Le tribunal judiciaire de Lille a condamné, le 14 octobre 2025, la Banque populaire du Nord et Orange à rembourser 17 500 € à la suite d’une fraude par substitution d’IBAN. La justice a retenu un manquement au devoir de vigilance pour la banque, qui n’a pas détecté les incohérences évidentes du RIB falsifié, ainsi qu’un défaut de sécurisation des services de messagerie pour Orange, dont les protections insuffisantes ont permis l’intrusion du cybercriminel.
Le 14 octobre 2025[1], le tribunal judiciaire de Lille a condamné la Banque populaire du Nord et la société Orange à la suite du piratage d’une messagerie électronique ayant permis la falsification d’un RIB et le transfert de fonds vers le compte de cybercriminels.
I. LES FAITS
Après l’approbation de leur prêt par la Banque populaire du Nord, les victimes ont sollicité de cette dernière un virement de 17 500 euros vers un compte tiers.
Cependant, un cybercriminel avait infiltré la messagerie et modifié les coordonnées bancaires du destinataire.
Une plainte a été déposée contre la banque afin d’obtenir le remboursement de la somme. Par ailleurs, la société Orange a été mise en demeure de procéder également au remboursement dudit montant.
Face à leurs refus, la banque et Orange ont été assignées en responsabilité devant le tribunal judiciaire de Lille.
II. LA MOTIVATION DE LA DECISION
a. La fraude par substitution d’IBAN
La substitution d’IBAN représente une fraude numérique en forte progression. Les cybercriminels, après une cyberattaque, interceptent les échanges d’emails et remplacent les coordonnées bancaires dans les pièces jointes pour détourner les fonds à leurs avantages.
En l’espèce, les clients de la Banque populaire du Nord et d’Orange ont été victimes de cette escroquerie. En effet, une utilisatrice des services de messagerie électronique d’Orange a d’abord reçu un mail à 9h26 contenant en pièce jointe un RIB au nom de la Société Générale.
À 9h44, elle a reçu un second message avec le même contenu, mais incluant cette fois un RIB Boursorama Banque. L’expéditeur semblait identique avec néanmoins une adresse email différente.
La victime a transmis le RIB qu’elle pensait authentique à la Banque populaire du Nord. Celle-ci a ensuite transféré l’argent vers le compte frauduleux.
b. La responsabilité de la Banque populaire du Nord : manquement au devoir de vigilance
Il découle de l’article 1231-1 du Code civil, une obligation de non-ingérence par la banque dans les affaires de son client. Autrement dit, elle n’examine pas l’origine des fonds déposés sur les comptes clients ni ne questionne sur les mouvements bancaires effectués.
Toutefois, en sa qualité de teneur de compte, elle est tenue à une obligation de vigilance la contraignant à vérifier les anomalies apparentes[2], matérielles ou intellectuelles, notamment des ordres de virement de ses clients.
Dans le cas d’espèce, l’anomalie matérielle apparente consistait en ce que le compte falsifié était ouvert au nom d’une société alors que les services de la banque Boursorama ne s’adressent qu’à des personnes physiques.
Les informations contradictoires contenues dans le RIB entre la banque et le nom du titulaire du compte ne pouvaient pas échapper au banquier vigilant. Le devoir de vigilance imposait à la banque de s’assurer de l’absence de falsification du RIB.
c. La responsabilité de la société Orange : manquement aux obligations de sécurisation des services de communications électroniques
Selon les conditions générales d’utilisation d’Orange : « Orange est responsable de la mise en place des moyens nécessaires au bon fonctionnement et à la sécurisation du service (…) ».
En effet, l’article 15 de la LCEN prévoit que : « (…) responsable de plein droit à l’égard de l’acheteur de la bonne exécution des obligations résultant du contrat […] Toutefois, elle peut s’exonérer de tout ou partie de sa responsabilité en apportant la preuve que l’inexécution ou la mauvaise exécution du contrat est imputable, soit à l’acheteur, soit au fait, imprévisible et insurmontable, d’un tiers étranger à la fourniture des prestations prévues au contrat, soit à un cas de force majeure. ».
Le fournisseur de services Orange doit garantir la sécurité de ses services électroniques. L’intrusion d’un cybercriminel dans la messagerie des victimes prouve qu’Orange a négligé ses mesures de protection. De plus, elle ne démontre pas avoir pris les mesures nécessaires pour empêcher l’intrusion d’un tiers.
III. CONCLUSION
Les responsabilités contractuelles de la Banque populaire du Nord et de la société Orange sont engagées.
Le tribunal de Lille a condamné conjointement les sociétés fautives à verser 17 500 euros aux victimes. Cette somme compense intégralement le montant de la fraude et répare leur préjudice financier.
Bernard RINEAU
Avocat associé
Avocate collaboratrice
[1] Tribunal judiciaire de Lille, 14 octobre 2025, RG n° 23/10687
[2] L’anomalie apparente est celle qui ne doit pas échapper au banquier suffisamment prudent et diligent face à des faits anormaux, manifestement litigieux.
#droitdelapresse #droitdunumérique #droitdesaffaires #cybersecurite