La récente décision de la Cour d’appel de Paris du 1er octobre 2025 (Cour d’appel de Paris, Pôle 5 chambre 6, 1er octobre 2025, n° 23/12393), opposant le Crédit Industriel et Commercial (CIC) aux sociétés Action d’éclat et Think Meded, offre une illustration intéressante de l’articulation entre le régime spécial de responsabilité des prestataires de services de paiement et le régime de droit commun basé sur le devoir de vigilance.
Lorsqu’une entreprise est victime d’une escroquerie de type « fraude au président » ayant conduit à des virements frauduleux, la première question que les tribunaux doivent trancher est celle du régime de responsabilité applicable. Cette distinction est déterminante pour l’issue du litige.
1. Le Régime de Responsabilité Exclusif des Opérations Non Autorisées (Code Monétaire et Financier)
À titre principal, les victimes d’opérations frauduleuses invoquent souvent les dispositions du Code monétaire et financier (CMF), notamment les articles L. 133-1 et suivants.
Le CMF établit un régime de responsabilité strict pour les prestataires de services de paiement (PSP) en cas d’opération de paiement non autorisée ou mal exécutée. Conformément à l’article L. 133-6 du CMF, une opération de paiement est autorisée si le payeur a donné son consentement à son exécution, sous la forme convenue avec le PSP.
Il convient de noter que ce régime, découlant de la directive européenne 2007/64/CE, fait l’objet d’une harmonisation totale. La Cour de justice de l’Union européenne (CJUE) a clairement établi qu’un régime de responsabilité parallèle ou concurrent basé sur le droit national est incompatible avec la directive dès lors que la responsabilité est recherchée en raison d’une opération non autorisée ou mal exécutée.
Conséquence : Si le virement est qualifié d’opération non autorisée, seul le régime des articles L. 133-18 à L. 133-24 du CMF s’applique, à l’exclusion de tout autre régime de responsabilité résultant du droit national.
2. L’Obstacle de l’Autorisation dans le Cas de la Fraude au Président
Dans l’affaire Action d’éclat et Think Meded, les sociétés ont été victimes d’une escroquerie ayant conduit leur comptable, [V] [P], à réaliser sept ordres de virement entre septembre et octobre 2019.
La banque (CIC) a soutenu que les opérations étaient autorisées, invoquant l’utilisation des dispositifs contractuels de banque en ligne (Filbanque) et d’authentification forte (Safetrans).
La Cour a constaté que les virements litigieux avaient été émis et validés par [V] [P] grâce à l’identifiant, au mot de passe Filbanque, et à la carte et au lecteur de carte Safetrans uniques. L’utilisation de cet instrument de paiement, enregistrée par le CIC et conforme à la convention des parties, a prouvé que les opérations de paiement litigieuses avaient été autorisées par les sociétés clientes.
Ce constat est essentiel : dès lors que les virements sont établis comme ayant été autorisés et correctement exécutés, le régime de responsabilité exclusif du Code monétaire et financier (prévu pour les opérations non autorisées ou mal exécutées) n’est plus applicable.
3. Le Retour au Droit Commun : L’Application du Devoir de Vigilance
Étant donné que la responsabilité du CIC n’était pas recherchée en raison d’une opération de paiement non autorisée ou mal exécutée, les sociétés Action d’éclat et Think Meded ont pu engager la responsabilité de la banque sur le fondement du régime de droit commun de la responsabilité contractuelle (ancien article 1147 du Code civil).
Ce glissement vers le droit commun permet d’examiner le devoir de vigilance (ou de surveillance) de la banque.
Limite du devoir de vigilance : l’obligation de non-ingérence
Par principe, la banque est tenue à une obligation de non-ingérence dans les affaires de son client et n’a pas à enquêter sur l’origine ou l’importance des fonds, sauf disposition légale contraire. Elle n’a pas non plus à s’assurer que les opérations sollicitées ne sont pas périlleuses pour le client ou des tiers, dès lors qu’elles ont une apparence de régularité.
Application du devoir de vigilance : l’anomalie apparente
Toutefois, ce devoir de non-ingérence trouve une limite si l’opération « recèle une anomalie apparente, matérielle ou intellectuelle » (anomalie dans les documents fournis, la nature de l’opération ou le fonctionnement du compte).
Dans le cas présent, les sociétés plaignantes ont soulevé plusieurs anomalies intellectuelles apparentes, notamment :
- Des montants disproportionnés par rapport à l’activité de la société.
- Des destinations étrangères à risque et inhabituelles (Hong-Kong, Chine).
- Le retour de deux premiers virements le 11 septembre 2019 après une alerte contre la fraude de la banque destinataire.
La Cour a jugé que la succession des virements litigieux, combinée au rejet des deux premiers paiements et au caractère inhabituel des destinataires, caractérisait un fonctionnement apparemment anormal du compte, justifiant que le CIC se livre à des vérifications.
Partage de responsabilité
Malgré des diligences initiales (le CIC ayant contacté la comptable et le directeur financier [N] [X] pour confirmation des ordres de virement), la Cour a retenu un manquement de vigilance de la banque à partir du 3 octobre 2019. À cette date, une fausse adresse électronique utilisée pour copier le dirigeant dans la correspondance était « apparente » pour la banque, qui n’a pas relevé cette anomalie.
Cependant, les sociétés Action d’éclat et Think Meded n’ont pas été exonérées de toute responsabilité. La Cour a retenu de graves négligences de la part des sociétés et de leur préposée, notamment :
- Le manquement de vigilance de la comptable face aux montants et destinations inhabituels.
- Le fait de ne pas avoir remarqué l’adresse électronique falsifiée.
- La transmission de pièces justificatives (factures pro forma) entachées d’anomalies (mal orthographiées, sans numéro de facture ni délai de paiement, avec des libellés étrangers à l’activité comme « Hedge funds »).
- L’insuffisance du contrôle exercé par les dirigeants sur l’activité de leur employée pendant la période d’un mois qu’ont duré les paiements frauduleux.
En considération des fautes respectives des parties qui ont concouru à la dissipation des fonds, le CIC a été condamné à verser une indemnisation minorée au titre des dommages et intérêts à Action d’éclat (147 770,63 euros) et à Think Meded (15 135 euros), le montant total des dommages étant réduit en raison du partage de responsabilité.
Conclusion
Cet arrêt de la Cour d’appel de Paris confirme que, face à une « fraude au président » réalisée via des instruments d’authentification forte et donc qualifiée d’opération autorisée, l’utilisateur de services de paiement ne peut obtenir réparation qu’en invoquant la responsabilité contractuelle de droit commun de la banque. Le succès de cette action repose alors sur la preuve du manquement du prestataire de services à son devoir de vigilance, déclenché par l’existence d’une anomalie apparente dans le fonctionnement du compte ou dans les opérations. La banque ne peut être tenue pour responsable que pour les virements réalisés à partir du 3 octobre 2019, date à laquelle le manquement à la vigilance est caractérisé.
