CA Douai, ch. 2 sect. 1, 18 juin 2026, n° 24/02174
🔑 Points clés à retenir
- Victime d’un SIM swapping, une SARL conteste deux virements instantanés de 4 951 € et 6 958 € effectués le 28 octobre 2021 depuis son espace en ligne ; la banque refuse de rembourser et le tribunal de commerce de Lille Métropole la déboute.
- La cour d’appel de Douai infirme : en cas d’opération de paiement contestée, les articles L. 133-19, IV et L. 133-23 du code monétaire et financier imposent à la banque de prouver que l’opération a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique.
- La banque ne produisait que des pièces d’ordre général (fiches de présentation de son système d’authentification, guide d’utilisation, campagnes d’information) : « elle ne produit aucun document spécifique relatif aux opérations litigieuses ». Cette carence probatoire suffit à la condamner.
- La cour rappelle que « la négligence grave de l’utilisateur ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été utilisées ».
- La banque est condamnée à payer 11 909 € avec intérêts au taux légal capitalisés, outre 3 000 € au titre de l’article 700 du code de procédure civile.
- L’opérateur téléphonique échappe en revanche à toute condamnation : faute de lien contractuel avec la société, il fallait prouver une faute délictuelle dans la délivrance de la carte SIM, preuve non rapportée en l’espèce.
Sommaire ▼
- Qu’est-ce que le SIM swapping et comment la fraude s’est-elle déroulée ?
- Pourquoi le tribunal de commerce avait-il débouté l’entreprise victime ?
- Que devait prouver la banque selon la cour d’appel de Douai ?
- La victime avait-elle commis une négligence grave ?
- Pourquoi l’opérateur téléphonique échappe-t-il à toute condamnation ?
- Qu’obtient concrètement l’entreprise victime ?
- Que faire si votre entreprise est victime d’un SIM swapping ?
- Conclusion
- FAQ
Qu’est-ce que le SIM swapping et comment la fraude s’est-elle déroulée ?
Une SARL, titulaire d’un compte bancaire ouvert dans les livres de la société BNP Paribas, accédait à son espace de banque en ligne au moyen de la ligne de téléphone mobile de son gérant, souscrite à titre personnel auprès de l’opérateur SFR. Ce téléphone servait notamment à la validation des connexions et des opérations : un dispositif tout à fait courant dans les petites et moyennes entreprises, où le smartphone du dirigeant concentre l’accès aux services bancaires professionnels.
C’est précisément cette concentration que les fraudeurs ont exploitée, au moyen d’une technique désormais bien identifiée : le SIM swapping.
Le SIM swapping (ou « détournement de carte SIM ») consiste, pour un fraudeur, à obtenir de l’opérateur téléphonique l’émission d’une nouvelle carte SIM associée au numéro de la victime, en se faisant passer pour elle. Une fois la nouvelle carte activée, le fraudeur reçoit les appels et SMS destinés à la victime — notamment les codes de validation bancaires — et peut ainsi contourner les dispositifs de sécurité reposant sur le téléphone mobile. Cette technique suppose que le fraudeur dispose déjà d’informations personnelles sur sa cible.
La chronologie retenue par l’arrêt est éloquente. Le 23 octobre 2021, le gérant reçoit une série de SMS de son opérateur : l’un l’informe que sa demande de modification d’adresse électronique « de secours » a été enregistrée, d’autres que sa nouvelle adresse postale a été prise en compte, un dernier qu’une commande de nouvelle carte SIM a été passée. Le gérant, qui n’était à l’origine d’aucune de ces demandes, n’y donne pas suite, pensant à des « spams » ou à des erreurs. Le 25 octobre, l’opérateur confirme la commande de la carte SIM et son expédition sous trois jours ouvrés.
