Cour d'Appel · Pôle 4 - Chambre 9 - A — 7 mai 2026

Copies exécutoires RÉPUBLIQUE FRANÇAISE

délivrées aux parties le : AU NOM DU PEUPLE FRANÇAIS





COUR D'APPEL DE PARIS

Pôle 4 - Chambre 9 - A



ARRÊT DU 07 MAI 2026



(n° , 2 pages)



Numéro d'inscription au répertoire général : N° RG 25/08321 - N° Portalis 35L7-V-B7J-CLKLE



Décision déférée à la Cour : Jugement du 15 avril 2025 - Tribunal de proximité de PARIS - RG n° 24/00874





APPELANTE



CAISSE D'EPARGNE ET DE PREVOYANCE ILE DE FRANCE, société coopérative de banque à forme anonyme à capital fixe prise en la personne de son représentant légal domicilié en cette qualité audit siège

[Adresse 1]

[Localité 1]



représentée et assistée de Me Bertrand CHAMBREUIL, avocat au barreau de PARIS, toque : B0230





INTIMÉ



Monsieur [D] [E]

né le [Date naissance 1] 1957 à [Localité 2] (60)

[Adresse 2]

[Localité 1]



représenté et assisté de Me Frédéric INGOLD de la SELARL INGOLD & THOMAS - AVOCATS, avocat au barreau de PARIS, toque : B1055







COMPOSITION DE LA COUR :



En application des dispositions des articles 805 et 907 du code de procédure civile, l'affaire a été débattue le 11 mars 2026, en audience publique, les avocats ne s'y étant pas opposés, devant Mme Laurence ARBELLOT, Conseillère, chargée du rapport.



Ce magistrat a rendu compte des plaidoiries dans le délibéré de la Cour, composée de :

Mme Muriel DURAND, Présidente de chambre

Mme Laurence ARBELLOT, Conseillère

Mme Sophie COULIBEUF, Conseillère



Greffière, lors des débats : Mme Camille LEPAGE









ARRÊT :



- CONTRADICTOIRE



- par mise à disposition de l'arrêt au greffe de la Cour, les parties en ayant été préalablement avisées dans les conditions prévues au deuxième alinéa de l'article 450 du code de procédure civile.



- signé par Mme Muriel DURAND, Présidente et par Mme Camille LEPAGE, Greffière à laquelle la minute de la décision a été remise par le magistrat signataire.



FAITS, PROCÉDURE ET PRÉTENTIONS DES PARTIES



M. [D] [E] est titulaire d'un compte bancaire dans les livres de la Caisse d'épargne et de prévoyance d'Île-de-France ci-après Caisse d'épargne, auquel est associée une carte Izicarte Premier débit immédiat.



M. [E] a nié être à l'origine d'un paiement par carte bancaire auprès d'un magasin Darty de [Localité 3] intervenu le 23 avril 2022 pour un montant de 5 036 euros. Il a déposé plainte le même jour en expliquant avoir reçu ce jour-là un SMS d'[A] l'informant qu'il devait régler 0,75 centimes pour recevoir sa carte vitale, avoir cliqué sur le lien qu'il contenait et avoir renseigné les informations concernant sa carte bancaire puis avoir validé le paiement. Il précisait également avoir reçu un appel d'une personne se présentant comme un employé du service « Securipass » de la Caisse d'épargne l'informant de ce qu'il avait fait l'objet d'une fraude, lui demandant de se connecter à son compte, ce qu'il avait fait, lui précisant qu'il s'occupait de faire opposition et lui demandant de détruire sa carte. Il précisait aussi avoir reçu un autre appel lui confirmant le renouvellement de sa carte avant de constater une impossibilité de se connecter à son compte.



Il a fait opposition le 23 avril 2022 après avoir vérifié auprès du service d'opposition que les appels reçus n'émanaient en réalité pas de ce service puis affirmant que le paiement avait été fait à son insu, a demandé à sa banque le 26 avril suivant de lui rembourser la somme de 5 036 euros, ce que celle-ci a refusé le 5 mai suivant.



M. [E] a fait assigner la banque par acte délivré le 7 décembre 2023 devant le juge des contentieux de la protection du tribunal judiciaire de Paris, sur le fondement des articles L. 133-19, L. 133-20, L. 133-23, L. 561-6 du code monétaire et financier aux fins de la voir condamner à lui verser la somme principale de 5 036 euros et celle de 500 euros à titre de dommages et intérêts pour résistance abusive outre 1 500 euros sur le fondement de l'article 700 du code de procédure civile.



Suivant jugement contradictoire rendu le 15 avril 2025 auquel il convient de se reporter, le juge a déclaré l'action recevable, condamné la Caisse d'épargne à payer à M. [E] la somme de 5 036 euros majorée des intérêts au taux légal augmentée de quinze points à compter du 8 février 2023 outre celle de 1 000 sur le fondement de l'article 700 du code de procédure civile et au dépens, rejetant le surplus des demandes.



Sur la forclusion soulevée par la banque sur le fondement de l'article L. 133-24 du code monétaire et financier, le juge a relevé que M. [E] avait transmis un bordereau de contestation de l'opération litigieuse le 29 avril 2022 de sorte que le délai de 13 mois avait été respecté.



Il a relevé que le fichier « smart-autorisations » produit ne permettait pas de caractériser l'existence d'une déficience technique des opérations de contrôle du paiement litigieux, que la banque avait bloqué deux autres paiements de 2 518 euros le même jour au bénéfice de l'enseigne Boulanger et qu'elle échouait à démontrer une négligence grave de M. [E] dans la mesure où elle avait reconnu par ce blocage que son client avait été victime d'une fraude et de tentatives de paiements à son insu. Il a fait droit à la demande de remboursement des sommes détournées mais a considéré que M. [E] échouait à démontrer un préjudice supplémentaire.



