Données personnelles et dispositifs de sécurité : absence de négligence grave dans une fraude par vishing

La multiplication des paiements dématérialisés a ouvert la voie à des innovations majeures dans le traitement des opérations bancaires, mais a également intensifié les risques liés à la fraude, en particulier les fraudes dites de vishing, c’est-à-dire les escroqueries réalisées par téléphone.
Pour faire supprimer un contenu qui bafoue vos droits, utilisez le service mis en place par le cabinet Murielle-Isabelle CAHEN.

Dans ce contexte, la réglementation relative aux services de paiement et à la sécurité des dispositifs d’authentification revêt une importance décisive, notamment les articles L. 133-16 et L. 133-19 du Code monétaire et financier (CMF), qui posent le régime de la responsabilité du payeur et du prestataire de services de paiement (PSP). (1) 👉 Article L.133-19 CMF : (2)

La notion de négligence grave, au cœur du litige, conditionne l’exonération de la banque lorsqu’un ordre de paiement non autorisé a été exécuté grâce à l’utilisation d’un dispositif de sécurité personnalisé. Cette notion, qui n’est pas définie légalement, est donc façonnée par la jurisprudence, laquelle oscille entre protection du consommateur ou de l’entreprise victime de fraude, et impératif de prévention des risques par l’utilisateur.

L’arrêt rendu par la Cour de cassation, chambre commerciale, le 12 juin 2025 (3) s’inscrit pleinement dans cette tendance jurisprudentielle visant à déterminer si le comportement du salarié d’une entreprise, manipulé par un escroc se faisant passer pour un technicien bancaire, peut être qualifié de négligence grave privant la société victime du remboursement des opérations frauduleuses.

Besoin de l’aide d’un avocat pour un problème de fraude ?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien

L’affaire met en scène une société de transport dont la secrétaire est contactée par téléphone par un faux technicien de la BNP Paribas. L’escroc, après avoir usurpé un numéro de banque et fourni des informations exactes sur les opérations du compte, convainc la salariée d’effectuer diverses manipulations sur le système sécurisé permettant habituellement la validation de virements, conduisant à deux virements frauduleux pour près de 98 000 €.

La question essentielle était donc de savoir si l’entreprise, par l’intermédiaire de son employée, avait commis une négligence grave justifiant l’exonération de la banque de son obligation de remboursement. La Cour de cassation approuve ici la cour d’appel d’avoir exclu une telle négligence, retenant au contraire que l’escroc avait mis en place un stratagème particulièrement élaboré, notamment grâce à l’usurpation du numéro de téléphone, la connaissance des opérations en cours, et la non-demande de mot de passe, éléments pouvant légitimement induire l’utilisateur en erreur.

Ainsi, cet arrêt s’inscrit dans la ligne d’une jurisprudence protectrice du client en matière de sécurité des dispositifs de paiement, illustrée par exemple par des décisions antérieures concernant le phishing ou le vishing, où la négligence grave n’est retenue que lorsque le comportement du payeur a été d’une particulière imprudence. (4)

Cet arrêt invite donc à examiner les contours de la notion de négligence grave et le rôle probatoire assigné à la banque dans ce type de litige.

I – Le régime juridique applicable aux opérations de paiement frauduleuses

A – Les obligations de sécurité imposées au client utilisateur d’un service de paiement

Les articles L.133-16 et L.133-19 du Code monétaire et financier constituent le socle juridique de la responsabilité du payeur en cas d’opération non autorisée.

L’article L. 133-16 CMF impose au payeur de :

• Prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs personnalisés ;
• Informer sans tarder la banque de toute utilisation non autorisée.

L’article L. 133-19 CMF, quant à lui, prévoit que :

• La banque doit rembourser les opérations non autorisées,
• Sauf si elle prouve une négligence grave du client ou une fraude de sa part.

La négligence grave s’apprécie strictement : le client ne doit être sanctionné que s’il a méconnu de manière flagrante les règles élémentaires de sécurité. La jurisprudence exige un comportement imprudent « d’une particulière gravité », dépassant la simple négligence.

Dans l’affaire commentée, la BNP Paribas soutenait que la secrétaire avait communiqué des données sensibles par téléphone, ce qui constituerait une violation manifeste des règles de sécurité. Toutefois, les juges ont considéré que le stratagème mis en place par l’escroc faisait obstacle à une telle qualification.