Le 27 octobre 2021, la banque adresse un courriel signalant qu’un nouveau bénéficiaire a été créé et enregistré sur le compte professionnel de la société. Le gérant, qui n’est pas davantage à l’origine de cette action, tente de se connecter à son espace personnel pour faire annuler l’opération : l’accès lui est refusé. Le lendemain, 28 octobre 2021, deux virements SEPA instantanés sont émis depuis le compte de la société au profit de ce bénéficiaire inconnu : 4 951 euros, puis 6 958 euros, soit 11 909 euros au total. Le 29 octobre, le gérant dépose plainte et réclame le remboursement à la banque, qui refuse.
🗓️ Le déroulé de la fraude
📱 23 octobre 2021 — SMS : changement d’adresse e-mail de secours, changement d’adresse postale, commande d’une nouvelle carte SIM
↓
📦 25 octobre 2021 — Confirmation d’expédition de la carte SIM
↓
👤 27 octobre 2021 — Création d’un nouveau bénéficiaire sur le compte ; accès à l’espace en ligne refusé au gérant
↓
💸 28 octobre 2021 — Deux virements SEPA instantanés : 4 951 € + 6 958 € = 11 909 €
↓
🚔 29 octobre 2021 — Plainte et demande de remboursement → refus de la banque
Détail révélateur : des paiements frauduleux par carte bancaire, effectués les 27 et 28 octobre sur le compte personnel du gérant, ont quant à eux été remboursés par la banque. C’est donc uniquement sur les virements émis depuis le compte de la société que le contentieux s’est cristallisé — et c’est ce refus sélectif que la cour d’appel de Douai vient sanctionner.
Pourquoi le tribunal de commerce avait-il débouté l’entreprise victime ?
Par actes des 2 et 15 mars 2023, la société a saisi le tribunal de commerce de Lille Métropole d’une demande de condamnation in solidum de la banque, sur le fondement de l’article L. 133-18 du code monétaire et financier, et de l’opérateur téléphonique, sur le fondement de la responsabilité délictuelle des articles 1240 et suivants du code civil.
Par jugement du 16 avril 2024, le tribunal a rejeté l’intégralité des demandes. Son raisonnement tenait en deux temps : d’une part, le gérant aurait commis une négligence fautive en restant sans réaction pendant plusieurs jours malgré des opérations « potentiellement anormales » sur sa ligne téléphonique ; d’autre part, la fraude à la carte SIM ne suffisait pas, à elle seule, à activer le service de banque en ligne — encore fallait-il disposer des données personnelles et confidentielles s’y rattachant — et aucune faute de la banque ayant permis la fuite de ces données n’était démontrée.
En quoi ce raisonnement méconnaissait-il le régime légal applicable ?
La cour d’appel relève d’emblée le vice fondamental du jugement : le tribunal « ne s’est toutefois pas prononcé au regard des textes du code monétaire et financier applicables en cas de virement non autorisé pourtant invoqués par la société […] qui posent un régime de responsabilité exclusif ».
Issu de la directive sur les services de paiement (DSP2), le régime des articles L. 133-18 et suivants du code monétaire et financier organise de manière complète et exclusive les conséquences d’une opération de paiement non autorisée. Il ne laisse pas place à un raisonnement en termes de « faute » de droit commun : la question n’est pas de savoir qui a été imprudent dans l’absolu, mais si la banque rapporte les preuves précises que la loi met à sa charge.
Autrement dit, raisonner — comme l’avait fait le tribunal — en recherchant une « négligence fautive » du client et une « faute » de la banque revient à appliquer une grille de lecture de droit commun à une matière que le législateur a entièrement réglée. Sur ce terrain légal, la charge de la preuve est distribuée avec une précision remarquable, et elle pèse d’abord sur la banque.
Que devait prouver la banque selon la cour d’appel de Douai ?
La cour restitue méthodiquement l’architecture du régime légal, en trois textes.
Quels articles du code monétaire et financier s’appliquent aux virements frauduleux ?
