Tribunal des activités économiques (TAE) de Paris, chambre 1-10, 13 juin 2025, n° J2025000378
🔑 Points clés à retenir
- Face à une opération de paiement non autorisée, c’est à la banque de prouver que l’opération a été authentifiée (art. L. 133-23 du code monétaire et financier) — le client n’a rien à démontrer.
- Si la banque n’établit pas qu’elle a exigé une authentification forte, le payeur ne supporte aucune perte, sauf agissement frauduleux de sa part (art. L. 133-19, V, et L. 133-44).
- Des « logs techniques » et un simple numéro de « token » ne suffisent pas à prouver l’authentification forte : le tribunal a jugé qu’il ne pouvait pas en apprécier la portée probatoire.
- Conséquence remarquable : le juge n’a pas eu besoin d’examiner la négligence grave de la cliente, ni même les circonstances de la fraude.
- Les remboursements partiels obtenus par la procédure de rappel des fonds (« recall ») ne valent pas reconnaissance de responsabilité par la banque (art. L. 133-21).
- La protection s’applique aussi à une société : ici, une SAS professionnelle a obtenu gain de cause contre une néobanque.
Sommaire ▼
- Que s’est-il passé dans cette affaire ?
- Pourquoi le tribunal a-t-il mis « Qonto SA » hors de cause ?
- Quel régime s’applique à un virement frauduleux non autorisé ?
- Qui doit prouver quoi : la banque ou le client ?
- Qu’est-ce que l’authentification forte ?
- Pourquoi les « logs techniques » de la banque n’ont-ils pas suffi ?
- Les remboursements partiels valent-ils reconnaissance de dette ?
- Quelle portée pour les victimes de fraude bancaire ?
- FAQ — Questions fréquentes
Que s’est-il passé dans cette affaire ?
Le 7 juillet 2023 au petit matin, la présidente d’une société automobile reçoit un appel téléphonique. Son interlocuteur se présente comme un agent de sa banque — la néobanque Qonto — et lui explique que son compte a fait l’objet d’un piratage qu’il convient de « sécuriser » au moyen d’un code envoyé par SMS sur le numéro de la société. La dirigeante communique ce code. Arrivée à son bureau, elle découvre que plusieurs opérations de paiement ont été débitées de son compte sans son accord.
La réaction est immédiate. Le jour même, à 17h12, elle dépose plainte au commissariat pour quatre opérations non autorisées (10 000 €, 8 000 €, 1 777 € — rejetée — et 1 540 €). À 18h16, elle conteste les opérations auprès de la banque et lui transmet le dépôt de plainte. La banque déclenche une procédure de rappel des fonds : un premier retour partiel de 4 797,58 € est recrédité le 11 septembre 2023, un second de 3 479,10 € le 29 avril 2024. Restent à la charge de la société, « net » de ces récupérations, 11 263,48 €.
Le 23 octobre 2023, la société met la banque en demeure de la rembourser intégralement, sur le fondement de l’article L. 133-18 du code monétaire et financier. Le 17 novembre 2023, la banque refuse, opposant la « négligence grave » de la cliente (art. L. 133-19, IV). La société saisit alors le tribunal. Après avoir, par prudence, assigné d’abord la holding « Qonto SA » puis l’établissement de paiement réellement exploitant (la SAS Olinda, dont « Qonto » est le nom commercial), elle obtient gain de cause le 13 juin 2025.
L’escroc se fait passer pour un agent du service de sécurité de la banque, instaure un climat d’urgence (« votre compte est piraté »), puis obtient de la victime qu’elle lui communique elle-même un code de sécurité reçu par SMS. Muni de ce code, le fraudeur valide des virements. C’est une variante de la fraude au « faux conseiller », l’une des plus répandues aujourd’hui.
Pourquoi le tribunal a-t-il mis « Qonto SA » hors de cause ?
Première difficulté, purement procédurale mais instructive : à qui s’adresser ? La société avait d’abord assigné « Qonto SA ». Or cette entité est une holding, dont l’objet est de détenir des participations ; elle n’a aucun lien contractuel avec le client. L’établissement qui exploite réellement le service de paiement et tient le compte est la SAS Olinda, agréée comme établissement de paiement, qui utilise « Qonto » comme nom commercial. Le tribunal a donc déclaré la holding hors de cause et statué uniquement contre l’établissement de paiement.
La leçon pratique est utile : derrière une marque commerciale connue peut se cacher une architecture de plusieurs sociétés. Avant d’agir, il faut identifier la personne morale réellement titulaire de l’agrément et cocontractante de la convention de compte. Une erreur d’identification de défendeur n’est pas fatale — ici la société a régularisé en assignant la bonne entité — mais elle fait perdre du temps et peut générer des frais.
Quel régime s’applique à un virement frauduleux non autorisé ?