Par déclaration électronique du 30 avril 2025, la Caisse d'épargne a interjeté appel de cette décision.



Aux termes de ses dernières écritures notifiées électroniquement le 16 janvier 2026, elle demande à la cour :

- d'infirmer le jugement sauf quant à la recevabilité de l'action,

statuant à nouveau,

à titre principal,

- de dire et juger que l'opération de paiement litigieuse qui a fait l'objet d'une authentification forte constitue une opération de paiement autorisée,

- de constater que M. [E] échoue à démontrer l'utilisation frauduleuse de son dispositif de paiement,

- de le débouter en conséquence de ses demandes fondées sur les articles L. 133-18 et L. 133-19 du code monétaire et financier,

à titre subsidiaire,

- de dire et juger que les manquements commis par M. [E] à ses obligations l'ont été par négligence grave de sa part,

- de dire et juger que ces manquements sont à l'origine exclusive de l'opération de paiement litigieuse,

- de dire et juger que l'opération de paiement litigieuse a été correctement exécutée,

- de le débouter de l'ensemble de ses demandes fins et conclusions,

encore plus subsidiairement,

- de débouter M. [E] de sa demande de majoration du taux légal,

- de dire et juger que la banque n'a commis aucun manquement à son devoir de vigilance,

- de débouter en conséquence M. [E] de l'ensemble de ses demandes fins et conclusions,

- de confirmer le jugement entrepris en ce qu'il a débouté M. [E] de sa demande de dommages et intérêts pour résistance abusive,

- en toutes hypothèses, de le condamner à lui payer la somme de 1 500 euros sur le fondement de l'article 700 du code de procédure civile et aux entiers dépens tant de première instance que d'appel qui seront recouvrés par Maître Bertrand Chambreuil, avocat au barreau de Paris dans les conditions de l'article 699 du code de procédure civile.



Elle indique que si M. [E] nie avoir autorisé l'opération de paiement litigieuse, celui-ci a toujours affirmé qu'il était resté en possession de sa carte et elle précise à cet égard que l'opération contestée qu'elle a refusée de rembourser a été effectuée avec le support physique de la carte et a requis la composition du code confidentiel puis que comme le tribunal en a convenu à l'examen des relevés produits, aucune déficience technique n'a pu être caractérisée. Elle en conclut remplir les obligations qui sont les siennes aux termes de l'article L. 133-23 du code monétaire et financier et des dispositions contractuelles, puisqu'elle justifie que l'opération litigieuse a été authentifiée, correctement enregistrée et comptabilisée, sans qu'aucune déficience technique ne soit venue en affecter la réalisation.



Elle ajoute que c'est à tort que le premier juge a éludé la charge probatoire qui pesait sur M. [E] en se contentant d'ajouter que la banque échouait à démontrer un manquement intentionnel ou une négligence grave de son client aux obligations mentionnées aux articles L. 133-16 et L. 133-17 du code monétaire et financier puisque l'intéressé ne démontre pas que sa carte de paiement a été détournée à son insu ou qu'elle a été contrefaite. Elle indique aussi que c'est de manière erronée que le juge a pris prétexte des deux opérations de 2 518 euros au bénéfice de Boulanger qui ont été bloquées pour considérer qu'en rejetant lesdites opérations, la banque avait ainsi reconnu la fraude. Elle explique qu'en réalité ces deux opérations ont été effectuées à 17h49 soit postérieurement à l'opération litigieuse de 16h10 et comme M. [E] a fait opposition à sa carte de paiement à 16h55, c'est automatiquement que ces opérations ont été refusées.



Elle soutient que l'opération litigieuse n'a pu intervenir que par suite des négligences graves commise par M. [E] qui a eu l'imprudence de cliquer sur le lien d'un sms provenant prétendument d'[A] et qui l'invitait « à remplir le formulaire de renouvellement en cliquant sur le lien https://[01].fr » qui n'était pourtant pas l'adresse https du site d'[A], puis qu'il a ensuite, sans aucune vérification préalable, renseigné son nom, adresse postale et numérique, ses coordonnées bancaires pour payer 0,75 euros de frais postaux. Elle ajoute qu'ainsi qu'il résulte de la plainte, il a ensuite satisfait aux demandes d'un interlocuteur parfaitement inconnu sur la seule considération que ce dernier se présentait comme un employé du service des « Securipass » de sa banque et alors qu'il l'aurait appelé d'un numéro 09.69.36.45.45 dont il lui aurait dit qu'il s'agissait du service d'opposition mentionné au dos de sa carte bancaire.



Elle fait observer que la suspicion de M. [E] aurait dû à ce stade être immédiatement éveillée car le dispositif d'authentification forte employé par la Caisse d'épargne se nomme « Secur' Pass » et non « Securipass », qu'il ne s'agit en aucun cas du centre d'opposition de la Caisse d'épargne dont le numéro est le 09.69.36.39.39 mais de celui du service dédié aux adhérents à l'assurance sur le compte, qu'il aurait donc dû, comme l'aurait fait tout utilisateur normalement attentif, prendre contact avec son agence pour vérifier la réalité de cet appel au lieu de déférer aux demandes pour le moins inhabituelles d'un parfait inconnu et de faire selon ses propres termes « des actions sur l'application de la banque à distance » avec une augmentation du plafond d'usage de sa carte bleue, des virements internes des livrets A et développement durable vers les comptes courants. Elle ajoute qu'il ne s'est pas davantage étonné qu'on lui demande de communiquer la copie de sa carte d'identité sur un site on ne peut plus suspect «'support@centre opposition.fr. ».



