Spoofing : la banque doit rembourser malgré l’authentification forte Sécur’Pass (TJ Lyon, 23 juin 2026, n° RG 23/02724)

Un appel affichant le numéro de votre agence bancaire, un prétendu conseiller anti-fraude au bout du fil, des codes communiqués dans l’urgence… et 7 043,71 € envolés en deux jours. Le tribunal judiciaire de Lyon vient de condamner la Caisse d’Épargne Rhône-Alpes à rembourser intégralement un client victime de « spoofing », en jugeant que ni l’authentification forte Sécur’Pass ni la communication des codes reçus par SMS ne suffisent à caractériser une négligence grave lorsque le fraudeur a usurpé le numéro de téléphone de l’agence. Ce jugement applique fidèlement la jurisprudence de la Cour de cassation du 23 octobre 2024 et livre des enseignements précieux pour toutes les victimes de fraude au faux conseiller bancaire.

Tribunal judiciaire de Lyon, pôle de la proximité et de la protection, 23 juin 2026, n° RG 23/02724

🔑 Points clés à retenir

  • La banque est condamnée à rembourser 7 043,71 € d’opérations frauduleuses par carte bancaire, outre intérêts au taux légal et 1 000 € au titre de l’article 700 du code de procédure civile.
  • L’authentification forte via Sécur’Pass ne prouve pas le consentement du payeur : le dispositif avait été transféré sur un téléphone appartenant au fraudeur, ce que la banque ne contestait pas.
  • La communication de codes reçus par SMS à un faux conseiller ne constitue pas une négligence grave lorsque l’appel provenait d’un numéro usurpé identique à celui de l’agence bancaire (« spoofing »).
  • Les alertes générales de la banque sur les risques de fraude ne suffisent pas : à défaut d’alertes spécifiques sur le spoofing, le client ne peut être considéré comme informé de cette pratique.
  • Le jugement s’inscrit dans la droite ligne de Cass. com., 23 octobre 2024, n° 23-16.267, qui exclut la négligence grave en cas d’usurpation du numéro de la banque.
Sommaire

Que s’est-il passé dans cette affaire de faux conseiller bancaire ?

Les faits sont d’une banalité désarmante — et c’est précisément ce qui rend ce jugement si utile, tant le scénario se répète chaque jour en France. Le 23 décembre 2022, un client de la Caisse d’Épargne Rhône-Alpes reçoit un appel téléphonique d’un individu se présentant comme appartenant au service anti-fraude de sa banque. L’interlocuteur prétend avoir décelé une fraude sur son compte bancaire et lui propose, pour y remédier, de procéder au renouvellement de sa carte bancaire et au remplacement de ses identifiants.

Détail décisif : le numéro qui s’affiche sur le téléphone du client est le 04.27.84.13.02, c’est-à-dire très exactement le numéro de son agence bancaire de Meyzieu, tel qu’il figure sur ses relevés de compte. Mis en confiance par cet affichage, le client communique à son interlocuteur les différents codes qu’il reçoit par SMS sur son téléphone. Ce qu’il ignore, c’est que ces codes permettent en réalité au fraudeur de transférer l’application Sécur’Pass — le dispositif d’authentification forte de la Caisse d’Épargne — depuis son iPhone vers un téléphone Android qui ne lui appartient pas.

Les 27 et 28 décembre 2022, soit quatre jours après ce transfert, sept opérations par carte bancaire sont réalisées à son insu : deux paiements vers la plateforme Binance (295 € et 2 200 €), un paiement Apple de 2 129 €, un premier paiement de 1 019 €, deux opérations qualifiées de « non-marché » (176,24 € et 205,47 €) et un achat Darty.com de 1 019 €. Total : 7 043,71 €.

Le 28 décembre 2022, la banque adresse elle-même à son client un message faisant part d’une suspicion de fraude. Le client constate alors quatre opérations débitées pour 5 643 € et fait opposition sur sa carte le jour même. Le lendemain, il découvre trois opérations supplémentaires pour 1 400,71 € et procède aussitôt à un signalement en ligne auprès de la gendarmerie nationale.

