Fraude Apple Pay : la banque doit prouver l'authentification de chaque paiement (CA Rennes, 2e ch., 26 mai 2026, n° 24/00410)

Vous découvrez sur votre relevé une série de paiements que vous n’avez jamais réalisés, effectués depuis un téléphone qui n’est pas le vôtre via un portefeuille mobile comme Apple Pay ? Votre banque refuse de vous rembourser en affirmant que l’opération a été « authentifiée » et que vous avez été « gravement négligent » ? La cour d’appel de Rennes vient de rappeler une règle décisive : l’authentification forte exigée par la loi doit porter sur chaque opération de paiement, et non sur le simple enrôlement d’une carte dans le service. Tant que la banque ne prouve pas que chaque débit a été individuellement authentifié, elle doit rembourser.

Cour d’appel de Rennes, 2^e chambre, 26 mai 2026, n° RG 24/00410 (confirmant TJ Nantes, 28 novembre 2023, n° RG 22/03255)

🔑 Points clés à retenir

La cour d’appel de Rennes confirme la condamnation de la banque BforBank à rembourser 6 667,56 euros de débits frauduleux à sa cliente.
L’enrôlement d’une carte bancaire sur Apple Pay, validé une fois par SMS, ne vaut pas authentification des paiements ultérieurs : l’authentification forte s’entend d’une authentification « de chacune des opérations ».
C’est à la banque (le prestataire de services de paiement) de prouver que chaque opération contestée a été authentifiée, enregistrée et comptabilisée, sans déficience technique (art. L. 133-23 du code monétaire et financier).
La seule utilisation de l’instrument de paiement ou des données de sécurité ne suffit pas à établir l’autorisation, une faute ou une négligence grave du client.
La victime n’a pas à déposer plainte pour être indemnisée : avoir fait opposition après l’alerte SMS suffit à démontrer sa diligence.
La banque est condamnée à payer en outre 2 500 euros au titre de l’article 700 et aux dépens d’appel.

Sommaire ▼

Que s’est-il passé dans cette affaire ?
Qui doit prouver la fraude : le client ou la banque ?
Que disent les articles L. 133-18 à L. 133-23 ?
L’enrôlement d’une carte sur Apple Pay vaut-il autorisation de tous les paiements ?
Pourquoi l’authentification forte doit-elle viser chaque opération ?
La banque peut-elle invoquer la « négligence grave » du client ?
Faut-il déposer plainte pour être indemnisé ?
Quelle portée pratique pour les victimes de fraude au paiement mobile ?
Quels autres leviers mobiliser face à la banque ?
FAQ — Questions fréquentes

Que s’est-il passé dans cette affaire ?

L’affaire jugée par la cour d’appel de Rennes illustre un schéma de fraude désormais très répandu : le détournement d’une carte bancaire au moyen d’un portefeuille de paiement mobile. La cliente d’une banque en ligne, BforBank, détient un compte bancaire libellé en francs suisses (CHF). En janvier 2022, elle est victime d’une série de manœuvres frauduleuses : sa carte bancaire est enrôlée, à son insu, dans le service Apple Pay installé sur un autre téléphone que le sien. Cet enrôlement, intervenu le 9 janvier 2022, n’a pu se faire qu’après une confirmation transmise par SMS.

Dans les jours qui suivent, onze opérations frauduleuses sont passées sur le compte, pour un montant total de 6 667,56 euros. Dès le 12 janvier 2022 à 21h27, la cliente fait opposition : elle réagit immédiatement après avoir reçu un SMS de sa banque l’informant de la réalisation de l’une des opérations. Elle signale ensuite les débits frauduleux à la gendarmerie nationale les 14 et 18 janvier 2022.

La banque, sollicitée pour l’indemniser, refuse par deux courriels (8 février et 27 mai 2022). La cliente l’assigne alors devant le tribunal judiciaire de Nantes, qui lui donne raison le 28 novembre 2023 et condamne BforBank à lui restituer les sommes débitées. La banque relève appel. Par l’arrêt commenté, la cour d’appel de Rennes confirme intégralement le jugement et alourdit même la condamnation de la banque au titre des frais de procédure.