B – La charge de la preuve : un fardeau reposant sur le prestataire de services de paiement

Selon l’article L. 133-23 CMF, c’est à la banque qu’il appartient de prouver la négligence grave du client. (5)

La Cour de cassation rappelle régulièrement ce principe (6) : Mais attendu que si, aux termes des articles L. 133-16 et L. 133-17 du code monétaire et financier, il appartient à l’utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d’informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l’instrument de paiement ou des données qui lui sont liées, c’est à ce prestataire qu’il incombe, par application des articles L. 133-19, IV, et L. 133-23 du même code, de rapporter la preuve que l’utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence grave à ses obligations ; que cette preuve ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés ; qu’ayant souverainement retenu qu’il ne résultait pas des pièces versées aux débats la preuve que M. X… avait divulgué à un tiers, de manière intentionnelle, par imprudence ou par négligence grave, des éléments d’identification strictement confidentiels ayant permis les paiements contestés et que la Caisse se bornait à évoquer l’hypothèse d’un « hameçonnage », en prétendant que M. X… avait certainement répondu à un courriel frauduleux qu’il pensait émaner de la Caisse pour qu’il renseigne un certain nombre de points dont les identifiants, mots de passe et codes de clefs qui permettent de réaliser les opérations à distance, sans en apporter la démonstration, c’est exactement que la juridiction de proximité, qui n’était pas tenue de suivre les parties dans le détail de leur argumentation et a procédé à la recherche prétendument omise, a accueilli la demande de remboursement de M. X… ; que le moyen n’est pas fondé ;

Dans l’arrêt du 12 juin 2025, la banque invoquait plusieurs éléments :

• la salariée aurait manipulé le boîtier de sécurité ;
• elle aurait communiqué une clé d’accès ;
• elle aurait validé des opérations pour lesquelles elle n’était pas habilitée.

La Cour de cassation écarte ces arguments, relevant que :

• l’escroc n’a jamais demandé de mot de passe,
• il avait usurpé un numéro légitime,
• il connaissait les écritures du matin,
• et l’employée n’a pas eu conscience de valider un virement.

Ces éléments suffisent à écarter la négligence grave, puisque la banque n’a pas démontré un comportement objectivement déraisonnable.

II – L’appréciation souveraine de l’absence de négligence grave par les juges du fond

A – Le stratagème élaboré et la tromperie crédible : un obstacle à la qualification de négligence grave

Les juges du fond ont relevé plusieurs éléments montrant que l’employée avait été victime d’une tromperie sophistiquée :

• usurpation d’un numéro BNP Paribas (phénomène de spoofing) ;
• présentation d’un incident informatique plausible ;
• connaissance des opérations effectuées le matin même ;
• absence de demande de mot de passe, ce qui renforçait la crédibilité de l’appel.

La Cour utilise ici un critère subjectivisé raisonnable : la question est de savoir si, à la place de la salariée, un utilisateur normalement attentif aurait pu être trompé.

Ce raisonnement rejoint une tendance jurisprudentielle constante en matière de fraude bancaire.

Ainsi, la Cour refuse de retenir la négligence grave dès lors que la fraude repose sur une manipulation psychologique sophistiquée, rendant la vigilance ordinaire insuffisante.

B – L’absence d’utilisation consciente du dispositif de sécurité et la non-imputation au titulaire de la CTS

La banque soutenait que la secrétaire avait utilisé la Carte Transfert Sécurisé (CTS) du dirigeant pour valider les virements, ce qui constituerait une négligence supplémentaire.

Or, les juges relèvent que :

• l’enquête ne démontre pas que la salariée a eu accès à la CTS du dirigeant ;
• l’historique des opérations montre que le numéro d’abonné n’était pas attaché à la validation des tiers ;
• la salariée n’a jamais eu conscience de valider un virement, mais seulement d’exécuter une procédure présentée comme technique.

La Cour en déduit que la manipulation du boîtier n’était pas la validation consciente d’un ordre de paiement, mais le résultat d’une tromperie.

Elle confirme donc l’analyse de la cour d’appel : la banque ne rapporte pas la preuve d’une négligence grave, et doit rembourser les 98 000 €.

Par son arrêt du 12 juin 2025, la Cour de cassation confirme une position protectrice à l’égard des utilisateurs de services de paiement victimes de fraudes sophistiquées. La négligence grave demeure une notion d’interprétation stricte, et il incombe au prestataire de services de paiement d’en rapporter la preuve.

Lorsque la fraude repose sur un mécanisme de tromperie élaboré, impliquant usurpation d’identité, connaissance d’informations internes et absence de signes manifestes de danger, la responsabilité du client ne peut être retenue.

Pour lire une version plus courte de cet article sur la fraude téléphonique, cliquez

Sources :

1. https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000035430501?isSuggest=true
2. https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000035430527/2025-11-16?isSuggest=true
3. https://www.legifrance.gouv.fr/juri/id/JURITEXT000051744492?isSuggest=true
4. https://www.legifrance.gouv.fr/juri/id/JURITEXT000037495519?fonds=JURI&page=1&pageSize=10&query=le+phishing&searchField=ALL&searchType=ALL&tab_selection=all&typePagination=DEFAULT
5. https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000035430567?isSuggest=true
6. https://www.legifrance.gouv.fr/juri/id/JURITEXT000033901282?fonds=JURI&page=1&pageSize=10&query=c%E2%80%99est+%C3%A0+la+banque+qu%E2%80%99il+appartient+de+prouver+la+n%C3%A9gligence+grave+du+client.&searchField=ALL&searchType=ALL&tab_selection=all&typePagination=DEFAULT