Elle estime que l'arrêt invoqué de la Cour de Cassation du 23 octobre 2024 en matière de spoofing n'est qu'un arrêt d'espèce dont les faits remontent à 2019, que les faits litigieux ont été commis en 2022 alors que les clients de la banque étaient largement informés des fraudes en la matière et alors qu'elle diffuse de nombreux messages d'alerte et surtout, en l'espèce, la situation n'est pas transposable dans la mesure où l'appel allégué, dont la réalité du numéro qui s'est prétendument affiché n'est d'ailleurs pas démontrée, n'est celui ni de l'agence bancaire de [Localité 4], ni de la conseillère de M. [E], mais d'un service d'assurance, passé par une personne qui s'est présentée comme l'employé d'un service Securipass inexistant. Elle en conclut que M. [E] n'établit ainsi pas qu'en avril 2022, il pouvait légitimement croire être en contact avec sa banque alors qu'ainsi qu'il vient d'être rappelé, celle-ci n'a de cesse de communiquer sur ce type de fraude et de marteler que jamais elle ne demandera de valider ou d'annuler une opération dont le client n'est pas à l'origine.



Enfin, elle rappelle que l'opération litigieuse qui consiste en un achat par carte bancaire a été effectué le 23 avril 2022 à 16h10 à [Localité 3] dans le magasin Darty situé [Adresse 3], ce qui a requis la présentation physique de la carte, son insertion dans l'équipement électronique du magasin et la composition du code confidentiel lui étant attaché et si M. [E] prétend que sa carte est restée en sa possession, il n'a fourni aucune explication plausible sur les conditions dans lesquelles sa carte aurait pu être utilisée à son insu dans ce magasin qui se trouve à 17 minutes en RER A de son domicile avec le code confidentiel, puis restituée, sans qu'il ne s'en aperçoive. Elle ajoute qu'il est permis d'en déduire que si M. [E] n'a pas accompli lui-même cette opération, c'est qu'il a nécessairement remis sa carte à un tiers qui n'a pu l'utiliser que parce qu'il lui a également transmis le code confidentiel qui lui était attaché. Elle précise aussi que l'intimé se garde bien d'indiquer les « informations » qu'il a communiquées et parmi lesquelles figurait très certainement le code confidentiel de sa carte, ce d'autant plus qu'il indique également dans sa plainte avoir été contacté depuis un numéro masqué par un second individu qui l'a informé qu'il allait faire une demande de renouvellement en urgence de sa carte bancaire.



Elle estime que la négligence grave est caractérisée et qu'elle ne peut être tenue à paiement.



En réponse à la demande subsidiaire fondée sur un défaut de vigilance de la banque, elle rappelle que le banquier, teneur de compte dépositaire des fonds de son client, agit en qualité de mandataire au sens de l'article 1984 du code civil lorsqu'il exécute les ordres de virement, ce qu'il est tenu de faire strictement et avec diligence et qu'il est par ailleurs tenu par un strict devoir de non immixtion dans les affaires de son client et qu'il est de jurisprudence constante que la banque n'a pas à contrôler l'objet et le bien fondé des opérations de paiements qu'il lui est demandé d'exécuter.



Elle indique enfin que par application des dispositions des articles L. 133-6 et suivants du code monétaire et financier, dès lors que l'opération est autorisée, c'est-à-dire que le payeur a donné son consentement sous la forme convenue avec son prestataire de services de paiement, l'ordre de paiement est irrévocable et doit être exécuté par le banquier au plus tard le premier jour ouvrable suivant sa réception ce qui est le cas en l'espèce selon elle.



Sur la majoration du taux légal, elle indique que les dispositions de l'alinéa 3 de l'article L. 133-18 sont entrées en vigueur le 18 août 2022 et n'étaient donc pas applicables, l'opération litigieuse ayant été effectuée le 23 avril 2022.



Elle rappelle que le régime spécial applicable issu du code monétaire et financier interdit de solliciter en sus du remboursement des opérations litigieuses l'octroi d'une somme à titre de dommages et intérêts, ce qui a d'ores et déjà été jugé par la cour d'appel de Paris.



Aux termes de ses dernières conclusions notifiées par voie électronique le 16 février 2026, M. [E] demande à la cour :

- de débouter la Caisse d'épargne de son appel et de ses demandes,

- de le recevoir en l'ensemble de ses demandes, fins, conclusions d'appel incident et y faisant droit,

à titre principal,

- de juger qu'il a fait l'objet d'une fraude bancaire,

- de juger que les paiements contestés sont des opérations non-autorisées qui ont été effectuées en détournant, à son insu l'instrument de paiement ou les données qui lui sont liées,

- de juger que la Caisse d'épargne ne rapporte pas la preuve d'un comportement frauduleux, d'une intention frauduleuse ou d'une négligence grave et d'une authentification des opérations par ses soins et d'une absence de déficience technique,

- de juger que sa responsabilité n'est pas engagée,

- de juger que la Caisse d'épargne demeure entière responsable du préjudice qu'il a subi,

à titre subsidiaire,

- de juger que les opérations contestées présentent une anomalie apparente au regard de son montant et des circonstances dans lesquelles elle est intervenue,

