Authentification indéterminée sur Apple Pay : remboursement intégral du client – CA Paris, Pôle 5 ch. 6, 11 février 2026, n° 24/12670

Cour d’appel de Paris, Pôle 5 chambre 6, 11 février 2026, n° 24/12670

I. Contexte et chronologie de l’affaire

Les faits : 7 487,76 euros détournés via Apple Pay

M. [I], client de la Caisse d’Épargne et de Prévoyance d’Île-de-France, est titulaire d’un compte bancaire depuis plusieurs années. Comme de nombreux Français, il a choisi d’utiliser le service de paiement mobile Apple Pay, qui permet de réaliser des transactions sécurisées à distance en enregistrant sa carte bancaire dans son iPhone.

Le 12 juin 2022, une demande d’enregistrement de sa carte bancaire dans le système Apple Pay est traitée par la banque. Puis, entre le 14 et le 20 juin 2022, quatorze opérations de paiement sont effectuées depuis son compte, toutes au profit d’un prestataire de livraison de services de restauration. Le montant total atteint 7 487,76 euros, une somme loin d’être négligeable.

Le problème ? M. [I] affirme n’avoir jamais autorisé ces opérations. Ni leur montant, ni leur bénéficiaire ne correspondent à des transactions qu’il aurait voulues. Dès le 24 juin 2022, soit à peine quatre jours après la dernière opération suspecte, il contacte immédiatement sa banque pour contester ces paiements et demander leur remboursement.

Le jugement du tribunal de commerce : un échec en première instance

Face au refus de la Caisse d’Épargne de procéder au remboursement, M. [I] envoie une mise en demeure formelle par lettre recommandée avec accusé de réception le 21 juillet 2022. Devant le silence persistant de la banque, il l’assigne devant le tribunal de commerce de Paris le 9 janvier 2023.

Malheureusement pour lui, le tribunal de commerce rend un jugement défavorable le 27 juin 2024. Les juges consulaires rejettent l’ensemble de ses demandes et le condamnent même à payer 2 000 euros de frais irrépétibles à la banque, ainsi qu’aux dépens. Le motif ? Selon le tribunal, M. [I] n’aurait pas prouvé l’absence de consentement aux opérations contestées.

Cette décision, caractéristique d’une certaine frilosité judiciaire en matière de fraude bancaire, renverse en pratique la charge de la preuve pourtant clairement établie par la loi. Elle place le consommateur dans une position intenable : comment prouver qu’on n’a pas fait quelque chose ? Comment démontrer une négative ?

Refusant de baisser les bras, M. [I] interjette appel le 9 juillet 2024. Son affaire sera plaidée devant la Cour d’appel de Paris le 18 décembre 2025, et l’arrêt rendu le 11 février 2026 lui donnera entièrement raison.

II. Le cadre juridique des opérations non autorisées

Le principe du remboursement automatique

Le droit français, transposant les directives européennes sur les services de paiement (DSP2), a mis en place un régime protecteur pour les utilisateurs de moyens de paiement. Ce régime repose sur un principe simple et fort : en cas d’opération de paiement non autorisée, la banque doit rembourser immédiatement son client.

L’article L. 133-18, alinéa 1, du Code monétaire et financier énonce clairement cette règle :

« En cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L. 133-24, le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement et s’il communique ces raisons par écrit à la Banque de France. »

Ce texte est d’une clarté limpide. Dès lors qu’une opération n’a pas été autorisée par le titulaire du compte, la banque doit procéder au remboursement dans un délai extrêmement bref : le jour ouvrable suivant la réclamation. Il ne s’agit pas d’une simple faculté, mais d’une obligation légale impérative.

Notons également que la banque doit rétablir le compte dans l’état où il se serait trouvé si l’opération frauduleuse n’avait jamais eu lieu. Cela signifie qu’elle doit non seulement rembourser le montant détourné, mais aussi compenser les éventuels frais bancaires (agios, frais de découvert) causés par l’opération litigieuse.

Les exceptions : fraude ou négligence grave

Évidemment, ce principe connaît des exceptions. La loi ne peut pas permettre à un client de sciemment frauder sa propre banque, ni le dédouaner de toute responsabilité s’il a été gravement négligent dans la protection de ses données bancaires.

L’article L. 133-19, IV, du Code monétaire et financier prévoit ainsi que :

« Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17. »

Ces articles L. 133-16 et L. 133-17 imposent au titulaire du compte de :

• Prendre toutes les mesures raisonnables pour préserver la sécurité de ses données de sécurité personnalisées (codes secrets, identifiants, etc.)
• Ne jamais communiquer ces données à des tiers
• Informer sans tarder sa banque en cas de perte, vol ou utilisation non autorisée de son moyen de paiement

La notion de « négligence grave » est particulièrement importante. Elle ne désigne pas n’importe quelle imprudence, mais un manquement caractérisé et inexcusable aux règles élémentaires de sécurité. Par exemple : noter son code PIN au dos de sa carte bancaire, communiquer volontairement ses codes d’accès à un inconnu, laisser traîner sa carte et son téléphone déverrouillé ensemble dans un lieu public, etc.

