Tribunal judiciaire de Lille, chambre 10, 27 mai 2026, n° RG 25/00111
🔑 Points clés à retenir
- Le TJ de Lille condamne la Caisse d’Épargne Hauts de France à rembourser 3 821,89 € de paiements frauduleux validés via le dispositif d’authentification forte SECURPASS.
- Une opération validée par authentification forte n’est pas, pour autant, une opération « autorisée » par le payeur au sens des articles L. 133-6 et L. 133-7 du code monétaire et financier.
- La victime n’a pas à prouver le spoofing : c’est à la banque de prouver la négligence grave du client et l’absence de déficience technique (art. L. 133-23 CMF).
- Un simple listing informatique des connexions ne suffit pas : la banque doit produire des éléments concrets (numéro de téléphone destinataire, contenu des écrans de validation, preuve de la communication des identifiants).
- La majoration des intérêts de l’article L. 133-18 (+5, +10 puis +15 points au-delà de 30 jours de retard) s’applique de plein droit, dès le jour du signalement de la fraude — ici le 26 avril 2024.
- Le jugement s’inscrit dans la ligne de Cass. com., 23 octobre 2024, n° 23-16.267 (spoofing) et Cass. com., 18 janvier 2017, n° 15-18.102 (charge de la preuve).
Sommaire ▼
- Que s’est-il passé dans cette affaire de faux conseiller bancaire ?
- Pourquoi l’authentification forte ne prouve-t-elle pas l’autorisation du paiement ?
- Qu’est-ce qu’une opération de paiement « autorisée » ?
- Que juge le tribunal à propos du dispositif SECURPASS ?
- Qui doit prouver la négligence grave du client ?
- La victime doit-elle prouver le spoofing pour être remboursée ?
- Pourquoi le listing informatique de la banque est-il insuffisant ?
- Quelles pénalités pour la banque qui tarde à rembourser ?
- Comment fonctionne la majoration de 5, 10 puis 15 points ?
- Pourquoi la résistance abusive a-t-elle été écartée ?
- Que faire si votre banque refuse de vous rembourser ?
- Que retenir de ce jugement ?
- FAQ — Questions fréquentes
Que s’est-il passé dans cette affaire de faux conseiller bancaire ?
Les faits sont d’une banalité désarmante — et c’est précisément ce qui rend ce jugement utile à toutes les victimes de fraude bancaire. Le 26 avril 2024, en fin d’après-midi, une cliente de la Caisse d’Épargne et de Prévoyance Hauts de France reçoit un appel téléphonique. Son interlocuteur se présente comme un conseiller bancaire, l’appelle depuis un numéro qu’elle associe à sa banque, et lui décrit une situation d’urgence : elle serait victime d’une fraude, et il lui propose d’y remédier immédiatement depuis son application bancaire. Mise en confiance — son interlocuteur lui a communiqué les derniers numéros de sa carte bancaire et son code postal —, elle suit les instructions. Elle affirme n’avoir transmis aucun code confidentiel.
Le résultat est connu : deux prélèvements sont effectués le jour même, l’un de 2 659,54 €, l’autre de 1 162,35 €, soit un total de 3 821,89 €, au profit de sites marchands, dont une plateforme de réservation en ligne. Une troisième opération du même jour, d’un montant identique de 2 659,54 €, sera quant à elle aussitôt recréditée par la banque — un détail qui, on le verra, jouera contre l’établissement.
La réaction de la cliente est immédiate et exemplaire. Le jour même, entre la découverte des opérations et la soirée, elle adresse un courriel à son conseiller bancaire : « je viens de me faire arnaquer par téléphone et ai accepté des paiements de plus de 4000 €. J’ai de suite fait opposition à ma carte. Que puis-je faire maintenant ? ». Elle fait opposition sur sa carte bancaire, puis effectue un signalement en ligne auprès de la gendarmerie nationale le 29 avril 2024. La banque lui oppose un refus de remboursement par courrier du 30 avril 2024. Une mise en demeure adressée par son conseil le 11 juin 2024 reste vaine. La cliente saisit alors le tribunal judiciaire de Lille par requête reçue au greffe le 2 janvier 2025.