- de juger que la Caisse d'épargne a violé son obligation de vigilance et de mise en garde en ne procédant pas à des vérifications complémentaires concernant ces opérations,

- de juger que la Caisse d'épargne demeure entièrement responsable du préjudice subi par lui,

- en conséquence, de confirmer le jugement entrepris en ce qu'il a condamné la banque à lui payer la somme de 5 036 euros, au titre de son préjudice financier, outre intérêts au taux légal majoré de quinze points, à compter de la mise en demeure, réceptionnée 8 février 2023, la somme de 1 000 euros au titre de l'article 700 du code de procédure civile et aux dépens, déclaré n'y avoir lieu à écarter l'exécution provisoire,

- d'infirmer le jugement entrepris en ce qu'il l'a débouté de sa demande tendant au paiement de la somme de 500 euros au titre de la prétendue résistance abusive de la banque,

statuant à nouveau sur ce chef,

- de condamner la Caisse d'épargne à lui payer la somme de 500 euros au titre des dommages et intérêts au regard des démarches accomplies et de sa résistance abusive, avec intérêts au taux légal à compter de la mise en demeure réceptionnée le 8 février 2023,

en toutes hypothèses, y ajoutant,

- de condamner la banque à lui payer la somme de 8 000 euros au titre de l'article 700 du code de procédure civile et aux entiers dépens dont distraction au profit de la Selarl KBC Avocat, représenté par Maître Karène Bijaoui-Cattan conformément aux dispositions de l'article 699 du code de procédure civile.



Il affirme avoir été victime d'une opération frauduleuse, à savoir la réalisation à son insu d'un achat par carte bancaire alors qu'il ne l'a pas autorisé, qu'il ne s'est pas dessaisi de son moyen de paiement et qu'il n'a pas divulgué ses coordonnées ou codes bancaires pour qu'il y soit procédé.



Il explique avoir reçu un SMS l'invitant à cliquer sur un lien y figurant avant de remplir un formulaire qu'il a pensé être celui de l'assurance maladie à raison du renouvellement opéré de sa carte vitale avec paiement d'un montant de 0,75 centimes présenté comme des frais postaux. Il rappelle que les fraudeurs mettent en place des méthodes sophistiquées et qu'ils sont tout à fait capables de commettre une opération frauduleuse de paiement, sans que l'utilisateur ne communique son code secret à quatre chiffres et sans qu'il soit dépossédé de sa carte bancaire au préalable. Il rappelle à cet égard que le code confidentiel à quatre chiffres de sa carte bleue est accessible sur l'application Sécur'Pass ce qui justifie, s'il a subi un piratage, que le fraudeur y ait eu accès.



Il ajoute que l'utilisation du « skimming » en ligne est de plus en plus répandue, que cette pratique permet notamment, par des attaques de « pharming », de rediriger l'utilisateur vers des sites internet frauduleux, imitant des sites légitimes. Il en déduit qu'il est tout à fait possible que ses informations et code confidentiel aient été récupérés de cette manière, sans qu'il ne les divulgue jamais aux deux conseillers frauduleux qu'il a eus au téléphone, qui avaient accès à son Sécur'pass de la Caisse d'épargne, et ce qui viendrait, dès lors, expliquer qu'un achat ait pu être réalisé auprès de l'enseigne Darty. Il rappelle d'ailleurs que la validation de l'opération d'un montant de 5 036 euros n'est intervenue qu'entre plusieurs opérations importantes, lesquelles n'ont pas pu aboutir.



Il estime que la Caisse d'épargne se contente de supputation sans établir les faits et les négligences qu'elle allègue, et indique qu'en cas de doute sur le consentement donné à l'opération, l'Observatoire de la Sécurité des Moyens de Paiement recommande que le prestataire de services de paiement procède sans délai au remboursement de la transaction.







Il estime n'avoir pas engagé sa responsabilité et fait valoir que selon l'article L. 133-18 du code monétaire et financier, les sommes dues produisent intérêts au taux légal majoré de quinze points au-delà de trente jours de retard.



Il explique avoir procédé à la validation d'une opération de paiement, pensant légitimement procéder au renouvellement de sa carte vitale, ce qui ne permet pas de lui imputer les multiples tentatives de paiement, outre le paiement dans un commerce physique où il ne pouvait se trouver lors de l'achat, que la banque ne rapporte aucunement la preuve qu'il est effectivement à l'origine de l'ensemble de ces tentatives de paiement et a fortiori, de l'achat physique dans le magasin Darty, que la banque aurait pu s'assurer de la responsabilité de son client en sollicitant les bandes vidéo liées à l'achat, ce qu'elle n'a jamais estimé nécessaire alors que ces éléments auraient constitué une preuve indéniable de l'éventuelle responsabilité et qu'enfin, il a toujours soutenu être resté en possession de sa carte bancaire.



Il estime que pour lui imputer ces opérations, la banque doit établir qu'il a autorisé et consenti à ces opérations litigieuses en réalisant, personnellement et consciemment, les paiements litigieux et, en confirmant chacune de ces opérations par un procédé usuel de sécurité, à savoir la communication d'un code 3D Secure, ou la validation de l'opération grâce à une notification sur le téléphone mobile invitant à l'authentification de l'utilisateur sur l'application bancaire. Il insiste sur le fait que la banque procède par allégations et qu'à aucun moment elle ne prouve qu'il aurait communiqué son code à quatre chiffres, ou son identifiant et son mot de passe à son interlocuteur, ce qu'il persiste à contester fermement.