La charge de la preuve : un renversement protecteur

C’est ici que se situe le cœur du dispositif protecteur. Contrairement au droit commun de la responsabilité, où celui qui réclame une indemnisation doit prouver le préjudice et la faute, en matière d’opérations non autorisées, c’est la banque qui doit prouver que l’opération était légitime ou que le client a été gravement négligent.

La jurisprudence de la Cour de cassation est désormais constante sur ce point. Dans plusieurs arrêts de principe (Cass. com., 12 novembre 2020, n° 19-12.112 ; Cass. com., 20 novembre 2024, n° 23-15.099 ; Cass. com., 30 avril 2025, n° 24-10.149), la Chambre commerciale a affirmé qu’il résulte des articles L. 133-19, IV, et L. 133-23 du Code monétaire et financier que :

Si la banque entend faire supporter au client les pertes occasionnées par une opération non autorisée, elle doit préalablement prouver que :

1. L’opération a été authentifiée conformément aux règles applicables
2. L’opération a été dûment enregistrée et comptabilisée
3. L’opération n’a pas été affectée par une déficience technique ou autre

Ce n’est qu’une fois cette triple preuve apportée que la banque peut invoquer une éventuelle négligence grave du client. Si elle échoue à démontrer ne serait-ce qu’un seul de ces trois éléments, elle doit rembourser, point final.

Ce renversement de la charge de la preuve est crucial. Il reconnaît une réalité simple : les banques maîtrisent la technologie des paiements, elles détiennent les données techniques, elles conçoivent les systèmes de sécurité. Il est donc logique qu’elles soient tenues de prouver que leurs systèmes ont correctement fonctionné, et non au consommateur de prouver le contraire.

III. L’analyse de la décision de la Cour d’appel

Les arguments du client

Dans ses conclusions d’appel notifiées le 22 août 2024, M. [I] a développé une argumentation solide et méthodique.

Sur le caractère non autorisé des opérations :

M. [I] affirme de manière catégorique n’avoir jamais donné son consentement aux quatorze virements frauduleux effectués entre le 14 et le 20 juin 2022. Il souligne qu’il n’a consenti ni à leur montant, ni à leur bénéficiaire. Cette affirmation est corroborée par la réaction immédiate : dès le 24 juin 2022, soit quatre jours après la dernière opération suspecte, il a alerté sa banque. Ce délai extrêmement court démontre qu’il surveille activement son compte et qu’il n’a pas laissé traîner la situation.

Sur l’absence de preuve d’authentification forte :

L’argument central de M. [I] porte sur l’insuffisance de la preuve apportée par la banque concernant l’authentification des opérations. Il fait remarquer que le relevé des opérations fourni par la Caisse d’Épargne n’établit pas que le code d’autorisation de chaque opération a été envoyé au numéro de téléphone qu’il avait communiqué lors de sa souscription à Apple Pay. Il souligne que l’authentification est « indéterminée », ce qui est un point crucial que la Cour retiendra.

Sur le non-respect des recommandations de sécurité :

M. [I] avance que le système d’authentification de la banque ne respecte pas les recommandations de sécurité édictées par la Banque de France. Bien que cet argument ne soit pas développé en détail dans l’arrêt, il soulève une question importante : les banques ont-elles vraiment mis en place des dispositifs de sécurité à la hauteur des enjeux ?

Sur l’absence de négligence grave :

Enfin, M. [I] soutient que la banque ne rapporte pas la preuve de la commission d’agissements frauduleux de sa part, ni d’un manquement intentionnel ou d’une négligence grave. Il rappelle que ces conditions sont cumulatives pour qu’un refus de remboursement soit légitime, et que la banque doit en outre communiquer immédiatement ses motifs à la Banque de France, ce qu’elle n’a pas fait.

Sur la responsabilité de plein droit de la banque :

M. [I] insiste sur le fait que la banque est responsable de plein droit en matière d’opérations de paiement non autorisées et qu’elle n’a pas respecté son obligation de remboursement, conformément aux articles L. 133-18 et suivants du Code monétaire et financier. Il ajoute que ni la convention sur la preuve, ni les limitations conventionnelles de responsabilité invoquées par la banque ne peuvent atténuer cette obligation légale impérative.

Les arguments de la banque

De son côté, la Caisse d’Épargne a tenté de se défendre avec plusieurs arguments, classiques dans ce type de contentieux.

