Cabinet Kohen Avocats · Paris

Maître Reda KOHEN intervient en droit immobilier, droit des sociétés et droit des affaires à Paris. Première analyse offerte, réponse personnelle sous 24 heures.

100 % confidentiel · Secret professionnel · Sans engagement

Barreau de Paris Immobilier, sociétés, affaires Fiche CNB avocat.fr
Maître Reda KOHEN, avocat au Barreau de Paris
Maître Reda KOHEN
Avocat au Barreau de Paris

La dissociation de l’authentification et du consentement dans les virements contestés : analyse de l’arrêt de la chambre commerciale du 1er juillet 2026

La dissociation de l’authentification et du consentement dans les virements contestés : analyse de l’arrêt de la chambre commerciale du 1er juillet 2026

Par un arrêt publié au Bulletin du 1er juillet 2026, la chambre commerciale de la Cour de cassation a opéré une clarification décisive du régime probatoire applicable aux opérations de paiement contestées. Elle y énonce que l’utilisation d’un dispositif d’authentification forte ne saurait, à elle seule, établir le consentement du payeur à l’opération litigieuse. Cette décision, promise à une large diffusion, met un terme à une divergence jurisprudentielle qui divisait les cours d’appel et cristallisait l’incertitude des justiciables, qu’ils soient particuliers ou professionnels. L’arrêt s’inscrit dans une construction prétorienne engagée depuis plusieurs années par la chambre commerciale, financière et économique, autour des articles L. 133-6, L. 133-7 et L. 133-23 du code monétaire et financier. Il en constitue le prolongement logique et, à bien des égards, le point d’aboutissement. L’enjeu dépasse le seul contentieux bancaire : il intéresse toute entreprise exposée au risque de virement frauduleux, dès lors que la contestation de l’opération ouvre un droit au remboursement intégral dont la mise en œuvre dépend exclusivement de la preuve du consentement. Dès lors, l’arrêt du 1er juillet 2026 doit être lu à la lumière de la jurisprudence antérieure pour en mesurer la portée et en anticiper les conséquences pratiques.

I. L’exigence d’un consentement distinct de l’authentification technique

A. La construction prétorienne du consentement dans les opérations de paiement

L’article L. 133-6 du code monétaire et financier dispose qu’une opération de paiement n’est autorisée que si le payeur a donné son consentement à son exécution. L’article L. 133-7 du même code ajoute qu’en l’absence d’un consentement donné sous la forme convenue entre le payeur et son prestataire de services de paiement, l’opération est réputée non autorisée. Ces deux textes, issus de la transposition de la directive 2007/64/CE sur les services de paiement, forment le socle du régime de responsabilité applicable aux virements contestés. La chambre commerciale en a, depuis plus de trois ans, déduit une exigence rigoureuse : le consentement du payeur doit porter non seulement sur l’initiative de l’opération, mais également sur son montant et sur l’identité de son bénéficiaire.

Par un arrêt du 30 novembre 2022, la Cour de cassation a ainsi censuré un jugement qui avait rejeté une demande de remboursement formée par un titulaire de compte, après qu’un tiers eut composé à son insu le montant d’un retrait dans un distributeur automatique de billets. La chambre commerciale a jugé que le tribunal « a privé sa décision de base légale » en s’abstenant de rechercher « si l’opération de paiement avait été autorisée par M. [Z], en particulier quant à son montant » (Com. 30 nov. 2022, n° 21-17.614, Publié au Bulletin). Cette décision a posé un principe fondamental : l’utilisation de l’instrument de paiement, fût-elle enregistrée et authentifiée, ne suffit pas à caractériser l’existence d’un consentement éclairé au montant de l’opération.