Il note qu'il est tout à fait surprenant que la Caisse d'épargne s'estime exonérée de sa responsabilité pour certaines opérations, mais qu'elle reconnaisse que sa responsabilité a été engagée pour d'autres opérations, tout à fait similaires. Il juge aussi que n'est pas rapportée la preuve que l'opération en cause a été authentifiée, dûment enregistrée, comptabilisée et qu'elle n'a pas été affectée par une déficience technique ou autre.



Il estime que la jurisprudence de la Cour de cassation relative au « spoofing » s'applique au cas d'espèce, rappelle qu'il a reçu un appel d'une personne prétendant travailler pour la Caisse d'épargne, en évoquant un piratage en cours sur ses comptes bancaires ce qu'il a pu constater. Il ajoute avoir procédé à la validation d'une opération de paiement, pensant légitimement procéder au renouvellement de sa carte vitale, ce qui ne permet pas de lui imputer pour autant les multiples tentatives de paiements, de même que le paiement physique, dans un commerce où il ne pouvait se trouver lors de l'achat et alors que dès le premier appel, son interlocuteur l'a incité à vérifier le numéro de téléphone avec lequel il avait été contacté lequel correspondait bien au numéro de téléphone officiel de la Caisse d''épargne, indiqué sur le site internet et inscrit au dos de toutes les cartes de paiement, ce qui l'a nécessairement mis dans un climat de confiance. Il invoque un état d'angoisse, de panique et d'urgence qui ont contribué à créer une situation de vulnérabilité et qui rendent difficile l'identification d'éventuelles anomalies. Il note avoir été appelé deux fois, ce qui a permis à ses interlocuteurs de créer une véritable emprise sur lui, de la mettre en confiance et donc de diminuer sa vigilance.



Il indique avoir cru annuler les opérations frauduleuses en cours comme lui a assuré le prétendu conseiller, qu'un utilisateur normalement attentif n'aurait pas pu se douter du caractère frauduleux de l'appel car il s'agissait d'un numéro officiel de la Caisse d'épargne et qu'il a cru être pris en charge par un collaborateur de cette dernière. Enfin, il ajoute qu'en essayant de se connecter à ses comptes, il s'est aperçu que ceux-ci étaient bloqués.







Il invoque la responsabilité de la banque sur le fondement de l'article 1217 du code civil pour défaut de vigilance car selon lui la banque ne pouvait ignorer que cette opération présentait une anormalité apparente dès lors qu'elle ne renvoyait pas à des opérations habituellement réalisées par lui tant dans leur montant, au regard du bénéficiaire qu'au regard des circonstances dans lesquelles elle est intervenue. Il souligne l'augmentation anormale du plafond de la carte bancaire, les opérations ou tentatives d'opérations passées ce jour-là (9 849,12 euros chez Leroy-Merlin, 8 000 pour un concessionnaire automobile (carte grise), 1 269,95 euros non déterminé, 5 036,00 euros chez Darty et 2 518 euros x 2 à l'enseigne Boulanger). Il s'étonne aussi de ce que la banque ait permis le blocage de certaines opérations.



Il estime sa demande de remboursement légitime et demande la majoration de 15 points du taux légal dans la mesure où sa réclamation date de sa mise en demeure du 8 février 2023.



Il rappelle avoir accompli toutes les démarches utiles, être client de la Caisse d'épargne depuis plus de 50 ans, sans aucun incident et se voir imposé une procédure dans laquelle la Caisse d'épargne manque cruellement de bienveillance, faisant preuve d'un acharnement injustifié allant jusqu'à lui prêter des actes qu'il n'a jamais commis. Il estime subi un préjudice distinct lié à ce procédé vexatoire.



Pour un plus ample exposé des faits, moyens et prétentions des parties, il est renvoyé aux écritures de celles-ci conformément aux dispositions de l'article 455 du code de procédure civile.



L'ordonnance de clôture a été rendue le 11 mars 2026 et l'affaire a été appelée à l'audience du 11 mars 2026 pour être mise en délibéré par mise à disposition au greffe le 7 mai 2026.



MOTIFS DE LA DÉCISION



La recevabilité de l'action de M. [E] n'est plus remise en question à hauteur d'appel de sorte que le jugement ayant admis cette recevabilité doit être confirmé sur ce point.



Sur la demande en remboursement



Il résulte des article L. 133-3, L. 133-6 et L. 133-7 du code monétaire et financier que la détermination du caractère autorisé d'une opération ne dépend pas de l'obligation sous-jacente qui est sans conséquence sur la validité de l'ordre, mais du consentement du payeur lequel est donné « sous la forme convenue entre le payeur et son prestataire ».



Une des formes convenues envisagée par la loi est l'usage d'un dispositif de paiement avec données de sécurité personnalisées défini à l'article L. 133-4 du code monétaire et financier qui permettent d'authentifier son auteur. En vertu de l'article L.133-44 du même code, le prestataire de services de paiement applique l'authentification forte du client définie au f de l'article L. 133-4 lorsque le payeur :

1° accède à son compte de paiement en ligne ;

2° initie une opération de paiement électronique ;

3° exécute une opération par le biais d'un moyen de communication à distance, susceptible de comporter un risque de fraude en matière de paiement ou de toute autre utilisation frauduleuse.







