Dans un arrêt du 27 janvier 2026, la Cour d’appel d’Angers a infirmé une décision de première instance et condamné le Crédit Agricole à rembourser 11 593 euros à une SARL victime d’une escroquerie téléphonique particulièrement élaborée. Cette décision illustre les limites de la notion de « négligence grave » en matière de fraude bancaire.
CA Angers, ch. a com., 27 janv. 2026, n° 21-02328
Les faits : une escroquerie sophistiquée
Le 4 novembre 2019, Madame [R], gérante de la SARL Réception Val de Loire, reçoit un appel téléphonique qui va bouleverser la trésorerie de son entreprise. Son interlocuteur se présente comme un conseiller de son agence du Crédit Agricole et prétend devoir mettre en place le service « SécuriPass », un dispositif de sécurité effectivement utilisé par la banque.
L’escroquerie est redoutablement bien préparée. L’appel provient apparemment du numéro de l’agence bancaire, enregistré dans le téléphone de la gérante. Quelques instants plus tard, elle reçoit successivement deux codes confidentiels : le premier par SMS à 15h29, le second par courriel à 15h31. Sous la pression de son interlocuteur, Madame [R] communique ces deux codes, malgré les avertissements qui les accompagnent.
Les conséquences sont immédiates : quatre nouveaux bénéficiaires sont créés dans l’espace « Crédit Agricole en ligne » de la gérante, et six virements frauduleux sont effectués pour un montant total de près de 26 000 euros, dont quatre au détriment du compte professionnel de la SARL (20 885 euros).
La position initiale de la banque : une négligence impardonnable
Face à la demande de remboursement de sa cliente, le Crédit Agricole oppose un refus catégorique. Son argumentation repose sur l’article L. 133-19 IV du Code monétaire et financier, qui prévoit que le client assume les pertes en cas de « négligence grave ».
Pour la banque, le cas est limpide : Madame [R] a reçu deux messages explicites lui indiquant « NE JAMAIS LE COMMUNIQUER À QUI QUE CE SOIT ». Le second courriel précisait même que « ce code ne vous sera jamais demandé (ni par téléphone, ni par email, ni par tout autre moyen) par un représentant du Crédit Agricole ». En communiquant malgré tout ces codes, la gérante aurait donc commis une faute inexcusable.
Cette position est validée en première instance. Le 26 juillet 2021, le Tribunal de commerce du Mans déboute intégralement la SARL de ses demandes, estimant que les virements frauduleux sont « uniquement le fait de la négligence grave et fautive » de la gérante. Un camouflet juridique pour l’entreprise victime, condamnée de surcroît à verser 500 euros à la banque au titre des frais de justice.
Le tournant de l’appel : replacer les faits dans leur contexte
La SARL Réception Val de Loire interjette appel le 29 octobre 2021. Son argumentation repose sur un angle différent : plutôt que de nier avoir communiqué les codes, elle conteste la qualification de « négligence grave » au regard du contexte exceptionnel de la fraude.
La Cour d’appel d’Angers, dans son arrêt du 27 janvier 2026, va minutieusement reconstituer ce contexte pour apprécier le comportement de la victime. Elle relève plusieurs éléments déterminants :
L’usurpation du numéro de téléphone : l’escroc a utilisé la technique du « spoofing » pour afficher le véritable numéro de l’agence bancaire, créant une apparence de légitimité difficile à détecter pour un utilisateur non averti.
La cohérence temporelle : le premier code confidentiel a été envoyé par SMS depuis un numéro effectivement utilisé par le Crédit Agricole, s’inscrivant dans la continuité de précédents messages légitimes de la banque, ce qui ne pouvait que renforcer la confiance de la gérante.
L’authenticité apparente des communications : le second code a été envoyé depuis une adresse électronique « [Courriel 5] » présentant toutes les caractéristiques des messages habituels de la banque, avec un objet parfaitement cohérent (« inscription au service SecuriPass »).
La confirmation immédiate : une minute après la communication du second code, Madame [R] reçoit un nouveau courriel, apparemment envoyé par la banque et signé du nom de sa conseillère, confirmant « la bonne activation du service SecuriPass ».
