Tribunal judiciaire de Lyon, pôle de la proximité et de la protection (circuit long S1), 30 juin 2026, n° RG 23/02144
🔑 Points clés à retenir
- Lorsqu’un client conteste une opération de paiement, la charge de la preuve pèse intégralement sur la banque : elle doit démontrer que l’opération a été authentifiée, dûment enregistrée et comptabilisée (article L.133-23 du Code monétaire et financier).
- Un simple relevé indiquant que les opérations ont été effectuées « depuis l’iPhone du client » ne prouve ni le consentement du titulaire du compte, ni sa négligence grave.
- La banque doit établir concrètement l’authentification forte : code à usage unique, validation dans l’application bancaire, dispositif biométrique — à défaut, l’opération lui est inopposable et le remboursement est dû (article L.133-19, V).
- Le client qui signale la fraude en trois jours satisfait largement à son obligation de signalement, ce qui exclut toute inertie fautive de sa part.
- Le refus de rembourser, même fautif, n’ouvre pas automatiquement droit à des dommages et intérêts pour résistance abusive : il faut un préjudice distinct et une faute autonome de la banque.
- Résultat : le CIC Lyonnaise de Banque est condamné à rembourser 4 492,60 € avec intérêts au taux légal depuis la mise en demeure, outre 1 500 € au titre de l’article 700.
Sommaire ▼
- Que s’est-il passé dans cette affaire de faux virements TransferWise ?
- Que dit la loi sur le remboursement des opérations non autorisées ?
- Pourquoi la banque a-t-elle été condamnée à rembourser ?
- Pourquoi la demande de dommages et intérêts a-t-elle été rejetée ?
- Quels enseignements pour les victimes de fraude bancaire ?
- Que retenir de ce jugement ?
- FAQ — Vos questions sur le remboursement des opérations frauduleuses
Que s’est-il passé dans cette affaire de faux virements TransferWise ?
Comment la fraude s’est-elle déroulée ?
Au mois d’août 2020, un client du CIC Lyonnaise de Banque, titulaire d’un compte suivi par l’agence de Culoz (Ain), reçoit deux courriels émanant de « Transferwise » (aujourd’hui Wise, service de transfert d’argent international). Ces messages, datés du 9 août 2020, l’informent que deux règlements auraient été effectués à son bénéfice, pour des montants de 2 209,65 € et 2 282,95 €.
Le client n’a rien commandé, rien validé, rien demandé. Il réagit immédiatement : il transfère les courriels à ses conseillers bancaires, leur demande de vérifier qu’il ne s’agit pas d’une fraude et qu’aucun transfert d’argent n’a été effectué, avertit sa banque et fait opposition à sa carte bancaire. La directrice de l’agence l’informe qu’en cas de débit, il devra constituer un dossier de contestation pour obtenir le remboursement des sommes frauduleusement prélevées.
Le 21 août 2020, il dépose plainte à la gendarmerie, qui le redirige vers la plateforme « Perceval » où il enregistre son signalement le 22 août 2020. Le 19 septembre 2020, il adresse un courrier à son agence pour rappeler les faits et solliciter la prise en charge du dossier. Son compte ayant été débité de 4 492,60 € au total, il fait délivrer, par l’intermédiaire de son conseil, une mise en demeure de rembourser le 6 octobre 2020, dont l’accusé de réception est signé le 16 novembre 2020.
La banque refuse. Son argument : les opérations de débit auraient été « validées via l’application mobile installée sur le téléphone » du client, et les règles d’authentification forte auraient été respectées. Autrement dit, pour la banque, le client aurait lui-même consenti aux opérations — ou aurait à tout le moins commis une négligence le privant de tout droit à remboursement.
Pourquoi l’affaire a-t-elle été jugée à Lyon plutôt qu’à Bourg-en-Bresse ?
Par acte de commissaire de justice du 2 novembre 2022, le client assigne la banque devant le tribunal judiciaire de Bourg-en-Bresse. Mais par jugement du 27 avril 2023, ce tribunal constate que le demandeur exerce la profession de juge au tribunal de commerce de Bourg-en-Bresse et, en application de l’article 47 du Code de procédure civile — qui permet de délocaliser les litiges impliquant un magistrat ou un auxiliaire de justice dans le ressort où il exerce —, renvoie l’affaire devant le tribunal judiciaire de Lyon.
