respecté. » S’agissant de l’appréciation du comportement des utilisatrices, l’analyse s’ouvre sur le contexte: « Il sera en premier lieu constaté et souligné que les faits en cause sont survenus en octobre 2020 […] [les utilisateurs] étaient moins sensibilisés […] aux spécificités et nouveaux moyens […] pour parvenir à des fraudes bancaires. »
I. Le sens de la décision
A. Le régime des opérations non autorisées et la charge de la preuve
Le jugement reprend le texte cardinal: « Lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement […] il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre […] L’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire […] ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur […]. » La citation rappelle que l’authentification forte ne vaut pas, en elle-même, autorisation juridique. Elle inaugure un double faisceau: preuve de l’authentification en fait, et preuve d’une faute qualifiée de l’utilisateur.
Le juge déduit de ce cadre que l’établissement, pour s’exonérer, doit démontrer la fraude de l’utilisateur ou sa négligence grave. La décision traite d’abord la forclusion, ensuite la matérialité des opérations, enfin l’existence d’une faute lourde. La méthode est classique et claire. La recevabilité étant acquise, la discussion se concentre sur la frontière entre usage techniquement valable et consentement juridiquement absent, frontière que l’article L 133-23 dessine explicitement. L’économie du texte incite à distinguer la sécurité du canal et la volonté du payeur.
B. La négligence grave à l’épreuve de l’ingénierie sociale
Le juge retient que le contexte sanitaire et technique de l’époque a accru la vraisemblance d’un appel d’assistance, renforçant l’apparence de légitimité des demandes. Il souligne que la délégation interne à une personne de confiance impliquée dans la gestion n’est pas, en soi, un indice de gravité fautive. La motivation prend soin d’écarter une assimilation mécanique entre partage d’un vecteur d’authentification et négligence grave, en appréciant les circonstances concrètes de la tromperie.
Cette approche est conforme à la lettre du texte, qui impose une preuve qualifiée. Elle refuse de déduire la faute lourde de la seule utilisation conforme de l’outil sécurisé, validé dans un contexte trompeur. La décision se situe ainsi dans une ligne jurisprudentielle qui distingue le contournement par ruse de l’utilisateur malveillant et l’abstention gravement imprudente du payeur. Les éléments produits sur la réactivité des contestations, l’absence d’indices matériels patents d’anomalie apparente et la cohérence interne des opérations au regard des plafonds ont pesé dans l’appréciation.
II. Valeur et portée
A. La vigilance bancaire face aux transferts atypiques
La motivation introduit une exigence d’attention contextualisée: le professionnel « devait exercer une vigilance accrue ». Cette formule, insérée dans un raisonnement sur la nature du destinataire, le montant significatif et le caractère inhabituel de la destination, valorise une obligation de surveillance proportionnée. Elle n’érige pas une obligation de résultat de détection, mais elle suggère un devoir de prudence renforcé lorsque convergent plusieurs signaux atypiques.
Cette exigence s’articule avec le devoir de non-immixtion sans le contredire. Elle ne commande pas une appréciation d’opportunité économique, mais une alerte procédurale lorsque l’agrégation d’indices objectifs s’écarte des usages du compte. L’orientation s’inscrit dans une tendance à responsabiliser l’établissement sur la détection des scénarios de fraude connus, sans présumer de l’illicéité de flux internationaux en tant que tels. Elle incite à des paramétrages adaptatifs et à des vérifications complémentaires raisonnables en cas de faisceaux d’anomalies.
B. Conséquences pratiques et équilibre des responsabilités
La solution confirme l’effectivité du régime protecteur des articles L 133-18 à L 133-24 pour les entreprises utilisatrices de services de paiement, même en présence d’authentification forte. Elle réaffirme la centralité de la preuve de la négligence grave, qui ne saurait résulter d’une simple validation trompée par un procédé de vishing. Elle incite les professionnels à documenter les scénarios de fraude, à tracer les alertes et à justifier les choix de laisser-passer, afin de satisfaire à l’exigence de vigilance.