La suite est tout aussi classique : par courriel du 29 décembre 2022, la banque rejette la demande d’indemnisation au motif que les opérations ont été authentifiées via le service Sécur’Pass et qu’il appartenait au client de préserver la sécurité de ses données. Mise en demeure par lettre recommandée du 9 janvier 2023, relancée le 6 mars 2023, la banque réitère son refus le 8 mars 2023 : elle admet que son client a été victime d’une escroquerie, mais lui reproche d’avoir « manqué de vigilance » en révélant les codes confidentiels reçus par SMS. Le client l’assigne alors, le 4 mai 2023, devant le pôle de la proximité et de la protection du tribunal judiciaire de Lyon.

Que dit le code monétaire et financier en cas d’opération non autorisée ?

Le régime applicable est d’ordre public et il est remarquablement protecteur pour l’utilisateur de services de paiement. Il repose sur une architecture précise que le jugement rappelle méthodiquement.

📖 Définition — Opération de paiement non autorisée
Une opération de paiement est réputée autorisée uniquement si le payeur a consenti à son exécution et à son montant (articles L. 133-3 et L. 133-6 du code monétaire et financier). Dès lors que ce consentement fait défaut — par exemple lorsque les données de la carte sont détournées à l’insu du titulaire —, l’opération est « non autorisée » et ouvre droit à remboursement immédiat.

Quel est le principe posé par les articles L. 133-18 et L. 133-19 ?

En cas d’opération de paiement non autorisée, signalée dans les conditions de l’article L. 133-24 du code monétaire et financier, le prestataire de services de paiement rembourse immédiatement au payeur le montant de l’opération (article L. 133-18). Ce principe ne connaît qu’une exception : la responsabilité du payeur est engagée s’il a agi frauduleusement ou s’il n’a pas satisfait, intentionnellement ou par négligence grave, à ses obligations de préserver la sécurité de ses données de sécurité personnalisées (article L. 133-16) et de signaler sans tarder toute utilisation non autorisée (article L. 133-17).

L’article L. 133-19, II, du même code précise en outre que la responsabilité du payeur n’est pas engagée si l’opération non autorisée a été effectuée en détournant, à son insu, l’instrument de paiement ou les données qui lui sont liées — ce qui correspond très exactement au scénario de la fraude au faux conseiller.

Sur qui pèse la charge de la preuve ?

C’est le point cardinal du contentieux, et le jugement lyonnais le rappelle avec force en citant intégralement l’article L. 133-23 du code monétaire et financier : lorsqu’un utilisateur nie avoir autorisé une opération, il incombe à la banque de prouver que l’opération a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre. Surtout, le texte ajoute que l’utilisation de l’instrument de paiement telle qu’enregistrée par la banque ne suffit pas nécessairement à prouver que l’opération a été autorisée par le payeur, ni que celui-ci a commis une négligence grave. C’est à la banque — et à elle seule — de fournir les éléments prouvant la fraude ou la négligence grave de son client.

📖 Définition — Négligence grave
La négligence grave est le manquement caractérisé du payeur à son obligation de préserver la sécurité de ses données de sécurité personnalisées. La jurisprudence exige qu’elle soit prouvée par la banque et refuse de la déduire du seul fait que l’instrument de paiement ou les données ont été effectivement utilisés : elle ne peut résulter que du comportement du client apprécié au regard des circonstances concrètes de l’espèce.

Pourquoi le tribunal a-t-il jugé que le client n’avait pas consenti aux opérations ?

La banque soutenait que les opérations avaient été « validées par authentification forte au moyen d’un Sécur’Pass » et qu’elles devaient, de ce seul fait, être tenues pour autorisées. Le tribunal balaie l’argument en trois temps, avec un raisonnement dont la simplicité fait la force.

Premier temps : la banque ne contestait pas l’escroquerie elle-même, qu’elle qualifiait d’ailleurs d’« usurpation ». Or cette escroquerie a précisément conduit à ce que les opérations soient réalisées au moyen d’un Sécur’Pass enregistré sur un téléphone qui n’appartenait pas au client. On ne peut pas, d’un côté, admettre que le dispositif d’authentification a été transféré frauduleusement sur l’appareil d’un tiers et, de l’autre, soutenir que son utilisation vaut consentement du titulaire du compte.

