CONTACT

Fraude bancaire et négligence grave : la Cour de cassation précise la charge de la preuve en cas de phishing

17 juin 2025 | Derriennic Associés |

Fraude bancaire et négligence grave : la Cour de cassation précise la charge de la preuve en cas de phishing

Dans un arrêt du 30 avril 2025 (n° 24-10.149), la chambre commerciale de la Cour de cassation revient sur la répartition de la charge de la preuve en cas d’opérations de paiement non autorisées consécutives à une fraude par hameçonnage. Cet arrêt rappelle les obligations respectives de la banque et de son client, et de préciser les contours de la notion de « négligence grave » au sens du Code monétaire et financier.

Une fraude par hameçonnage aux lourdes consequences

Une société basée dans le Finistère est cliente du Crédit Agricole du Finistère. Elle disposait d’un compte courant et d’un accès au service de banque en ligne CAEL.  

Le 26 novembre 2020, elle est victime d’une fraude : un tiers parvient à ajouter un bénéficiaire frauduleux via l’espace en ligne de la société.

Entre le 27 novembre et le 3 décembre 2020, sept virements sont effectués au profit d’un certain « CHADIDOM », pour un montant total de 139 713 €. La société découvre la fraude le 2 décembre et alerte immédiatement sa banque, qui parvient à récupérer 89 016,51 €. La SARL réclame le remboursement du solde, soit 50 696,49 €.

La procedure judiciaire

Le jugement de première instance

Le tribunal de commerce de Quimper condamne la banque à indemniser la société, estimant que la preuve d’une négligence grave n’était pas rapportée.

L’arrêt de la cour d’appel de Rennes

La cour d’appel infirme le jugement. Elle retient que le dirigeant de la société a cliqué sur un courriel frauduleux manifestement suspect (l’adresse email frauduleuse, les incohérences lexicales (« SECURPASS » au lieu de « SECURIPASS »), malgré une alerte antérieure de son conseiller bancaire. Elle conclut à une négligence grave, exonérant ainsi la banque de sa responsabilité.

L’arrêt de la Cour de cassation du 30 avril 2025

Toutefois, la Cour de Cassation censure l’arrêt d’appel. 

En premier lieu, la Cour rappelle que les obligations des Parties à un contrat de service de fourniture de service de paiement sont prévues par le Code monétaire et financier (articles L. 133-15 et suivants) :

  • Pèse sur le client une obligation de préserver la sécurité de ses identifiants en s’abstenant notamment de commettre tout acte de négligence grave.
  • De se côté, pour éviter de voir sa responsabilité contractuelle engagée, la banque doit agir promptement, dès qu’elle est informée par le client dont les identifiants ont été compromis, divulgués ou appréhendés pour tenter de minimiser son préjudice. 

Toutefois, si la banque parvient à démontrer que le client s’est rendu coupable de négligence grave quant à son obligation de conservation des identifiants, elle peut s’opposer aux demandes de remboursement des sommes éventuellement détournées.

Pour mettre en œuvre cette prérogative, la Cour de Cassation rappelle que depuis 2020, les banques doivent s’assurer et prouver que « les opérations de paiement litigieuses avaient été authentifiées, dûment enregistrées et comptabilisées et qu’elles n’avaient pas été affectées par une déficience technique ou autre ». 

De même, toute cour d’appel saisie d’un tel litige doit vérifier que la banque rapporte la preuve qu’elle a procédé à ces vérifications et ne peut contenter de motiver son arrêt en ne faisant état que des négligences graves du client.

Dans notre cas, la cour d’appel de Rennes n’a pas procédé à cette vérification et s’est contentée de motiver son arrêt en visant les négligences graves du client. Son arrêt devait nécessairement être censuré.

Enseignements pratiques pour les professionnels

Cet arrêt constitue donc un rappel opportun de leurs obligations, tant pour les banques que les clients.

Pour les établissements bancaires

  • Renforcer les dispositifs d’alerte (double canal, accusé de réception, etc.)
  • Documenter rigoureusement les preuves d’authentification et de notification
  • Former les clients professionnels aux risques de phishing

Pour les entreprises clientes

  • Sensibiliser les dirigeants et collaborateurs aux techniques de fraude
  • Mettre en place des procédures internes de vérification avant validation de virements
  • Réagir immédiatement en cas de suspicion de fraude pour maximiser les chances de récupération des fonds

Cet arrêt s’inscrit dans une jurisprudence de plus en plus exigeante à l’égard des clients professionnels en matière de sécurité des paiements. Il confirme que la négligence grave peut être caractérisée par un simple clic imprudent, dès lors que des signaux d’alerte étaient présents. Pour les entreprises comme pour les banques, la vigilance numérique devient une obligation juridique à part entière.

Personnalisation des cookies

Cookies de mesures d'audience

Ce site utilise Matomo à des fins statistiques (cookies de mesure d’audience). Ils permettent de savoir combien de fois une page déterminée a été consultée. Nous utilisons ces informations uniquement pour améliorer le contenu de notre site Internet.

Il s’agit des cookies suivants :

_ga : Ce cookie permet d’identifier les visiteurs du site via l’adresse IP de l’utilisateur. Elle est ensuite anonymisée par Matomo Analytics.

_gat_gtag_UA_162039697_1 : Ce cookie permet de limiter le nombre de requêtes simultanées au site et d’éviter les bugs

_gid : Ce cookie permet d’identifier les visiteurs du site via leur adresse IP (conservation de 24h). Elle est ensuite anonymisée par Matomo Analytics.

Vous pouvez consulter la page dédié à la protection des données de Matomo