🕐 La chronologie de la fraude

9 janvier 2022 → Enrôlement frauduleux de la carte sur Apple Pay (téléphone tiers), validé par SMS
↓
Jusqu’au 12 janvier 2022 → Onze opérations frauduleuses : 6 667,56 €
↓
12 janvier 2022, 21h27 → Opposition de la cliente, dès réception de l’alerte SMS
↓
14 et 18 janvier 2022 → Signalement à la gendarmerie
↓
28 novembre 2023 → Le TJ de Nantes condamne la banque
↓
26 mai 2026 → La cour d’appel de Rennes confirme

Qui doit prouver la fraude : le client ou la banque ?

C’est le cœur du contentieux de la fraude au paiement, et la source de la plupart des malentendus avec les banques. Beaucoup de victimes pensent qu’il leur appartient de démontrer qu’elles n’ont pas réalisé les opérations contestées. C’est l’inverse. Lorsqu’un client conteste avoir autorisé une opération, la charge de la preuve pèse sur la banque, qualifiée de « prestataire de services de paiement ».

📖 Définition — Prestataire de services de paiement (PSP)
Il s’agit de l’établissement qui tient le compte et exécute les opérations : banque traditionnelle, banque en ligne ou établissement de paiement. C’est sur lui que pèse la charge de prouver qu’une opération contestée a bien été autorisée et correctement authentifiée.

Que disent les articles L. 133-18 à L. 133-23 du code monétaire et financier ?

La cour d’appel fonde son raisonnement sur la combinaison des articles L. 133-18, L. 133-19, L. 133-16 et L. 133-23 du code monétaire et financier. Ces textes, qui transposent en droit français la deuxième directive européenne sur les services de paiement (DSP2), organisent un régime très protecteur pour l’utilisateur.

Le principe est posé par l’article L. 133-18 : en cas d’opération de paiement non autorisée signalée par l’utilisateur, la banque doit rembourser immédiatement le montant de l’opération et rétablir le compte dans l’état où il se serait trouvé. L’article L. 133-23 précise ensuite la mécanique probatoire : lorsque l’utilisateur conteste avoir autorisé une opération, « il appartient au prestataire de services de paiement de rapporter la preuve que l’opération litigieuse a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre ».

Surtout, le même article ajoute une précision essentielle, que la cour de Rennes reprend mot pour mot : la seule utilisation de l’instrument de paiement ou des données de sécurité personnalisées ne suffit pas, à elle seule, à établir soit l’autorisation de l’opération par le payeur, soit une faute de celui-ci, ni même une négligence grave au sens des articles L. 133-16 et L. 133-17. Autrement dit : le fait que la bonne carte, le bon code ou le bon téléphone aient été utilisés ne prouve rien, à lui seul, ni de l’accord du client ni de sa faute.

📖 Définition — Données de sécurité personnalisées
Ce sont les éléments confidentiels fournis par la banque pour authentifier l’utilisateur : numéro de carte, code confidentiel, cryptogramme, code reçu par SMS, identifiants de l’application mobile, etc. Leur emploi par un fraudeur ne suffit pas à transformer une opération frauduleuse en opération autorisée.

L’enrôlement d’une carte sur Apple Pay vaut-il autorisation de tous les paiements ?

C’était l’argument central de la banque, et la cour d’appel l’a écarté avec netteté. BforBank soutenait que les paiements litigieux avaient été réalisés via l’application Apple Pay, après que la cliente avait activé le service au moyen de son numéro de téléphone et d’un code à usage unique. Pour la banque, cette validation initiale, intervenue le 9 janvier 2022, suffisait à garantir la sécurité de tous les paiements ultérieurs : l’authentification forte serait, selon elle, « assurée ab initio », au moment de l’activation du service, dispensant la banque de l’exiger à nouveau pour chaque transaction.

