Fraude à l’Apple Pay : insuffisance de preuve de l’authentification forte – Cour d’appel de Paris, Pôle 4 Chambre 9 a, 25 septembre 2025, n° 24/13440

Le développement rapide des services de paiement numériques, comme l’intégration des cartes bancaires dans les « wallets » d’applications mobiles, expose les consommateurs à de nouvelles formes de fraude. Récemment, la Cour d’appel de Paris a rendu une décision importante, infirmant un jugement de première instance et rappelant fermement à une grande banque (LCL – Le Crédit Lyonnais) son impératif de sécurité et la charge de la preuve en matière d’authentification forte.

Le contexte : une dette contestée et une accusation de négligence grave

L’affaire concerne M. [C] [X], titulaire d’un compte bancaire chez LCL depuis janvier 2022. Entre le 16 et le 21 juillet 2022, 64 transactions, totalisant 7 300,24 euros, ont été effectuées frauduleusement sur son compte. Les opérations litigieuses résultaient de l’enregistrement de sa carte bancaire dans le « wallet Apple Pay ».

En première instance, le juge des contentieux de la protection de Nogent-sur-Marne avait jugé que M. [X] avait fait preuve de négligence grave en ne protégeant pas ses données de sécurité personnalisées. Le jugement du 30 juillet 2024 avait par conséquent condamné M. [X] à payer à LCL la somme de 10 039,01 euros (solde débiteur) et l’avait débouté de ses demandes de dommages et intérêts et de radiation du FICP.

M. [X] a interjeté appel, contestant toute négligence et rappelant que c’est à la banque qu’incombe l’obligation de veiller à la sécurité.

L’authentification forte : la charge de la preuve repose sur la Banque

Au cœur du litige réside la question de l’authentification forte et de la preuve de l’autorisation des opérations.

Les obligations de la Banque

Le Code monétaire et financier (articles L. 133-23, L. 133-16, L. 133-44) impose des obligations strictes aux prestataires de services de paiement. Il est impératif que la banque mette en place une authentification forte lorsque le payeur accède à son compte en ligne, initie une opération de paiement électronique, ou exécute une opération à distance susceptible de comporter un risque de fraude.

En cas de contestation d’une opération par l’utilisateur, la loi est claire : il incombe au prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée, et qu’elle n’a pas été affectée par une déficience technique ou autre. La simple utilisation de l’instrument de paiement ne suffit pas à prouver l’autorisation par le payeur ou sa négligence grave.

La faille du système LCL

La Cour d’appel a estimé que le premier juge avait inversé la charge de la preuve en retenant uniquement la prétendue négligence de M. [X].

La Cour a relevé les défaillances de LCL :

  1. Absence de preuve d’authentification irréfutable : LCL n’a pas apporté de preuve concrète et irréfutable du bon fonctionnement de l’authentification mise en place pour le compte de M. [X] ou de l’absence de déficience technique. La banque s’est contentée de fournir des documents généraux, sans lien avec le cas précis de M. [X].
  2. L’énigme des six appareils : LCL avait pourtant admis devant le médiateur que le code secret, adressé au client, avait été communiqué à des tiers et enregistré sur six appareils différents. La Cour a jugé « surprenant » qu’un code à usage unique permette l’enregistrement de la carte bancaire sur six appareils différents, dont cinq n’étaient pas le téléphone de confiance déclaré par le client, et ce sans preuve de validation électronique pour chacun.
  3. Manquement au devoir de vigilance : M. [X] a souligné des anomalies flagrantes qui auraient dû alerter la banque, engageant son devoir de vigilance. En l’occurrence, 64 opérations ont été effectuées en seulement cinq jours, pour un montant total de 7 300,24 euros, ce qui était hors de proportion avec les habitudes de M. [X] (32 opérations et 1 144,78 euros de dépenses moyennes mensuelles). De plus, 43 des opérations ont eu lieu dans des bars ou débits de tabac faisant PMU, ne correspondant pas à ses habitudes. Enfin, les transactions se déroulaient en France, alors que M. [X] a établi qu’il était en Suède à cette période.

La banque a ainsi manqué à ses obligations en n’exigeant pas une authentification forte du payeur et en n’effectuant pas d’examen attentif des anomalies apparentes sur le compte.

Le remboursement des opérations non autorisées

La Cour d’appel de Paris a infirmé le jugement initial.

  • Remboursement : LCL a été condamnée à rembourser à M. [X] la somme indûment prélevée, soit 7 685,80 euros (couvrant les 7 300,24 euros de transactions frauduleuses, plus les frais et intérêts).
  • Dette confirmée : La condamnation initiale de M. [X] a été ramenée au solde restant non contesté, soit 2 353,21 euros.
  • Dommages et Intérêts : La résistance de la banque étant jugée abusive au vu de son incapacité à prouver la négligence ou l’absence de défaillance technique, LCL a été condamnée à verser 1 000 euros de dommages et intérêts à M. [X] pour préjudice moral.
  • FICP : La demande de mainlevée de l’inscription de M. [X] au FICP a été rejetée, car il était en situation de défaillance (débiteur de 2 353,51 euros) avant même la fraude, justifiant son inscription.

En conclusion, cet arrêt rappelle que l’utilisation d’instruments de paiement dématérialisés, comme Apple Pay, impose aux banques d’exiger une authentification forte et, en cas de contestation, de fournir des preuves tangibles de l’utilisation des données personnalisées et de l’absence de défaillance technique. Le fardeau de la preuve reste sur la banque, même en présence d’indices de fraude.

1521 2281 max

Besoin de conseils juridiques personnalisés ?

Ne restez pas seul face à vos questions. Un avocat peut vous rappeler gratuitement pour faire le point sur votre situation.

Besoin de conseils juridiques personnalisés ?

RGPD :

Articles similaires

task 01k95f1xxbengagbw2zp8y75yz 1762193989 img 1

Fraude au faux RIB immobilier : notaire condamné à 70 %, banques exonérées — mais le droit a changé – Tribunal judiciaire de Paris, 11e chambre 2e section, 25 mars 2026, n° RG 23/11725

Vous êtes sur le point de virer des fonds à un notaire pour finaliser l’achat d’un bien immobilier. Un email arrive, il ressemble parfaitement à ...

surendettement 1

Rétablissement personnel sans liquidation judiciaire : l’effacement vise toutes les dettes nées avant la décision, déclarées ou non – Cass. civ. 2e, 26 mars 2026, n° 23-18.726, F-B

Vous avez bénéficié d’une procédure de surendettement qui s’est conclue par un rétablissement personnel sans liquidation judiciaire. La commission a validé l’effacement de vos dettes, ...

20250628 1504 transactions bancaires européennes simple compose 01jyts0sy7emw8bz2jje737sm6

Arnaques financières, influenceurs, frais cachés : ce que révèle le rapport annuel 2025 du Pôle commun ACPR-AMF

16 % des Français déclarent avoir déjà été victimes d’une escroquerie financière. 1 351 nouveaux sites ou acteurs frauduleux inscrits sur les listes noires en ...