Le géant d'une PME, qui a perdu des milliers d'euros à cause d'un e-mail de phishing aux couleurs du Crédit Agricole, a attaqué sa banque. Mais la justice refuse l'option du remboursement.
Malheureusement, être victime de phishing ne garantit pas de récupérer les sommes perdues. La PME meusienne « Bois E. France » en a fait l'expérience, après avoir subi deux virements frauduleux, qui lui ont fait perdre près de 15 000 euros après un échange de RIB. La SARL a bien assigné sa banque, le Crédit Agricole Lorraine, mais le tribunal de commerce de Bar-le-Duc a refusé de satisfaire la demande de remboursement dans sa décision du 17 avril 2026, comme le révèle Clubic.
Un faux e-mail, des codes SMS et 14 600 euros envolés, la victime de phishing perd gros
Si l'on revient sur les faits, le 16 novembre 2021, le géant de la SARL Bois E. France se connecte à son espace bancaire en ligne dès 9h00 pour faire le tri dans sa liste de bénéficiaires de virement, rien d'inhabituel en soi. Quelques heures plus tard, il reçoit un e-mail qui semble provenir de sa banque. Sauf qu'en regardant de près l'adresse de l'expéditeur, on lit « @credit-agricole-sa.fr » et non « @ca-lorraine.fr », la vraie adresse du Crédit Agricole de Lorraine. Un détail qui change tout, vous vous en doutez, mais que le patron ne remarque pas.
Piégé par le courrier électronique, il suit les instructions sans se méfier. À 12h02, le fraudeur, qui a désormais accès à son espace en ligne, supprime un bénéficiaire de virement existant et le remplace par un RIB qui ne lui appartient pas. Pour valider chacune de ces deux modifications, la banque envoie automatiquement un code de sécurité par SMS sur le téléphone du gérant, c'est ici le système d'authentification prévu pour s'assurer que c'est bien le titulaire du compte qui agit. La victime reçoit les deux codes et les saisit. À 12h04, sans le savoir, il vient d'ouvrir lui-même la porte aux escrocs.
Deux jours plus tard, nous sommes alors le 18 novembre, le piège se referme. À 10h25 puis à 10h27, deux virements sont émis depuis le compte de la société vers un compte ouvert à la Société Générale : 4 640 euros d'abord, puis 9 960 euros, soit 14 600 euros envolés en à peine deux minutes. Le gérant s'en aperçoit le jour même, alerte sa conseillère en urgence et dépose plainte le lendemain. À ce moment-là, l'argent a déjà changé de mains.
La banque refuse de rembourser, commence alors le bras de fer… jusqu'au tribunal
Le gérant ne reste pas sans réagir. Il signale la fraude à sa banque, confirme par écrit qu'il n'a jamais ordonné ces virements, puis hausse le ton en février 2022. Par courrier recommandé, il met officiellement le Crédit Agricole de Lorraine en demeure de lui rembourser les 14 600 euros détournés, auxquels il ajoute les intérêts légaux et les agios, ces frais bancaires qui se sont accumulés sur son compte depuis que celui-ci a été ponctionné.
Le Crédit Agricole de Lorraine ne l'entend pas de cette oreille. La banque a bien tenté de récupérer les fonds en contactant la Société Générale, où le compte destinataire des virements frauduleux était ouvert. Cette démarche s'est soldée par un refus, pour « motif légal », sans autre précision. En interne, le service Qualité Relation Clients de la Société Générale explique que faute de pouvoir établir avec certitude qu'une fraude a bien eu lieu, le remboursement est refusé. Pour le Crédit Agricole, les preuves présentées ne sont tout simplement pas suffisantes.
Les négociations n'ayant mené à rien, la SARL Bois E. France décide de porter l'affaire devant la justice. Le 2 décembre 2024, un huissier remet officiellement au Crédit Agricole de Lorraine une convocation à comparaître devant le tribunal de commerce de Bar-le-Duc. L'entreprise réclame les 14 600 euros détournés, les intérêts accumulés depuis sa mise en demeure de février 2022, et 2 500 euros supplémentaires pour couvrir ses frais d'avocat.
Les juges retiennent la négligence du gérant, bien malheureux
Pour trancher, les juges ont mis sur la table l'article L.133-19 IV du Code monétaire et financier, qui indique qu'en matière de fraude bancaire, la banque est en principe tenue de rembourser son client, sauf si ce dernier a lui-même facilité l'escroquerie par une négligence grave. Dans ce cas, c'est lui qui supporte les pertes, pas son établissement. Mais reste à prouver la négligence, ce qui, avec le temps et le contexte des fuites de données XXL à la chaîne, est de moins en moins évident. Sauf qu'ici, les juges ont estimé qu'il y avait bien eu une négligence de la part du gérant.
Les juges ont retenu deux fautes précises contre la victime. La première est d'avoir fait confiance à un e-mail qui présentait pourtant plusieurs signaux d'alerte évidents, avec une adresse expéditeur douteuse, des formulations maladroites, et un bas de page différent des e-mails habituels de sa banque. Des indices qui auraient dû lui mettre la puce à l'oreille. La seconde faute est d'avoir saisi et transmis les codes reçus par SMS pour confirmer les modifications du compte, un geste qui, aux yeux du tribunal, revient à avoir personnellement validé les opérations frauduleuses.
Le tribunal a décidé de débouter la SARL Bois E. France de toutes ses demandes. Pire, l'entreprise est condamnée à payer 2 500 euros au Crédit Agricole, comme le prévoit l'article 700 du Code de procédure civile. La victime de la fraude repart donc du tribunal les mains vides, et avec une facture supplémentaire. Un épilogue amer, qui rappelle qu'un seul moment d'inattention face à un e-mail frauduleux peut avoir des conséquences bien au-delà du préjudice de départ.
