Fraude à la clé digitale : BNP Paribas condamnée — la banque doit prouver la divulgation des données, pas seulement l'enrôlement frauduleux

Le Tribunal judiciaire de Paris a condamné BNP Paribas à rembourser 13 554,84 euros à une cliente de 80 ans victime de fraude à la clé digitale dans sa décision du 28 janvier 2026. Cette décision apporte une clarification fondamentale : avoir contribué à l'enrôlement frauduleux d'une clé digitale constitue une négligence simple — insuffisante pour exonérer la banque. La négligence grave suppose que la banque prouve la divulgation des données indispensables à l'exécution des paiements — numéro de carte, date d'expiration, cryptogramme — ce qu'elle ne peut pas simplement affirmer.

Fraude clé digitale négligence grave : les faits

Une cliente de 80 ans de BNP Paribas a constaté la réalisation de trois paiements en ligne entre les 14 et 16 mai 2022, pour un montant total de 13 554,84 euros. Quelques jours auparavant, elle avait reçu plusieurs appels d'un individu se présentant comme appartenant au service "Clé Digitale" de sa banque.

Ne maîtrisant pas pleinement les outils numériques, elle a reconnu avoir suivi les instructions données par téléphone et effectué certaines manipulations dans son application bancaire. Le même jour, sa clé digitale a été enrôlée sur un nouvel appareil de type iPhone. Les paiements litigieux ont été exécutés dans les jours suivants.

La cliente a déposé plainte et sollicité le remboursement. BNP Paribas a refusé en invoquant sa négligence grave.

La position de BNP Paribas : l'enrôlement comme preuve de la négligence grave

La banque soutenait que l'enrôlement de la clé digitale sur un appareil tiers n'avait pu être réalisé qu'avec la coopération active de la victime, qui aurait nécessairement communiqué ses identifiants et validé l'opération via le code unique transmis sur son téléphone. Elle invoquait également l'authentification forte des paiements et l'absence de défaillance technique.

La décision du tribunal : une distinction fondamentale entre négligence simple et négligence grave

Sur l'authentification — Un commencement de preuve admis mais insuffisant

Le tribunal a admis la valeur probatoire des traces informatiques produites par la banque, attestant de l'enrôlement de la clé digitale et de la validation des paiements par authentification forte. Il a retenu que les opérations avaient été dûment enregistrées et qu'aucune défaillance technique n'était démontrée.

Mais il a immédiatement rappelé un principe fondamental : l'authentification technique ne vaut pas consentement du payeur. L'utilisation des identifiants ou d'un dispositif de sécurité ne suffit pas à établir que l'opération a été autorisée au sens des textes.

Sur la négligence grave — Le critère de causalité matérielle

C'est ici que réside l'apport majeur de cette décision. Le tribunal a opéré une distinction particulièrement éclairante entre deux niveaux de faute.

Il était établi que la cliente avait participé au processus d'enrôlement frauduleux en suivant les instructions du fraudeur et en effectuant des manipulations dans son application bancaire. Cette participation caractérisait un manque de vigilance — une négligence simple.

Mais la négligence grave suppose davantage. Elle implique un manquement d'une particulière gravité aux obligations de conservation des données de sécurité, manquement ayant directement permis la réalisation des opérations litigieuses.

Or, l'initiation des paiements en ligne nécessitait la connaissance des données complètes de la carte bancaire — numéro, date d'expiration et cryptogramme visuel. BNP Paribas a affirmé que ces informations avaient nécessairement été communiquées par la cliente — mais elle n'en a pas rapporté la preuve. Aucun élément ne démontrait qu'elles avaient été divulguées lors de l'appel téléphonique. Aucun élément ne prouvait qu'elles étaient accessibles depuis l'espace client auquel le fraudeur aurait eu accès.

La conclusion déterminante

Le tribunal a considéré que si la cliente avait contribué à l'enrôlement de la clé digitale, il n'était pas établi qu'elle soit à l'origine de la divulgation des informations indispensables à l'initiation des paiements. La faute retenue, bien réelle, ne présentait donc pas le degré de gravité exigé par l'article L.133-19 du Code monétaire et financier.

BNP Paribas a été condamnée à rembourser l'intégralité des 13 554,84 euros, avec intérêts au taux légal, capitalisation et indemnité au titre des frais irrépétibles.