Le timing de l’escroquerie : les nouveaux bénéficiaires ont été enregistrés entre 22h35 et 00h23, à des heures tardives empêchant toute réaction immédiate de la victime.
La décision de la Cour : erreur n’est pas négligence grave
Pour la Cour d’appel, ces éléments sont décisifs. Elle rappelle d’abord le principe fondamental en matière de preuve : c’est à la banque de démontrer la négligence grave du client, conformément à l’article L. 133-23 du Code monétaire et financier.
Dans son raisonnement, la Cour opère une distinction subtile mais essentielle entre une « erreur certes a posteriori grossière » et une « négligence grave ». Elle reconnaît que Madame [R] a effectivement commis une erreur en communiquant les codes malgré les avertissements. Mais cette erreur trouve son explication dans un « climat de confiance » créé artificiellement par l’escroc.
La Cour souligne particulièrement que la victime a été privée du « temps de réflexion et du recul critique nécessaires » par l’utilisation d’un « procédé téléphonique de quelques minutes seulement ». Face à la conjonction de multiples facteurs concordants (numéro affiché, cohérence du discours, messages authentiques en apparence), la réaction de la gérante apparaît compréhensible.
La banque ne parvient donc pas à rapporter la preuve d’une négligence grave au sens juridique du terme. En conséquence, elle doit assumer sa responsabilité et rembourser les fonds frauduleusement débités.
Les limites de la décision
La SARL Réception Val de Loire demandait également 1 000 euros de dommages-intérêts pour préjudice moral. Sur ce point, la Cour la déboute, estimant qu’elle « ne rapporte pas la preuve de la réalité du préjudice moral » allégué.
Cette distinction est intéressante : si la gérante n’a pas commis de négligence grave justifiant qu’elle assume les pertes financières, elle n’a pas non plus subi de préjudice moral indemnisable du fait des reproches de la banque ou de ses éventuels manquements en matière de sécurité informatique.
Les enseignements pratiques de cette affaire
Cette décision apporte plusieurs enseignements importants pour les entreprises et les particuliers :
La sophistication de la fraude est prise en compte : les juges n’appliquent pas mécaniquement la notion de négligence grave, mais examinent concrètement les circonstances de l’escroquerie. Plus la fraude est élaborée, moins le client risque d’être considéré comme gravement négligent.
Les avertissements ne suffisent pas toujours : même si les messages contenaient des mises en garde explicites, celles-ci peuvent être neutralisées par un faisceau d’indices de légitimité suffisamment convaincants.
La charge de la preuve pèse sur la banque : c’est un point juridique capital, souvent méconnu. Ce n’est pas au client de prouver qu’il n’a pas été négligent, mais à la banque de démontrer la négligence grave.
La rapidité de l’escroquerie compte : le fait que la victime ait été mise sous pression dans un délai très court joue en sa faveur, car elle n’a pas disposé du temps nécessaire pour vérifier les informations.
La récupération partielle n’efface pas la responsabilité : bien que la banque ait récupéré une partie importante des fonds (14 292 euros sur 26 885 euros détournés), elle reste tenue de rembourser le solde.
Conclusion : vers un meilleur équilibre entre sécurité et protection des victimes
Cet arrêt de la Cour d’appel d’Angers s’inscrit dans une jurisprudence qui cherche à établir un équilibre entre la responsabilisation des clients et la protection des victimes d’escroqueries de plus en plus sophistiquées.
Il rappelle que les banques ne peuvent se défausser systématiquement de leur responsabilité en invoquant la négligence du client dès lors que celui-ci a communiqué un code confidentiel. L’appréciation doit être contextualisée, tenant compte de l’ensemble des circonstances ayant conduit à l’erreur.
Pour les entreprises, cette décision constitue un signal positif : même en cas d’erreur manifeste, la justice peut reconnaître que celle-ci ne relève pas nécessairement de la négligence grave lorsqu’elle résulte d’une manipulation particulièrement élaborée exploitant les failles humaines plutôt que techniques.
Reste que la meilleure protection demeure la vigilance : même un appel provenant d’un numéro connu ou un courriel en apparence authentique doit susciter la méfiance dès lors qu’il aboutit à une demande de communication de codes confidentiels, quelles que soient les justifications invoquées.
