Le paysage des paiements en ligne est régi par des règles strictes visant à protéger le consommateur contre la fraude. Au cœur de ces règles se trouve la notion cruciale d’authentification forte. Récemment, la Cour d’appel de Rennes (2e ch., 18 novembre 2025, n° 23/02948) a rendu une décision importante confirmant la condamnation de la Caisse Régionale de Crédit Agricole Mutuel d’Ille et Vilaine (CRCAM d’Ille et Vilaine) à rembourser un client victime d’une opération non autorisée. Cet arrêt souligne la charge de la preuve qui pèse sur les prestataires de services de paiement lorsqu’ils invoquent la négligence grave de leurs clients.
CA Rennes 2e ch., 18 novembre 2025, RG n° 23/02948
Les faits : un débit contesté de 4 950 euros
L’affaire opposait M. [N] [B] à la CRCAM d’Ille et Vilaine. M. [B], titulaire d’un compte de dépôt, a contacté sa banque le 25 juin 2022 après avoir reçu des courriels relatifs à des opérations qu’il n’avait pas autorisées. Le 28 juin 2022, un débit de 4 950 euros était constaté, dont M. [B] contestait formellement être l’auteur.
Faute d’avoir obtenu le remboursement de cette somme, M. [B] a assigné la banque, obtenant gain de cause en première instance devant le tribunal de proximité de Fougères le 14 avril 2023. Le tribunal avait alors condamné la CRCAM d’Ille et Vilaine à rembourser les 4 950 euros, ainsi que 800 euros au titre de l’article 700 du Code de procédure civile. La banque a interjeté appel de ce jugement le 23 mai 2023.
Le cœur du débat : l’authentification forte et la négligence grave
En appel, la CRCAM d’Ille et Vilaine cherchait à réformer le jugement. Elle soutenait que M. [B] avait commis une négligence grave en communiquant les informations relatives à son compte, permettant ainsi le débit litigieux. La banque estimait que l’opération de paiement litigieuse, effectuée le 24 juin 2022 pour 4 950 euros, avait été réalisée suite à une authentification forte.
Face à une opération de paiement non autorisée, l’article L. 133-19 du code monétaire et financier prévoit que le payeur ne supporte aucune conséquence financière si le prestataire de services de paiement n’a pas exigé une authentification forte. L’authentification forte, définie par l’article L. 133-4 du même code, doit reposer sur l’utilisation d’au moins deux éléments ou plus appartenant aux catégories :
- « connaissance » (quelque chose que seul l’utilisateur connaît) ;
- « possession » (quelque chose que seul l’utilisateur possède) ;
- « inhérence » (quelque chose que l’utilisateur est).
Ces éléments doivent être indépendants, de sorte que la compromission de l’un ne remette pas en cause la fiabilité des autres.
La défaillance du système « Securipass »
La banque a présenté son dispositif « Securipass » comme remplissant les critères de l’authentification forte. Selon elle, l’opération avait combiné :
- Le critère de connaissance, correspondant au code confidentiel de M. [B].
- Le critère de possession, car M. [B] aurait utilisé son téléphone mobile sur lequel l’application « Ma banque/Securipass » était installée pour autoriser l’opération.
Cependant, la Cour d’appel de Rennes a méthodiquement démonté cette argumentation. Bien que le relevé d’opérations mentionne que le débit de 4 950 euros ait été authentifié par Securipass, la Cour a jugé que cela ne démontrait pas qu’il s’agissait d’une authentification forte au sens de l’article L. 133-4.
La Cour a notamment relevé que la banque :
- Ne justifiait pas que l’opération avait été validée par un second critère (possession ou inhérence).
- Ne démontrait aucunement que l’opération de paiement litigieuse avait été réalisée depuis le téléphone mobile de M. [B] ni que la validation par le détenteur du téléphone était une condition de l’authentification de la transaction.
- S’est contredite en expliquant que, puisque M. [B] n’avait jamais été dépossédé de son téléphone, les codes avaient « nécessairement » été communiqués. La Cour a estimé que ce raisonnement confirmait que la possession du téléphone n’était pas une condition de l’authentification effective.
De plus, les conditions générales du fonctionnement des comptes en ligne de la banque ne faisaient que « réserver la possibilité » de soumettre certaines opérations à des contrôles nécessitant l’utilisation d’un mobile, ce qui indiquait que l’authentification par téléphone mobile n’était nullement systématique.
Décision de la Cour et conséquences
En conséquence, la Cour d’appel de Rennes a jugé que la CRCAM d’Ille et Vilaine n’établissait pas que l’opération litigieuse ait été validée par authentification forte de M. [B]. Dans ce contexte, les moyens soulevés par la banque concernant la négligence imputée à M. [B] étaient jugés inopérants.
La Cour a donc rendu son arrêt le 18 novembre 2025 :
- Elle confirme le jugement de première instance concernant le remboursement des 4 950 euros prélevés.
- Elle confirme le débouté de la demande de dommages-intérêts complémentaires (préjudice moral et de jouissance) formulée par M. [B].
- Elle condamne la CRCAM d’Ille et Vilaine, qui succombe en son appel, à payer à M. [B] la somme de 2 000 euros supplémentaires sur le fondement de l’article 700 du Code de procédure civile, ainsi qu’aux entiers dépens.
Cet arrêt réaffirme la rigueur exigée par la jurisprudence concernant l’application des dispositifs de sécurité. Pour qu’une banque puisse exonérer sa responsabilité en cas de fraude, elle doit non seulement prouver l’existence d’un dispositif d’authentification forte, mais surtout démontrer de manière irréfutable que ce processus bifactoriel indépendant a été effectivement mis en œuvre et réussi lors de l’opération litigieuse. La simple existence d’une application ou la communication de codes (même par négligence du client) ne suffit pas à décharger la banque de son obligation de sécurité.