Ce détail procédural explique la longueur inhabituelle de la procédure : assignation en novembre 2022, renvoi en avril 2023, audience de plaidoirie le 22 mai 2025 après plusieurs renvois, et jugement rendu le 30 juin 2026 après prorogation du délibéré. Presque quatre ans entre l’assignation et le jugement, presque six ans entre la fraude et le remboursement — un délai que les victimes de fraude bancaire doivent malheureusement intégrer dans leur stratégie contentieuse, et qui est ici partiellement compensé par les intérêts au taux légal courant depuis la mise en demeure de 2020.
Que dit la loi sur le remboursement des opérations non autorisées ?
Le litige se joue sur le terrain des articles L.133-18 et suivants du Code monétaire et financier, issus de la transposition de la directive sur les services de paiement (DSP2). Ce corpus organise un régime de responsabilité de plein droit du prestataire de services de paiement, dérogatoire au droit commun, et particulièrement protecteur du payeur.
Une opération de paiement est dite « non autorisée » lorsque le titulaire du compte n’y a pas consenti, dans la forme convenue avec sa banque. Virement initié par un fraudeur, paiement par carte non validé par le porteur, prélèvement détourné : dès lors que le client nie avoir donné son accord, l’opération est présumée non autorisée tant que la banque ne prouve pas le contraire.
L’article L.133-18 du Code monétaire et financier pose le principe : en cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L.133-24 (au plus tard treize mois après le débit), le prestataire de services de paiement rembourse au payeur le montant de l’opération immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant. Le compte doit être rétabli dans l’état où il se serait trouvé si l’opération n’avait pas eu lieu.
L’article L.133-19 organise les exceptions et les tempéraments. Son IV prévoit que le payeur supporte toutes les pertes si celles-ci résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait, intentionnellement ou par négligence grave, à ses obligations de sécurité (articles L.133-16 et L.133-17). Mais son V ajoute une règle décisive dans les fraudes contemporaines : sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si l’opération a été effectuée sans que la banque n’exige une authentification forte prévue à l’article L.133-44.
L’authentification forte (ou « SCA », Strong Customer Authentication) est un dispositif imposé par la DSP2 et son règlement technique (RTS) qui repose sur l’utilisation d’au moins deux éléments appartenant à des catégories différentes : quelque chose que le client connaît (code, mot de passe), quelque chose qu’il possède (téléphone, carte), quelque chose qu’il est (empreinte, reconnaissance faciale). Un simple identifiant et un mot de passe ne suffisent pas.
Reste la question centrale de tout contentieux de fraude bancaire : qui doit prouver quoi ? La réponse est donnée par l’article L.133-23 : lorsqu’un utilisateur nie avoir autorisé une opération de paiement, il incombe à son prestataire de services de paiement de prouver que l’opération a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre. Et le second alinéa précise que l’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire « ne suffit pas nécessairement en tant que telle » à prouver que l’opération a été autorisée par le payeur ou que celui-ci a commis une négligence grave.
Le tribunal de Lyon en tire une synthèse limpide : la banque à laquelle le caractère non autorisé d’une opération a été régulièrement dénoncé par son client dans le délai prévu est tenue, de plein droit, de rembourser ce dernier, sauf à démontrer l’autorisation donnée à l’opération, d’une part, ou une faute intentionnelle ou une négligence grave de l’utilisateur, d’autre part.
Pourquoi la banque a-t-elle été condamnée à rembourser ?
Le client avait-il signalé la fraude à temps ?
Première étape du raisonnement : le tribunal vérifie que le client a satisfait à son obligation de signalement. Les pièces produites — les deux courriels de « TransferWise » du 9 août 2020, les courriels adressés aux conseillers bancaires, le récépissé de signalement en ligne du 22 août 2020 — établissent que le client a signalé à sa banque, dès le 12 août 2020, qu’il n’était pas à l’origine des versements. Trois jours après les courriels suspects : le tribunal relève un signalement « dans un délai particulièrement bref, excluant toute inertie fautive de sa part ».
Ce point mérite d’être souligné : la réactivité du client est le socle de son dossier. Le signalement immédiat à la banque, l’opposition à la carte, la plainte via Perceval, le courrier de réclamation, puis la mise en demeure par avocat forment une chaîne de diligences que le tribunal a expressément valorisée.
Sur qui pèse la charge de la preuve de l’authentification forte ?
Deuxième étape : la banque prouve-t-elle que les opérations ont été autorisées ? Pour établir le consentement du client, l’établissement produisait un unique document indiquant que, le 9 août 2020, deux opérations bancaires avaient été effectuées sur internet depuis l’iPhone du client.
Le tribunal juge ce document insuffisant, « dès lors qu’il ne précise pas les modalités d’authentification mises en œuvre ». Et il dresse la liste de ce que la banque aurait dû verser aux débats et n’a pas versé : « absence de preuve d’envoi d’un code à usage unique, d’une validation via l’application bancaire, d’un dispositif biométrique ou de tout mécanisme de double authentification conforme aux exigences de l’article L.133-44 du Code monétaire et financier ».