Deuxième temps : le tribunal retourne contre la banque ses propres explications techniques. La Caisse d’Épargne affirmait elle-même que tout transfert de Sécur’Pass sur un nouveau téléphone déclenche un délai de sécurité de trois jours (J+3) pendant lequel aucune opération ne peut être réalisée avec cet outil. Or les opérations litigieuses datent des 27 et 28 décembre 2022, soit quatre jours après le transfert intervenu le 23 décembre : les fraudeurs ont simplement attendu l’expiration du délai de sécurité. Loin de disculper la banque, ce mécanisme confirme que les opérations ont bien été passées depuis le téléphone du tiers.

Troisième temps : la réactivité du client. Celui-ci a fait opposition dès qu’il a découvert les débits — lesquels ne pouvaient s’afficher sur son compte que les 28 et 29 décembre en raison du délai d’inscription comptable des paiements par carte. Cette promptitude à réagir, souligne le tribunal, « démontre encore davantage » l’absence de consentement. Le jugement en conclut que les opérations ont été effectuées « en détournant, à son insu, les données liées à sa carte bancaire », au sens de l’article L. 133-19, II, du code monétaire et financier.

L’authentification forte Sécur’Pass suffit-elle à prouver le consentement ?

Non — et c’est l’un des enseignements majeurs du jugement. Il faut bien distinguer deux questions que les banques entretiennent volontiers dans la confusion.

📖 Définition — Authentification forte
Issue de la directive européenne sur les services de paiement (DSP2) et de son règlement technique d’exécution (RTS), l’authentification forte repose sur l’utilisation d’au moins deux facteurs indépendants parmi trois catégories : quelque chose que le client connaît (mot de passe), possède (téléphone) ou est (biométrie). Sécur’Pass est le dispositif d’authentification forte des Caisses d’Épargne, adossé à un « appareil de confiance » déclaré par le client.

Première question : les opérations ont-elles été authentifiées, enregistrées et comptabilisées sans déficience technique ? Sur ce terrain, le tribunal donne acte à la banque : les relevés informatiques produits montrent que les opérations ont été authentifiées au moyen du Sécur’Pass et régulièrement comptabilisées, ce que le client ne contestait d’ailleurs pas.

Seconde question, radicalement distincte : cette authentification prouve-t-elle que le titulaire du compte a consenti aux opérations ? Réponse négative. L’article L. 133-23, alinéa 2, du code monétaire et financier l’énonce expressément : l’utilisation de l’instrument de paiement telle qu’enregistrée « ne suffit pas nécessairement en tant que telle » à prouver l’autorisation. Lorsque le dispositif d’authentification a été transféré sur le téléphone d’un fraudeur grâce à des codes soutirés par manipulation, chaque validation « forte » émane du fraudeur, pas du client. L’authentification forte déplace la question ; elle ne la résout pas.

La banque faisait encore valoir que l’authentification forte « n’offre pas la possibilité à l’établissement bancaire de détecter les tromperies au cours desquelles un client autorise une opération commandée par un tiers malveillant ». L’argument est révélateur : il revient à reconnaître que le dispositif présenté au client comme une sécurité maximale est structurellement aveugle au scénario de fraude le plus répandu. On notera d’ailleurs que les obligations issues du règlement technique RTS complétant la DSP2 — authentification forte, mais aussi surveillance des opérations atypiques — constituent un angle d’attaque encore sous-utilisé dans ce contentieux : un transfert d’application de sécurité suivi, au lendemain de l’expiration du délai de sécurité, d’une rafale de sept paiements vers des cryptoplateformes et des enseignes d’électronique ne correspond en rien au profil habituel d’utilisation d’un compte de particulier.

Le spoofing exclut-il la négligence grave du client ?

📖 Définition — Spoofing
Le spoofing (de l’anglais to spoof, parodier) désigne l’usurpation d’un identifiant d’appel : le fraudeur fait afficher sur le téléphone de sa victime le numéro réel de sa banque ou de son agence. La victime croit donc, en toute bonne foi, être en ligne avec son conseiller. Cette technique, quasiment indétectable pour un utilisateur normalement attentif, est au cœur de la fraude dite « au faux conseiller bancaire ».

Restait à la banque un dernier retranchement : la négligence grave. Le client n’avait-il pas, après tout, communiqué à un inconnu les codes reçus par SMS ? C’est ici que le jugement lyonnais déploie tout son intérêt, en faisant une application méthodique de la jurisprudence de la Cour de cassation.

Comment la Cour de cassation apprécie-t-elle la négligence grave en cas de spoofing ?