La cour d’appel répond sans ambiguïté : « au vu des textes susvisés, l’authentification forte s’entend d’une authentification de chacune des opérations en cause et non de la validation d’un moyen de paiement ». Dès lors, la banque se prévaut vainement de ce que la cliente a validé son inscription au service de paiement le 9 janvier pour établir l’authentification de chacune des opérations réalisées les jours suivants.

📖 Définition — Authentification forte
Introduite par la directive DSP2, l’authentification forte (ou « authentification à deux facteurs ») exige la combinaison d’au moins deux éléments indépendants parmi : ce que le client connaît (un code), ce qu’il possède (un téléphone, une carte) et ce qu’il est (une empreinte, une reconnaissance faciale). Elle doit en principe être déclenchée à chaque opération sensible pour bloquer les paiements frauduleux.

Pourquoi l’authentification forte doit-elle viser chaque opération ?

La distinction posée par la cour est à la fois technique et de bon sens. Enrôler une carte dans un portefeuille mobile (Apple Pay, Google Pay, Samsung Pay…) et réaliser un paiement sont deux actes distincts. L’enrôlement consiste à associer un numéro de carte à un appareil ; le paiement, lui, est l’ordre de transférer une somme déterminée à un bénéficiaire déterminé. Admettre que la validation unique de l’enrôlement couvre l’ensemble des paiements futurs reviendrait à vider de toute substance l’exigence d’authentification forte : il suffirait à un fraudeur de réussir, une seule fois, à faire enrôler la carte sur son propre téléphone pour disposer ensuite d’un blanc-seing sur le compte.

C’est exactement ce qui s’est produit ici. La cour relève que « le fait que [la cliente] ait pu, à la suite des manœuvres frauduleuses dont elle a été victime, permettre l’activation du service de paiement sur un téléphone tiers ne dispensait aucunement la banque de veiller à l’authentification de chacune des opérations réalisées au moyen de cet instrument de paiement ». La banque reste tenue de veiller à l’authenticité de chaque opération, comme pour tout autre moyen de paiement de ses clients.

⚖️ Deux actes à ne pas confondre

Enrôlement du moyen de paiement (1 seule validation)
→ associer la carte à un appareil

≠

Authentification de chaque paiement (exigée à chaque opération)
→ autoriser un transfert précis vers un bénéficiaire précis

La validation de l’enrôlement ne couvre jamais les paiements ultérieurs.

La banque peut-elle invoquer la « négligence grave » du client ?

C’est l’autre grande défense des banques : même en cas de fraude, l’utilisateur supporte les pertes s’il a commis une négligence grave dans la conservation de ses données de sécurité (article L. 133-19, IV, du code monétaire et financier). BforBank reprochait ainsi à sa cliente d’avoir communiqué ses codes et son numéro de carte aux fraudeurs.

📖 Définition — Négligence grave
La négligence grave est un manquement caractérisé de l’utilisateur à son obligation de préserver la sécurité de ses dispositifs de paiement. C’est la seule véritable exception qui permet à la banque de refuser le remboursement. Mais c’est à la banque de la prouver, et la jurisprudence l’apprécie strictement : la sophistication croissante des fraudes joue en faveur des victimes.

L’apport de l’arrêt est ici décisif sur le plan méthodologique. La cour d’appel rappelle qu’il existe un ordre logique des preuves : avant même de pouvoir discuter d’une éventuelle négligence grave du client, la banque doit d’abord rapporter la preuve que les opérations ont été authentifiées, dûment enregistrées, comptabilisées et non affectées par une déficience technique. Or, BforBank n’allègue aucune défaillance technique et ne démontre pas l’authentification de chaque opération. La preuve « préalable à toute invocation d’une négligence grave » n’étant pas rapportée, la question de la négligence ne peut même pas être examinée : la banque est tenue de rembourser.

Ce raisonnement est précieux pour les victimes. Il signifie que la banque ne peut pas se contenter de pointer du doigt le comportement du client pour échapper à son obligation. Elle doit d’abord franchir l’obstacle probatoire de l’authentification opération par opération. Tant que cet obstacle n’est pas franchi, le débat sur la négligence n’a pas lieu d’être.