Sur le plan indemnitaire, l’allocation des intérêts à compter du jugement précise l’étendue temporelle de la réparation pécuniaire. La reconnaissance des frais irrépétibles manifeste une appréciation mesurée des charges de procédure. La portée de l’arrêt tient à l’équilibre qu’il opère: protection du payeur de bonne foi, charge probatoire rigoureuse pour le prestataire, et rappel d’une vigilance proportionnée aux indices objectifs, notamment en cas de transferts internationaux atypiques.
La cohérence d’ensemble résulte d’une lecture fidèle du texte légal et d’une appréciation concrète des circonstances de la fraude. La décision éclaire la frontière entre sécurité technique et autorisation juridique, tout en assignant au professionnel une responsabilité de vigilance contextualisée, compatible avec le principe de non-immixtion et l’exécution diligente des ordres de paiement.
Nos données proviennent de la Cour de cassation (Judilibre), du Conseil d'État, de la DILA, de la Cour de justice de l'Union européenne ainsi que de la Cour européenne des droits de l'Homme.
Avocat Associé
Hassan Kohen
Avocat au Barreau de Paris • Droit Pénal & Droit du Travail
Maître Kohen, avocat à Paris en droit pénal et droit du travail, accompagne ses clients avec rigueur et discrétion dans toutes leurs démarches juridiques, qu'il s'agisse de procédures pénales ou de litiges liés au droit du travail.
Now using node v22.15.1 (npm v10.8.2)
Utilisation de Node.js v20.19.4 et npm 10.8.2
Codex est déjà installé.
Lancement de Codex…
Tribunal judiciaire d’Orléans, 13 juin 2025, n° RG 23/04176. Le litige naît de deux virements exécutés après un appel masqué se présentant comme une assistance technique, validés via un dispositif d’authentification forte. Les sociétés titulaires des comptes contestent toute autorisation, sollicitent le remboursement et invoquent l’absence de négligence grave. Le prestataire conteste, soutenant la faute exclusive des utilisatrices et l’absence d’anomalie apparente, en rappelant la nature sécurisée du parcours d’authentification.
La procédure a conduit à une réinscription après radiation pour défaut de diligences, puis à la clôture et au délibéré. Les demanderesses ont maintenu leurs demandes indemnitaires et fondé leur argumentation sur le régime des opérations non autorisées. Le défendeur a opposé la violation des conditions d’utilisation et l’obligation de non-immixtion, en ajoutant avoir initié des demandes de recall. Le débat s’est concentré sur l’articulation des articles L 133-18 à L 133-24 du code monétaire et financier, la charge probatoire de l’établissement et le critère de négligence grave en contexte de fraude par ingénierie sociale.
La question posée consistait à déterminer si des opérations authentifiées par un dispositif sécurisé, mais consécutives à une tromperie, demeuraient non autorisées au sens du code monétaire et financier, et si la banque pouvait s’exonérer par la preuve d’une négligence grave. La décision retient l’applicabilité du régime légal, constate la recevabilité temporelle de la contestation, écarte la négligence grave et exige une vigilance accrue du professionnel au regard des caractéristiques des virements. La solution ordonne le remboursement assorti des intérêts au taux légal à compter du jugement.
« Les dispositions des articles L 133-18 à L 133-24 du code monétaire et financier sont applicables en pareille hypothèse. » Le juge confirme ainsi le terrain normatif pertinent, en présence d’ordres consécutifs à une usurpation de qualité. La recevabilité est également tranchée: « Il sera constaté que le délai de forclusion de treize mois prévu par les dispositions de l’article L133-24 de ce code a été respecté. » S’agissant de l’appréciation du comportement des utilisatrices, l’analyse s’ouvre sur le contexte: « Il sera en premier lieu constaté et souligné que les faits en cause sont survenus en octobre 2020 […] [les utilisateurs] étaient moins sensibilisés […] aux spécificités et nouveaux moyens […] pour parvenir à des fraudes bancaires. »
I. Le sens de la décision
A. Le régime des opérations non autorisées et la charge de la preuve
Le jugement reprend le texte cardinal: « Lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement […] il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre […] L’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire […] ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur […]. » La citation rappelle que l’authentification forte ne vaut pas, en elle-même, autorisation juridique. Elle inaugure un double faisceau: preuve de l’authentification en fait, et preuve d’une faute qualifiée de l’utilisateur.