Sur l’authentification forte via Apple Pay :

La banque soutient que les opérations contestées ont été authentifiées selon le système dit « d’authentification forte » Apple Pay. Elle explique que ce système nécessite la composition de deux codes par l’auteur de l’ordre : l’un permanent, pour accéder au compte ; l’autre générant un paiement pour chaque opération, transmis sur le téléphone portable du titulaire du compte.

Elle verse aux débats la convention d’ouverture de compte, les conditions générales d’utilisation de la carte bancaire VISA dans la solution de paiement mobile Apple Pay, les relevés des opérations de paiement réalisées via cette solution et le relevé informatique de l’envoi d’un code secret sur le téléphone de M. [I].

Sur le comportement suspect du client :

La banque tente de jeter le doute sur la bonne foi de M. [I]. Elle souligne qu’il « omet volontairement d’indiquer ce qui s’est réellement passé » et qu’il n’a pas déposé plainte. Elle fait remarquer qu’il n’a formulé aucune réclamation auprès de son opérateur téléphonique, alors qu’il avait avancé devant les premiers juges avoir pu être victime d’une duplication frauduleuse de son numéro de téléphone mobile (ce que l’on appelle le « SIM swapping »).

La banque note également que M. [I] ne justifie pas avoir été victime d’un hameçonnage (phishing) de ses données personnelles ou de son numéro de carte bancaire, ni avoir été dessaisi de son téléphone ou de sa carte bancaire.

Sur la négligence grave présumée :

La Caisse d’Épargne développe ensuite une argumentation hypothétique. Elle affirme que, « à supposer que M. [I] n’ait pas ordonné les opérations de paiement litigieuses, ce que rien ne permet de soutenir », seules deux hypothèses seraient envisageables :

• Soit M. [I] a laissé un tiers accéder à sa carte bancaire ainsi qu’à son téléphone portable, permettant à ce tiers de prendre connaissance du code secret à six chiffres nécessaire à l’activation d’Apple Pay
• Soit M. [I] a communiqué à un tiers les données de sa carte bancaire ainsi que le code secret qu’il a personnellement reçu, permettant à ce tiers d’ordonner des opérations de paiement après avoir activé et paramétré la fonction biométrique d’Apple Pay

Dans les deux cas, conclut la banque, M. [I] aurait été gravement négligent en ne préservant pas la sécurité de ses données personnalisées, et devrait donc être débouté de ses demandes.

Ce raisonnement, bien qu’ingénieux, repose sur un sophisme : il présuppose que si une fraude a eu lieu, c’est nécessairement que le client a commis une faute. Or, c’est précisément ce que la loi et la jurisprudence récusent. Les systèmes informatiques peuvent être contournés, piratés, détournés, sans que le client n’ait commis la moindre imprudence.

Le raisonnement de la Cour : une preuve insuffisante

La Cour d’appel de Paris a examiné attentivement les arguments des deux parties lors de l’audience du 18 décembre 2025. L’arrêt rendu le 11 février 2026 est un modèle de rigueur juridique.

Premier constat : les opérations ne sont pas autorisées

La Cour relève d’emblée que « la banque invoque le caractère autorisé des opérations, mais ne conteste pas vraiment que M. [I] n’a pas donné son consentement aux opérations litigieuses ». Ce point est capital. La banque n’a jamais véritablement démontré que M. [I] avait consenti à ces transactions. Elle s’est contentée d’affirmer qu’elles avaient été authentifiées par son système, ce qui n’est pas la même chose.

La Cour en déduit logiquement : « Il s’en induit que les quatorze opérations de virements effectués critiqués par M. [I] entre les 14 et 20 juin 2022 n’étaient pas autorisées au sens des dispositions légales précitées. »

Deuxième constat : le client a réagi immédiatement

Les magistrats soulignent un élément factuel déterminant : « Il est constant que M. [I] a immédiatement contacté sa banque pour signaler les opérations litigieuses, indépendamment du fait qu’il n’a pas déposé plainte. »

L’absence de dépôt de plainte, que la banque tente d’utiliser comme un indice de mauvaise foi, est balayée d’un revers de main. Le dépôt de plainte n’est pas une condition légale du remboursement. Ce qui compte, c’est la rapidité avec laquelle le client a alerté sa banque, condition qui est pleinement remplie en l’espèce.

Troisième constat : la charge de la preuve pèse sur la banque

La Cour rappelle ensuite la jurisprudence constante de la Cour de cassation (citant les arrêts de 2020, 2024 et 2025) : si la banque entend faire supporter au client les pertes, elle doit préalablement prouver que l’opération a été authentifiée, dûment enregistrée et comptabilisée, et qu’elle n’a pas été affectée par une déficience technique.

C’est sur ce terrain que la Caisse d’Épargne va trébucher.