Les articles L. 133-16 et L. 133-17 du même code imposent à la banque qui délivre un instrument de paiement :

- de s'assurer que les données de sécurité personnalisées telles que définies à l'article L. 133-4 ne sont pas accessibles à d'autres personnes que l'utilisateur autorisé à utiliser cet instrument,

- de mettre en place, à titre gratuit, les moyens appropriés permettant à l'utilisateur de procéder à tout moment à l'information prévue à l'article'L. 133-17,

- et d'empêcher toute utilisation de l'instrument de paiement après avoir été informé, conformément aux dispositions de l'article L. 133-17, de sa perte, de son vol, de son détournement ou de toute utilisation non autorisée de l'instrument de paiement ou des données qui lui sont liées.



De son côté l'utilisateur doit :

- aux termes de l'article L. 133-16 du même code, prendre toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées et utiliser l'instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation qui doivent être objectives, non discriminatoires et proportionnées,

- aux termes de l'article L. 133-17 du même code, dès qu'il en a connaissance prévenir sa banque de toute perte, vol, détournement ou de toute utilisation non autorisée de son instrument de paiement ou des données qui lui sont liées aux fins de blocage.



Il résulte des dispositions l'article L. 133-23 du code monétaire et financier :

- que lorsqu'un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l'opération de paiement n'a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l'opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu'elle n'a pas été affectée par une déficience technique ou autre,

- que la seule utilisation de l'instrument de paiement telle qu'enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l'opération a été autorisée par le payeur ou que celui-ci n'a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière et que le prestataire de services de paiement, y compris, le cas échéant, le prestataire de services de paiement fournissant un service d'initiation de paiement, fournit des éléments afin de prouver la fraude ou la négligence grave commise par l'utilisateur de services de paiement.



Il résulte par ailleurs des articles L. 311-18 et L. 311-19 du code monétaire et financier que ce n'est que dans le cas où une opération n'est pas autorisée par le client et qu'il l'a signalée dans les conditions prévues à l'article'L. 133-24 que le prestataire de services de paiement du payeur rembourse au payeur le montant de l'opération non autorisée immédiatement après avoir pris connaissance de l'opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, sauf s'il a de bonnes raisons de soupçonner une fraude de l'utilisateur du service de paiement et s'il communique ces raisons par écrit à la Banque de France.



Lorsque l'opération de paiement non autorisée est consécutive à la perte ou au vol de l'instrument de paiement, le payeur ne supporte, avant l'information prévue à l'article L. 133-17, que les pertes liées à l'utilisation de cet instrument, dans la limite d'un plafond de 50 euros sauf si l'opération non autorisée a été effectuée sans utilisation des données de sécurité personnalisées ou que la perte ou le vol d'un instrument de paiement ne pouvait être détecté par le payeur avant le paiement, ou que la perte est due à des actes ou à une carence d'un salarié, d'un agent ou d'une succursale d'un prestataire de services de paiement ou d'une entité vers laquelle ses activités ont été externalisées.







La responsabilité du payeur n'est pas non plus engagée si l'opération de paiement non autorisée a été effectuée en détournant, à l'insu du payeur, l'instrument de paiement ou les données qui lui sont liées, ni en cas de contrefaçon de l'instrument de paiement si, au moment de l'opération de paiement non autorisée, le payeur était en possession de son instrument.



Sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si le prestataire de services de paiement ne fournit pas de moyens appropriés permettant l'information aux fins de blocage de l'instrument de paiement prévue à l'article L. 133-17.



En revanche, le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d'un agissement frauduleux de sa part ou s'il n'a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17.



Enfin, sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si l'opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement du payeur n'exige une authentification forte du payeur prévue à l'article L. 133-44.



Il résulte donc de l'enchevêtrement de ces textes que pour éviter toute fraude, la banque se doit de mettre en 'uvre des procédés techniques de protection des opérations au moyen d'éléments personnels d'identification de l'utilisateur, que plus l'opération nécessite l'utilisation de données d'authentification, plus elle est considérée comme ayant été autorisée par l'utilisateur, lequel peut néanmoins toujours nier l'avoir autorisée, que dans ce cas la banque doit :

1/ prouver que ce sont bien les données d'authentification de l'utilisateur qui ont été utilisées et qu'il n'y a pas eu de défaillance technique,

et 2/ même dans le cas où l'authentification est renforcée et où ces données ont été utilisées, fournir des éléments afin de prouver la fraude ou la négligence grave commise par l'utilisateur de services de paiement.



L'utilisateur qui nie avoir autorisé une opération réalisée avec ses données d'authentification forte se doit de prévenir sa banque dès qu'il en a connaissance.



D'autre part l'utilisateur qui se doit de préserver ses données d'authentification forte doit être vigilant à réception de messages ou d'informations lui demandant la communication des données censées protéger les ordres de paiement mais il ne commet pas nécessairement de négligence fautive s'il se les fait dérober. Il a ainsi pu être jugé que ne commettait pas de faute l'utilisateur qui, répondant à un numéro d'appel apparaissant sur son téléphone portable comme étant celui de sa banque, procédait à la validation d'opération mais que commettait une négligence grave celui qui répondait à des messages dont la nature frauduleuse aurait dû lui apparaître ou cliquait sur des liens douteux.



Les traces informatiques produites par la Caisse d'épargne en ses pièces 4, 4 bis et 13, mettent en évidence que l'opération de paiement litigieuse de 5 036 euros a été réalisée en utilisant la carte bancaire de M. [E] (« puce EMV ») le 23 avril 2022 à 16 heures 10 et 47 secondes au magasin Darty de [Localité 3] (92) et en composant le code confidentiel associé à la carte bancaire sur le terminal de paiement du magasin.



L'opération a donc nécessité la possession de la carte de M. [E] et la connaissance du code confidentiel associé connu de lui seul sachant que l'intéressé conteste formellement s'être départi de sa carte bancaire, avoir fait l'objet d'une perte ou d'un vol ni avoir communiqué son code associé.



