Cour d’appel de Paris, Pôle 5 – Chambre 6, 28 janvier 2026, n° 24/01045
🔑 Points clés à retenir
- La banque doit prouver que l’opération a été authentifiée, enregistrée et exécutée sans défaillance technique — avant même de discuter de la négligence du client.
- Des documents Certicode Plus incomplets, non datés, non signés et sans lien établi avec la convention de compte ne valent pas preuve d’authentification.
- Neuf virements frauduleux pour un total de 23 000 € ont été remboursés intégralement à la victime.
- Le phishing (hameçonnage) demeure la première vecteur de fraude en France : environ 2,4 millions de victimes recensées chaque année.
- Sans preuve d’authentification régulière, l’argument de la négligence grave (article L.133-19 du Code monétaire et financier) est inopérant pour la banque.
- L’article L.133-23 CMF impose au prestataire de services de paiement de démontrer, par tout moyen, que l’opération était bien authentifiée et autorisée.
Sommaire ▼
- Que s’est-il passé ? Les faits de l’affaire
- Comment fonctionne une attaque par hameçonnage ?
- Quel est le cadre légal applicable aux opérations non autorisées ?
- Qui doit prouver quoi en cas de fraude ?
- Qu’est-ce que la négligence grave du payeur ?
- Qu’a décidé la Cour d’appel de Paris ?
- Pourquoi la preuve par Certicode Plus a-t-elle échoué ?
- Quelle est la conséquence logique de l’absence de preuve d’authentification ?
- Quelle est la portée pratique de cet arrêt pour les victimes de fraude ?
- Que faire si vous êtes victime de phishing et que votre banque refuse de rembourser ?
- Conclusion
- FAQ — Questions fréquentes
Que s’est-il passé ? Les faits de l’affaire
Entre le 3 et le 12 août 2021, neuf virements sont débités du compte d’un client de La Banque Postale, pour un montant cumulé d’environ 23 000 euros. Le client ne les a pas ordonnés. Il découvre ces opérations et conteste immédiatement auprès de sa banque, qui refuse de procéder au remboursement, estimant que les opérations ont été régulièrement authentifiées et que le client a commis une négligence grave en communiquant ses identifiants à des tiers.
L’affaire est portée devant les juridictions. En première instance, le tribunal retient en partie la position de la banque. L’affaire remonte devant la Cour d’appel de Paris, qui va, dans son arrêt du 28 janvier 2026, adopter une analyse radicalement différente.
Comment fonctionne une attaque par hameçonnage ?
Le phishing est une technique de fraude par laquelle un escroc se fait passer pour un organisme de confiance (banque, administration, opérateur) via un email, un SMS ou un site web falsifié. L’objectif est d’amener la victime à communiquer ses identifiants, ses mots de passe ou ses codes de validation, qui seront ensuite utilisés pour effectuer des opérations frauduleuses en son nom.
Dans ce type de fraude, la victime reçoit un message qui semble provenir de sa banque — mise en page identique, logo reproduit, ton officiel. Un lien la conduit vers une page qui imite parfaitement l’interface de connexion. Elle y saisit ses identifiants, croyant accéder à son espace client. Ces données sont immédiatement captées par les fraudeurs, qui les utilisent pour se connecter au vrai compte et ordonner des virements, souvent en série et très rapidement pour éviter la détection.
Quel est le cadre légal applicable aux opérations non autorisées ?
Lorsqu’une opération de paiement est contestée par le titulaire du compte, c’est un corpus de textes précis qui s’applique : les articles L.133-18 à L.133-24 du Code monétaire et financier (CMF), qui transposent en droit français la directive européenne sur les services de paiement (DSP2). Ce régime est exclusif de tout autre fondement de responsabilité civile.
Qui doit prouver quoi en cas de fraude ?
L’article L.133-23 du CMF est la clé de voûte du dispositif de preuve. Lorsqu’un utilisateur nie avoir autorisé une opération, il incombe au prestataire de services de paiement (la banque) de prouver que l’opération a été authentifiée, dûment enregistrée, et qu’elle n’a pas été affectée par une déficience technique. Ce n’est qu’une fois ces trois éléments établis que la banque peut se prévaloir d’une éventuelle négligence grave du client.