Devant le tribunal, la banque développe une défense désormais classique dans le contentieux des fraudes aux moyens de paiement : les opérations litigieuses auraient été « autorisées » puisqu’elles ont été validées par le dispositif d’authentification forte SECURPASS, installé sur le téléphone personnel de la cliente, et nécessairement confirmées par l’utilisation de son appareil et de son code confidentiel ou de ses données biométriques. À titre subsidiaire, la banque soutient que la cliente aurait commis une négligence grave en validant des paiements dont les bénéficiaires étaient expressément nommés à l’écran.
Le tribunal ne suivra la banque sur aucun de ces deux terrains.
Pourquoi l’authentification forte ne prouve-t-elle pas l’autorisation du paiement ?
Qu’est-ce qu’une opération de paiement « autorisée » ?
Le raisonnement du tribunal part des textes fondateurs du droit des services de paiement, issus de la directive DSP2 et codifiés au code monétaire et financier. L’article L. 133-6 pose le principe : une opération de paiement est autorisée si le payeur a donné son consentement à son exécution. L’article L. 133-7 précise que ce consentement est donné « sous la forme convenue entre le payeur et son prestataire de services de paiement ».
Il s’agit d’une opération exécutée sans le consentement réel du titulaire du compte. En application des articles L. 133-18 et L. 133-19 du code monétaire et financier, la banque doit en principe rembourser immédiatement le montant de l’opération non autorisée signalée par le client, sauf à prouver une fraude ou une négligence grave de celui-ci.
Toute la subtilité — et tout l’enjeu pratique — tient dans la distinction entre l’authentification et l’autorisation. L’authentification est un processus technique : elle établit qu’un instrument de paiement a été utilisé selon la procédure convenue. L’autorisation est un acte juridique : elle suppose un consentement libre et éclairé du payeur à l’opération précise qui est exécutée. Un client manipulé par un escroc peut parfaitement accomplir tous les gestes techniques de validation sans jamais consentir à un paiement — puisqu’on lui a fait croire qu’il annulait une fraude ou validait un remboursement.
Selon l’article L. 133-4, f) du code monétaire et financier, l’authentification forte repose sur l’utilisation de deux éléments ou plus appartenant aux catégories « connaissance » (un code), « possession » (un téléphone) et « inhérence » (une empreinte, un visage), indépendants les uns des autres. L’article L. 133-44 l’impose notamment pour l’initiation d’une opération de paiement électronique.
Que juge le tribunal à propos du dispositif SECURPASS ?
La banque prouvait — et la cliente ne contestait pas — qu’un dispositif d’authentification forte avait bien été mis en place et que deux opérations du 26 avril 2024, horodatées à 17:54:14 et 18:00:43, avaient fait l’objet d’une authentification forte via SECURPASS. Pour l’établissement, la démonstration s’arrêtait là : authentification forte = opération autorisée = aucune obligation de remboursement.
Le tribunal rejette frontalement ce syllogisme, dans un motif qui mérite d’être cité : « si ces opérations ont été effectuées à l’issue d’un procédé d’authentification forte, elles n’ont pas, pour autant, été autorisées par le payeur, au sens des articles précités, tels qu’interprétés par la jurisprudence ». Le tribunal relève que la cliente a constamment déclaré — et justifie — avoir agi dès le jour même des opérations pour en obtenir le remboursement : courriel immédiat à son conseiller, opposition sur la carte, signalement à la gendarmerie trois jours plus tard, mise en demeure. « En ce sens, elle ne peut avoir consenti au montant des paiements frauduleux. »
Les trois opérations du 26 avril 2024 constituent donc des opérations de paiement non autorisées. Or une seule des trois avait été remboursée par la banque. Pour les deux autres, l’établissement ne pouvait s’exonérer de son obligation de remboursement qu’en prouvant la négligence grave de sa cliente — et c’est là que le jugement déploie tout son intérêt probatoire.
Qui doit prouver la négligence grave du client ?
