Cour de cassation, chambre commerciale, 1er juillet 2026, pourvoi n° 25-13.134, publié au bulletin
🔑 Points clés à retenir
- L’utilisation de l’instrument de paiement telle qu’enregistrée par la banque « ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur » (art. L. 133-23 du code monétaire et financier).
- La Cour de cassation casse l’arrêt de la cour d’appel de Paris du 22 janvier 2025 qui avait « présumé » le consentement de la société victime parce que ses identifiants, son code d’accès et un « token » généré par un boîtier avaient été utilisés.
- Déduire le consentement du seul recours à la « forme convenue » contractuellement, alors que le client conteste avoir autorisé les opérations, constitue une inversion de la charge de la preuve (art. L. 133-6, L. 133-7 et L. 133-23 CMF).
- L’affaire concernait trois virements frauduleux exécutés le 23 novembre 2020 au préjudice d’une société : la protection probatoire du code monétaire et financier bénéficie aussi aux entreprises.
- L’affaire est renvoyée devant la cour d’appel de Versailles ; la banque est condamnée aux dépens et à 3 000 euros au titre de l’article 700 du code de procédure civile.
Sommaire ▼
- Que s’est-il passé dans cette affaire ?
- Que dit la loi sur le consentement à une opération de paiement ?
- Qui doit prouver quoi lorsqu’un virement est contesté ?
- Pourquoi la cour d’appel de Paris a-t-elle été censurée ?
- En quoi consiste l’inversion de la charge de la preuve ?
- Pourquoi le « token » ne prouve-t-il pas le consentement ?
- Quelle est la portée de cet arrêt publié au bulletin ?
- Les entreprises sont-elles protégées comme les particuliers ?
- Cet arrêt s’inscrit-il dans une jurisprudence constante ?
- Que faire si votre entreprise est victime de virements frauduleux ?
- Conclusion
- FAQ — Questions fréquentes
Que s’est-il passé dans cette affaire ?
Les faits sont d’une banalité désolante pour qui connaît le contentieux de la fraude aux virements. La société Lincotek Tarbes, une société par actions simplifiée, est titulaire d’un compte dans les livres du Crédit lyonnais. Le 23 novembre 2020, trois virements sont exécutés depuis ce compte. La société soutient qu’ils sont frauduleux : elle n’a jamais consenti à ces opérations et affirme que ses données de sécurité personnalisées ont été utilisées à son insu.
Comme des milliers d’entreprises victimes chaque année de détournements de virements, elle demande à sa banque la restitution des fonds. Face au refus de l’établissement, elle l’assigne en justice.
Le parcours judiciaire illustre la difficulté de ce contentieux. Le tribunal de commerce de Créteil, puis la cour d’appel de Paris (pôle 5, chambre 6), dans un arrêt du 22 janvier 2025, rejettent ses demandes. Le raisonnement de la cour d’appel mérite d’être exposé avec précision, car c’est lui qui est censuré.
Pour juger que les opérations de paiement avaient été autorisées, la cour d’appel a retenu que les relevés informatiques produits par la banque établissaient l’utilisation de l’identifiant et du code d’accès à l’espace en ligne, ainsi que l’utilisation d’un « token » généré par un boîtier attribué à une utilisatrice au sein de l’entreprise. Elle en a déduit, d’une part, que l’opération avait été authentifiée, dûment enregistrée et comptabilisée, d’autre part, qu’elle n’avait pas été affectée par une déficience technique. Et elle a ajouté que le consentement de la société était « présumé en conséquence avoir été donné conformément à la forme convenue entre les parties ».
Autrement dit : puisque les codes et le boîtier ont fonctionné, c’est que vous avez consenti. C’est précisément ce raccourci que la Cour de cassation condamne.
Que dit la loi sur le consentement à une opération de paiement ?
Le droit des services de paiement, issu de la directive européenne DSP2 transposée dans le code monétaire et financier, repose sur une architecture simple et protectrice du payeur. Trois textes sont au cœur de l’arrêt.
Selon les articles L. 133-6 et L. 133-7 du code monétaire et financier, une opération de paiement n’est autorisée que si le payeur a donné son consentement à son exécution, sous la forme convenue entre lui et son prestataire de services de paiement. En l’absence d’un tel consentement, l’opération est réputée non autorisée — et la banque doit en principe rembourser immédiatement.