Qu’est-ce que la négligence grave du payeur ?
La jurisprudence a progressivement affiné la notion. Un client qui communique ses codes à un escroc qui l’a convaincu d’être en relation avec sa banque ne commet pas nécessairement une négligence grave. Mais ce débat ne peut s’ouvrir que si la banque a d’abord satisfait à son obligation probatoire initiale.
Qu’a décidé la Cour d’appel de Paris ?
La Cour d’appel de Paris infirme le jugement de première instance et condamne La Banque Postale à rembourser l’intégralité des 23 000 euros prélevés frauduleusement. La banque n’a pas apporté la preuve de l’authentification des neuf opérations litigieuses, et cette carence la prive de la possibilité d’invoquer la négligence grave du client.
Pourquoi la preuve par Certicode Plus a-t-elle échoué ?
La Banque Postale a produit devant la Cour des documents relatifs à son système Certicode Plus. La Cour a écarté cette preuve : les documents étaient incomplets, non datés, non signés, et ne comportaient aucun lien avec la convention de compte du client. La banque a présenté des documents génériques et insuffisamment individualisés.
Certains établissements produisent des attestations génériques qui décrivent leur système d’authentification en général, sans apporter de preuve individualisée pour chaque opération contestée. Cette pratique est insuffisante : la preuve doit établir que CETTE opération, à CETTE date, pour CE client, a bien été authentifiée.
Quelle est la conséquence logique de l’absence de preuve d’authentification ?
La conséquence est mécanique : si la banque ne prouve pas l’authentification, l’article L.133-18 CMF s’applique et le remboursement est dû immédiatement. La négligence grave du client, même avérée, ne peut être invoquée qu’après que la banque a satisfait à cette démonstration préalable.
Quelle est la portée pratique de cet arrêt pour les victimes de fraude ?
Toute victime qui conteste des opérations de paiement doit d’abord mettre la banque en demeure de produire la preuve de l’authentification de chacune des opérations contestées — pas une attestation générale, mais une preuve individualisée, datée, rattachée à la convention de compte.
📋 Stratégie recommandée pour les victimes de phishing
2️⃣ Demander expressément à la banque de produire la preuve d’authentification de chaque opération
3️⃣ Vérifier que les documents produits sont datés, signés, individualisés et rattachés à votre convention de compte
4️⃣ En cas de refus ou de production insuffisante, saisir le médiateur bancaire ou engager une procédure judiciaire
5️⃣ Conserver toutes les preuves de la fraude (emails, SMS, captures d’écran)
Les standards techniques réglementaires (RTS) de l’Autorité bancaire européenne imposent des exigences précises en matière d’authentification forte et de surveillance des transactions. Lorsqu’une banque ne respecte pas ces standards, sa responsabilité civile peut être engagée sur ce fondement.
Que faire si vous êtes victime de phishing et que votre banque refuse de rembourser ?
Ne pas accepter le refus de la banque comme une réponse définitive. Le délai pour contester est de 13 mois à compter de la date de débit (article L.133-24 CMF). Ce délai est impératif. Rassembler toutes les pièces utiles et consulter un avocat spécialisé en droit bancaire.
Conclusion
L’arrêt de la Cour d’appel de Paris du 28 janvier 2026 est un signal fort : l’obligation probatoire qui pèse sur les banques en matière de paiements non autorisés ne saurait être satisfaite par des documents incomplets, non datés, non signés ou non individualisés. La Banque Postale est condamnée à rembourser 23 000 euros sans même que le tribunal ait eu à statuer sur le comportement du client.
Le cabinet LE BOT Avocat accompagne les victimes de fraude bancaire dans toutes les étapes de leur recours. Si vous avez été victime d’un hameçonnage et que votre banque refuse de rembourser, ne laissez pas s’écouler les délais — contactez-nous.
