L’arrêt rendu par la Cour d’appel de Rouen, Chambre civile et commerciale, le 25 septembre 2025 (n° 24/02415), constitue une illustration intéressante de l’application des règles régissant les opérations de paiement non autorisées et la charge de la preuve de la négligence grave imputée à l’utilisateur de services de paiement. Confirmant la décision rendue en première instance par le Tribunal judiciaire de Dieppe, la Cour rejette l’appel de la S.A. Caisse d’Épargne et de Prévoyance Normandie et rappelle la protection accrue de l’utilisateur victime de fraude, même lorsque les opérations ont été validées via un système d’authentification forte tel que « Sécur’Pass ».
I. Rappel des Faits et de la Procédure de première instance
A. Le scénario de fraude
L’affaire trouve son origine dans une tentative d’escroquerie dont a été victime Mme [W] [J], titulaire de plusieurs comptes à la Caisse d’Épargne (un compte de dépôt joint avec M. [B] [Z], un Livret A et un Livret LLDS).
Le 23 février 2022, Mme [J], après avoir publié une annonce pour la vente d’un transat sur un réseau social, est contactée par un tiers souhaitant payer via la plateforme Paypal. Elle reçoit ensuite un appel d’une personne se présentant comme une employée de Paypal qui la guide dans la prétendue réception d’un virement. Bien que Mme [J] ait affirmé avoir refusé de transmettre certaines informations confidentielles, elle constate ultérieurement sur son compte de dépôt un virement créditeur de 3 030 euros, qui provenait en réalité de son Livret A.
L’escroc la recontacte alors, sollicitant le remboursement de 3 000 euros prétendument virés par erreur. La banque a finalement informé Mme [J] que deux virements, d’un montant total de 5 000 euros (1 500 euros et 3 500 euros), avaient été réalisés vers des comptes à l’étranger.
B. La décision de première instance
Face au refus de la banque d’assumer la charge du préjudice de 5 000 euros, et après un échec de la médiation auprès de la Fédération Bancaire Française (17 juin 2022), Mme [J] et M. [Z] ont assigné la Caisse d’Épargne devant le Tribunal judiciaire de Dieppe.
Par un jugement du 11 avril 2024 (référence précédente N° 23/01229), le Tribunal judiciaire de Dieppe a condamné la banque à verser aux clients la somme de 5 000 euros assortie des intérêts au taux légal. La S.A. Caisse d’Épargne et de Prévoyance Normandie a interjeté appel de cette décision.
II. Les Argumentations des Parties en Appel
A. Les prétentions de la Banque (Appelante)
La Caisse d’Épargne et de Prévoyance Normandie fondait son appel sur plusieurs moyens :
1. Opérations Autorisées et Authentification Forte : La banque soulignait avoir mis en place le dispositif d’authentification forte « Sécur’Pass », nécessitant un code confidentiel connu du client, un numéro de téléphone propre et un code à quatre chiffres. Elle affirmait que l’ajout d’un nouveau bénéficiaire et les deux virements (pour 5 000 euros) avaient été réalisés et validés par cette authentification forte sur le téléphone portable de Mme [J].
2. Participation et Négligence Grave du Client : La banque soutenait que ces opérations n’auraient pu être effectuées sans la participation de Mme [J]. En cas d’application des règles sur les paiements non autorisés, elle affirmait que Mme [J] avait commis une négligence grave en validant l’ajout du bénéficiaire, les virements litigieux, et potentiellement en transmettant un code à l’escroc (allégation basée sur la plainte initiale).
B. La défense des Clients (Intimés)
Mme [J] et M. [Z] demandaient la confirmation intégrale du jugement de Dieppe. Ils contestaient avoir communiqué leurs identifiants.
Ils avançaient les arguments suivants :
1. Non-Autorisation : Ils niaient être à l’origine des opérations de virement.
2. Défaut de Preuve de la Négligence Grave : Ils affirmaient que la preuve de la négligence grave ne pouvait se déduire du seul fait que leurs données personnelles ont été utilisées.