Quatrième constat : les preuves de la banque sont contradictoires

Voici le cœur de la motivation de l’arrêt, qui mérite d’être cité intégralement :

« Il sera relevé que si la banque soutient qu’à l’occasion du présent litige le service d’authentification utilisé est le service Apple Pay et que les conditions générales de la Banque à distance précisent les modalités de ce service applicables à M. [I], qui ne conteste pas leur application, elle verse aux débats des relevés des opérations de paiement réalisées via la solution de paiement mobile Apple Pay, qui ne permettent pas d’attester que celles-ci ont été authentifiées, dûment enregistrées et comptabilisées et non affectées par une déficience technique ou autre, dès lors qu’ils comportent des mentions contradictoires. En effet, si pour chaque transaction figure en dernière page la mention « Libellé CVD (Token) : Applepay », qui atteste d’une authentification, apparaît également en première page la mention suivante « 3D Secure avec authentification indéterminée ou pseudo 3D Secure (62) », de sorte que ces mentions ne permettent pas de déterminer l’authentification mise en œuvre ni que la transaction litigieuse n’a pas été affectée par une déficience technique ou autre. »

Autrement dit, les documents produits par la banque contiennent deux informations contradictoires :

• D’un côté, la mention « Applepay » semble indiquer une authentification
• De l’autre, la mention « 3D Secure avec authentification indéterminée ou pseudo 3D Secure (62) » jette un doute sérieux sur la réalité de cette authentification

Face à cette contradiction, la Cour ne peut pas considérer la preuve comme rapportée. On ne peut pas à la fois affirmer qu’une opération a été authentifiée et que l’authentification est « indéterminée ». C’est l’un ou l’autre.

Conclusion : la banque doit rembourser

La Cour en tire les conséquences logiques : « Il s’ensuit que la preuve préalable à toute invocation d’une négligence grave du client d’opérations authentifiées, dûment enregistrées et comptabilisées et non affectée par une déficience technique ou autre n’est pas rapportée, de sorte que la banque est tenue de rembourser son client. »

Puisque la banque n’a pas réussi à prouver l’authentification correcte des opérations, elle ne peut même pas invoquer une éventuelle négligence grave de M. [I]. La discussion s’arrête là : remboursement intégral, un point c’est tout.

IV. L’authentification forte Apple Pay : un mécanisme sous la loupe

Comment fonctionne Apple Pay ?

Pour bien comprendre les enjeux de cette affaire, il est utile de s’attarder un instant sur le fonctionnement d’Apple Pay et de l’« authentification forte » que ce système est censé garantir.

Apple Pay est un service de paiement mobile développé par Apple, disponible sur iPhone, iPad et Apple Watch. Il permet d’enregistrer une ou plusieurs cartes bancaires dans l’application « Wallet » (Portefeuille) de l’appareil, puis d’effectuer des paiements sans contact en magasin, ou des paiements à distance sur internet et dans des applications.

L’enregistrement initial de la carte

Pour enregistrer une carte bancaire dans Apple Pay, l’utilisateur doit :

1. Ouvrir l’application Wallet et sélectionner « Ajouter une carte »
2. Scanner sa carte bancaire avec l’appareil photo de l’iPhone ou saisir manuellement les informations
3. Accepter les conditions générales de sa banque
4. Recevoir un code de validation (généralement par SMS) envoyé par la banque
5. Saisir ce code pour confirmer l’ajout de la carte

Une fois la carte ajoutée, elle est « tokenisée » : Apple ne stocke pas les véritables numéros de carte, mais crée un « jeton » (token) unique et crypté qui représente la carte dans le système Apple Pay.

L’authentification lors de chaque paiement

Selon la banque, chaque paiement via Apple Pay nécessite une « authentification forte » en deux étapes :

• Premier facteur : la possession de l’appareil (iPhone ou Apple Watch)
• Deuxième facteur : l’authentification biométrique (Face ID, Touch ID) ou la saisie du code de verrouillage de l’appareil

Pour les paiements en ligne via Apple Pay, un code d’autorisation dynamique peut également être généré et transmis au téléphone de l’utilisateur.

En théorie, ce système respecte les exigences de la directive européenne DSP2 sur l’authentification forte, qui impose l’utilisation d’au moins deux facteurs parmi trois catégories :

• Connaissance (quelque chose que l’utilisateur sait : mot de passe, code PIN)
• Possession (quelque chose que l’utilisateur possède : téléphone, carte)
• Inhérence (quelque chose que l’utilisateur est : empreinte digitale, reconnaissance faciale)

En pratique, toutefois, ce système peut être contourné. Des techniques de fraude sophistiquées existent : le « SIM swapping » (duplication de carte SIM pour intercepter les codes SMS), le piratage de comptes iCloud, l’exploitation de failles dans les protocoles d’authentification, etc. De plus, si un fraudeur parvient à enregistrer la carte de la victime sur son propre appareil, il peut ensuite utiliser sa propre biométrie pour valider les paiements.