Le tribunal rappelle le cadre. La responsabilité du prestataire de services de paiement (PSP) en cas d’opération non autorisée est régie par les articles L. 133-18 et suivants du code monétaire et financier, issus de la transposition de la directive européenne sur les services de paiement (DSP2, directive 2015/2366 du 25 novembre 2015). Point important : ce régime est exclusif. Dès lors qu’est en cause une opération de paiement non autorisée réalisée au moyen d’un instrument de paiement, seul s’applique le régime des articles L. 133-18 à L. 133-24, à l’exclusion de tout autre fondement de responsabilité tiré du droit national.
C’est une opération à laquelle l’utilisateur n’a pas consenti. Selon l’article L. 133-18, le prestataire de services de paiement doit en rembourser le montant « immédiatement » après en avoir été informé, et au plus tard à la fin du premier jour ouvrable suivant, sauf à soupçonner une fraude de l’utilisateur (et à en informer la Banque de France). Le compte doit être rétabli dans l’état où il se serait trouvé si l’opération n’avait pas eu lieu.
Ce principe de remboursement immédiat est le socle de la protection. Il connaît des tempéraments — notamment lorsque la banque démontre une négligence grave du payeur (art. L. 133-19, IV) ou un agissement frauduleux de sa part. Mais, et c’est là que le jugement est éclairant, ces tempéraments ne jouent qu’à la condition que la banque ait, en amont, satisfait à ses propres obligations de preuve et de sécurité.
Qui doit prouver quoi : la banque ou le client ?
C’est le cœur de la décision. La banque reprochait à la société de ne produire aucun élément sur les circonstances de la fraude : pas de copie du SMS reçu, aucune explication sur la manière dont le fraudeur aurait pu accéder à l’espace en ligne sans les codes d’accès. Présenté ainsi, le dossier de la victime paraissait fragile. Et pourtant, elle a gagné. Pourquoi ? Parce que la charge de la preuve ne pèse pas sur elle.
L’article L. 133-23 du code monétaire et financier est sans ambiguïté : lorsqu’un utilisateur nie avoir autorisé une opération, il incombe à son prestataire de services de paiement de prouver que l’opération a été authentifiée, dûment enregistrée et comptabilisée, et qu’elle n’a pas été affectée d’une déficience technique. Le texte ajoute, et c’est décisif, que la seule utilisation de l’instrument de paiement enregistrée par la banque « ne suffit pas nécessairement » à prouver que l’opération a été autorisée par le payeur ou qu’il a manqué par négligence grave à ses obligations.
En matière d’opération non autorisée, ce n’est pas à la victime de prouver qu’elle n’a pas consenti, ni d’expliquer comment l’escroc a opéré. C’est à la banque de prouver que l’opération était régulièrement authentifiée. Si elle échoue, l’opération est traitée comme non autorisée et doit être remboursée.
À ce renversement s’ajoute une règle plus puissante encore, posée par le paragraphe V de l’article L. 133-19 : « sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si l’opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement du payeur n’exige une authentification forte ». Autrement dit, si la banque n’a pas exigé — et ne prouve pas avoir exigé — une authentification forte, la perte reste à sa charge, quelle qu’ait été l’attitude du client (la seule réserve étant la fraude commise par le client lui-même).
Qu’est-ce que l’authentification forte ?
L’authentification forte du client (souvent désignée par son sigle anglais « SCA », pour strong customer authentication) est une exigence issue de la DSP2 et précisée à l’article L. 133-44 du code monétaire et financier. Elle impose, pour les opérations à risque comme l’initiation d’un paiement électronique ou une opération à distance, de combiner au moins deux éléments d’authentification indépendants appartenant à des catégories différentes : ce que le client connaît (un mot de passe, un code), ce qu’il possède (un téléphone, un dispositif enregistré) et ce qu’il est (une donnée biométrique). L’objectif est de rendre beaucoup plus difficile l’usurpation et la prise de contrôle d’un compte à distance.
Pourquoi les « logs techniques » de la banque n’ont-ils pas suffi ?
La banque ne s’est pas contentée d’affirmer : elle a produit des éléments. Elle versait aux débats des « logs techniques » (sa pièce n° 5) censés établir que la cliente avait, le 7 juillet 2023, approuvé une connexion inhabituelle au moyen de son « appareil de confiance » enregistré depuis mars 2023, puis que les quatre opérations litigieuses avaient été autorisées par un procédé d’authentification forte. Elle soutenait notamment que la présence d’un numéro de « token » dans ces journaux démontrait la validation des opérations.
Le tribunal n’a pas suivi cet argument, et la motivation mérite d’être citée dans son esprit : il a constaté qu’il lui était « impossible de se prononcer sur la pertinence des informations » présentées et sur leur portée probatoire, relevant que la banque alléguait, sans le démontrer, que la présence d’un « token » dans les logs prouverait la validation par authentification forte. Des copies d’écran de journaux internes, dont le juge ne peut vérifier ni la signification technique ni la fiabilité, ne valent pas preuve de l’authentification forte.