Par un arrêt publié au bulletin du 23 octobre 2024 (Cass. com., 23 octobre 2024, n° 23-16.267), la chambre commerciale de la Cour de cassation a jugé qu’aucune négligence grave au sens de l’article L. 133-19 du code monétaire et financier ne peut être imputée au titulaire d’un compte qui, contacté téléphoniquement par une personne se faisant passer pour un préposé de sa banque dont le numéro s’affichait, utilise à sa demande le dispositif de sécurité personnalisé. La Cour y relevait que le mode opératoire par « spoofing » avait mis le client en confiance et diminué sa vigilance, inférieure, face à un appel téléphonique, à celle d’une personne recevant un courriel, qui dispose de davantage de temps pour déceler les anomalies. Le tribunal judiciaire de Lyon reprend ce raisonnement presque mot pour mot.

Comment le tribunal a-t-il appliqué cette grille à l’espèce ?

Le client produisait des captures d’écran établissant qu’il avait reçu, le vendredi 23 décembre 2022, un appel du 04.27.84.13.02 — numéro strictement identique à celui de son agence de Meyzieu figurant sur ses relevés de compte. Le tribunal se livre même à une petite démonstration calendaire pour dater l’appel avec certitude à partir des appels plus anciens visibles sur la capture d’écran.

Dès lors que le numéro affiché correspondait à celui de son agence, juge le tribunal, le client « pensait légitimement être en relation avec un préposé de la banque et a donc vu sa vigilance diminuée ». Trois circonstances aggravent encore l’efficacité de la manipulation : il s’agissait d’un appel téléphonique, laissant peu de temps et de moyens pour déceler d’éventuelles anomalies ; le prétexte invoqué — une fraude en cours — plaçait nécessairement la victime dans une situation anxiogène accentuant son manque de vigilance ; et la divulgation des codes avait pour seul objectif, dans l’esprit du client, de remédier à cette prétendue fraude. La communication des codes confidentiels « ne peut être retenue à son encontre », conclut le jugement.

Les alertes générales de la banque suffisent-elles à caractériser la négligence ?

L’argument mérite qu’on s’y arrête, car toutes les banques le soulèvent. La Caisse d’Épargne faisait valoir qu’elle avait diffusé auprès des utilisateurs de son service Direct Écureuil des consignes de sécurité en matière de fraude, que le client aurait ignorées. Le tribunal répond par une distinction d’une grande netteté : ces consignes générales sont indifférentes, car le procédé mis en œuvre ici — l’usurpation de l’identité d’un agent de la banque, « quasiment indétectable pour un utilisateur normalement attentif » — est distinct des scénarios de fraude classiques visés par ces alertes. Et le tribunal de conclure : « à défaut de justifier d’alertes spécifiques en matière de spoofing, elle ne peut considérer que [le client] était informé de cette pratique ».

Autrement dit, la banque qui veut opposer à son client sa prétendue information sur les risques doit démontrer l’avoir alerté sur la technique précise dont il a été victime, et ce antérieurement aux faits. Une page générique « conseils de sécurité » sur le site de la banque ne suffit pas.

Comment la fraude s’est-elle déroulée, étape par étape ?

📞 23 décembre 2022 — Appel affichant le numéro de l’agence de Meyzieu (spoofing) : le faux « service anti-fraude » soutire les codes reçus par SMS

📲 23 décembre 2022, 11h49 — Transfert de l’application Sécur’Pass sur le téléphone Android du fraudeur — délai de sécurité de 3 jours (J+3)

💳 27–28 décembre 2022 — Expiration du délai : 7 paiements par carte (Binance, Apple, Darty…) pour 7 043,71 €

🚨 28–29 décembre 2022 — Alerte de la banque, opposition immédiate, signalement en gendarmerie… et premier refus de remboursement

⚖️ 4 mai 2023 → 23 juin 2026 — Assignation devant le TJ de Lyon : condamnation de la banque à rembourser 7 043,71 € avec intérêts, outre 1 000 € au titre de l’article 700

Que faire si vous êtes victime d’un faux conseiller bancaire ?

Ce jugement confirme qu’une victime de spoofing dispose de solides arguments pour obtenir le remboursement intégral des opérations frauduleuses, même lorsqu’elle a elle-même communiqué des codes de sécurité. Encore faut-il construire le dossier dans le bon ordre.

