Authentification forte : stricte charge de la preuve en matière de fraude bancaire – CA Reims, Chambre 1 civile et commerciale, 18 novembre 2025, n° 24/01347

La Cour d’appel de Reims, par un arrêt rendu le 18 novembre 2025, a statué sur un litige opposant la S.A. Banque Populaire Alsace Lorraine Champagne (BPALC) à deux de ses clients, Monsieur [O] [W] et Madame [R] [M] épouse [W]. Cette décision, qui infirme partiellement le jugement de première instance, offre une analyse rigoureuse des obligations du prestataire de services de paiement face à des opérations frauduleuses, réaffirmant que la simple communication d’informations bancaires non confidentielles ne suffit pas à caractériser la négligence grave du client.

Cour d’appel de Reims, Chambre 1 civile et commerciale, 18 novembre 2025, n° 24/01347

Les Faits : le piège de la petite annonce en ligne

L’affaire prend sa source dans une interaction banale sur internet. Madame [W] avait mis en vente un bien pour un montant modeste de 40 euros. Contactée par un acheteur potentiel souhaitant régler via Paypal, elle a communiqué deux types d’informations :

1. Les numéros de la carte bancaire liée à son compte personnel.
2. L’IBAN (International Bank Account Number) du compte joint qu’elle partageait avec son époux.

Mme [W] a toutefois maintenu qu’elle n’avait jamais transmis de code de sécurité, qu’il s’agisse du code d’utilisation habituel chez un commerçant ou du code « crypto » (cryptogramme) situé au dos de la carte.

Peu de temps après cette communication, le couple a été victime d’opérations non autorisées. La fraude a concerné deux types de mouvements :

1. Un important virement de 11 850.63 euros depuis le compte joint du couple vers un compte bancaire situé en Lituanie.
2. Des virements correspondant à des « jetons de retrait » pour un montant total de 1 800 euros (la demande finale des clients portant sur 1 500 euros).

Les époux [W] ont immédiatement contesté ces opérations, mais la BPALC a refusé de recréditer les comptes, arguant que les clients avaient communiqué des informations confidentielles, impliquant ainsi leur consentement aux opérations.

Le partage de responsabilité en première instance

Le Tribunal judiciaire de Troyes, saisi par les époux [W] le 13 mai 2022, a rendu un jugement le 5 juillet 2024 qui a partagé la responsabilité :

• La BPALC était condamnée à payer 60% du virement litigieux, soit 7 110.38 euros.
• Les époux [W] étaient déboutés de leur demande concernant les jetons de retrait (1 500 euros).

La BPALC a interjeté appel le 22 août 2024, demandant l’infirmation totale du jugement et son exonération de toute responsabilité. La banque soutenait que la communication d’informations aux fraudeurs constituait une négligence grave au sens des articles L133-16 et L133-17 du code monétaire et financier (CMF), une cause exonératoire de responsabilité.

De leur côté, M. et Mme [W] demandaient l’infirmation du jugement afin d’obtenir le remboursement intégral (11 850.63 euros pour le virement et 1 500 euros pour les jetons). Ils ont également souligné que, préalablement au virement vers la Lituanie, des mouvements internes non autorisés avaient eu lieu, notamment depuis le Livret de Développement Durable (LDD) de M. [W] vers leur compte joint, sans qu’aucun renseignement ou code n’ait été fourni pour ces transferts spécifiques.

Le cœur du raisonnement juridique en appel : la charge de la preuve (Article L 133-23 CMF)

La Cour d’appel de Reims a fondé son analyse sur la législation encadrant les services de paiement, notamment le Code monétaire et financier (CMF).

1. L’obligation de remboursement et les exceptions (L 133-18 et L 133-19)

L’article L 133-18 alinéa 1er du CMF impose au prestataire de services de paiement de rembourser immédiatement le payeur en cas d’opération non autorisée, sauf s’il soupçonne une fraude de l’utilisateur.

L’article L 133-19 précise que le payeur ne supporte les pertes que s’il a agi frauduleusement ou s’il a manqué intentionnellement ou par négligence grave à ses obligations de sécurité (mentionnées à l’article L 133-16, notamment la préservation des données de sécurité personnalisées). Les données de sécurité personnalisées sont celles fournies à l’utilisateur par le prestataire à des fins d’authentification.

2. L’échec de la preuve de la BPALC

C’est l’article L 133-23 qui a été déterminant. Ce texte place la charge de la preuve sur le prestataire de services de paiement. Si l’utilisateur nie avoir autorisé l’opération, la banque doit prouver non seulement que l’opération a été authentifiée, enregistrée et comptabilisée, mais surtout que l’utilisateur a commis une fraude ou une négligence grave.

La Cour a constaté un défaut de preuve flagrant de la part de la BPALC :

• Absence de justification des dispositifs d’authentification : La banque n’a pas réussi à fournir de pièces permettant de connaître précisément les dispositifs de sécurité existants pour authentifier les opérations sur internet, notamment les virements internes (LDD vers compte joint, compte personnel vers compte joint) qui ont servi à alimenter le compte fraudé.
• Défaut de preuve concernant les codes : Concernant les jetons de retrait, bien que la BPALC ait affirmé que chaque retrait nécessitait la saisie de codes spécifiques transmis par SMS, elle « n’en justifie pas ». De même, les indications fournies par M. [W] dans sa plainte étaient jugées trop vagues pour prouver la communication de codes personnels.
• Les informations communiquées ne sont pas des données d’authentification : Le point le plus crucial est que la Cour a jugé que le fait que Mme [W] ait communiqué le numéro de sa carte bleue et l’IBAN du compte joint (sans le cryptogramme) « ne peut s’agir de données d’authentification au sens des textes précités ».

La Cour de Reims en a déduit que la preuve d’une négligence grave de M. et Mme [W] n’avait pas été rapportée par la banque. De plus, elle rappelle que « la preuve d’une négligence ne peut se déduire de la seule circonstance que les opérations ont eu lieu ».

La décision de la Cour d’appel

Estimant que la BPALC n’avait pas satisfait aux règles relatives à la charge de la preuve, la Cour d’appel de Reims, dans son arrêt du 18 novembre 2025, a révisé l’intégralité des condamnations :

1. Elle infirme le jugement de Troyes qui n’accordait que 60% du montant.
2. Elle condamne la Banque Populaire Alsace Lorraine Champagne à payer la somme totale de 11 850.63 euros au titre du virement non autorisé vers la Lituanie, avec intérêts légaux.
3. Elle condamne la Banque Populaire Alsace Lorraine Champagne à payer la somme totale de 1 500 euros au titre des jetons de paiement, avec intérêts légaux.
4. Elle déboute les époux [W] de leurs demandes de dommages et intérêts pour résistance abusive, estimant qu’ils n’ont pas prouvé une faute de la banque dans l’exercice de son droit à se défendre en justice.
5. Elle condamne la BPALC aux dépens d’appel et à payer 1 500 euros au titre des frais irrépétibles d’appel.

Conclusion : L’arrêt de la Cour d’appel de Reims est un signal fort : en cas de fraude, le simple fait pour un client d’avoir fourni des informations largement partagées (comme l’IBAN ou les numéros de carte sans le cryptogramme) n’exonère pas la banque. Le prestataire doit impérativement prouver que les données de sécurité personnalisées ont été compromises par une faute qualifiée du client et, surtout, démontrer l’efficacité des mécanismes d’authentification censés protéger ces fonds. Si la banque ne peut prouver que ses propres systèmes de sécurité ont fonctionné et que le client a gravement failli, elle doit rembourser la totalité des pertes.