Les mentions contradictoires révélatrices

Revenons maintenant aux « mentions contradictoires » relevées par la Cour d’appel, qui constituent le point de bascule de cette affaire.

Sur les relevés d’opérations fournis par la Caisse d’Épargne, deux informations apparaissent :

1. En dernière page : « Libellé CVD (Token) : Applepay »

Cette mention indique que le paiement a été effectué via un « token » Apple Pay. Le terme « CVD » fait probablement référence au « Card Verification Data », un système de vérification des cartes. La présence de cette mention suggère que le système a reconnu un paiement Apple Pay et qu’une forme d’authentification a eu lieu.

2. En première page : « 3D Secure avec authentification indéterminée ou pseudo 3D Secure (62) »

Cette mention est beaucoup plus problématique. Le protocole « 3D Secure » (appelé « Verified by Visa » ou « Mastercard SecureCode » selon les réseaux) est un système d’authentification pour les paiements en ligne. Il existe en plusieurs versions :

• 3D Secure 1.0 : l’ancienne version, souvent basée sur un simple code SMS
• 3D Secure 2.0 : la version moderne, conforme à la DSP2, avec authentification forte

Or, la mention « authentification indéterminée » ou « pseudo 3D Secure » signifie que le système n’a pas pu vérifier avec certitude que l’authentification avait bien été effectuée selon le protocole 3D Secure complet. Le code « (62) » est un code d’erreur ou d’anomalie technique.

Comment ces deux mentions peuvent-elles coexister ? C’est précisément la question que pose la Cour. Si l’opération a été authentifiée via Apple Pay avec succès, pourquoi le système signale-t-il simultanément une « authentification indéterminée » ?

Plusieurs explications techniques sont possibles :

• Une défaillance dans la communication entre le système Apple Pay et le système bancaire
• Un contournement partiel du protocole d’authentification
• Une fraude sophistiquée exploitant une faille dans le processus d’authentification
• Un simple bug informatique du système de la banque

Quelle que soit l’explication, le résultat est le même : la banque ne peut pas affirmer avec certitude que l’authentification a fonctionné correctement. Elle ne peut donc pas prouver que les opérations ont été « authentifiées, dûment enregistrées et comptabilisées et non affectées par une déficience technique », comme l’exige la jurisprudence.

C’est là toute la rigueur du raisonnement de la Cour d’appel. Elle ne dit pas que la fraude est avérée, ni que le système Apple Pay est intrinsèquement défaillant. Elle constate simplement que les preuves apportées par la banque sont contradictoires et donc insuffisantes. En cas de doute, le bénéfice revient au consommateur.

V. La portée de cette décision pour les consommateurs

Une jurisprudence désormais constante

L’arrêt de la Cour d’appel de Paris du 11 février 2026 n’est pas un cas isolé. Il s’inscrit dans une ligne jurisprudentielle désormais constante et clairement établie par la Cour de cassation. Depuis l’arrêt de principe du 12 novembre 2020 (Cass. com., 12 nov. 2020, n° 19-12.112, publié au Bulletin), confirmé par plusieurs décisions récentes (notamment Cass. com., 20 nov. 2024, n° 23-15.099, publié ; Cass. com., 30 avr. 2025, n° 24-10.149, publié), la position de la Chambre commerciale est limpide :

La banque qui refuse de rembourser une opération non autorisée doit d’abord prouver que son système d’authentification a correctement fonctionné. Ce n’est qu’après avoir apporté cette preuve qu’elle peut invoquer une éventuelle négligence grave du client.

Cette jurisprudence est une application rigoureuse du principe posé par les articles L. 133-18 et suivants du Code monétaire et financier. Elle met fin à une pratique déplorable de certaines banques qui, face à une fraude, refusaient systématiquement le remboursement en invoquant des clauses contractuelles ou en présumant la faute du client.

Désormais, les tribunaux ne se contentent plus d’affirmations générales. Ils exigent des preuves techniques précises, circonstanciées et cohérentes. Les banques doivent produire :

• Les logs d’authentification détaillés (codes envoyés, heures précises, adresses IP, etc.)
• La preuve que le système d’authentification respecte les normes en vigueur (DSP2)
• La démonstration de l’absence de défaillance technique
• La preuve de l’enregistrement correct et de la comptabilisation conforme des opérations

Si ces éléments ne sont pas produits, ou s’ils sont contradictoires comme dans la présente affaire, la banque doit rembourser. Point final.

Les implications pratiques

Pour les consommateurs victimes de fraude

Cette jurisprudence constitue une véritable protection. Elle signifie que si vous êtes victime d’opérations frauduleuses sur votre compte bancaire, vous n’avez pas à prouver que vous avez été prudent, que vous n’avez communiqué vos codes à personne, que vous n’avez pas laissé traîner votre téléphone, etc.

