21 Jan 2026
Arnaque téléphonique et données personnelles : la justice protège les victimes vigilantes
L’essor des services de paiement dématérialisés, encouragé par la digitalisation croissante de l’activité bancaire, a considérablement transformé le paysage financier contemporain.
Si cette évolution permet une gestion plus fluide et plus rapide des opérations, elle fait naître parallèlement de nouveaux risques, en particulier ceux liés aux techniques d’ingénierie sociale. Parmi celles-ci, les fraudes dites de vishing, reposant sur des manipulations téléphoniques destinées à obtenir des informations confidentielles, se sont multipliées et complexifiées, prenant souvent la forme de scénarios très élaborés.
Face à ces menaces, le cadre juridique applicable aux services de paiement revêt une importance cruciale. Le Code monétaire et financier, notamment ses articles L. 133-16 et L. 133-19, organise la répartition des responsabilités entre l’utilisateur d’un service de paiement et son prestataire, en particulier lorsque des opérations non autorisées ont été exécutées. Au centre de ce régime se trouve la notion de négligence grave, véritable pivot permettant au prestataire de se libérer de son obligation de remboursement en cas d’opération frauduleuse. Fruit d’une construction jurisprudentielle, cette notion exige du juge qu’il apprécie avec finesse le comportement de l’utilisateur au regard des obligations de prudence qui s’imposent à lui.
Besoin de l’aide d’un avocat pour un problème de contrefaçon ?
Téléphonez – nous au : 01 43 37 75 63
ou contactez – nous en cliquant sur le lien
C’est précisément dans ce contexte que s’inscrit l’arrêt rendu par la Cour de cassation le 12 juin 2025, lequel apporte une nouvelle illustration de la manière dont les juges appréhendent la négligence grave dans un contexte de fraude téléphonique particulièrement sophistiquée. L’affaire concerne une société dont la secrétaire, victime d’une usurpation d’identité orchestrée par un pseudo-technicien bancaire, a été amenée à manipuler un dispositif d’authentification sécurisé, permettant ainsi la réalisation de deux virements frauduleux pour un montant avoisinant 98 000 €.
La question centrale était alors de déterminer si le comportement de la salariée – et, par ricochet, celui de l’entreprise – pouvait être qualifié de négligence grave, justifiant l’exonération de la banque. La Cour de cassation valide le raisonnement des juges du fond, estimant que la crédibilité du stratagème mis en place, fondé sur l’usurpation d’un numéro de téléphone, la connaissance d’opérations internes et l’absence de demande d’éléments classiquement considérés comme sensibles, excluait toute négligence grave.
Ce faisant, la Haute juridiction s’inscrit dans la continuité d’une jurisprudence attentive à la réalité des mécanismes frauduleux modernes, et réticente à sanctionner l’utilisateur lorsque celui-ci a été confronté à une manœuvre particulièrement convaincante. Cette approche, déjà perceptible dans des affaires antérieures relatives au phishing ou au vishing, confirme que la négligence grave demeure une notion d’interprétation restrictive, dont la preuve incombe strictement au prestataire de services de paiement.
I – Le cadre légal du paiement frauduleux et la responsabilisation du client
A – Les obligations de vigilance et de sécurisation pesant sur l’utilisateur
Les articles L.133-16 et L.133-19 du Code monétaire et financier constituent le socle juridique de la responsabilité du payeur en cas d’opération non autorisée.
L’article L. 133-16 CMF impose au payeur de :
- Prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs personnalisés ;
- Informer sans tarder la banque de toute utilisation non autorisée.
L’article L. 133-19 CMF, quant à lui, prévoit que :
- La banque doit rembourser les opérations non autorisées,
- Sauf si elle prouve une négligence grave du client ou une fraude de sa part.
La négligence grave s’apprécie strictement : le client ne doit être sanctionné que s’il a méconnu de manière flagrante les règles élémentaires de sécurité. La jurisprudence exige un comportement imprudent « d’une particulière gravité », dépassant la simple négligence.
Dans l’affaire commentée, la BNP Paribas soutenait que la secrétaire avait communiqué des données sensibles par téléphone, ce qui constituerait une violation manifeste des règles de sécurité. Toutefois, les juges ont considéré que le stratagème mis en place par l’escroc faisait obstacle à une telle qualification.
