55logo mikael le bot avocat

Apple pay : authentification forte et charge de la preuve – Cour d’appel de Paris, Pôle 4 chambre 9a, 25 septembre 2025, n° 24/13440

  • Droit bancaire

L’arrêt rendu par la Cour d’appel de Paris (pôle 4 ch. 9 a) le 25 septembre 2025 (n° 24/13440) apporte une illustration intéressante concernant la responsabilité des prestataires de services de paiement face aux opérations non autorisées, notamment celles impliquant l’utilisation d’instruments dématérialisés comme Apple Pay. Cette décision souligne l’importance de l’authentification forte et le caractère rigoureux de la charge de la preuve pesant sur les banques.

I. Contexte factuel et décision de première Instance

L’affaire opposait M. [C] [X], titulaire d’un compte ouvert auprès de la société LCL – Le Crédit Lyonnais depuis le 28 janvier 2022, à sa banque, concernant des opérations de paiement contestées. Entre le 16 et le 22 juillet 2022, 64 transactions, pour un montant total de 7 300,24 euros, ont été effectuées sur le compte de M. [X] via l’application Apple Pay. M. [X] a contesté ces opérations le 26 juillet 2022 et déposé plainte le 3 octobre 2022.

Le juge des contentieux de la protection de Nogent-sur-Marne, saisi initialement par LCL en demande de paiement, a rendu un jugement le 30 juillet 2024. Ce jugement a condamné M. [X] à payer à LCL la somme de 10 039,01 euros au titre du solde débiteur du compte. Le premier juge a estimé que M. [X] avait fait preuve de négligence grave en manquant à son obligation de préserver la sécurité de ses données personnalisées. Cette négligence, selon le premier juge, le privait de son droit au remboursement des 7 300,24 euros contestés. Pour motiver cette décision, il avait été relevé que l’activation de la carte bancaire avait eu lieu sur le « wallet apple pay » d’un téléphone qu’il ne contestait pas posséder, et qu’un code à usage unique avait été saisi pour autoriser l’enregistrement de la carte.

M. [X] a interjeté appel le 1er août 2024, contestant la négligence grave retenue à son encontre.

II. Le Cadre légal de l’authentification et la charge de la preuve

La Cour d’appel rappelle le régime juridique strict encadrant les services de paiement, découlant notamment du Code monétaire et financier (CMF).

A. Les obligations du Prestataire de Services de Paiement

En vertu de l’article L. 133-44 du CMF, le prestataire de services de paiement (PSP) est tenu d’appliquer l’authentification forte du client (à double facteur) lorsqu’il accède à son compte en ligne, initie une opération de paiement électronique, ou exécute une opération par un moyen de communication à distance susceptible de comporter un risque de fraude.

Par ailleurs, les articles L. 133-16 et L. 133-17 du CMF imposent à la banque de s’assurer que les données de sécurité personnalisées ne sont accessibles qu’à l’utilisateur autorisé et de mettre en place les moyens appropriés pour le blocage de l’instrument en cas de perte, vol, ou utilisation non autorisée.

B. La charge de la preuve incombant à la banque

L’article L. 133-23 du CMF est au cœur du litige et impose au PSP une double preuve lorsque le payeur nie avoir autorisé une opération :

  1. Preuve technique de l’opération : Il incombe au PSP de prouver que l’opération contestée a été authentifiée, dûment enregistrée et comptabilisée, et qu’elle n’a pas été affectée par une déficience technique ou autre.
  2. Preuve de la faute du client : La seule utilisation de l’instrument de paiement ne suffit pas à prouver l’autorisation par le payeur ou sa négligence grave. Le PSP doit fournir des éléments pour prouver la fraude ou la négligence grave commise par l’utilisateur.

La Cour note que le payeur ne supporte aucune conséquence financière si l’opération non autorisée a été effectuée dans un cas où le PSP n’exigeait pas l’authentification forte, sauf s’il y a agissement frauduleux de sa part.

III. L’analyse de la décision de la Cour d’Appel de Paris

La Cour d’appel a jugé que le premier juge avait inversé la charge de la preuve en retenant la négligence de M. [X] sans exiger préalablement de la banque qu’elle prouve la bonne authentification et l’absence de déficience technique.

A. Défaut de preuve de l’authentification et défaillance technique

LCL affirmait avoir mis en place un système de sécurité renforcée (authentification forte à double facteur). Toutefois, la Cour a constaté que la banque n’a fourni aucun élément de preuve concrète et irréfutable du bon fonctionnement de l’authentification qu’elle a mise en place spécifiquement pour le compte de M. [X] en juillet 2022, ni de l’absence de déficience technique. Elle s’est contentée de documents généraux.