Vous devez simplement :

1. Signaler les opérations frauduleuses sans délai à votre banque (idéalement dès que vous les constatez, et en tout cas dans les 13 mois suivant le débit selon l’article L. 133-24 du CMF)
2. Confirmer votre contestation par écrit (lettre recommandée avec accusé de réception)
3. Conserver tous les échanges avec la banque

Si la banque refuse de vous rembourser, c’est à elle de prouver que son système a correctement fonctionné et que vous avez été gravement négligent. Si elle ne peut pas apporter cette double preuve, elle doit rembourser, et vous pouvez l’y contraindre en justice.

Pour les banques

Cette jurisprudence impose aux établissements bancaires une obligation de moyens renforcée en matière de sécurité des paiements. Ils ne peuvent plus se contenter d’affirmer que leurs systèmes sont « sécurisés » ou que l’opération a été « authentifiée ». Ils doivent être en mesure de le prouver techniquement, de manière détaillée et cohérente.

Cela implique notamment :

• De tenir des logs informatiques précis et exploitables
• De mettre en place des systèmes d’authentification conformes aux normes les plus récentes
• De surveiller activement les anomalies techniques
• De réagir rapidement et professionnellement aux contestations
• De rembourser sans délai les opérations non autorisées, sauf preuve contraire solide

Les banques qui persistent à refuser systématiquement les remboursements s’exposent non seulement à des condamnations en justice, mais aussi à une dégradation de leur image et à d’éventuelles sanctions de l’ACPR (Autorité de contrôle prudentiel et de résolution).

Pour les avocats et les praticiens du droit

Cette jurisprudence offre une base solide pour défendre les consommateurs. Dans tout contentieux relatif à des opérations de paiement non autorisées, la stratégie est désormais claire :

1. Invoquer le caractère non autorisé des opérations et le signalement rapide
2. Rappeler la charge de la preuve qui pèse sur la banque (jurisprudence constante de la Cour de cassation)
3. Analyser minutieusement les documents produits par la banque pour y déceler d’éventuelles contradictions ou insuffisances
4. Contester l’absence de preuve d’authentification correcte, d’enregistrement conforme et d’absence de défaillance technique
5. Rejeter toute présomption de négligence non étayée par des faits précis

L’arrêt du 11 février 2026 constitue un excellent exemple de plaidoirie réussie. L’avocat de M. [I] a su identifier le point faible de l’argumentation adverse (les mentions contradictoires sur les relevés) et en tirer toutes les conséquences juridiques.

VI. Les démarches à suivre en cas d’opérations frauduleuses

La réaction immédiate

Si vous constatez des opérations de paiement non autorisées sur votre compte bancaire, voici la marche à suivre, étape par étape :

1. Contactez immédiatement votre banque

Dès que vous identifiez des transactions suspectes, appelez sans délai le service client de votre banque ou le numéro d’opposition indiqué sur vos relevés. Signalez les opérations frauduleuses et demandez :

• Le blocage immédiat de votre carte bancaire (si elle est compromise)
• La suspension de votre accès à Apple Pay, Google Pay ou autre service de paiement mobile (si la fraude concerne ces services)
• La modification de vos codes d’accès à la banque en ligne

Notez bien :

• La date et l’heure de votre appel
• Le nom de la personne avec qui vous avez parlé
• Le numéro de dossier ou de réclamation qui vous est communiqué

2. Confirmez par écrit immédiatement

Ne vous contentez jamais d’un simple appel téléphonique. L’article L. 133-24 du Code monétaire et financier impose autitulaire de compte de « notifier » sa banque « dès qu’il a connaissance » d’une opération non autorisée. Cette notification doit être traçable.

Envoyez donc le jour même ou le lendemain au plus tard une lettre recommandée avec accusé de réception (LRAR) à votre banque, dans laquelle vous :

• Rappelez votre appel téléphonique du [date]
• Listez précisément les opérations contestées (date, montant, bénéficiaire)
• Affirmez clairement que vous n’avez pas autorisé ces opérations
• Demandez le remboursement intégral des sommes débitées
• Demandez la production des preuves d’authentification

Conservez précieusement l’accusé de réception. C’est votre preuve que vous avez respecté votre obligation de notification rapide.

3. Déposez plainte (facultatif mais recommandé)

Contrairement à ce que certaines banques affirment, le dépôt de plainte n’est pas une condition légale du remboursement. Comme l’a rappelé la Cour d’appel de Paris dans l’arrêt étudié, l’absence de plainte ne peut pas être retenue contre le client.

