Tribunal judiciaire de Paris, le 30 juin 2025, n°24/06589
Rendu par le tribunal judiciaire de [Localité 3] le 30 juin 2025 (RG 24/06589), ce jugement statue sur le remboursement d’un débit contesté, consécutif à un appel frauduleux et à l’envoi d’un code à usage unique. Le titulaire du compte soutenait n’avoir jamais autorisé l’opération de 2 306,98 euros et invoquait la responsabilité du prestataire de services de paiement. L’établissement arguait d’une authentification forte et d’une négligence grave, rappelant ses messages de prévention. Saisi par requête, le juge a entendu les parties à l’audience du 5 mai 2025, puis a ordonné le remboursement et rejeté les dommages‑intérêts. La question portait sur la qualification d’opération autorisée au regard du consentement, la charge de la preuve et la notion de négligence grave. La solution retient l’obligation de rembourser en application du code monétaire et financier, faute pour le prestataire d’avoir démontré l’absence de défaillance et la négligence grave du payeur.
Le cadre légal, cité par le jugement, est clair. D’une part, « L’article 133‑6 I) du code monétaire et financier dispose qu’une opération de paiement est autorisée si le payeur a donné son consentement à son exécution ». D’autre part, « En application des articles L.133‑19, L 133‑20 et L.133‑23‑1 du code monétaire et financier, en cas de paiement non autorisé par l’utilisateur, la banque doit en rembourser le montant, sauf à démontrer que l’opération a été authentifiée ou que l’utilisateur n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en utilisant son instrument de paiement ». Le juge rappelle enfin la règle probatoire déterminante: « il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre ».
I. Le sens de la décision
A. Le rappel des normes et de la charge de la preuve
Le jugement articule d’abord le régime de l’autorisation autour du consentement éclairé du payeur, exigé par le texte. Il place ensuite la charge probatoire sur le prestataire, conformément à l’économie protectrice du droit des services de paiement. La formation motive que « la preuve de la négligence grave du client que doit rapporter l’organisme bancaire ne peut se déduire du seul fait que l’instrument de paiement ou de données personnelles qui lui sont liées ont été effectivement utilisés ». Cette affirmation écarte toute présomption défavorable au titulaire tirée du seul usage d’un code.
Cette grille implique un double contrôle. Le prestataire doit établir l’authentification, mais aussi l’absence de déficience technique ou autre. Il doit, en outre, rapporter des éléments positifs caractérisant une conduite incompatible avec la vigilance attendue. À défaut, l’opération demeure non autorisée au sens des textes, et le remboursement s’impose de plein droit.
B. L’appréciation in concreto de l’absence de négligence grave
Le juge se fonde sur le mode opératoire de l’appel usurpé et sur la séquence des messages reçus. Il retient que l’opération litigieuse s’inscrit dans un procédé sophistiqué destiné à minorer la vigilance d’un utilisateur placé en situation d’alerte. Il déduit que la fraude s’est nouée en amont de la validation, ce qui met en cause l’efficacité des dispositifs de protection du prestataire. Cette lecture, combinée au silence de la défense sur d’éventuelles intrusions et leur traçabilité, affaiblit la thèse d’un consentement certain.
L’analyse se montre exigeante sur la preuve de la négligence grave. Le seul renvoi à l’authentification forte ne suffit pas, en l’absence d’éléments précis sur l’information délivrée, les libellés présentés, et les alertes adaptées à la situation. Le comportement du payeur, troublé par une alerte crédible et un flux de communications rassurant, ne révèle pas une indifférence fautive aux règles de prudence.
II. Valeur et portée de la solution
A. Une exigence probatoire renforcée face au spoofing
La décision confirme une ligne protectrice: la validation par code ne vaut pas consentement si le contexte révèle une manœuvre trompeuse et des défaillances possibles du dispositif. La citation selon laquelle la négligence ne « peut se déduire du seul fait » de l’usage d’un instrument rappelle la distinction entre authentification et autorisation. Elle incite les prestataires à produire des journaux techniques complets, à établir la cohérence des écrans affichés, et à documenter les alertes contextualisées.
Cette rigueur s’accorde avec l’équilibre recherché par le législateur. La sécurité ne peut être externalisée sur l’utilisateur par la seule mise en œuvre d’une authentification forte. Elle requiert une architecture de défense en profondeur, capable de déjouer l’usurpation d’identité et d’interrompre des scénarios d’escroquerie téléphonique structurés.
B. Conséquences pratiques et prévisibles pour les acteurs
La portée de la solution est double. Sur le plan contentieux, elle rehausse le standard de preuve applicable aux établissements dans les litiges d’opérations contestées, notamment lorsque des indices sérieux d’ingénierie sociale sont établis. Sur le plan opérationnel, elle encourage des parcours anti‑fraude plus lisibles, des messages moins ambigus et des contrôles dynamiques renforcés.
À brève échéance, l’allocation du risque se déplace vers le prestataire lorsque l’environnement de paiement ne neutralise pas des vecteurs connus d’usurpation. À moyen terme, la pédagogie client devra s’articuler avec des mécanismes de blocage efficaces, afin d’éviter que l’OTP ne serve d’instrument à la fraude. Ce jugement invite enfin à une documentation probatoire plus dense, seule à même de renverser la présomption de non‑autorisation en cas de contestation structurée.
Nos données proviennent de la Cour de cassation (Judilibre), du Conseil d'État, de la DILA, de la Cour de justice de l'Union européenne ainsi que de la Cour européenne des droits de l'Homme.