Faut-il déposer plainte pour être indemnisé ?

Beaucoup de victimes craignent que l’absence de plainte pénale, ou sa tardiveté, ne leur soit opposée par la banque. La cour de Rennes apporte une réponse rassurante. Elle relève que la cliente a pu faire opposition sur l’usage de son moyen de paiement dès la réception, le 12 janvier 2022, d’un SMS de sa banque l’informant de la réalisation d’une opération frauduleuse. Cette réactivité établit qu’elle a été « diligente dans ses démarches destinées à éviter la poursuite de la fraude, sans qu’il soit nécessaire que [la cliente] établisse avoir déposé plainte ».

Le dépôt de plainte demeure utile en pratique — pour les besoins de l’enquête, le récépissé, ou un éventuel recouvrement — mais il ne conditionne pas le droit au remboursement. Ce qui compte, c’est la diligence de la victime une fois la fraude détectée, et au premier chef la formation rapide de l’opposition.

Quelle portée pratique pour les victimes de fraude au paiement mobile ?

Cet arrêt, bien qu’inédit et rendu par une cour d’appel, s’inscrit dans un mouvement jurisprudentiel solidement établi de protection des utilisateurs de services de paiement, dans le sillage de la Cour de cassation. Il présente plusieurs intérêts concrets pour quiconque conteste des opérations frauduleuses.

D’abord, il neutralise un argument que les banques opposent de plus en plus fréquemment : l’idée que l’usage d’un wallet mobile prétendument « sécurisé » (Apple Pay, Google Pay) ferait basculer la charge du risque sur le client. La cour rappelle que la technologie employée ne change rien au régime probatoire : l’authentification forte doit être démontrée opération par opération.

Ensuite, il consacre une hiérarchie des preuves favorable aux victimes : la négligence grave ne peut être discutée qu’après que la banque a prouvé l’authentification effective de chaque débit. Cette grille de lecture est directement transposable à d’innombrables litiges : fraude par « spoofing » (usurpation du numéro de la banque), faux conseiller bancaire, hameçonnage (phishing), détournement de carte dans un portefeuille mobile.

✅ Ce que la victime doit retenir

① Faire opposition immédiatement dès la détection (l’horodatage compte).
② Contester par écrit et demander le remboursement sur le fondement des articles L. 133-18 et L. 133-23 du code monétaire et financier.
③ Exiger de la banque qu’elle prouve l’authentification forte de chaque opération : ce n’est pas à vous de prouver que vous n’avez rien autorisé.
④ Ne pas se laisser opposer une « négligence grave » tant que cette preuve d’authentification n’est pas rapportée.

Quels autres leviers mobiliser face à la banque ?

Au-delà du régime probatoire des articles L. 133-18 et suivants, qui constitue le terrain principal, la victime peut renforcer son dossier en interrogeant le respect par la banque de ses propres obligations techniques de sécurité. Les standards techniques de réglementation (RTS) adoptés par l’Autorité bancaire européenne en complément de la DSP2 imposent aux prestataires des exigences précises en matière d’authentification forte et de surveillance des transactions. Lorsqu’une banque échoue à détecter un schéma d’opérations manifestement anormal — par exemple un enrôlement de carte sur un nouvel appareil immédiatement suivi d’une rafale de paiements inhabituels — le respect de ces standards peut utilement être questionné. C’est un levier encore sous-exploité par les victimes, qui mérite d’être systématiquement examiné.

Le signalement à la gendarmerie ou le dépôt de plainte, ainsi que les éventuelles démarches déclaratives de la banque, restent factuellement utiles au dossier et à l’enquête, mais ils ne constituent pas en eux-mêmes le fondement de l’indemnisation civile : celle-ci repose avant tout sur le régime des opérations de paiement non autorisées.