L’article L. 133-18 du code monétaire et financier pose le principe : en cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L. 133-24, le prestataire de services de paiement rembourse immédiatement le montant de l’opération — au plus tard à la fin du premier jour ouvrable suivant — et rétablit le compte débité dans l’état où il se serait trouvé si l’opération n’avait pas eu lieu.
L’article L. 133-19, IV, prévoit la dérogation : le payeur supporte toutes les pertes si elles résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait, intentionnellement ou par négligence grave, aux obligations des articles L. 133-16 (préserver la sécurité de ses données de sécurité personnalisées) et L. 133-17 (signaler sans tarder la perte, le vol ou le détournement de son instrument de paiement).
L’article L. 133-23, enfin, règle la preuve : lorsqu’un utilisateur nie avoir autorisé une opération, il incombe à son prestataire de services de paiement « de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre ». Son alinéa 2 précise que l’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire « ne suffit pas nécessairement en tant que telle » à prouver que l’opération a été autorisée par le payeur ou que celui-ci a été gravement négligent.
La cour en tire la synthèse suivante : la banque qui entend faire supporter les pertes à son client « doit aussi prouver que l’opération en cause a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre, et pas seulement démontrer que l’utilisateur de paiement n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17 ». La preuve de l’authentification est donc un préalable : sans elle, le débat sur la négligence grave du client n’a même pas à s’ouvrir.
L’authentification forte du client (ou SCA, pour « Strong Customer Authentication ») repose sur l’utilisation combinée d’au moins deux facteurs indépendants parmi trois catégories : la connaissance (mot de passe, code), la possession (téléphone, carte) et l’inhérence (empreinte, reconnaissance faciale). Elle est imposée par la DSP2, dont les exigences techniques sont précisées par le règlement délégué (UE) 2018/389 (dit « RTS »), qui encadre notamment la conception des dispositifs d’authentification et le suivi des opérations. La banque doit être en mesure d’en justifier pour chaque opération sensible.
Pourquoi les documents généraux produits par la banque ne suffisent-ils pas ?
C’est le cœur de l’arrêt, et son apport le plus concret pour les praticiens. Devant la cour, la banque avait versé aux débats un ensemble de pièces décrivant ses dispositifs de sécurité : extraits d’informations sur les fraudes diffusés à ses clients, fiches de présentation de son système d’authentification, guide d’utilisation de ses services en ligne.
La cour balaie cette défense en une phrase : « la banque se limite à des affirmations sur les procédures d’authentification qu’elle applique, à produire des pièces d’ordre général sur ces procédures […] mais elle ne produit aucun document spécifique relatif aux opérations litigieuses en vue d’établir qu’elles ont été réalisées effectivement selon les modalités qu’elle indique ».
Et la cour d’en tirer la conséquence : la banque « ne rapporte ainsi pas la preuve que ces opérations ont été effectivement soumises à une procédure d’authentification forte, dûment enregistrées et comptabilisées, ou qu’elles n’ont pas été affectées par une déficience technique, ou encore qu’elles ont été authentifiées par la société […] elle-même ». Le constat de cette carence probatoire suffit, à lui seul, à faire droit à la demande de remboursement, en application des textes précités.
La leçon est limpide : décrire un système de sécurité n’est pas prouver son application. Ce que la banque doit produire, ce sont des éléments techniques propres aux opérations contestées — journaux de connexion, traces d’authentification, horodatages, identification du terminal et du canal utilisés — permettant de reconstituer, opération par opération, le processus d’authentification effectivement suivi. Une plaquette commerciale, si détaillée soit-elle, décrit un dispositif en théorie ; elle ne démontre rien de ce qui s’est réellement passé le jour des virements litigieux.
Cette exigence s’inscrit dans un courant jurisprudentiel désormais bien établi devant les juridictions du fond, qui refusent de plus en plus de se contenter d’affirmations générales sur la robustesse des systèmes bancaires et exigent la production de données techniques spécifiques, précises et intelligibles.