Ce que cette décision apporte aux victimes de fraude à la clé digitale

La causalité matérielle est le critère déterminant

Ce que le tribunal introduit est un critère de causalité matérielle entre la faute du client et les paiements réalisés. Il ne suffit pas d'établir que le client a participé à une étape du processus frauduleux — il faut prouver que cette participation a directement permis l'exécution des paiements. Si la banque ne peut pas démontrer que vous avez divulgué les données indispensables aux paiements, la négligence grave ne peut pas être retenue.

La banque doit prouver la divulgation des données de carte — pas simplement l'affirmer

Si votre banque invoque votre négligence grave en prétendant que vous avez nécessairement communiqué votre numéro de carte, votre date d'expiration et votre cryptogramme, contestez cette affirmation. La banque doit en rapporter la preuve — elle ne peut pas se contenter de l'affirmer parce que les paiements ont été exécutés.

Contribuer à l'enrôlement ne suffit pas à établir la négligence grave

Même si vous avez suivi les instructions d'un fraudeur et effectué des manipulations dans votre application bancaire — y compris contribué à l'enrôlement d'une clé digitale sur un autre appareil — cela ne suffit pas à caractériser une négligence grave si la divulgation des données de paiement n'est pas prouvée.

La vulnérabilité de la victime est prise en compte

Le tribunal a retenu implicitement la situation particulière d'une cliente de 80 ans ne maîtrisant pas pleinement les outils numériques. Le profil de la victime et son niveau de familiarité avec les outils bancaires numériques sont des éléments de contexte pertinents pour apprécier la négligence grave.

Pour comprendre comment la charge de la preuve joue en votre faveur : Responsabilité de la banque en cas de défaut d'authentification des opérations

Pour comprendre comment contester le refus de remboursement de BNP Paribas : Refus de remboursement fraude bancaire : comment contester efficacement ?

Pour comprendre l'ensemble des recours disponibles : Fraude bancaire et faux conseiller : comment obtenir gain de cause ?

À retenir sur la fraude à la clé digitale et la négligence grave

• BNP Paribas a été condamnée à rembourser 13 554,84 euros par le TJ Paris le 28 janvier 2026

• Contribuer à l'enrôlement frauduleux d'une clé digitale constitue une négligence simple — insuffisante pour exonérer la banque

• La négligence grave suppose que la banque prouve la divulgation des données indispensables aux paiements — numéro, date d'expiration, cryptogramme

• La causalité matérielle entre la faute du client et les paiements réalisés est le critère déterminant

• Affirmer que les données ont "nécessairement" été communiquées ne constitue pas une preuve

FAQ — Fraude clé digitale et négligence grave

J'ai suivi les instructions d'un fraudeur et manipulé mon application bancaire — ma banque peut-elle invoquer ma négligence grave ? Pas nécessairement. Le TJ Paris l'a rappelé le 28 janvier 2026 : suivre les instructions d'un fraudeur et contribuer à l'enrôlement d'une clé digitale constitue une négligence simple — insuffisante pour exonérer la banque. La négligence grave suppose que la banque prouve que vous avez divulgué les données indispensables aux paiements.

Ma banque dit que j'ai "nécessairement" communiqué mon numéro de carte et mon cryptogramme — est-ce suffisant ? Non. La banque doit en rapporter la preuve — elle ne peut pas simplement l'affirmer. Le tribunal a expressément jugé que l'affirmation de BNP Paribas, sans élément de preuve, ne permettait pas d'établir la négligence grave.

Ma clé digitale a été enrôlée sur un autre appareil à mon insu — qui est responsable ? La banque, sauf si elle prouve votre négligence grave. L'enrôlement frauduleux d'une clé digitale est une opération que la banque doit être en mesure de détecter et de bloquer — son système de sécurité aurait dû alerter face à l'enrôlement sur un nouvel appareil non reconnu.

Je suis une personne âgée peu familière des outils numériques — est-ce pertinent pour mon dossier ? Oui. Le niveau de maîtrise des outils numériques est un élément de contexte pertinent pour apprécier la négligence grave in concreto. Une personne âgée peu familière des outils bancaires numériques ne peut pas être tenue aux mêmes standards de vigilance qu'un utilisateur averti.

BNP Paribas ou votre banque refuse de vous rembourser après une fraude à la clé digitale ?

Nos avocats analysent votre dossier et vous exposent vos recours lors d'une première consultation téléphonique gratuite.