Opération non autorisée signalée par le client
↓
La banque doit prouver l’authentification forte (art. L. 133-23 et L. 133-44)
↓
« Logs techniques » + numéro de « token » = preuve non rapportée
↓
Aucun agissement frauduleux du payeur n’est allégué
↓
Art. L. 133-19, V → le payeur ne supporte aucune conséquence financière
↓
→ Remboursement de 11 263,48 € — sans examen de la négligence
Le tribunal en tire la conséquence radicale prévue par les textes : faute pour la banque d’avoir prouvé qu’elle avait requis une authentification forte pour chacun des virements, et en l’absence de tout agissement frauduleux allégué contre la dirigeante, il applique le paragraphe V de l’article L. 133-19 et condamne la banque à rembourser 11 263,48 €. Le passage le plus frappant du jugement est celui où il précise qu’il statue ainsi « sans qu’il soit besoin d’analyser ni de déterminer les circonstances exactes » par lesquelles le fraudeur a pu réaliser les opérations, y compris la manière dont il a obtenu les identifiants et les codes. La défaillance probatoire de la banque rend inutile tout débat sur le comportement de la victime.
C’est là que ce jugement se distingue d’autres décisions sur la fraude au faux conseiller, où le débat se concentre sur la négligence grave du client. Ici, la victime était dans une position factuelle inconfortable : elle reconnaissait avoir communiqué un code, ne produisait pas le SMS, n’éclairait pas le tribunal sur le déroulé exact de la fraude. Dans une logique purement intuitive, on aurait pu lui opposer son imprudence. Mais le mécanisme de l’article L. 133-19, V, court-circuite ce débat : la question préalable n’est pas « le client a-t-il été négligent ? », c’est « la banque a-t-elle prouvé qu’elle exigeait une authentification forte ? ». Tant que la réponse est non, le client est protégé.
Les remboursements partiels valent-ils reconnaissance de dette ?
Un mot sur un argument que la société avait avancé et que le tribunal a, lui, écarté — par souci d’exactitude, il faut le mentionner. La société soutenait que les deux remboursements partiels effectués par la banque (le « recall ») constituaient un aveu : en recréditant le compte, la banque aurait reconnu le principe de sa dette et l’absence de faute de la cliente.
Le tribunal ne l’a pas suivie sur ce point. L’article L. 133-21 du code monétaire et financier organise une procédure de récupération des fonds : le prestataire du payeur « s’efforce » de récupérer les sommes, ce qui n’est qu’une obligation de moyens. En recréditant le compte à la suite de rappels de fonds ayant abouti, la banque n’a fait qu’exécuter cette obligation, sans reconnaître pour autant sa responsabilité dans la réalisation des opérations frauduleuses. L’argument tiré de l’« aveu » a donc été rejeté. Cela n’a rien changé à l’issue, puisque la condamnation reposait sur le défaut de preuve de l’authentification forte ; mais cela rappelle qu’il faut bâtir sa demande sur le bon fondement.
Quand votre banque récupère une partie des fonds après une fraude, c’est une bonne nouvelle, mais ne comptez pas dessus pour prouver sa responsabilité : juridiquement, elle ne fait qu’exécuter une obligation de moyens. Le vrai levier reste ailleurs — dans l’absence de preuve, par la banque, d’une authentification forte.
Quelle portée pour les victimes de fraude bancaire ?
Ce jugement émane d’un tribunal de première instance (le tribunal des activités économiques de Paris) et a été rendu en premier ressort : il est susceptible d’appel et n’a pas l’autorité d’un arrêt de la Cour de cassation. Sa valeur n’est pas celle d’un précédent contraignant. Mais il illustre, de manière particulièrement nette, une mécanique que les victimes et leurs conseils ont tout intérêt à maîtriser : le levier de l’authentification forte et de la charge de la preuve.
La portée pratique est considérable. Trop de refus de remboursement reposent sur une affirmation péremptoire — « les opérations ont été validées par authentification forte » — que la banque ne documente jamais sérieusement. Ce jugement montre qu’il faut systématiquement exiger la preuve de cette authentification, et la discuter techniquement : un numéro de « token », une copie d’écran de journal interne ou un libellé obscur ne valent pas démonstration. C’est à la banque de convaincre le juge, pas au client d’innocenter sa propre conduite.
Un terrain complémentaire mérite d’être creusé dans chaque dossier. Au-delà de l’exigence d’authentification forte, la réglementation européenne impose aux établissements des normes techniques précises — les normes techniques de réglementation (RTS) complétant la DSP2 : authentification réellement robuste, surveillance continue des opérations, détection des transactions anormales par leur montant, leur bénéficiaire ou leur rapidité. Lorsqu’une série de virements inhabituels passe sans déclencher la moindre alerte, la qualité réelle du dispositif de sécurité de la banque peut être interrogée. C’est un angle encore sous-exploité, qui se construit au cas par cas.
En pratique, les réflexes restent les mêmes et pèsent dans le dossier : faire opposition sans délai, déposer plainte rapidement, contester par écrit auprès de la banque, conserver toutes les traces (relevés, SMS, courriels, journaux d’appels) et mettre l’établissement en demeure de rembourser. En cas de refus, un recours est souvent possible. Le cabinet LE BOT Avocat accompagne les particuliers comme les entreprises victimes de fraudes bancaires pour contester les refus de remboursement et engager la responsabilité de l’établissement lorsque les conditions sont réunies.