La première urgence est le signalement sans tarder : faire opposition dès la découverte des opérations et notifier la contestation à la banque, comme l’exige l’article L. 133-17 du code monétaire et financier. Dans notre affaire, la réactivité du client — opposition le jour même de l’alerte, signalement en gendarmerie dès le lendemain — a été expressément retenue par le tribunal comme un indice de l’absence de consentement.

La deuxième étape est la préservation des preuves : captures d’écran du journal d’appels faisant apparaître le numéro usurpé (pièce décisive dans cette affaire, puisqu’elle a permis d’établir le spoofing), SMS reçus, relevés de compte mentionnant le numéro de l’agence, courriels de la banque. C’est ce faisceau qui permettra de démontrer que le numéro affiché était celui de l’agence et que la vigilance de la victime a été légitimement trompée.

Troisième étape : la demande de remboursement fondée sur les articles L. 133-18 et suivants du code monétaire et financier, puis, en cas de refus, la mise en demeure et l’action judiciaire. Attention toutefois : ce que vous écrivez à votre banque et dans votre plainte peut être déterminant pour la suite — une formulation maladroite (« j’ai validé l’opération », « j’ai donné mes codes ») sera systématiquement exploitée par la banque pour plaider la négligence grave. Avant toute déclaration, lisez notre guide complet : Fraude bancaire : que dire et ne pas dire à sa banque et dans sa plainte.

On relèvera enfin que le point de départ des intérêts au taux légal a été fixé au jour de l’assignation (4 mai 2023) et non à la mise en demeure du 9 janvier 2023 : la victime ne produisait pas l’accusé de réception permettant de dater la réception de sa lettre recommandée. Leçon pratique : conservez soigneusement l’avis de réception de votre mise en demeure, sous peine de perdre plusieurs mois — voire années — d’intérêts.

Quelle est la portée de ce jugement ?

Ce jugement du pôle de la proximité et de la protection du tribunal judiciaire de Lyon est une décision de première instance, inédite, rendue en premier ressort : elle est donc susceptible d’appel et n’a pas, en elle-même, valeur de précédent obligatoire. Sa valeur est ailleurs : elle montre comment les juges du fond se sont approprié la jurisprudence de la Cour de cassation du 23 octobre 2024 et l’appliquent désormais au-delà de son cas d’origine.

Car il faut le souligner : l’arrêt du 23 octobre 2024 concernait des virements validés par le client lui-même via son dispositif de sécurité, à la demande du fraudeur. L’affaire lyonnaise présente une physionomie différente — transfert de l’application d’authentification forte sur l’appareil du fraudeur, puis paiements par carte bancaire réalisés sans aucune intervention de la victime. Le tribunal transpose sans difficulté la grille d’analyse du spoofing à ce scénario, et y ajoute deux apports remarquables : l’exigence d’alertes spécifiques à la technique de fraude en cause, et la neutralisation de l’argument tiré de l’authentification forte lorsque le dispositif lui-même a été détourné.

Pour les victimes, le message est encourageant : ni la validation de codes SMS sous l’empire de la manipulation, ni le label « authentification forte » brandi par la banque ne font obstacle au remboursement, dès lors que le spoofing est établi. Pour les banques, l’addition est claire : à défaut de prouver une négligence grave — preuve dont elles supportent seules la charge —, elles doivent rembourser, et les campagnes d’information génériques ne les exonéreront pas.