Conclusion

L’arrêt de la cour d’appel de Rennes du 26 mai 2026 délivre un message clair : face à une fraude au paiement mobile, l’utilisateur n’a pas à se justifier, c’est à la banque de prouver. Et cette preuve ne se satisfait pas d’une validation initiale du portefeuille : elle doit porter sur l’authentification forte de chacune des opérations contestées. En l’absence d’une telle démonstration, le débat sur la négligence grave du client n’a même pas lieu d’être, et le remboursement s’impose — ici, 6 667,56 euros, augmentés des frais de procédure.

Pour les milliers de clients confrontés au détournement de leur carte via Apple Pay ou un autre wallet, cette décision est un appui solide. Si votre banque refuse de vous rembourser en invoquant une authentification « assurée à l’enrôlement » ou une prétendue négligence de votre part, le cabinet LE BOT Avocat, dédié au droit bancaire, peut analyser votre dossier et engager le bras de fer probatoire avec votre établissement sur le terrain des articles L. 133-18 et suivants du code monétaire et financier.

FAQ — Questions fréquentes

Ma banque refuse de me rembourser des paiements Apple Pay que je n’ai pas faits. Que faire ?

Contestez par écrit et exigez le remboursement sur le fondement des articles L. 133-18 et L. 133-23 du code monétaire et financier. La charge de la preuve pèse sur la banque : elle doit démontrer que chaque opération a été authentifiée individuellement. Le simple fait que les paiements aient transité par Apple Pay ne suffit pas. En cas de refus persistant, un avocat en droit bancaire peut saisir le tribunal judiciaire.

L’enrôlement de ma carte sur un portefeuille mobile vaut-il autorisation de tous les paiements ?

Non. La cour d’appel de Rennes juge que l’authentification forte s’entend d’une authentification de chacune des opérations, et non de la seule validation de l’enrôlement du moyen de paiement. Une validation unique au moment de l’activation du service ne couvre jamais les paiements ultérieurs réalisés par un fraudeur.

Qui doit prouver que j’ai autorisé ou non l’opération ?

C’est la banque. Lorsque vous contestez avoir autorisé une opération, l’article L. 133-23 du code monétaire et financier impose à la banque de prouver que l’opération a été authentifiée, dûment enregistrée et comptabilisée, sans déficience technique. La seule utilisation de votre carte ou de vos codes ne suffit pas à établir votre accord ou votre faute.

Qu’est-ce que la « négligence grave » et la banque peut-elle me l’opposer ?

La négligence grave est un manquement caractérisé à votre obligation de protéger vos données de sécurité ; c’est la principale exception au remboursement. Mais la banque doit d’abord prouver l’authentification de chaque opération. Tant que cette preuve préalable n’est pas rapportée, elle ne peut pas vous opposer une négligence grave, et le remboursement reste dû.

Dois-je déposer plainte pour obtenir le remboursement ?

Non, ce n’est pas une condition du remboursement. La cour de Rennes juge que faire opposition rapidement après l’alerte de la banque suffit à démontrer votre diligence, sans qu’il soit nécessaire d’établir un dépôt de plainte. La plainte reste néanmoins utile pour l’enquête et la constitution de votre dossier.

Dans quel délai dois-je signaler une opération frauduleuse ?

Vous devez signaler l’opération non autorisée sans tarder, et au plus tard dans les treize mois suivant le débit (article L. 133-24 du code monétaire et financier). En pratique, faites opposition immédiatement dès la détection : la rapidité de votre réaction est un élément clé de votre diligence, comme l’illustre cette affaire.

Combien de temps prend une procédure et que puis-je obtenir ?

Vous pouvez obtenir la restitution intégrale des sommes frauduleusement débitées, ainsi qu’une indemnité au titre de l’article 700 du code de procédure civile et la prise en charge des dépens. Dans cette affaire, la cliente a obtenu 6 667,56 euros de restitution et 2 500 euros de frais en appel. Les délais varient selon les juridictions ; un avocat en droit bancaire peut estimer la durée et les chances de succès au vu de votre dossier.