L’article L. 133-6 pose le principe : une opération de paiement est autorisée si le payeur a donné son consentement à son exécution. L’article L. 133-7 précise que ce consentement est donné sous la forme convenue entre le payeur et son prestataire de services de paiement. À défaut de consentement, l’opération est réputée non autorisée, avec toutes les conséquences que le code attache à cette qualification, au premier rang desquelles l’obligation de remboursement pesant sur la banque.
Qui doit prouver quoi lorsqu’un virement est contesté ?
C’est ici qu’intervient le texte décisif : l’article L. 133-23 du code monétaire et financier. Lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération qui a été exécutée, il incombe à son prestataire de services de paiement — la banque — de prouver que l’opération a été authentifiée, dûment enregistrée et comptabilisée, et qu’elle n’a pas été affectée par une déficience technique ou autre.
La charge de la preuve désigne l’obligation, pour une partie au procès, d’établir la réalité des faits qu’elle invoque. En matière d’opérations de paiement contestées, la loi fait peser cette charge sur la banque : c’est à elle de démontrer que le client a autorisé l’opération, et non au client de démontrer qu’il ne l’a pas autorisée.
Mais l’article L. 133-23 comporte un second alinéa, trop souvent négligé par les juges du fond, et que la chambre commerciale reproduit mot pour mot dans son arrêt : « L’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur. »
La règle est limpide. Que les journaux informatiques de la banque montrent que les codes ont été saisis, que l’authentification a techniquement réussi, que l’opération a été enregistrée sans anomalie : tout cela prouve l’utilisation de l’instrument de paiement. Cela ne prouve pas le consentement du payeur. Car un instrument de paiement peut parfaitement être utilisé par un fraudeur qui a capté les données de sécurité — par hameçonnage, par ingénierie sociale, par compromission du poste informatique — sans que le titulaire ait jamais consenti à quoi que ce soit.
⚖️ Le mécanisme probatoire de l’article L. 133-23 CMF
1️⃣ Le client nie avoir autorisé l’opération exécutée
↓
2️⃣ La banque doit prouver : opération authentifiée + enregistrée + comptabilisée + absence de déficience technique
↓
3️⃣ ⚠️ Même si cette preuve est rapportée : l’utilisation de l’instrument ne suffit pas nécessairement à prouver le consentement
↓
4️⃣ À défaut de preuve du consentement → opération réputée non autorisée → restitution des fonds
Pourquoi la cour d’appel de Paris a-t-elle été censurée ?
La cassation intervient au visa des articles L. 133-6, L. 133-7 et L. 133-23 du code monétaire et financier, et elle est totale : l’arrêt du 22 janvier 2025 est cassé et annulé « en toutes ses dispositions ».
Le raisonnement de la chambre commerciale tient en une phrase, au paragraphe 6 de l’arrêt : « En statuant ainsi, alors que la société Lincotek contestait avoir consenti à ces opérations et soutenait que ses données de sécurité personnalisées avaient été utilisées à son insu, la cour d’appel, en déduisant le consentement des opérations litigieuses du recours à la forme convenue contractuellement, a inversé la charge de la preuve et violé les textes susvisés. »
En quoi consiste l’inversion de la charge de la preuve ?
L’inversion sanctionnée est subtile, et c’est ce qui fait tout l’intérêt pédagogique de l’arrêt. La cour d’appel n’avait pas ouvertement exigé de la société qu’elle prouve son absence de consentement — ce qui aurait été une violation grossière du texte. Elle a procédé de manière plus insidieuse, par le jeu d’une présomption : puisque la « forme convenue » entre les parties (identifiant, code d’accès, token) a été respectée, le consentement est « présumé » avoir été donné.
Or cette présomption n’existe nulle part dans la loi. L’article L. 133-7 dit que le consentement est donné sous la forme convenue ; il ne dit pas que le respect de la forme convenue vaut consentement. La nuance est capitale. La forme convenue est le canal par lequel le consentement s’exprime ; elle n’est pas la preuve que celui qui a emprunté ce canal était bien le titulaire, ni qu’il a véritablement consenti. En transformant le constat technique (les codes ont été utilisés) en présomption juridique (le client a consenti), la cour d’appel a fait produire à l’utilisation de l’instrument de paiement l’effet probatoire que l’article L. 133-23, alinéa 2, lui refuse expressément.