3. Faute de la Banque : Ils relevaient qu’aucune temporisation n’avait eu lieu entre l’ajout du nouveau bénéficiaire et les virements en sa faveur, constituant une faute imputable à la banque. De plus, ils contestaient avoir reçu des SMS de la banque relatifs à ces opérations. Ils précisaient avoir rectifié leur plainte initiale qui comportait une erreur de plume concernant la communication de codes.
III. Analyse et Décision de la Cour d’Appel
A. Le cadre légal : la charge de la preuve
La Cour d’appel fonde son analyse sur les articles L. 133-18 et L. 133-23 du Code monétaire et financier (CMF).
L’article L. 133-18 du CMF (applicable au moment des faits) impose au prestataire de services de paiement de rembourser immédiatement le payeur en cas d’opération non autorisée. La seule exception permettant à l’utilisateur de supporter les pertes est s’il a agi frauduleusement ou par négligence grave, conformément à l’article L. 133-20 du CMF.
L’article L. 133-23 du CMF établit qu’il incombe au prestataire de services de paiement de prouver que l’opération a été authentifiée, enregistrée et qu’elle n’a pas été affectée par une déficience technique. Cependant, l’utilisation de l’instrument de paiement ne suffit pas nécessairement à prouver que l’opération a été autorisée ou que le payeur a commis une négligence grave. Le prestataire doit fournir des éléments pour prouver la fraude ou la négligence grave de l’utilisateur.
B. Le rejet de la négligence grave
La Cour a d’abord établi que les opérations étaient non autorisées, puisque Mme [J] niait y avoir consenti et qu’elles résultaient d’une fraude. La banque ne contestait d’ailleurs pas le caractère frauduleux de l’ajout du bénéficiaire et des virements.
La Cour rappelle ensuite, citant la jurisprudence de la Cour de Cassation (Cass. Com. 5 mars 2025, 23-22.687), que l’existence d’un système d’authentification forte (tel que « Sécur’Pass ») ne déroge pas à la règle selon laquelle la preuve de la négligence grave ne peut être déduite du seul fait que l’instrument ou les données ont été utilisés.
Examinant les éléments de preuve, la Cour constate :
1. Mme [J] a déposé plainte immédiatement après la découverte des faits.
2. La Cour privilégie la plainte rectifiée de Mme [J], dans laquelle elle nie avoir communiqué un code ou des données confidentielles, écartant ainsi l’erreur de plume présente dans la plainte initiale.
3. Malgré l’établissement de traces informatiques prouvant que les opérations ont été validées via « Sécur’Pass », la Caisse d’Épargne n’a pas réussi à démontrer que Mme [J] avait communiqué ses informations de connexion confidentielles ou un code à un tiers, preuve nécessaire pour caractériser la négligence grave.
Par conséquent, l’argumentation de la banque visant à prouver la négligence grave de sa cliente est infirmée.
Conclusion
La Cour d’appel de Rouen a confirmé le jugement initial, condamnant la S.A. Caisse d’Épargne et de Prévoyance Normandie à verser 5 000 euros à Mme [J] et M. [Z]. La banque est également condamnée aux dépens et au paiement de 3 000 euros au titre de l’article 700 du Code de procédure civile pour la procédure d’appel.
Cet arrêt réaffirme la stricte interprétation de la négligence grave dans le contexte des fraudes dites « d’ingénierie sociale » (où le client est manipulé pour valider les opérations). Même l’activation et l’utilisation d’un système d’authentification forte comme Sécur’Pass, si elle prouve l’authenticité technique de l’opération, ne suffit pas en soi à décharger la banque de son obligation de remboursement. La preuve de la négligence grave exige du prestataire de services de paiement la démonstration d’un manquement intentionnel ou d’une négligence d’une gravité exceptionnelle de la part de l’utilisateur, au-delà de la simple validation des opérations litigieuses.