Le juge déduit de ce cadre que l’établissement, pour s’exonérer, doit démontrer la fraude de l’utilisateur ou sa négligence grave. La décision traite d’abord la forclusion, ensuite la matérialité des opérations, enfin l’existence d’une faute lourde. La méthode est classique et claire. La recevabilité étant acquise, la discussion se concentre sur la frontière entre usage techniquement valable et consentement juridiquement absent, frontière que l’article L 133-23 dessine explicitement. L’économie du texte incite à distinguer la sécurité du canal et la volonté du payeur.
B. La négligence grave à l’épreuve de l’ingénierie sociale
Le juge retient que le contexte sanitaire et technique de l’époque a accru la vraisemblance d’un appel d’assistance, renforçant l’apparence de légitimité des demandes. Il souligne que la délégation interne à une personne de confiance impliquée dans la gestion n’est pas, en soi, un indice de gravité fautive. La motivation prend soin d’écarter une assimilation mécanique entre partage d’un vecteur d’authentification et négligence grave, en appréciant les circonstances concrètes de la tromperie.
Cette approche est conforme à la lettre du texte, qui impose une preuve qualifiée. Elle refuse de déduire la faute lourde de la seule utilisation conforme de l’outil sécurisé, validé dans un contexte trompeur. La décision se situe ainsi dans une ligne jurisprudentielle qui distingue le contournement par ruse de l’utilisateur malveillant et l’abstention gravement imprudente du payeur. Les éléments produits sur la réactivité des contestations, l’absence d’indices matériels patents d’anomalie apparente et la cohérence interne des opérations au regard des plafonds ont pesé dans l’appréciation.
II. Valeur et portée
A. La vigilance bancaire face aux transferts atypiques
La motivation introduit une exigence d’attention contextualisée: le professionnel « devait exercer une vigilance accrue ». Cette formule, insérée dans un raisonnement sur la nature du destinataire, le montant significatif et le caractère inhabituel de la destination, valorise une obligation de surveillance proportionnée. Elle n’érige pas une obligation de résultat de détection, mais elle suggère un devoir de prudence renforcé lorsque convergent plusieurs signaux atypiques.
Cette exigence s’articule avec le devoir de non-immixtion sans le contredire. Elle ne commande pas une appréciation d’opportunité économique, mais une alerte procédurale lorsque l’agrégation d’indices objectifs s’écarte des usages du compte. L’orientation s’inscrit dans une tendance à responsabiliser l’établissement sur la détection des scénarios de fraude connus, sans présumer de l’illicéité de flux internationaux en tant que tels. Elle incite à des paramétrages adaptatifs et à des vérifications complémentaires raisonnables en cas de faisceaux d’anomalies.
B. Conséquences pratiques et équilibre des responsabilités
La solution confirme l’effectivité du régime protecteur des articles L 133-18 à L 133-24 pour les entreprises utilisatrices de services de paiement, même en présence d’authentification forte. Elle réaffirme la centralité de la preuve de la négligence grave, qui ne saurait résulter d’une simple validation trompée par un procédé de vishing. Elle incite les professionnels à documenter les scénarios de fraude, à tracer les alertes et à justifier les choix de laisser-passer, afin de satisfaire à l’exigence de vigilance.
Sur le plan indemnitaire, l’allocation des intérêts à compter du jugement précise l’étendue temporelle de la réparation pécuniaire. La reconnaissance des frais irrépétibles manifeste une appréciation mesurée des charges de procédure. La portée de l’arrêt tient à l’équilibre qu’il opère: protection du payeur de bonne foi, charge probatoire rigoureuse pour le prestataire, et rappel d’une vigilance proportionnée aux indices objectifs, notamment en cas de transferts internationaux atypiques.
La cohérence d’ensemble résulte d’une lecture fidèle du texte légal et d’une appréciation concrète des circonstances de la fraude. La décision éclaire la frontière entre sécurité technique et autorisation juridique, tout en assignant au professionnel une responsabilité de vigilance contextualisée, compatible avec le principe de non-immixtion et l’exécution diligente des ordres de paiement.