Le paiement a été précédé le 23 avril 2022 à 12 heures 59 d'une validation en ligne d'une augmentation du plafond de la carte bancaire et également comme le démontrent les relevés de comptes produits par M. [E], de virements de différentes sommes en provenance du livret A et du livret de développement durable sur le compte bancaire (10 000 euros du LDD au compte, 3 000 euros du Livret A au compte).



Les pièces communiquées démontrent que M. [E] a réagi très rapidement puisqu'il a le jour même de l'opération contestée, déposé plainte et formé opposition à 16 heures 55 puis dénoncé le paiement litigieux auprès de sa banque le 26 avril 2022.



Il résulte de ce qui précède que la banque établit donc bien, conformément aux textes susvisés, que les opérations litigieuses ont été authentifiées, dûment enregistrées et comptabilisées et qu'elles n'ont pas été affectées par une déficience technique.



La banque soutient que M. [E] a fait preuve de négligence grave eu sens des textes susvisés. Cette appréciation doit être opérée au regard du comportement normalement attentif d'un individu face à des indices qui auraient dû l'alerter ou le faire douter du caractère frauduleux des instructions données, sachant que l'utilisateur doit prendre toute mesure raisonnable pour préserver la sécurité des dispositifs de sécurités personnalisés mis à sa disposition et avertir sans délai la banque d'une utilisation non autorisée.



La Cour de cassation, dans son arrêt cité par les parties du 23 octobre 2024 ([Etablissement 1]., 23 octobre 2024, pourvoi n° 23-16.267) retient qu'aucune négligence grave au sens de l'article L. 133-19 du code monétaire et financier ne peut être imputée au titulaire d'un compte qui, contacté téléphoniquement par une personne se faisant passer pour un préposé de sa banque dont le numéro s'affichait, utilise à sa demande le dispositif de sécurité personnalisé pour supprimer puis réinscrire des bénéficiaires de virements dans le but d'éviter des opérations malveillantes.



M. [E] a déposé plainte une première fois le 23 avril 2022 auprès du commissariat de [Localité 5] et a complété sa première plainte les 26 avril et 30 avril suivants.



Il résulte de ses propres déclarations issues de ces plaintes conformes à ce qu'il évoque dans le courrier de réclamation adressée à sa banque le 26 avril 2022, qu'il a répondu le 23 avril 2022 à un SMS lui indiquant que sa nouvelle carte vitale était disponible et l'invitant à cliquer sur le lien suivant «' https://[01].fr/'», ce qu'il a fait, le conduisant sur une page internet similaire à celle qu'il connaissait de l'assurance maladie, renseignant son nom, adresses postale et numérique, ses coordonnées bancaire en vue d'un envoi de 0,75 centimes de frais postaux. Il ajoute que le même jour après déjeuner, il a reçu un appel téléphonique du «'[XXXXXXXX01]'», que son interlocuteur s'est présenté comme M. [H] du service «'Securipass'» de la Caisse d'épargne, qu'afin de la rassurer, cette personne lui a dit de regarder au dos de sa carte bancaire pour constater que le numéro affiché sur son téléphone correspondait au même numéro de service d'opposition soit le «'[XXXXXXXX01]'», qu'il lui a indiqué qu'il était victime d'une fraude, lui demandant d'accéder à l'onglet relatif au Sécuripass de son application bancaire afin de valider l'annulation de opérations, en lui précisant qu'il se chargeait de faire opposition et lui demandant d'envoyer copie de sa carte d'identité à l'adresse suivante «'[Courriel 1]'» ce qu'il a fait, et en lui indiquant qu'il fallait détruire la carte bancaire. Il ajoute que l'individu l'a rassuré car ses comptes étaient bloqués en lui disant que c'était normal au regard de l'opposition, qu'il allait faire un rapport à un autre collègue qui allait l'appeler afin de renouveler sa carte bancaire, en express. Il précise qu'une heure après, il a reçu un nouvel appel téléphonique d'une autre personne depuis un appel masqué l'informant de ce qu'elle allait faire une demande de renouvellement de carte bancaire. Ne pouvant plus se connecter à ces comptes, il précise avoir commencé à douter de la sincérité des appels reçus, puis avoir contacté le centre d'opposition, avoir appris qu'il n'y avait aucune opposition en cours puis avoir fait opposition. Il ajoute s'être rendu à sa banque, avoir été contacté par le service des fraudes de la Caisse d'épargne et avoir appris qu'il y avait eu de nombreuses tentatives de fraudes sur ses comptes en plus du paiement litigieux.



Il doit être constaté d'emblée que M. [E] ne fournit aucun élément de type capture d'écran, journal d'appels permettant d'accréditer ses dires quant à la réception d'un SMS le 23 avril 2022, quant au numéro de téléphone de son interlocuteur ou encore quant à la configuration du site de l'Assurance maladie auquel il a accédé après avoir cliqué sur un lien.