Par un arrêt du 1er juin 2023, la chambre commerciale a précisé le périmètre du consentement requis en jugeant qu’une opération de paiement « est réputée autorisée uniquement si le payeur a également consenti à son bénéficiaire ». Elle en a déduit que « ne constitue pas une opération autorisée un ordre de virement régulier lors de sa rédaction mais dont le numéro IBAN du compte destinataire a été ultérieurement modifié par un tiers à l’insu du donneur d’ordre » (Com. 1er juin 2023, n° 21-19.289, Publié au Bulletin). Le consentement exigé par le législateur ne se réduit donc pas à une formalité technique : il implique une adéquation entre la volonté du payeur et les caractéristiques essentielles de l’opération exécutée.

Par un arrêt du 10 décembre 2025, la Cour a étendu cette logique au cas où le payeur initie l’opération par l’intermédiaire du bénéficiaire, en jugeant « qu’une opération de paiement, qui peut être initiée par le payeur qui donne un ordre de paiement par l’intermédiaire du bénéficiaire, est autorisée si le payeur a donné son consentement à son exécution, et qu’en l’absence d’un tel consentement, donné sous la forme convenue entre le payeur et le prestataire de service de paiement, l’opération est réputée non autorisée » (Com. 10 déc. 2025, n° 24-20.778, Publié au Bulletin). La chambre commerciale a, ce faisant, réaffirmé l’impératif d’un consentement exprès, quelle que soit la configuration de l’opération.

Parallèlement, la Cour a consacré l’exclusivité du régime de responsabilité du prestataire de services de paiement sur le droit commun de la responsabilité contractuelle. Dans un arrêt du 4 février 2026, elle a jugé « qu’en cas d’opération de paiement non autorisée, seul s’applique le régime de responsabilité du prestataire de services de paiement prévu par le code monétaire et financier, exclusif du droit commun de la responsabilité contractuelle » (Com. 4 fév. 2026, n° 24-22.320). Il s’ensuit que le régime spécial des articles L. 133-18 à L. 133-24 du code monétaire et financier évince toute action fondée sur l’article 1231-1 du code civil, y compris lorsque le payeur a lui-même participé, par négligence, à la réalisation du préjudice. Par ailleurs, plusieurs cours d’appel avaient déjà anticipé cette évolution en rappelant que la preuve du consentement « ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés » (CA Rennes, 3 juin 2025, n° 24/02771).

B. L’arrêt du 1er juillet 2026 : le rejet explicite de la présomption de consentement

L’arrêt du 1er juillet 2026 intervient dans une espèce où une société industrielle, titulaire d’un compte dans les livres d’un établissement de crédit, avait contesté trois virements exécutés le 23 novembre 2020 pour un montant total significatif. La cour d’appel de Paris, par un arrêt du 22 janvier 2025, avait rejeté la demande de remboursement au motif que les relevés informatiques de la banque établissaient que l’identifiant, le code d’accès et un token généré par un boîtier physique avaient servi à valider les opérations. La cour d’appel en avait déduit que « le consentement de la société est présumé avoir été donné conformément à la forme convenue entre les parties ». Ce raisonnement, qui faisait découler le consentement du seul constat de l’authentification technique, est précisément celui que la chambre commerciale a censuré (Com. 1er juill. 2026, n° 25-13.134, Publié au Bulletin).

La Cour de cassation rappelle, au visa des articles L. 133-6, L. 133-7 et L. 133-23 du code monétaire et financier, qu’une opération de paiement n’est autorisée que si le payeur y a consenti. Elle précise que le deuxième alinéa de l’article L. 133-23 dispose que « l’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ». En déduisant le consentement du simple fait que le token avait été utilisé, la cour d’appel de Paris a inversé la charge de la preuve et violé les textes susvisés. L’affaire est renvoyée devant la cour d’appel de Versailles.

