Cour d’appel de Riom, Chambre commerciale, 4 juin 2025, n° 24/01384
🔑 Points clés à retenir
- Le numéro de carte (PAN), la date d’expiration et le cryptogramme visuel (CVV) ne constituent pas des « données de sécurité personnalisées » au sens de l’article L.133-4 du CMF.
- L’utilisation de Secur’Pass pour valider une opération ne crée pas de présomption irréfragable de consentement lorsque le client a été manipulé par une fraude téléphonique coordonnée.
- La fraude combinant phishing + spoofing téléphonique est considérée comme une ingénierie sociale d’un niveau de sophistication excluant la négligence grave du client.
- Montant remboursé : environ 8 817 € correspondant aux 4 opérations frauduleuses contestées.
- La Banque Populaire est condamnée alors même que les opérations ont été validées via l’application mobile Secur’Pass.
Sommaire ▼
- Que s’est-il passé ? La fraude en deux temps
- Les numéros de carte sont-ils des « données de sécurité personnalisées » ?
- Secur’Pass suffit-il à prouver le consentement du titulaire ?
- Qu’a décidé la Cour d’appel de Riom ?
- Quelle est la portée de cet arrêt pour les victimes d’arnaques combinées ?
- Conclusion
- FAQ — Questions fréquentes
Que s’est-il passé ? La fraude en deux temps
Les faits illustrent une technique de fraude de plus en plus répandue, reposant sur l’enchaînement de deux manœuvres complémentaires.
Étape 1 : le faux site SNCF Connect et le paiement d’un euro
Le phishing désigne une technique par laquelle des fraudeurs créent une copie convaincante d’un site ou d’un message légitime (ici, SNCF Connect) pour inciter la victime à y saisir ses informations de paiement.
La victime accède à un site imitant parfaitement SNCF Connect. Pour finaliser une opération, il lui est demandé de procéder à un paiement symbolique d’un euro, en saisissant ses coordonnées bancaires complètes : numéro de carte (PAN), date d’expiration, cryptogramme visuel (CVV). Ce paiement d’un euro n’est qu’un prétexte pour récupérer les coordonnées de la carte.
Étape 2 : l’appel spoofing et la validation Secur’Pass
Le spoofing téléphonique est une technique qui permet à un appelant de faire afficher sur l’écran de l’appelé un numéro de téléphone qui n’est pas le sien. Ainsi, l’escroc peut faire apparaître le numéro officiel du service fraude de Visa, de la banque, ou de tout organisme de confiance.
Peu après, la victime reçoit un appel. Sur son écran s’affiche le numéro officiel du service opposition Visa. La voix se présente comme un conseiller du service fraude. Pour « sécuriser » son compte, la victime est guidée vers la validation d’opérations via Secur’Pass. Elle croit valider des opérations de « contre-annulation » mais valide en réalité les paiements frauduleux. Quatre opérations sont exécutées pour un total d’environ 8 817 euros.
🔄 Schéma de la fraude combinée phishing + spoofing
↓
📞 Phase 2 — Appel spoofing (numéro Visa affiché) → faux conseiller antifraude
↓
📱 Phase 3 — Manipulation : la victime valide via Secur’Pass pour « sécuriser » son compte
↓
💸 Phase 4 — 4 opérations frauduleuses validées (≈ 8 817 €)
↓
✅ Condamnation par la Cour d’appel de Riom (4 juin 2025)
Les numéros de carte sont-ils des « données de sécurité personnalisées » ?
Les « données de sécurité personnalisées » sont définies par l’article L.133-4 du CMF comme les données personnalisées fournies à un utilisateur de services de paiement à des fins d’authentification. Il s’agit typiquement d’un code PIN, d’un mot de passe d’accès à l’espace client en ligne, ou d’un code de validation à usage unique. Ces données ont pour fonction spécifique d’authentifier le titulaire.
La banque tentait d’argumenter que la victime avait commis une négligence grave en communiquant ses coordonnées bancaires sur le faux site SNCF. La Cour d’appel de Riom rejette cet argument : les numéros de carte — PAN, date d’expiration, cryptogramme — sont des données de carte, pas des données de sécurité personnalisées au sens de l’article L.133-4 CMF. Leur divulgation ne constitue pas, à elle seule, la communication de données permettant l’authentification au sens légal.
Cette distinction a des conséquences directes : si les numéros de carte ne sont pas des données de sécurité personnalisées, leur communication à un site frauduleux ne peut pas être qualifiée de négligence grave au titre de l’article L.133-19 CMF. Le terrain de la négligence grave s’effondre partiellement.
Secur’Pass suffit-il à prouver le consentement du titulaire ?
Secur’Pass est l’application d’authentification forte proposée par les banques du groupe BPCE. Elle permet de valider des opérations sensibles en saisissant un code PIN ou en utilisant la biométrie. Elle constitue un dispositif d’authentification forte au sens de la DSP2.
La Cour écarte l’argument de la banque. L’authentification forte via Secur’Pass démontre que l’application a bien été utilisée sur le téléphone du titulaire, mais ne démontre pas que ce titulaire a agi librement et en connaissance de cause. Lorsqu’un escroc a convaincu la victime que valider ces opérations était nécessaire pour protéger son compte, la validation est entachée d’un vice du consentement.
La Cour distingue clairement entre l’authentification technique (Secur’Pass a été utilisé sur le téléphone du client) et le consentement libre et éclairé à l’opération (que la fraude téléphonique a précisément vicié).
Qu’a décidé la Cour d’appel de Riom ?
La Cour condamne la Banque Populaire à rembourser l’intégralité des quatre opérations frauduleuses, soit environ 8 817 euros, sur deux piliers : (1) les numéros de carte communiqués sur le faux site SNCF ne sont pas des données de sécurité personnalisées, donc leur divulgation n’est pas une négligence grave ; (2) la validation via Secur’Pass réalisée sous l’emprise d’une manipulation téléphonique sophistiquée ne constitue pas un consentement libre et éclairé.
Quelle est la portée de cet arrêt pour les victimes d’arnaques combinées ?
Cet arrêt est particulièrement précieux pour les victimes d’arnaques combinant phishing et spoofing téléphonique. Ce type de fraude est en forte progression : les escrocs ont compris qu’il est plus efficace d’amener la victime à valider elle-même les opérations via son outil d’authentification forte.
📊 Ce que cet arrêt change concrètement
✅ Secur’Pass validé sous manipulation ≠ consentement libre → l’authentification technique ne suffit pas à exonérer la banque
✅ Fraude en deux temps = ingénierie sociale sophistiquée → exclut le reproche d’imprudence inexcusable
✅ Condamnation intégrale → 8 817 € remboursés, sans partage de responsabilité
Il convient également de rappeler que les Regulatory Technical Standards (RTS) de l’Autorité bancaire européenne imposent aux banques des mécanismes de surveillance et de détection des transactions anormales. Ce levier complémentaire, encore peu exploité dans les contentieux français, mérite d’être systématiquement invoqué.
Conclusion
L’arrêt de la Cour d’appel de Riom du 4 juin 2025 tranche deux questions de fond avec clarté : les numéros de carte bancaire ne sont pas des données de sécurité personnalisées, et la validation via une application d’authentification forte ne prouve pas le consentement libre du client lorsque celui-ci a été manipulé par une fraude téléphonique élaborée.
Le cabinet LE BOT Avocat accompagne les victimes de fraude bancaire, en particulier celles confrontées à ces arnaques sophistiquées en plusieurs temps. Contactez-nous pour analyser les voies de recours disponibles.