La sanction tombe : la banque « échoue à démontrer que les opérations ont fait l’objet d’une authentification forte, condition pourtant déterminante de leur opposabilité au client ». La formule est remarquable : l’authentification forte n’est pas une simple formalité technique, elle est la condition d’opposabilité de l’opération au titulaire du compte. Une opération dont l’authentification forte n’est pas démontrée ne peut tout simplement pas être mise à la charge du client.
Le fait que l’opération provienne de l’iPhone du client suffit-il à prouver sa négligence ?
Troisième étape : à défaut de prouver l’autorisation, la banque pouvait encore tenter d’établir une négligence grave du client. Là encore, échec : le tribunal juge qu’aucun élément du dossier ne permet de caractériser un agissement frauduleux ou une négligence grave, « la seule circonstance que les opérations aient été réalisées depuis un appareil lui appartenant étant, à cet égard, insuffisante ».
Cette motivation s’inscrit dans la ligne d’une jurisprudence constante de la Cour de cassation : la preuve de la négligence grave ne peut pas se déduire du seul fait que l’instrument de paiement ou les données personnalisées ont été effectivement utilisés. C’est exactement ce que codifie le second alinéa de l’article L.133-23 : l’enregistrement technique de l’opération ne prouve ni le consentement, ni la faute. La banque doit apporter des éléments positifs, concrets et circonstanciés — et un relevé mentionnant un appareil n’en est pas un.
La négligence grave est le manquement caractérisé du payeur à son obligation de préserver la sécurité de ses données de sécurité personnalisées (code confidentiel, identifiants). C’est à la banque de la prouver, par des éléments concrets ; elle ne se présume jamais de la seule utilisation de l’instrument de paiement, ni du seul fait que l’opération provient d’un appareil appartenant au client.
Le schéma probatoire consacré par le jugement peut se résumer ainsi :
1️⃣ Le client nie avoir autorisé l’opération et la signale dans le délai (13 mois)
↓
2️⃣ Présomption : l’opération est non autorisée → remboursement de plein droit (L.133-18)
↓
3️⃣ La banque veut y échapper ? Elle doit prouver :
→ soit l’autorisation : authentification forte concrètement démontrée (code à usage unique, validation in-app, biométrie…)
→ soit la négligence grave du client : éléments positifs et circonstanciés
↓
4️⃣ Un simple relevé « opération effectuée depuis l’iPhone du client » ne prouve ni l’un ni l’autre
↓
5️⃣ Preuve non rapportée → condamnation au remboursement intégral + intérêts légaux
En conséquence, le tribunal condamne la SA Lyonnaise de Banque CIC à rembourser la somme totale de 4 492,60 € correspondant aux opérations non autorisées, outre intérêts au taux légal à compter du 16 novembre 2020 — date de la signature de l’accusé de réception de la mise en demeure — en application des articles 1231-6 et 1231-7 du Code civil. La banque est également condamnée aux entiers dépens et à verser 1 500 € au titre de l’article 700 du Code de procédure civile, le tout assorti de l’exécution provisoire de droit.
Pourquoi la demande de dommages et intérêts a-t-elle été rejetée ?
Le client sollicitait, en sus du remboursement, 2 000 € de dommages et intérêts pour résistance abusive sur le fondement de l’article 1240 du Code civil, reprochant à la banque d’avoir refusé de rembourser en violation des textes du Code monétaire et financier.
Le tribunal reconnaît que « la banque a effectivement manqué à son obligation de remboursement » — le constat est net. Mais il juge que ce manquement « est déjà réparé par la condamnation à restituer les sommes indûment débitées ». Pour obtenir une indemnisation supplémentaire, il aurait fallu démontrer deux choses : un préjudice distinct de la privation temporaire des fonds (laquelle est compensée par les intérêts au taux légal) et une faute autonome de la banque, caractérisée notamment par une résistance abusive ou dilatoire — mauvaise foi, manœuvres dilatoires ou refus manifestement infondé opposé dans des conditions fautives.
En l’absence de tels éléments, « le seul rejet de la demande en remboursement ne saurait suffire à caractériser une résistance abusive ». La demande indemnitaire est rejetée.