Si l'on s'en tient à ses déclarations, plusieurs éléments sont à relever :

- la réception d'un message par SMS de l'assurance maladie demandant à M. [E] de régler une somme de 0,75 centimes à titre de frais pour le renouvellement de sa carte vitale aurait dû l'alerter dans la mesure où une simple vérification par internet permet de dire qu'aucun frais postal ni aucun autre frais n'est prévu pour ce renouvellement, mais que l'intéressé qui fait une demande par courrier doit prévoir lui-même une enveloppe affranchie pour le retour,

- il est imprudent de cliquer sur le lien figurant dans le message sans s'assurer que l'adresse proposée à savoir «' https://[01].fr/'», correspond bien à celle de l'Assurance maladie alors qu'une simple vérification par le biais de l'internet permet de constater que la bonne adresse du site [A] est «'https://[02].fr/'» et pas «'https://[01].fr/'»' tout en remplissant des données à caractère personnel à savoir nom, adresses postale et numérique, coordonnées bancaire sans aucune vérification préalable de la pertinence de l'action entreprise,

- la Caisse d'épargne établit que le numéro d'opposition des cartes bancaires est le «'09.69.36.39.39'» et pas le « 09.69.36.45.45'», qui correspond au service de garantie et d'assurance de la banque sans qu'il ne soit possible de dire à défaut d'élément si ce numéro figurait au dos de la carte bancaire en possession de M. [E] ; quoi qu'il en soit, celui-ci n'a pu être mis en confiance comme il l'indique par son interlocuteur au regard du numéro d'appel qui ne correspond ni au service d'opposition de la Caisse d'épargne et encore moins à l'agence bancaire de M. [E],

- la Caisse d'épargne justifie que M. [E] bénéficie du service de banque à distance Direct Écureuil dans le cadre duquel il peut recourir à «'Sécur'Pass'» le dispositif d'authentification forte permettant notamment de valider des opérations sensibles initiées depuis son espace personnel de banque à distance ou des opérations de paiement réalisées en ligne (virement) et à distance par carte bancaire (e-commerce) via l'application mobile de la Caisse d'épargne de sorte que l'évocation par son interlocuteur du dispositif «'Sécuripass'» aurait dû attirer son attention,

- s'il a pu être placé dans un certain contexte d'urgence au regard de la fraude dénoncée par son interlocuteur qu'il a pu constater en se connectant à ses comptes, force est de relever qu'il a agi sur instigation d'un interlocuteur inconnu de lui, sans vérification préalable au regard d'une demande inhabituelle et alors qu'un simple appel le même jour au service d'opposition de la Caisse d'épargne lui a permis d'apprendre qu'il s'agissait d'un stratagème et de faire réellement opposition ce qui lui sera confirmé le même jour à 16 heures 55,

- il ne s'est pas non plus étonné qu'on lui demande de communiquer la copie de sa carte d'identité sur un site qu'il ne connaissait pas et sans vérification préalable à savoir «'support@centre opposition.fr ».







Ces éléments sont constitutifs de négligences graves de la part de M. [E] au sens de l'article L. 133-19 du code monétaire et financier étant précisé que l'opposition a été confirmée par SMS le 23 avril 2022 à 16 heures 55 selon les traces informatiques produites, de sorte que le fait que la banque ait bloqué deux opérations suspectes de paiement en faveur de l'enseigne Boulanger le 23 avril 2022 17h49 soit postérieurement à l'opposition n'est pas en soit critiquable ni révélateur de ce que la Caisse d'épargne aurait admis l'existence d'une fraude pour certaines opérations réalisées ce jour-là et pas pour d'autres.



En l'absence d'allégation de vol ou de perte de la carte bancaire, les opérations passées depuis le compte de M. [E] doivent être considérées comme ayant été nécessairement authentifiées par lui ou par une personne qui avait à sa disposition son code confidentiel.



Il convient donc d'infirmer le jugement en ce qu'il a accueilli la demande tendant au remboursement des sommes détournées et de débouter M. [E] de sa demande à ce titre.



Sur le défaut de vigilance de la banque



Si l'appelant impute en outre à la banque un manquement à un devoir de vigilance, il doit être rappelé que lorsque le différend concerne des relations entre le prestataire de services de paiement et l'utilisateur des services de paiement, les règles édictées par les articles L. 133-18 et L. 133-24 du code monétaire et financier s'appliquent de manière exclusive.



Au demeurant, il est acquis que banquier est tenu de s'abstenir de toute immixtion dans la gestion des affaires de ses clients et qu'il n'est pas démontré en quoi l'opération de paiement litigieuse aurait dû alerter particulièrement la banque.



Il convient donc de débouter M. [E] de sa demande à ce titre.



Sur la demande d'indemnisation complémentaire



M. [E] demande la condamnation de la Caisse d'épargne à lui payer la somme de 500 euros au titre des dommages et intérêts au regard des démarches accomplies et de sa résistance abusive, avec intérêts au taux légal à compter de la mise en demeure réceptionnée le 8 février 2023.



La motivation qui précède rend sans effet cette demande d'indemnisation laquelle doit être rejetée. Partant le jugement doit être confirmé sur ce point.



Sur les autres demandes



M. [E] qui succombe doit supporter les dépens de première instance et d'appel et il apparaît équitable de ne pas faire application des dispositions de l'article 700 du code de procédure civile.



PAR CES MOTIFS



LA COUR,



Statuant par arrêt contradictoire,



Infirme le jugement sauf en ce qu'il a reçu M. [D] [E] en son action et rejeté la demande indemnitaire formée par lui ;



Statuant à nouveau et y ajoutant,



Déboute M. [D] [E] de toutes ses demandes ;



Condamne aux dépens M. [D] [E] aux dépens de première instance et d'appel avec pour ces derniers distraction au profit de Maître Bertrand Chambreuil, avocat au barreau de Paris dans les conditions de l'article 699 du code de procédure civile ;



Dit n'y avoir lieu à application des dispositions de l'article 700 du code de procédure civile ;



Rejette toute demande plus ample ou contraire.





La greffière La présidente