La portée de cette décision est considérable. L’authentification forte, dont la directive DSP2 a imposé la généralisation, constitue un processus technique qui vérifie que l’utilisateur disposant des données de sécurité personnalisées a initié l’opération. Elle ne vérifie pas que cet utilisateur est bien le titulaire du compte, ni qu’il a agi volontairement et en pleine connaissance de cause. Or, les schémas de fraude contemporains exploitent précisément cet interstice : les fraudeurs obtiennent les identifiants de la victime par hameçonnage ou, plus insidieusement, la convainquent de valider elle-même les opérations en se faisant passer pour un interlocuteur de confiance. Dans ces hypothèses, le token fonctionne parfaitement sur le plan technique, l’authentification est irréprochable, mais aucun consentement éclairé n’a été donné. La chambre commerciale rappelle que l’article L. 133-23 du code monétaire et financier avait anticipé cette dissociation en énonçant, dès l’origine, que l’utilisation enregistrée de l’instrument de paiement ne suffit pas « nécessairement en tant que telle » à prouver l’autorisation.

En conséquence, l’arrêt du 1er juillet 2026 n’innove pas : il applique, avec une clarté qui faisait défaut aux juridictions du fond, une disposition législative que certaines cours d’appel tendaient à éluder au profit d’une présomption de fait tirée du fonctionnement apparent du dispositif de sécurité. La chambre commerciale a également jugé, dans une décision rendue par la cour d’appel de Rouen le 25 septembre 2025, que la règle selon laquelle la preuve du consentement ne peut se déduire du seul fait que l’instrument de paiement a été utilisé « est également applicable lorsque l’utilisateur bénéficie d’un système d’authentification forte » (CA Rouen, 25 sept. 2025, n° 24/02415). La cour d’appel de Riom, par un arrêt du 28 mai 2025, avait pareillement considéré que la banque ne peut se borner à démontrer « qu’elle a mis en place l’authentification forte et l’utilisation de l’authentification forte par le demandeur pour les opérations contestées » pour établir le consentement (CA Riom, 28 mai 2025, n° 24/01170). L’arrêt du 1er juillet 2026 vient donc consacrer, au niveau de la Cour de cassation et avec la solennité d’une publication au Bulletin, une ligne jurisprudentielle qui se dessinait en première instance et en appel.

II. Les conséquences probatoires pour les établissements de crédit et les entreprises

A. Le renversement de la charge probatoire pesant sur le prestataire de services de paiement

L’article L. 133-23 du code monétaire et financier, dans son premier alinéa, impose au prestataire de services de paiement de prouver que l’opération a été authentifiée, dûment enregistrée et comptabilisée, et qu’elle n’a pas été affectée par une déficience technique ou autre. Ces trois preuves cumulatives constituent le préalable technique à toute discussion sur le consentement. Mais le deuxième alinéa du même article ajoute immédiatement que cette démonstration ne suffit pas : l’utilisation enregistrée de l’instrument de paiement « ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ». Il existe donc deux régimes probatoires distincts et successifs. Le premier, technique, relève de la fiabilité du système. Le second, juridique, relève de la volonté du client.

À cet égard, la cour d’appel de Versailles, par un arrêt du 19 mai 2026 relatif à une fraude au faux conseiller bancaire ayant permis la création de cartes bancaires virtuelles pour un montant de 90 700 euros, a rappelé que la banque « ne peut se contenter d’invoquer l’utilisation de l’authentification forte pour démontrer le consentement du payeur » (CA Versailles, 19 mai 2026, n° 25/03537). La cour d’appel de Bordeaux, dans un arrêt du 15 juin 2026, a également jugé que la banque ne peut se retrancher derrière le seul bon fonctionnement de son dispositif de sécurité pour échapper à l’obligation de remboursement (CA Bordeaux, 15 juin 2026, n° 24/00486). La charge de la preuve du consentement pèse intégralement sur le prestataire de services de paiement, et cette preuve ne peut être rapportée par les seuls logs techniques du système informatique bancaire.