Cette partie du jugement appelle une observation critique. On peut se demander si le refus opposé pendant près de six ans par un établissement bancaire, sur la foi d’un unique document ne précisant même pas les modalités d’authentification, ne franchit pas la frontière du « refus manifestement infondé ». L’article L.133-18 impose un remboursement immédiat, au plus tard à la fin du premier jour ouvrable suivant le signalement ; s’en affranchir sans détenir la preuve exigée par l’article L.133-23 revient à faire supporter au client le poids d’un contentieux que la loi voulait précisément lui épargner. Tant que la résistance abusive restera appréciée avec cette retenue, les banques conserveront un intérêt économique à refuser puis à laisser prospérer le procès : au pire, elles rembourseront ce qu’elles devaient déjà, avec des intérêts au taux légal. Les juridictions du fond disposent pourtant, avec l’article 1240 du Code civil, de l’outil permettant de sanctionner les refus systématiques dépourvus de justification probatoire sérieuse.
Quels enseignements pour les victimes de fraude bancaire ?
Que faire immédiatement en cas d’opération suspecte ?
Le comportement du client dans cette affaire est un cas d’école, et c’est en partie ce qui a fait la solidité de son dossier. Dès réception des courriels suspects : vérification auprès de la banque, opposition à la carte bancaire, signalement écrit aux conseillers dès le 12 août, plainte enregistrée sur la plateforme Perceval, courrier de réclamation, puis mise en demeure par avocat. Chaque diligence a été documentée et produite en justice.
Attention toutefois : ce que vous écrivez à votre banque et dans votre plainte peut être utilisé pour vous opposer une négligence grave. Les formulations maladroites (« j’ai communiqué mon code », « j’ai validé la notification ») sont régulièrement exploitées par les banques pour refuser le remboursement. Avant toute déclaration, consultez notre guide pratique : Fraude bancaire : que dire et ne pas dire à sa banque et dans sa plainte.
Quels délais pour signaler et pour agir en justice ?
Le signalement à la banque doit intervenir sans tarder et, en tout état de cause, dans le délai de treize mois suivant la date de débit prévu par l’article L.133-24 du Code monétaire et financier. Plus le signalement est rapide, plus il neutralise l’argument de l’inertie fautive — le tribunal de Lyon a expressément relevé le « délai particulièrement bref » de trois jours.
Quant à l’action en justice, elle obéit à la prescription de droit commun. Dans cette affaire, l’assignation a été délivrée en novembre 2022 pour des faits d’août 2020, et le jugement n’est intervenu qu’en juin 2026. Les intérêts au taux légal courant depuis la mise en demeure de 2020 compensent partiellement cette attente : d’où l’importance stratégique d’adresser très tôt une mise en demeure par lettre recommandée, qui fixe le point de départ des intérêts.
Quels leviers juridiques exploiter face au refus de la banque ?
Ce jugement rappelle que le terrain le plus efficace est celui du régime légal des opérations non autorisées : articles L.133-18, L.133-19, L.133-23 et L.133-44 du Code monétaire et financier. La banque doit prouver l’authentification forte — pas l’affirmer. Exigez les journaux techniques : preuve de l’envoi d’un code à usage unique, trace de la validation dans l’application, éléments biométriques. Dans la très grande majorité des dossiers, la banque ne les produit pas ou produit des documents lacunaires, comme ici.
Un angle complémentaire, encore sous-utilisé, réside dans les obligations issues du règlement technique (RTS) complétant la DSP2, qui impose aux prestataires des exigences précises en matière d’authentification forte et de surveillance des opérations. Ces obligations réglementaires renforcent l’argumentaire du client lorsque la banque prétend que son dispositif était conforme sans en justifier concrètement.
Que retenir de ce jugement ?
Le jugement du tribunal judiciaire de Lyon du 30 juin 2026 n’invente rien : il applique, avec rigueur et pédagogie, le régime probatoire voulu par le législateur européen et français. Mais c’est précisément sa force. Face à une banque qui se retranchait derrière une prétendue validation « via l’application mobile », le tribunal exige des preuves techniques concrètes de l’authentification forte, refuse de déduire le consentement ou la négligence du seul fait que les opérations provenaient de l’iPhone du client, et condamne l’établissement au remboursement intégral avec intérêts depuis la mise en demeure.
Pour les victimes de virements frauduleux, le message est double. D’abord, la réactivité et la documentation des démarches sont déterminantes : signalez immédiatement, par écrit, et conservez tout. Ensuite, ne vous laissez pas impressionner par un refus fondé sur des affirmations techniques invérifiables : devant le juge, c’est à la banque de produire les preuves, et elle en est souvent incapable. Si votre banque refuse de vous rembourser des opérations que vous n’avez pas autorisées, faites analyser votre dossier par un avocat en droit bancaire : les chances de succès se jouent dès les premières déclarations.