Néanmoins, déposer plainte présente plusieurs avantages :

• Cela déclenche une enquête pénale qui peut permettre d’identifier les fraudeurs
• Le récépissé de dépôt de plainte constitue un élément de preuve supplémentaire de votre bonne foi
• Si la fraude implique une usurpation d’identité, la plainte est indispensable

Vous pouvez déposer plainte au commissariat de police ou à la gendarmerie, ou directement en ligne sur la plateforme THESEE (Traitement Harmonisé des Enquêtes et Signalements pour les E-escroqueries) ou via le portail du ministère de l’Intérieur.

4. Vérifiez vos autres comptes et changez vos mots de passe

Si votre compte bancaire a été compromis, il est possible que d’autres services aient également été piratés. Par précaution :

• Changez immédiatement le mot de passe de votre messagerie électronique
• Changez vos mots de passe sur les sites de commerce en ligne
• Vérifiez que votre compte iCloud/Apple ID n’a pas été compromis (si vous utilisez Apple Pay)
• Activez la double authentification partout où c’est possible

La mise en demeure formelle

Si votre banque refuse de vous rembourser ou tarde à répondre (ce qui est malheureusement fréquent), vous devez passer à l’étape suivante : la mise en demeure formelle.

Le délai légal de remboursement

Rappelons que l’article L. 133-18 du Code monétaire et financier impose à la banque de rembourser « immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant ».

Autrement dit, la banque dispose d’un jour ouvrable maximum pour vous rembourser après votre réclamation. Si elle ne le fait pas, elle est en faute.

La seule exception : si la banque « a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement », elle peut suspendre le remboursement, à condition de communiquer ces raisons par écrit à la Banque de France. Cette double condition (bonnes raisons de soupçonner + communication à la Banque de France) est cumulative et strictement encadrée.

Rédiger la mise en demeure

Si la banque ne vous rembourse pas dans le délai légal, envoyez-lui une mise en demeure par lettre recommandée avec accusé de réception. Cette lettre doit :

• Rappeler votre contestation initiale du [date]
• Constater le non-respect par la banque de son obligation légale de remboursement (art. L. 133-18 CMF)
• Mettre la banque en demeure de vous rembourser la somme de [montant] dans un délai de 8 jours
• Préciser qu’à défaut, vous saisirez la justice et que les intérêts légaux courront à compter de la présente mise en demeure
• Demander à la banque de produire les preuves qu’elle prétend détenir (logs d’authentification, communication à la Banque de France, etc.)

Exemple de formulation :

« Par la présente, je vous mets en demeure de procéder au remboursement de la somme de [montant] euros correspondant aux opérations non autorisées listées dans mon courrier du [date], et ce dans un délai de huit jours à compter de la réception de la présente. À défaut, je me verrai dans l’obligation de saisir la juridiction compétente et de solliciter, outre le remboursement du principal, le paiement d’intérêts au taux légal à compter de la présente mise en demeure, ainsi qu’une indemnisation au titre de l’article 700 du Code de procédure civile. Je vous rappelle que l’article L. 133-18 du Code monétaire et financier vous impose de rembourser immédiatement les opérations non autorisées, sauf à justifier de bonnes raisons de soupçonner une fraude de ma part et à en avoir informé par écrit la Banque de France, ce que vous n’avez pas fait. »

Les intérêts légaux

Comme l’illustre l’arrêt du 11 février 2026, les intérêts au taux légal courent à compter de la mise en demeure. C’est donc cette date qui sera retenue par le juge pour calculer les intérêts dus par la banque. D’où l’importance d’envoyer cette mise en demeure rapidement et de conserver l’accusé de réception.

Le recours judiciaire

Avant la justice : les modes alternatifs de règlement des litiges

Avant de saisir le tribunal, vous pouvez tenter deux voies de recours amiables :

1. Le médiateur bancaire

Chaque établissement bancaire dispose d’un médiateur, dont les coordonnées figurent sur le site internet de la banque et sur vos relevés de compte. Vous pouvez le saisir gratuitement par courrier.

Le médiateur dispose d’un délai de 90 jours pour rendre un avis. Cet avis n’est pas contraignant : vous êtes libre de l’accepter ou de le refuser. Si vous le refusez, vous conservez la possibilité de saisir la justice.

Avantages : gratuit, rapide (en principe), moins conflictuel qu’un procès.

Inconvénients : l’avis n’est pas obligatoire, et certains médiateurs sont perçus comme trop favorables aux banques.

2. La Banque de France

Vous pouvez saisir la Banque de France (service « Info Banque de France ») pour obtenir des informations sur vos droits. Attention, la Banque de France n’a pas de pouvoir de décision dans votre litige individuel, mais elle peut intervenir auprès de votre banque pour obtenir des explications.

La saisine du tribunal

Si la médiation échoue ou si vous préférez passer directement par la voie judiciaire, vous devez assigner votre banque devant le tribunal compétent.

Quelle juridiction ?

