La cour d'appel d'Angers a condamné le Crédit Agricole à rembourser une cliente victime de fraude bancaire, qui avait communiqué ses codes confidentiels à un escroc déguisé en agent.
Donner ses codes secrets au téléphone peut être dangereux, surtout quand celui qui se fait passer pour un conseiller du Crédit Agricole est en fait un escroc. Dans un arrêt rendu le 27 janvier 2026, dont Clubic a pu prendre connaissance, la cour d'appel d'Angers a estimé que la victime piégée par une fraude bancaire sophistiquée n'a pas commis de négligence grave. En d'autres termes, elle a condamné la banque à lui rembourser un gros montant.
Une fraude bancaire qui combine tous les signaux de confiance
Si l'on se penche sur le dossier, revenons au 4 janvier 2019. Ce jour-là, la gérante de la SARL Réception Val de Loire reçoit un appel qui affiche le numéro de son agence bancaire, installée dans le Maine-et-Loire. Celui-là même qu'elle a enregistré depuis des années. Au bout du fil, un conseiller du Crédit Agricole lui annonce qu'il doit activer SécuriPass, un service de sécurité bien réel, proposé par la banque.
Trois minutes plus tard, à 15h29, un SMS arrive. Il s'insère naturellement dans le fil des précédents messages de la banque, avec le même expéditeur. Le code confidentiel est accompagné de l'avertissement classique : « NE JAMAIS LE COMMUNIQUER ». Puis vient un e-mail, envoyé depuis une adresse du Crédit Agricole, avec logo, signature de sa conseillère habituelle et même l'objet « inscription au service SecuriPass ». Impossible à ce stade, pour la victime, de distinguer ce faux courrier électronique d'un message authentique. Elle est victime de phishing et de spoofing.
La gérante hésite, s'étonne auprès de son interlocuteur, mais finit par communiquer les deux codes. Ce fut évidemment une erreur. Les escrocs créent de nouveaux bénéficiaires et lancent six virements depuis trois comptes différents. Quatre d'entre eux visent directement le compte de la SARL, avec des montants de 3 000, 9 993, 3 892 et 4 000 euros. Les deux autres touchent le compte joint de madame, et celui de sa fille.
La notion de négligence grave au cœur du contentieux bancaire
La banque réagit rapidement et parvient à bloquer une partie de l'argent chez les destinataires frauduleux, soit 12 892 euros récupérés, puis 1 400 euros de plus en juin 2020. Reste tout de même 11 593 euros évaporés. Et là, coup de massue : le Crédit Agricole refuse de rembourser le solde. La banque évoque une « négligence grave » de la cliente, qui ne peut lui être imputée. Ces mots font porter, juridiquement, la faute au client plutôt qu'à la banque.
Le Code monétaire et financier est formel. C'est en effet la banque qui assume quand une opération non autorisée est réalisée. Sauf qu'il existe une exception de taille. Si le client a commis une « négligence grave » dans la protection de ses codes, c'est lui qui paie la note. Les messages reçus par la gérante disaient pourtant « Ne jamais le communiquer, ni par téléphone, ni par e-mail ». Le dossier semblait plié, vous dites-vous peut-être.
Et le tribunal de commerce du Mans a tranché en juillet 2021, en confirmant la version de la banque, celle qui consiste à dire que la cliente a fauté. Non seulement, elle est déboutée de toutes ses demandes, mais elle doit verser 500 euros à la banque au titre des frais de justice. La pilule est amère, mais la SARL fait appel, convaincue que la sophistication de l'arnaque change la donne. Un choix judicieux, vous allez le voir.
Pourquoi les juges ont estimé qu'il n'y avait pas de négligence grave
Nous voici de retour en janvier 2026, après six ans d'attente. La cour d'appel d'Angers a infirmé le jugement de première instance. Pour les juges, réduire l'affaire à un simple « elle a donné ses codes » serait trop simpliste. Ils ont épluché chaque détail de l'arnaque, de l'usurpation du numéro de téléphone (le fameux spoofing) aux e-mails clonés à la perfection, en passant par l'heure tardive des virements. Tout les ramène à une escroquerie millimétrée, pas une simple opportunité saisie.
L'un des détails qui retient justement l'attention des magistrats, ce sont les virements qui ont été programmés tard le soir, entre 22h35 et minuit, avec de nouveaux bénéficiaires enregistrés dans cette tranche. Pour la victime, il n'était pas possible de réagir aux alertes bancaires en pleine nuit. Les escrocs avaient tout calculé. Les fraudeurs savaient exactement ce qu'ils faisaient. Ils ont créé un « climat de confiance », selon les termes de l'arrêt, qui a légitimement trompé leur cible.
Le verdict est tombé. Oui, la gérante de la SARL s'est trompée en donnant ses codes. Mais pour les juges, c'était une erreur certes grossière a posteriori, mais explicable, et non une négligence grave, comme le reprochait la banque. Et cette nuance juridique change absolument tout. En conséquence, la cour a indiqué, dans son arrêt, que le Crédit Agricole doit rembourser les 11 593 euros volés, plus 3 500 euros de frais de justice. Les juges, et c'est le seul point noir pour la victime, n'ont pas accédé à sa demande de dommages-intérêts pour préjudice moral, jugée non prouvée.
Sachez que cet arrêt de la cour d'appel sera bientôt appuyé par une nouvelle réglementation européenne, évoquée sur notre site en fin d'année dernière. En effet, le Parlement et le Conseil européens ont trouvé un accord autour d'une protection renforcée contre la fraude en ligne. Si, comme dans le cas de notre arrêt, une victime se fait piéger par un faux employé d'une banque, l'établissement devra engager sa responsabilité et rembourser la victime. Une avancée très attedue.