FAQ — Vos questions sur la fraude au faux conseiller bancaire

Ma banque refuse de me rembourser car j’ai communiqué mes codes : a-t-elle raison ?
Pas nécessairement. La communication de codes à un fraudeur ne constitue pas automatiquement une négligence grave. Si l’appel provenait d’un numéro usurpé affichant celui de votre banque ou de votre agence (spoofing), la jurisprudence considère que votre vigilance a été légitimement trompée (Cass. com., 23 octobre 2024, n° 23-16.267 ; TJ Lyon, 23 juin 2026, n° RG 23/02724). C’est à la banque de prouver votre négligence grave, pas à vous de prouver votre prudence.
L’authentification forte prouve-t-elle que j’ai autorisé l’opération ?
Non. L’article L. 133-23 du code monétaire et financier précise que l’utilisation de l’instrument de paiement telle qu’enregistrée par la banque ne suffit pas nécessairement à prouver que l’opération a été autorisée. Si le dispositif d’authentification (Sécur’Pass, Certicode, Secure Access…) a été transféré ou activé sur l’appareil d’un fraudeur grâce à des codes soutirés par manipulation, les validations émanent du fraudeur et non de vous.
Comment prouver que j’ai été victime de spoofing ?
Conservez et faites constater le journal d’appels de votre téléphone faisant apparaître le numéro usurpé, et rapprochez-le du numéro officiel de votre agence figurant sur vos relevés de compte ou le site de la banque. Dans l’affaire jugée à Lyon, de simples captures d’écran du journal d’appels, corroborées par les relevés de compte mentionnant le numéro de l’agence, ont suffi à établir l’usurpation.
Dans quel délai dois-je contester les opérations frauduleuses ?
L’article L. 133-24 du code monétaire et financier impose de signaler l’opération non autorisée « sans tarder » et au plus tard dans les 13 mois suivant la date de débit. En pratique, plus votre réaction est rapide (opposition immédiate, contestation écrite, dépôt de plainte), plus votre dossier est solide : dans le jugement commenté, la réactivité de la victime a été retenue comme preuve de son absence de consentement. Sur la manière de formuler votre contestation, consultez notre article Fraude bancaire : que dire et ne pas dire à sa banque et dans sa plainte.
Les alertes anti-fraude publiées par ma banque peuvent-elles m’être opposées ?
Seulement si elles visaient spécifiquement la technique dont vous avez été victime et si elles sont antérieures aux faits. Le tribunal judiciaire de Lyon a jugé que des consignes de sécurité générales sont inopérantes face au spoofing, procédé « quasiment indétectable pour un utilisateur normalement attentif » : à défaut d’alertes spécifiques sur cette pratique, la banque ne peut prétendre que son client en était informé.
Que puis-je obtenir en justice contre ma banque ?
Le remboursement intégral des opérations non autorisées (article L. 133-18 du code monétaire et financier), les intérêts au taux légal — dont le point de départ dépend de la preuve de la réception de votre mise en demeure —, ainsi qu’une indemnité au titre de l’article 700 du code de procédure civile et la prise en charge des dépens. Dans cette affaire, la banque a été condamnée à 7 043,71 € avec intérêts depuis l’assignation, outre 1 000 € au titre de l’article 700, le tout assorti de l’exécution provisoire de droit.
Ce jugement s’applique-t-il aussi aux virements frauduleux ?
Oui, le raisonnement est transposable. L’arrêt fondateur de la Cour de cassation du 23 octobre 2024 concernait précisément des virements (54 500 €) validés sous l’empire d’un appel en spoofing. Le régime des articles L. 133-18 et suivants du code monétaire et financier s’applique à toute opération de paiement non autorisée, qu’il s’agisse de paiements par carte, de virements ou de prélèvements.

1521 2281 max

Besoin de conseils juridiques personnalisés ?

Ne restez pas seul face à vos questions. Un avocat peut vous rappeler gratuitement pour faire le point sur votre situation.

Besoin de conseils juridiques personnalisés ?

RGPD :

Articles similaires

assets task 01jwdz38fffwn8vwxbawedgxes 1748520597 img 0

Refus de prêt après accord de principe : la banque peut-elle engager sa responsabilité ? – Cass. com., 10 janv. 2012, n° 10-26.149 ; CA Colmar, ch. 1 a, 4 avr. 2018, n° 16/03480 ; Cass. com., 8 nov. 2005, n° 1399 FS-D

Lorsqu’une banque délivre un accord de principe de financement puis refuse finalement d’émettre une offre de prêt, l’emprunteur évincé peut-il obtenir réparation ? Cette question ...

comment renégocier vos crédits efficacement : guide complet pour alléger vos remboursements mensuels

En pratique : l’examen des clauses abusives par le juge de l’exécution

À l’occasion d’un avis du 11 juillet 2024, la deuxième chambre civile de la Cour de cassation a clarifié plusieurs points clés concernant le contrôle ...

7176096e dc5c 4227 833a 96c6fea85421

Non-professionnel et Code de la consommation : abandon du critère du rapport direct – Cass. 1re civ., 21 janvier 2026, n° 24-11.365

Un organisme de gestion de l’enseignement catholique (OGEC) peut-il bénéficier de la protection du droit de la consommation contre les clauses abusives lorsqu’il souscrit un ...