B – Une preuve de la négligence grave strictement encadrée et à la charge du prestataire
La Cour de cassation rappelle régulièrement ce principe : Mais attendu que si, aux termes des articles L. 133-16 et L. 133-17 du code monétaire et financier, il appartient à l’utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d’informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l’instrument de paiement ou des données qui lui sont liées, c’est à ce prestataire qu’il incombe, par application des articles L. 133-19, IV, et L. 133-23 du même code, de rapporter la preuve que l’utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence grave à ses obligations ; que cette preuve ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés ; qu’ayant souverainement retenu qu’il ne résultait pas des pièces versées aux débats la preuve que M. X… avait divulgué à un tiers, de manière intentionnelle, par imprudence ou par négligence grave, des éléments d’identification strictement confidentiels ayant permis les paiements contestés et que la Caisse se bornait à évoquer l’hypothèse d’un « hameçonnage », en prétendant que M. X… avait certainement répondu à un courriel frauduleux qu’il pensait émaner de la Caisse pour qu’il renseigne un certain nombre de points dont les identifiants, mots de passe et codes de clefs qui permettent de réaliser les opérations à distance, sans en apporter la démonstration, c’est exactement que la juridiction de proximité, qui n’était pas tenue de suivre les parties dans le détail de leur argumentation et a procédé à la recherche prétendument omise, a accueilli la demande de remboursement de M. X… ; que le moyen n’est pas fondé ;
Dans l’arrêt du 12 juin 2025, la banque invoquait plusieurs éléments :
- la salariée aurait manipulé le boîtier de sécurité ;
- elle aurait communiqué une clé d’accès ;
- elle aurait validé des opérations pour lesquelles elle n’était pas habilitée.
La Cour de cassation écarte ces arguments, relevant que :
- l’escroc n’a jamais demandé de mot de passe,
- il avait usurpé un numéro légitime,
- il connaissait les écritures du matin,
- et l’employée n’a pas eu conscience de valider un virement.
Ces éléments suffisent à écarter la négligence grave, puisque la banque n’a pas démontré un comportement objectivement déraisonnable.
II – L’appréciation judiciaire de la faute du client face aux stratagèmes frauduleux
A – La fraude sophistiquée comme obstacle à la qualification de négligence grave
Les juges du fond ont relevé plusieurs éléments montrant que l’employée avait été victime d’une tromperie sophistiquée :
- usurpation d’un numéro BNP Paribas (phénomène de spoofing) ;
- présentation d’un incident informatique plausible ;
- connaissance des opérations effectuées le matin même ;
- absence de demande de mot de passe, ce qui renforçait la crédibilité de l’appel.
La Cour utilise ici un critère subjectivisé raisonnable : la question est de savoir si, à la place de la salariée, un utilisateur normalement attentif aurait pu être trompé.
Ce raisonnement rejoint une tendance jurisprudentielle constante en matière de fraude bancaire.
Ainsi, la Cour refuse de retenir la négligence grave dès lors que la fraude repose sur une manipulation psychologique sophistiquée, rendant la vigilance ordinaire insuffisante.
B – L’usage non conscient du dispositif de sécurité et l’impossibilité d’imputer la faute au client
La banque soutenait que la secrétaire avait utilisé la Carte Transfert Sécurisé (CTS) du dirigeant pour valider les virements, ce qui constituerait une négligence supplémentaire.
Or, les juges relèvent que :
- l’enquête ne démontre pas que la salariée a eu accès à la CTS du dirigeant ;
- l’historique des opérations montre que le numéro d’abonné n’était pas attaché à la validation des tiers ;
- la salariée n’a jamais eu conscience de valider un virement, mais seulement d’exécuter une procédure présentée comme technique.
La Cour en déduit que la manipulation du boîtier n’était pas la validation consciente d’un ordre de paiement, mais le résultat d’une tromperie.
Elle confirme donc l’analyse de la cour d’appel : la banque ne rapporte pas la preuve d’une négligence grave, et doit rembourser les 98 000 €.
Par son arrêt du 12 juin 2025, la Cour de cassation confirme une position protectrice à l’égard des utilisateurs de services de paiement victimes de fraudes sophistiquées. La négligence grave demeure une notion d’interprétation stricte, et il incombe au prestataire de services de paiement d’en rapporter la preuve.
Lorsque la fraude repose sur un mécanisme de tromperie élaboré, impliquant usurpation d’identité, connaissance d’informations internes et absence de signes manifestes de danger, la responsabilité du client ne peut être retenue.
Pour lire une version plus complet de cet article sur la fraude téléphonique et le vishing, cliquez
Sources :
- https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000035430501?isSuggest=true
- https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000035430527/2025-11-16?isSuggest=true
- https://www.legifrance.gouv.fr/juri/id/JURITEXT000051744492?isSuggest=true
- https://www.legifrance.gouv.fr/juri/id/JURITEXT000037495519?fonds=JURI&page=1&pageSize=10&query=le+phishing&searchField=ALL&searchType=ALL&tab_selection=all&typePagination=DEFAULT
- https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000035430567?isSuggest=true
- https://www.legifrance.gouv.fr/juri/id/JURITEXT000033901282?fonds=JURI&page=1&pageSize=10&query=c%E2%80%99est+%C3%A0+la+banque+qu%E2%80%99il+appartient+de+prouver+la+n%C3%A9gligence+grave+du+client.&searchField=ALL&searchType=ALL&tab_selection=all&typePagination=DEFAULT