La victime avait-elle commis une négligence grave ?
La banque soutenait, à titre subsidiaire, qu’il y avait eu « nécessairement » divulgation des données de connexion par la société elle-même : seule une communication volontaire de l’identifiant ou de la clé digitale — laquelle n’est pas contenue dans la carte SIM — aurait permis au fraudeur d’installer l’application bancaire sur un nouveau téléphone et de se connecter.
L’argument est fréquent : puisque le système est réputé inviolable, si une fraude a eu lieu, c’est que le client a forcément divulgué ses codes. La cour d’appel de Douai le rejette par une formule qui mérite d’être conservée : « la négligence grave de l’utilisateur ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été utilisées ».
Au sens de l’article L. 133-19, IV, du code monétaire et financier, la négligence grave est un manquement caractérisé de l’utilisateur à ses obligations de préservation de la sécurité de ses données personnalisées ou de signalement sans tarder. Elle doit être prouvée positivement par la banque, au moyen d’éléments concrets ; elle ne se présume pas et ne peut se déduire du simple fait que l’instrument de paiement ou les données qui lui sont liées ont été utilisés par un tiers.
Ce raisonnement, énoncé « à titre surabondant », neutralise le syllogisme circulaire des banques : l’utilisation frauduleuse des données ne prouve pas leur divulgation fautive, car elle peut tout aussi bien résulter d’une faille de sécurité, d’une interception ou — comme ici — d’un détournement de la ligne téléphonique servant de facteur d’authentification. Le raisonnement du tribunal, qui avait reproché au gérant son absence de réaction aux SMS suspects pendant plusieurs jours, se trouve ainsi doublement désavoué : d’abord parce que la question de la négligence ne se posait même pas tant que l’authentification des opérations n’était pas prouvée, ensuite parce que la négligence grave exige une preuve positive et concrète, non une déduction.
Pourquoi l’opérateur téléphonique échappe-t-il à toute condamnation ?
Le volet de l’arrêt consacré à l’opérateur téléphonique s’achève, lui, par une confirmation du rejet. La société victime — et la banque, qui cherchait un garant — soutenaient que l’opérateur avait commis une faute en remettant à un tiers une nouvelle carte SIM sans vérifier son identité.
Mais l’abonnement téléphonique avait été souscrit par le gérant à titre personnel : la société, tierce au contrat, ne pouvait agir que sur le terrain délictuel, à charge pour elle de prouver une faute de l’opérateur à l’origine de son dommage. Or, relève la cour, aucun élément ne permettait de déterminer précisément les circonstances dans lesquelles la commande de la carte SIM était intervenue — la banque elle-même envisageait plusieurs hypothèses, dont une commande via l’espace client de l’opérateur au moyen de données de connexion dont on ignore comment le fraudeur les aurait obtenues. Rien n’établissait que l’opérateur pouvait avoir connaissance d’une usurpation d’identité, ni qu’il avait méconnu les modalités de remise prévues au contrat, dont les conditions particulières n’étaient pas produites. La cour souligne enfin que la succession de SMS envoyés par l’opérateur avait précisément permis d’informer l’abonné des opérations anormales sur sa ligne.
La demande contre l’opérateur est donc rejetée, de même que l’appel en garantie formé par la banque. Stratégiquement, l’enseignement est précieux : dans les fraudes par SIM swapping, l’action contre l’opérateur téléphonique se heurte à un double obstacle — l’absence fréquente de lien contractuel entre l’entreprise victime et l’opérateur (l’abonnement étant au nom du dirigeant), et la difficulté de prouver une faute dans la délivrance de la carte SIM, dont les circonstances demeurent généralement opaques. L’action contre la banque, elle, bénéficie du régime probatoire favorable du code monétaire et financier : c’est là que l’essentiel de la bataille doit se jouer.
Qu’obtient concrètement l’entreprise victime ?