Le procédé revenait, en pratique, à remettre sur les épaules de la victime le fardeau que le législateur avait placé sur celles de la banque : une fois le consentement « présumé », c’était à la société de renverser cette présomption, c’est-à-dire de prouver un fait négatif — qu’elle n’avait pas autorisé les virements. Preuve diabolique, exactement ce que le régime probatoire de la DSP2 a voulu éviter.
Pourquoi le « token » ne prouve-t-il pas le consentement ?
Le « token » est un code à usage unique généré par un dispositif physique (boîtier, calculette d’authentification) ou logiciel, remis par la banque à son client pour valider les opérations sensibles sur l’espace de banque en ligne. Il constitue l’un des facteurs de l’authentification dite « forte » (élément de possession), aux côtés du mot de passe (élément de connaissance).
Dans cette affaire, un boîtier générant des tokens avait été attribué à une utilisatrice au sein de la société. Les relevés informatiques montraient que les virements litigieux avaient été validés au moyen de l’identifiant, du code d’accès et d’un token issu de ce boîtier. Pour la cour d’appel, ce triptyque suffisait.
C’était oublier que la validation technique d’une opération et le consentement juridique à cette opération sont deux choses distinctes. Les scénarios de fraude qui aboutissent à une utilisation « techniquement régulière » des dispositifs de sécurité sont légion : détournement des codes par hameçonnage ciblé, manipulation d’un salarié par un fraudeur se faisant passer pour un technicien ou un dirigeant, prise de contrôle à distance du poste de travail, interception des données de sécurité. Dans tous ces cas, les journaux de la banque afficheront une authentification réussie — et pourtant le payeur, c’est-à-dire la société titulaire du compte, n’aura jamais consenti aux opérations.
C’est exactement l’argument que soutenait la société : ses données de sécurité personnalisées avaient été « utilisées à son insu ». Dès lors qu’elle contestait avoir consenti, la banque devait prouver le consentement — et non se retrancher derrière la régularité formelle de l’authentification.
Quelle est la portée de cet arrêt publié au bulletin ?
La publication au bulletin n’est jamais anodine : elle signale que la chambre commerciale entend fixer la ligne et la faire connaître des juridictions du fond. Trois enseignements se dégagent.
Premier enseignement : la preuve qui incombe à la banque au titre de l’article L. 133-23 est une preuve à double détente. Établir que l’opération a été authentifiée, enregistrée et comptabilisée sans déficience technique est une condition nécessaire, mais pas suffisante. Encore faut-il, lorsque le client conteste avoir consenti, que la banque prouve le consentement lui-même. Les juges du fond ne peuvent pas combler ce fossé probatoire par une présomption prétorienne tirée de la « forme convenue ».
Deuxième enseignement : l’arrêt neutralise un argument que les banques opposent systématiquement aux victimes, particuliers comme entreprises : « l’opération a été validée avec vos dispositifs de sécurité, donc c’est vous — ou quelqu’un que vous avez laissé faire ». Ce raisonnement, séduisant en apparence, est désormais explicitement qualifié d’inversion de la charge de la preuve lorsqu’il est utilisé pour établir le consentement.
Troisième enseignement : la cassation est prononcée « sans qu’il y ait lieu de statuer sur l’autre grief », ce qui montre que l’inversion de la charge de la preuve suffisait à elle seule à emporter la censure. Le message adressé aux cours d’appel est sans ambiguïté.
Les entreprises sont-elles protégées comme les particuliers ?
L’un des apports pratiques majeurs de l’arrêt tient à la qualité de la victime : une société par actions simplifiée, cliente professionnelle, opérant sur un espace de banque en ligne d’entreprise avec un boîtier d’authentification. Le régime probatoire de l’article L. 133-23 s’applique à l’« utilisateur de services de paiement », sans distinction entre consommateur et professionnel.
La précision a son importance, car le contentieux des virements frauduleux au préjudice des entreprises — fraude au faux fournisseur, fraude au président, compromission des accès de banque en ligne — est massif, et les enjeux financiers y sont souvent bien supérieurs à ceux des fraudes visant les particuliers. Les entreprises victimes se voient fréquemment opposer leur qualité de professionnel pour minimiser la protection dont elles bénéficient. Cet arrêt rappelle que le socle probatoire du code monétaire et financier joue pleinement à leur profit : c’est à la banque de prouver le consentement, y compris lorsque le payeur est une société.