La victime doit-elle prouver le spoofing pour être remboursée ?
C’est l’apport le plus remarquable de ce jugement, et il faut le souligner car il tranche avec une idée reçue tenace. Dans cette affaire, la cliente invoquait un spoofing téléphonique : un fraudeur l’aurait appelée en usurpant un numéro de sa banque. Or le tribunal relève sans détour qu’elle ne le prouve pas. Elle justifie, par capture d’écran, avoir été contactée par un numéro de téléphone mobile entre 17h50 et 18h08 le 26 avril 2024, mais n’établit pas que ce numéro appartenait à son conseiller bancaire ni qu’il « s’y apparentait de manière troublante ». Son signalement en ligne n’était pas circonstancié. Son premier message à la banque évoquait une « arnaque » sans mentionner spontanément un faux conseiller. Le tribunal conclut : « il ne résulte d’aucun élément versé aux débats que Madame [X] a été victime de spoofing ou d’une escroquerie relativement sophistiquée ».
Le spoofing (usurpation d’affichage) est une technique par laquelle un fraudeur fait apparaître sur le téléphone de sa victime le numéro officiel de sa banque, afin de se faire passer pour un conseiller. La Cour de cassation a jugé qu’aucune négligence grave ne peut être reprochée au client piégé par un appel affichant le numéro de sa banque (Cass. com., 23 octobre 2024, n° 23-16.267, publié au Bulletin).
Une lecture rapide aurait pu laisser croire que la victime, faute de prouver la manipulation, perdrait son procès. C’est tout l’inverse qui se produit — et pour une raison de pure technique probatoire : « il revient, suivant les dispositions précitées, à l’organisme bancaire de caractériser un comportement fautif, apprécié concrètement au regard des circonstances de l’espèce, l’exonérant de son obligation de rembourser les opérations de paiement non autorisées ».
Autrement dit, le débat ne se joue pas sur ce que la victime prouve, mais sur ce que la banque échoue à prouver. L’article L. 133-23 du code monétaire et financier fait peser sur le prestataire de services de paiement la charge de démontrer que l’opération a été authentifiée, dûment enregistrée et comptabilisée, et qu’elle n’a pas été affectée par une déficience technique ou autre. Et le même texte précise que l’utilisation de l’instrument de paiement telle qu’enregistrée « ne suffit pas nécessairement en tant que telle » à prouver que l’opération a été autorisée ou que le payeur a commis une négligence grave — principe consacré de longue date par la chambre commerciale (Cass. com., 18 janvier 2017, n° 15-18.102).
⚖️ La répartition de la charge de la preuve en cas de fraude
👤 Le client : signale l’opération non autorisée sans tarder (art. L. 133-24)
↓
🏦 La banque : doit rembourser immédiatement (art. L. 133-18)
↓ sauf si…
🏦 La banque prouve : ① l’authentification + l’enregistrement de l’opération et l’absence de déficience technique ② la fraude ou la négligence grave du client (art. L. 133-19, IV et L. 133-23)
↓
❌ Preuve insuffisante (simple listing) → remboursement + intérêts majorés
Pourquoi le listing informatique de la banque est-il insuffisant ?
Face à cette exigence, que produisait la Caisse d’Épargne ? Un listing : l’historique informatique des opérations, démontrant que deux opérations du 26 avril 2024 avaient été validées par authentification forte SECURPASS. Le tribunal procède à un examen minutieux de cette pièce et en dresse un inventaire des lacunes qui constitue, pour les praticiens, une véritable grille de lecture des dossiers de fraude :
D’abord, ces lignes informatiques indiquent uniquement l’identifiant de la cliente, « sans préciser le numéro de téléphone destinataire du message de validation », alors que la cliente dément avoir donné ses codes personnels. Ensuite, le listing ne démontre pas que la cliente aurait transmis ses identifiants et mots de passe à l’auteur des opérations frauduleuses : sur ce point, le tribunal relève que la banque « procède par voie de pure affirmation ». La banque ne prouve pas davantage que le processus de confirmation mobile faisait apparaître à l’écran que l’opération à valider était un paiement — et non, comme le fraudeur l’avait présenté, un remboursement ou une annulation de paiement. Elle ne justifie pas non plus que la cliente aurait validé l’augmentation de son plafond de paiement via l’authentification forte, comme elle l’affirmait pourtant dans ses écritures.