Avocat Associé
Hassan Kohen
Avocat au Barreau de Paris • Droit Pénal & Droit du Travail
Maître Kohen, avocat à Paris en droit pénal et droit du travail, accompagne ses clients avec rigueur et discrétion dans toutes leurs démarches juridiques, qu'il s'agisse de procédures pénales ou de litiges liés au droit du travail.
Rendu par le tribunal judiciaire de [Localité 3] le 30 juin 2025 (RG 24/06589), ce jugement statue sur le remboursement d’un débit contesté, consécutif à un appel frauduleux et à l’envoi d’un code à usage unique. Le titulaire du compte soutenait n’avoir jamais autorisé l’opération de 2 306,98 euros et invoquait la responsabilité du prestataire de services de paiement. L’établissement arguait d’une authentification forte et d’une négligence grave, rappelant ses messages de prévention. Saisi par requête, le juge a entendu les parties à l’audience du 5 mai 2025, puis a ordonné le remboursement et rejeté les dommages‑intérêts. La question portait sur la qualification d’opération autorisée au regard du consentement, la charge de la preuve et la notion de négligence grave. La solution retient l’obligation de rembourser en application du code monétaire et financier, faute pour le prestataire d’avoir démontré l’absence de défaillance et la négligence grave du payeur.
Le cadre légal, cité par le jugement, est clair. D’une part, « L’article 133‑6 I) du code monétaire et financier dispose qu’une opération de paiement est autorisée si le payeur a donné son consentement à son exécution ». D’autre part, « En application des articles L.133‑19, L 133‑20 et L.133‑23‑1 du code monétaire et financier, en cas de paiement non autorisé par l’utilisateur, la banque doit en rembourser le montant, sauf à démontrer que l’opération a été authentifiée ou que l’utilisateur n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en utilisant son instrument de paiement ». Le juge rappelle enfin la règle probatoire déterminante: « il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre ».
I. Le sens de la décision
A. Le rappel des normes et de la charge de la preuve
Le jugement articule d’abord le régime de l’autorisation autour du consentement éclairé du payeur, exigé par le texte. Il place ensuite la charge probatoire sur le prestataire, conformément à l’économie protectrice du droit des services de paiement. La formation motive que « la preuve de la négligence grave du client que doit rapporter l’organisme bancaire ne peut se déduire du seul fait que l’instrument de paiement ou de données personnelles qui lui sont liées ont été effectivement utilisés ». Cette affirmation écarte toute présomption défavorable au titulaire tirée du seul usage d’un code.
Cette grille implique un double contrôle. Le prestataire doit établir l’authentification, mais aussi l’absence de déficience technique ou autre. Il doit, en outre, rapporter des éléments positifs caractérisant une conduite incompatible avec la vigilance attendue. À défaut, l’opération demeure non autorisée au sens des textes, et le remboursement s’impose de plein droit.
B. L’appréciation in concreto de l’absence de négligence grave
Le juge se fonde sur le mode opératoire de l’appel usurpé et sur la séquence des messages reçus. Il retient que l’opération litigieuse s’inscrit dans un procédé sophistiqué destiné à minorer la vigilance d’un utilisateur placé en situation d’alerte. Il déduit que la fraude s’est nouée en amont de la validation, ce qui met en cause l’efficacité des dispositifs de protection du prestataire. Cette lecture, combinée au silence de la défense sur d’éventuelles intrusions et leur traçabilité, affaiblit la thèse d’un consentement certain.
L’analyse se montre exigeante sur la preuve de la négligence grave. Le seul renvoi à l’authentification forte ne suffit pas, en l’absence d’éléments précis sur l’information délivrée, les libellés présentés, et les alertes adaptées à la situation. Le comportement du payeur, troublé par une alerte crédible et un flux de communications rassurant, ne révèle pas une indifférence fautive aux règles de prudence.
II. Valeur et portée de la solution
A. Une exigence probatoire renforcée face au spoofing
La décision confirme une ligne protectrice: la validation par code ne vaut pas consentement si le contexte révèle une manœuvre trompeuse et des défaillances possibles du dispositif. La citation selon laquelle la négligence ne « peut se déduire du seul fait » de l’usage d’un instrument rappelle la distinction entre authentification et autorisation. Elle incite les prestataires à produire des journaux techniques complets, à établir la cohérence des écrans affichés, et à documenter les alertes contextualisées.
Cette rigueur s’accorde avec l’équilibre recherché par le législateur. La sécurité ne peut être externalisée sur l’utilisateur par la seule mise en œuvre d’une authentification forte. Elle requiert une architecture de défense en profondeur, capable de déjouer l’usurpation d’identité et d’interrompre des scénarios d’escroquerie téléphonique structurés.
B. Conséquences pratiques et prévisibles pour les acteurs
La portée de la solution est double. Sur le plan contentieux, elle rehausse le standard de preuve applicable aux établissements dans les litiges d’opérations contestées, notamment lorsque des indices sérieux d’ingénierie sociale sont établis. Sur le plan opérationnel, elle encourage des parcours anti‑fraude plus lisibles, des messages moins ambigus et des contrôles dynamiques renforcés.
À brève échéance, l’allocation du risque se déplace vers le prestataire lorsque l’environnement de paiement ne neutralise pas des vecteurs connus d’usurpation. À moyen terme, la pédagogie client devra s’articuler avec des mécanismes de blocage efficaces, afin d’éviter que l’OTP ne serve d’instrument à la fraude. Ce jugement invite enfin à une documentation probatoire plus dense, seule à même de renverser la présomption de non‑autorisation en cas de contestation structurée.