Il faut toutefois rester lucide sur un point : certaines dispositions protectrices du code monétaire et financier peuvent être aménagées contractuellement avec les clients professionnels, dans les conditions prévues par l’article L. 133-2 du même code. La vérification des conventions de compte et des conditions générales de banque en ligne reste donc un préalable indispensable dans chaque dossier d’entreprise. Mais sur le terrain de la charge de la preuve du consentement, la position de la chambre commerciale dans cet arrêt ne comporte aucune réserve tenant à la qualité professionnelle du payeur.
Cet arrêt s’inscrit-il dans une jurisprudence constante ?
La solution n’est pas une révolution : elle est la réaffirmation solennelle d’une ligne que la chambre commerciale avait déjà tracée en matière de paiements en ligne contestés (Cass. com., 18 janvier 2017, n° 15-18.102), en jugeant que la preuve de la fraude ou de la négligence grave de l’utilisateur qui nie avoir autorisé une opération « ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés ». L’arrêt du 1er juillet 2026 prolonge cette logique sur le terrain voisin du consentement lui-même, à propos de virements en ligne validés par token dans un contexte d’entreprise.
La constance du principe rend d’autant plus frappante la persistance, chez certains juges du fond, du réflexe consistant à assimiler authentification réussie et consentement donné. La cour d’appel de Paris avait succombé à ce réflexe ; la cassation, publiée au bulletin, sonne comme un rappel à l’ordre. L’affaire est renvoyée devant la cour d’appel de Versailles, qui devra réexaminer le litige en faisant peser sur la banque l’intégralité de la charge probatoire.
Que faire si votre entreprise est victime de virements frauduleux ?
Cet arrêt renforce considérablement la position des victimes, mais encore faut-il conduire la contestation avec méthode. Les premiers échanges avec la banque sont déterminants : une formulation maladroite — reconnaître avoir « validé » une opération, avoir communiqué un code au téléphone, avoir cliqué sur un lien — peut être exploitée par l’établissement pour reconstruire le débat sur le terrain de la négligence grave. Avant toute déclaration écrite ou orale à votre banque, et avant tout dépôt de plainte, nous vous recommandons vivement la lecture de notre guide pratique : Fraude bancaire : que dire et ne pas dire à sa banque et dans sa plainte.
Sur le fond, la stratégie contentieuse s’articule autour du régime probatoire rappelé par l’arrêt : contester formellement avoir consenti aux opérations, exiger de la banque la preuve complète qui lui incombe — authentification, enregistrement, comptabilisation, absence de déficience technique, et consentement du payeur —, et refuser toute présomption tirée du simple fonctionnement des dispositifs de sécurité.
Au-delà de la charge de la preuve, d’autres leviers peuvent être mobilisés selon les circonstances : le respect par la banque de ses obligations d’authentification forte et de surveillance des opérations au titre des normes techniques de réglementation (RTS) complétant la DSP2 constitue un angle encore sous-utilisé, notamment lorsque les virements litigieux présentaient des anomalies de montant, de destination ou de fréquence par rapport au fonctionnement habituel du compte.
Enfin, le dépôt d’une plainte pénale reste utile pour documenter la fraude et favoriser d’éventuelles mesures de gel ou de recouvrement des fonds, même s’il ne constitue pas en lui-même un fondement d’indemnisation contre la banque. Là encore, le contenu de la plainte doit être pesé avec soin.
Conclusion
L’arrêt du 1er juillet 2026 est de ceux qui remettent les pendules à l’heure. Non, la validation technique d’un virement par identifiant, code d’accès et token ne vaut pas consentement du payeur. Non, les juges ne peuvent pas « présumer » ce consentement du respect de la forme convenue entre les parties. Oui, c’est à la banque — et à elle seule — de prouver que son client a autorisé l’opération qu’il conteste, et cette règle protège les entreprises comme les particuliers.
Pour les victimes de virements frauduleux, ce rappel publié au bulletin est un levier contentieux de premier ordre : il ferme la porte à l’argumentation bancaire la plus répandue et replace le débat judiciaire là où le législateur l’avait situé. Si votre entreprise ou vous-même êtes confronté à un refus de remboursement fondé sur le fait que « vos codes ont été utilisés », sachez que ce seul constat ne suffit pas, en droit, à vous faire supporter la perte. Le cabinet LE BOT Avocat, dédié au droit bancaire, accompagne les victimes de fraude aux virements à chaque étape de la contestation, de la réclamation initiale jusqu’au procès.