Deux éléments supplémentaires achèvent de fragiliser la position de l’établissement. Premièrement, la banque ne s’explique pas sur le fait que la troisième opération du même jour — de même montant que la première — a été, elle, remboursée ou bloquée : incohérence embarrassante, car si le dispositif permettait de bloquer ou restituer une opération, pourquoi pas les deux autres ? Deuxièmement, le tribunal relève que la banque ne prouve pas « avoir alerté ses clients sur les opérations de spoofing qui, en 2024, n’étaient pas encore nécessairement connues du grand public ». La prévention de la fraude fait ainsi son entrée dans l’appréciation concrète du comportement des parties : l’établissement qui n’a pas informé sa clientèle des techniques de manipulation en vogue est mal placé pour reprocher au client de s’y être laissé prendre.
La conclusion tombe : « la banque ne démontre ni que l’opération en question n’a pas été affectée par une déficience technique ni de la négligence grave de la requérante ». Condamnation à rembourser 3 821,89 €.
La négligence grave de l’article L. 133-19, IV du code monétaire et financier est un manquement caractérisé du payeur à son obligation de préserver la sécurité de ses données de sécurité personnalisées (art. L. 133-16). Elle s’apprécie par référence au comportement d’un utilisateur normalement attentif, indépendamment de la bonne foi du payeur, et ne peut se déduire du seul fait que l’instrument de paiement a été effectivement utilisé.
Quelles pénalités pour la banque qui tarde à rembourser ?
Comment fonctionne la majoration de 5, 10 puis 15 points ?
Le second apport du jugement est financier, et il est considérable pour les victimes. L’article L. 133-18 du code monétaire et financier impose à la banque de rembourser l’opération non autorisée « immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant ». En cas de manquement à cette obligation, le texte prévoit des pénalités automatiques : les sommes dues produisent intérêt au taux légal majoré de cinq points ; au-delà de sept jours de retard, la majoration passe à dix points ; au-delà de trente jours, à quinze points.
Le tribunal de Lille en fait une application remarquablement nette : « il résulte de ces dispositions qui instaure un régime spécial de droit commun excluant le droit commun de la responsabilité que la majoration des intérêts de retard s’applique de plein droit, également lorsque le paiement non autorisé résulte d’une fraude de type spoofing dès lors que la banque reste tenue au remboursement ». Et le point de départ de l’obligation de remboursement est fixé « à compter du jour de signalement de la fraude », soit le 26 avril 2024 — le jour même des opérations, puisque la cliente avait alerté sa banque sans délai.
Concrètement, la banque qui refuse de rembourser et laisse le litige prospérer pendant deux ans jusqu’au jugement s’expose à des intérêts au taux légal majoré de quinze points sur la quasi-totalité de la période. Sur 3 821,89 €, la sanction financière devient rapidement substantielle — et elle est automatique : nul besoin de prouver une faute distincte ou un préjudice particulier. C’est un levier de négociation puissant, encore trop méconnu des victimes, que nous avions déjà vu appliquer par d’autres juridictions et qui se diffuse désormais dans les tribunaux judiciaires.
Pourquoi la résistance abusive a-t-elle été écartée ?
La cliente sollicitait en outre 1 000 € de dommages et intérêts pour résistance abusive, sur le fondement de l’article 1240 du code civil. Le tribunal rejette cette demande : il n’est démontré « ni une résistance de la banque qui pourrait être considérée comme abusive ou relever de la mauvaise foi, ni l’existence d’un préjudice distinct du simple retard de paiement d’ores et déjà réparé par l’octroi des intérêts au taux légal ».