Un élément clé retenu par la Cour est la reconnaissance par LCL elle-même que la carte avait été enregistrée sur six appareils différents avec un unique code, sans preuve de validation électronique pour chacun des appareils. La Cour a estimé qu’il était « surprenant » qu’un degré d’authentification forte permette un tel enregistrement multiple. Ce manquement à l’exigence d’une authentification forte pour un système de paiement électronique comme Apple Pay engage la responsabilité du PSP.

B. Absence de preuve de négligence grave du client

La Cour relève que LCL échoue également à établir que M. [X] aurait volontairement ou par négligence grave remis ses informations confidentielles au fraudeur. Le médiateur de la consommation, bien qu’ayant rejeté le recours, n’a pas mis en cause la bonne foi de M. [X], parlant d’une « fraude induite par l’utilisation de l’application Apple Pay à l’insu de ce dernier ».

Par ailleurs, M. [X] a établi qu’il était en Suède à partir du 20 juillet 2022, alors que les 64 transactions litigieuses ont eu lieu en France entre le 16 et le 22 juillet 2022.

C. Manquement au devoir de vigilance de la banque

La Cour a également jugé que la banque avait manqué à son devoir de vigilance en n’examinant pas le compte de M. [X]. Elle aurait dû remarquer des anomalies apparentes, telles que :

  • Un nombre anormalement élevé de paiements par carte (64 opérations en cinq jours, contre une moyenne de 32 par mois).
  • Des dépenses totalisant plus de 7 000 euros en cinq jours, montant hors de proportion avec ses habitudes (montant mensuel moyen de 1 144,78 euros).
  • Des transactions effectuées au profit de destinataires jamais utilisés auparavant.

IV. Dispositif de l’arrêt et conséquences

En conséquence, la Cour d’appel de Paris a infirmé le jugement de première instance :

  • Remboursement des sommes frauduleuses : LCL est condamné à rembourser à M. [X] la somme de 7 685,80 euros (soit 7 300,24 euros indûment prélevés, majorés des frais et intérêts).
  • Solde débiteur maintenu : La condamnation initiale de M. [X] à payer son solde bancaire est ramenée à 2 353,21 euros, correspondant aux opérations dont il est l’auteur.
  • Dommages et Intérêts : LCL est condamné à verser 1 000 euros à M. [X] à titre de dommages et intérêts pour le préjudice moral résultant de la résistance abusive de la banque.
  • Inscription au FICP : La demande de mainlevée de l’inscription de M. [X] au FICP est rejetée. La Cour a rappelé que M. [X] était défaillant dans ses obligations et son compte débiteur depuis le 10 mars 2022, justifiant l’inscription bien avant la fraude.

En conclusion, cet arrêt rappelle la responsabilité de plein droit du PSP en cas d’opérations de paiement non autorisées, et réaffirme que la preuve de la négligence grave du client ne peut être déduite du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été utilisées. Le PSP doit démontrer de manière positive et irréfutable la bonne exécution technique des opérations d’authentification forte qu’il a mises en place, ainsi que l’absence de toute déficience du système, obligation à laquelle LCL a échoué en l’espèce.

1521 2281 max

Besoin de conseils juridiques personnalisés ?

Ne restez pas seul face à vos questions. Un avocat peut vous rappeler gratuitement pour faire le point sur votre situation.

Être recontacté par un avocat

Besoin de conseils juridiques personnalisés ?

RGPD :

Articles similaires

usurpation identite 2

Spoofing téléphonique et responsabilité du client : une protection renforcée pour les victimes de fraude

Cass. com., 23 oct. 2024, n° 23-16.267 Introduction La sécurité des paiements électroniques est une préoccupation majeure pour les consommateurs et les banques. Le spoofing ...

assets task 01jwreep41e6sshen0x1x7b6k5 1748872242 img 1

Apple pay / Google pay : obtenez le remboursement de vos opérations non autorisées lorsque la fraude n’a pas eu lieu depuis votre appareil

Les services de paiement mobile comme Apple Pay révolutionnent nos habitudes, mais ils exposent aussi à de nouvelles formes d’escroqueries. Une situation fréquente est celle ...

assets task 01jwrg8hjcen69pzvz5hbfwdx7 1748874082 img 1

Fraude Spoofing (Faux conseiller) : Pas de négligence grave du client selon la Cour d’appel de Douai (6 mars 2025)

La fraude dite du « faux conseiller bancaire », souvent associée à la technique du « spoofing » (subtilisation du numéro de téléphone de la ...