Depuis le 1er janvier 2020, les litiges entre un consommateur et une banque relèvent en principe du tribunal judiciaire. Toutefois, si le montant du litige est inférieur à 10 000 euros, vous devez d’abord tenter une conciliation ou une médiation préalable obligatoire.

Dans certains cas (notamment si le litige porte sur une activité commerciale du client), le tribunal de commerce peut être compétent, comme ce fut le cas dans l’affaire M. [I] c/ Caisse d’Épargne.

L’assistance d’un avocat

Bien que la représentation par avocat ne soit pas obligatoire devant le tribunal judiciaire pour les litiges inférieurs à 10 000 euros, elle est vivement recommandée dans ce type de contentieux technique.

Un avocat spécialisé en droit bancaire saura :

• Analyser les documents produits par la banque pour y déceler les failles
• Invoquer la jurisprudence pertinente de la Cour de cassation
• Rédiger des conclusions juridiquement solides
• Plaider efficacement à l’audience

L’exemple de l’affaire M. [I] est éloquent : débouté en première instance malgré la clarté de la loi, il a obtenu gain de cause en appel grâce à une plaidoirie bien menée qui a su mettre en évidence les contradictions des preuves de la banque.

Les demandes à formuler

Dans votre assignation, vous devez demander :

• Le remboursement intégral des sommes détournées
• Les intérêts au taux légal à compter de la mise en demeure (ou de la date de contestation initiale)
• Le remboursement des frais bancaires éventuellement occasionnés par les opérations frauduleuses (agios, frais de découvert, etc.)
• Une indemnité au titre de l’article 700 du CPC pour couvrir vos frais d’avocat (en général entre 2 000 et 3 000 euros)
• La condamnation de la banque aux dépens

Vous pouvez également, dans certains cas, demander des dommages-intérêts complémentaires si vous avez subi un préjudice moral ou si la banque a adopté un comportement particulièrement fautif.

Conclusion

L’arrêt de la Cour d’appel de Paris du 11 février 2026 constitue une victoire importante et symbolique pour les consommateurs. En infirmant le jugement du tribunal de commerce et en condamnant la Caisse d’Épargne à rembourser intégralement son client, la Cour rappelle avec fermeté les principes protecteurs du Code monétaire et financier.

Cette décision s’inscrit dans une jurisprudence désormais bien établie par la Cour de cassation : la banque qui refuse de rembourser une opération non autorisée doit d’abord prouver que son système d’authentification a correctement fonctionné. Ce n’est pas au client de démontrer qu’il a été prudent ou qu’il n’a pas commis de négligence. C’est à la banque de prouver que les opérations ont été authentifiées, enregistrées et comptabilisées conformément aux règles, et qu’aucune déficience technique n’est intervenue.

L’affaire M. [I] illustre parfaitement les pièges dans lesquels tombent certaines banques. Face à une réclamation légitime, la Caisse d’Épargne a choisi de refuser le remboursement en invoquant de manière générale le système Apple Pay et en présumant une faute du client. Mais lorsqu’elle a dû produire ses preuves devant la Cour d’appel, celles-ci se sont révélées contradictoires : les relevés mentionnaient à la fois une authentification « Applepay » et une « authentification indéterminée ou pseudo 3D Secure », ce qui est incompatible. Cette contradiction a suffi à faire tomber toute l’argumentation de la banque.

Le message est clair : les banques ne peuvent plus se contenter de formules incantatoires ou de documents standardisés. Elles doivent apporter des preuves techniques précises, cohérentes et vérifiables. À défaut, elles remboursent.

Pour les victimes de fraude bancaire, cette jurisprudence est une protection essentielle. Elle signifie que si vous contestez rapidement et formellement des opérations que vous n’avez pas autorisées, la loi est de votre côté. Ne vous laissez pas intimider par le refus initial de votre banque, ni par un éventuel jugement défavorable en première instance. Les cours d’appel, comme le démontre cet arrêt, appliquent rigoureusement les principes protecteurs posés par le Code monétaire et financier et la jurisprudence de la Cour de cassation.

Enfin, cette affaire soulève une question plus large sur la sécurité des moyens de paiement modernes. Apple Pay, Google Pay, et autres portefeuilles numériques sont présentés comme des solutions « ultra-sécurisées ». Or, les fraudes existent bel et bien, et elles sont parfois facilitées par des failles techniques, des protocoles mal implémentés, ou des procédures d’authentification contournables. Il appartient aux banques et aux géants de la tech de renforcer constamment leurs dispositifs de sécurité, et il appartient aux juges de vérifier que ces dispositifs fonctionnent réellement comme annoncé.

La vigilance reste de mise pour tous les utilisateurs de services bancaires. Mais en cas de fraude, sachez que le droit vous protège, et que vous n’êtes pas seul face à votre banque.

FAQ