La solution est logique dans son économie : le régime spécial de l’article L. 133-18, précisément parce qu’il sanctionne automatiquement le retard par des majorations d’intérêts croissantes, absorbe le préjudice de retard. Pour obtenir une indemnisation complémentaire, il faudrait démontrer un préjudice réellement distinct — préjudice moral caractérisé, conséquences en cascade du débit (rejets de prélèvements, fichage), frais induits. La leçon pratique est claire : plutôt que de solliciter une résistance abusive symbolique, mieux vaut documenter précisément les préjudices annexes ou s’appuyer sur la mécanique implacable des intérêts majorés.
La banque est enfin condamnée à 1 500 € au titre de l’article 700 du code de procédure civile et aux dépens, le jugement — rendu en dernier ressort compte tenu du montant de la demande — étant assorti de l’exécution provisoire de droit.
Que faire si votre banque refuse de vous rembourser ?
Ce jugement confirme une stratégie contentieuse que nous appliquons quotidiennement au cabinet. Trois enseignements pratiques s’en dégagent pour toute victime de fraude au faux conseiller bancaire.
Premier enseignement : la réactivité paie. Dans cette affaire, le courriel adressé au conseiller le jour même, l’opposition immédiate et le signalement à la gendarmerie trois jours après ont permis au tribunal de constater que la cliente n’avait jamais consenti aux opérations et qu’elle avait satisfait à son obligation de signalement de l’article L. 133-24. Signalez l’opération contestée à votre banque sans tarder, par écrit, et conservez la preuve de ce signalement : c’est lui qui fait courir les intérêts majorés.
Deuxième enseignement : attention à ce que vous écrivez dans les premiers jours. Le tribunal a relevé que le signalement en gendarmerie n’était « pas circonstancié » et que le premier message à la banque ne mentionnait pas le faux conseiller — ce qui a privé la cliente de la qualification de spoofing (sans, heureusement, lui coûter le remboursement). Des déclarations initiales précises et complètes renforcent considérablement un dossier ; des déclarations maladroites peuvent le fragiliser. Nous avons consacré un guide complet à cette question : Fraude bancaire : que dire et ne pas dire à sa banque et dans sa plainte.
Troisième enseignement : ne vous laissez pas impressionner par l’argument de l’authentification forte. C’est la défense systématique des banques, et elle est juridiquement fragile : l’authentification prouve un processus technique, pas un consentement. Exigez de la banque qu’elle produise des éléments concrets — et rappelez-lui que le règlement technique RTS complétant la DSP2 lui impose des standards précis en matière d’authentification forte et de surveillance des opérations atypiques, dont la méconnaissance peut engager sa responsabilité. Trois opérations inhabituelles d’un montant total supérieur à 6 000 € en quelques minutes auraient dû interpeller les systèmes de détection de l’établissement.
Que retenir de ce jugement ?
Le jugement du tribunal judiciaire de Lille du 27 mai 2026 s’inscrit dans un mouvement jurisprudentiel désormais bien établi, dans le sillage de l’arrêt de la chambre commerciale du 23 octobre 2024 : la validation d’une opération par authentification forte ne dispense pas la banque de prouver, concrètement, la négligence grave de son client. Mais il va plus loin sur deux points. D’une part, il juge que la victime n’a pas besoin d’établir le spoofing pour obtenir le remboursement : même lorsque la manipulation n’est pas prouvée, la charge probatoire reste intégralement sur la banque, qui succombe si elle ne produit qu’un listing informatique. D’autre part, il applique de plein droit la majoration progressive des intérêts de l’article L. 133-18 — jusqu’à quinze points au-dessus du taux légal — à compter du jour du signalement, transformant chaque mois de résistance de la banque en coût financier croissant.
Pour les victimes de fraude au faux conseiller, ce jugement est une pièce de plus dans un édifice jurisprudentiel qui leur devient nettement favorable. Pour les banques, c’est un avertissement : le refus de remboursement fondé sur la seule authentification forte est une stratégie perdante, et de plus en plus coûteuse. Le cabinet LE BOT Avocat assiste les victimes de fraudes bancaires à tous les stades — de la contestation initiale jusqu’au procès — et met cette jurisprudence au service de leurs dossiers.