Or, cette exigence probatoire place les établissements de crédit dans une situation délicate. Comment prouver le consentement réel du payeur lorsque celui-ci le conteste ? La banque devra, selon les circonstances, rapporter des éléments extérieurs au fonctionnement du système d’authentification : échanges de courriels, enregistrements téléphoniques, historique des relations contractuelles, ou tout autre indice de nature à établir que le client a effectivement voulu l’opération. Le seul fait que le token ait été activé ne clôt plus le débat. La cour d’appel de Versailles, à qui l’affaire du 1er juillet 2026 est renvoyée, devra préciser les standards de preuve attendus. En tout état de cause, la décision de la chambre commerciale impose aux banques de repenser leur politique de gestion des contestations et d’anticiper les contentieux à venir.

Par ailleurs, l’arrêt du 4 février 2026 a rappelé que le régime spécial du code monétaire et financier est exclusif de toute action fondée sur le droit commun, y compris lorsque la négligence du payeur est avérée. La cour d’appel d’Aix-en-Provence avait écarté la responsabilité de la banque en relevant des « défaillances certaines au sein de la société, les échanges internes n’étant pas sécurisés et aucun processus de contrôle mis en place ». La chambre commerciale a censuré ce raisonnement en énonçant que « dès lors que la responsabilité d’un prestataire de services de paiement est recherchée en raison d’une opération de paiement non autorisée ou mal exécutée, seul est applicable le régime de responsabilité défini aux articles L. 133-18 à L. 133-24, à l’exclusion de tout régime alternatif de responsabilité ». Autrement dit, la négligence du payeur ne peut être invoquée que dans les conditions strictes de l’article L. 133-19, IV, du code monétaire et financier, lequel exige la démonstration d’une négligence grave ou d’une intention frauduleuse, et non dans le cadre d’un partage de responsabilité de droit commun.

B. Les implications pratiques pour la sécurisation des virements professionnels

Pour les entreprises, la portée de l’arrêt du 1er juillet 2026 est double. D’une part, il leur offre une protection accrue en cas de fraude : une fois la contestation formée dans les conditions de l’article L. 133-24 du code monétaire et financier, le remboursement est dû, sauf à ce que la banque démontre une négligence grave du payeur. D’autre part, il les incite à renforcer leurs propres dispositifs de contrôle interne, non pour échapper au remboursement — puisque celui-ci est de droit en l’absence de consentement — mais pour prévenir la survenance même de la fraude.

En effet, la décision de la chambre commerciale ne dispense pas les entreprises de toute vigilance. L’article L. 133-19 du code monétaire et financier prévoit que le payeur supporte les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave à ses obligations. La distinction entre la négligence simple et la négligence grave demeure donc essentielle. La cour d’appel de Bordeaux, dans son arrêt du 15 juin 2026, a ainsi rappelé que la banque doit établir que le client a manqué à son obligation de préserver la sécurité de ses données personnalisées « de manière caractérisée et inexcusable ».

Le contentieux des virements frauduleux s’inscrit dans un cadre plus large, celui du droit des contrats commerciaux et du recouvrement des créances commerciales. La sécurisation juridique des flux financiers constitue un enjeu de premier ordre pour les entreprises, qu’il s’agisse de se prémunir contre les fraudes ou de préserver leurs droits en cas de contestation. L’arrêt du 1er juillet 2026 offre un levier supplémentaire aux sociétés victimes de détournements, en leur permettant d’obtenir le remboursement intégral des sommes sans avoir à démontrer l’origine de la fraude, pourvu qu’elles aient signalé l’opération dans les délais impartis.

En conséquence, les entreprises doivent mettre en place des procédures internes de vérification systématique des ordres de virement, de séparation des fonctions d’initiation et de validation, et de confirmation téléphonique pour les montants significatifs. Ces mesures ne les exonèrent pas du bénéfice de l’obligation de remboursement en cas de fraude avérée, mais elles réduisent le risque que la banque puisse leur opposer une négligence grave au sens de l’article L. 133-19. Par ailleurs, elles facilitent la démonstration, par l’entreprise, de l’absence de consentement : un processus interne rigoureux permet de documenter les opérations régulières et d’isoler les opérations anormales.