La cour d’appel infirme le jugement en ses dispositions relatives à la banque et, statuant à nouveau, condamne cette dernière à payer à la société la somme de 11 909 euros — soit l’intégralité des deux virements frauduleux — avec intérêts au taux légal à compter du 28 novembre 2021, et ordonne la capitalisation des intérêts échus dus pour une année entière, en application de l’article 1343-2 du code civil.
La société demandait en outre une majoration du taux d’intérêt de quinze points : la cour rejette cette prétention, formée « sans aucun motif ». Le rappel est utile : toute demande, même accessoire, doit être juridiquement fondée et motivée dans les conclusions, faute de quoi elle est vouée au rejet quand bien même le principal serait accueilli.
La banque est enfin condamnée aux dépens de première instance et d’appel, ainsi qu’à verser 3 000 euros au titre de l’article 700 du code de procédure civile. La condamnation prononcée en première instance au profit de l’opérateur téléphonique (1 000 euros d’article 700) est en revanche confirmée à la charge de la société victime, qui était à l’origine de sa mise en cause — le revers du choix procédural d’assigner l’opérateur.
Que faire si votre entreprise est victime d’un SIM swapping ?
Les premières heures et les premières déclarations sont déterminantes pour la suite du dossier. Dès la découverte d’opérations suspectes sur la ligne téléphonique (SMS annonçant un changement d’adresse, une commande de carte SIM non sollicitée, perte soudaine de réseau), il faut contacter immédiatement l’opérateur pour faire bloquer la ligne et la carte SIM, puis la banque pour faire opposition et signaler les opérations non autorisées, conformément à l’article L. 133-17 du code monétaire et financier. Le signalement écrit à la banque doit être fait sans tarder et conservé : il fait courir le délai de remboursement de l’article L. 133-18.
La formulation de la contestation et de la plainte est un exercice délicat : des déclarations maladroites — reconnaître avoir « validé » une opération, avoir communiqué un code, ou qualifier soi-même sa propre inattention — sont systématiquement exploitées par les banques pour plaider la négligence grave. Avant tout échange écrit avec la banque et avant le dépôt de plainte, il est vivement recommandé de lire notre guide pratique : Fraude bancaire : que dire et ne pas dire à sa banque et dans sa plainte.
En cas de refus de remboursement, l’arrêt commenté trace la feuille de route contentieuse : exiger de la banque la preuve, opération par opération, de l’authentification forte, de l’enregistrement et de la comptabilisation des virements contestés, ainsi que de l’absence de déficience technique. Les obligations issues du règlement délégué (UE) 2018/389 (RTS), qui complète la DSP2 en matière d’authentification forte et de suivi des opérations, offrent à cet égard un angle d’attaque encore sous-utilisé : elles fournissent le référentiel technique à l’aune duquel les justifications de la banque peuvent être mesurées et, souvent, prises en défaut.
Conclusion
L’arrêt de la cour d’appel de Douai du 18 juin 2026 n’innove pas : il applique, avec rigueur, un régime légal que le tribunal de commerce avait purement et simplement ignoré. C’est précisément ce qui en fait l’intérêt. Il rappelle que le contentieux des virements frauduleux ne se plaide pas sur le terrain vague de la faute et de l’imprudence, mais sur celui, balisé, des articles L. 133-18 à L. 133-24 du code monétaire et financier ; que la première question n’est jamais celle de la négligence du client, mais celle de la preuve — spécifique, technique, opération par opération — de l’authentification ; et que les banques qui se présentent à l’audience avec des plaquettes de présentation de leurs systèmes de sécurité s’exposent à une condamnation pour carence probatoire. Pour les entreprises victimes de SIM swapping, souvent déboutées en première instance au nom d’une prétendue évidence (« vous avez forcément divulgué vos codes »), cette décision confirme qu’un appel bien construit, recentré sur le régime probatoire légal, peut renverser totalement l’issue du litige.