La question de la preuve du consentement dépasse le seul contentieux bancaire de détail et intéresse directement le contentieux commercial des entreprises, pour lesquelles les montants en jeu peuvent atteindre plusieurs centaines de milliers d’euros. Dans les relations entre professionnels, la contestation d’un virement non autorisé engage non seulement la responsabilité de l’établissement teneur de compte, mais peut également affecter les relations contractuelles entre le payeur et le bénéficiaire initialement prévu. La solennité de la publication au Bulletin confère à cet arrêt une autorité particulière dans la hiérarchie des sources jurisprudentielles.

Dès lors, l’articulation entre les articles L. 133-6, L. 133-7, L. 133-18, L. 133-19 et L. 133-23 du code monétaire et financier peut être synthétisée de la manière suivante. En présence d’une contestation, le prestataire de services de paiement doit d’abord démontrer, conformément au premier alinéa de l’article L. 133-23, que l’opération a été authentifiée, enregistrée et comptabilisée sans déficience. Il lui incombe ensuite, conformément au deuxième alinéa du même article tel qu’interprété par l’arrêt du 1er juillet 2026, de rapporter la preuve positive du consentement du payeur, sans pouvoir se borner à invoquer le fonctionnement du dispositif d’authentification. S’il échoue à rapporter cette double preuve, le remboursement est dû en application de l’article L. 133-18. Le payeur ne peut se voir opposer que les cas limitativement énumérés par l’article L. 133-19 : agissement frauduleux ou négligence grave dans la préservation de ses données de sécurité personnalisées. Ce régime est exclusif de toute action fondée sur le droit commun de la responsabilité contractuelle.

Par ailleurs, le contentieux des virements frauduleux a connu une accélération significative au cours des années 2023 à 2026, dont témoigne la multiplication des décisions publiées au Bulletin. L’arrêt du 1er juillet 2026 s’inscrit dans cette dynamique et en constitue, à ce jour, le point d’orgue. Il confirme le rôle de la chambre commerciale comme gardienne de l’équilibre entre la sécurité des systèmes de paiement et la protection des utilisateurs, professionnels comme particuliers, face aux risques de fraude.

Conclusion

L’arrêt rendu par la chambre commerciale le 1er juillet 2026 clarifie une question qui divisait les juridictions du fond depuis l’entrée en vigueur de l’authentification forte. Il rappelle avec force que l’authentification technique ne se confond pas avec le consentement juridique, et que la charge de la preuve de ce consentement pèse exclusivement sur le prestataire de services de paiement. En consacrant, au niveau du Bulletin, une interprétation rigoureuse de l’article L. 133-23, alinéa 2, du code monétaire et financier, la Cour de cassation renforce la protection des entreprises confrontées aux virements frauduleux tout en imposant aux banques de repenser leurs modalités de preuve. Les sociétés disposent désormais d’un fondement solide pour contester les opérations non autorisées et obtenir le remboursement des sommes détournées, sans avoir à démontrer l’origine de la fraude. L’arrêt du 1er juillet 2026, par sa clarté et sa publication au Bulletin, constitue le nouveau cadre de référence du contentieux des opérations de paiement contestées.

Envoyez vos pièces. Recevez une stratégie.

Transmettez les pièces de votre dossier au cabinet. Maître Reda KOHEN vous répond personnellement sous 24 heures avec une première analyse stratégique.

Première analyse offerte
Réponse personnelle sous 24 h
100 % confidentiel
Jusqu’à 1 Go de pièces

Source : Cour de cassation – Base Open Data « Judilibre » & « Légifrance ».

Laisser un commentaire

En savoir plus sur Maître Reda Kohen, avocat en droit immobilier et droit des affaires à Paris

Abonnez-vous pour poursuivre la lecture et avoir accès à l’ensemble des archives.

Poursuivre la lecture