Le Tribunal judiciaire de Paris a rendu le 15 janvier 2026 une décision inédite en condamnant Bouygues Telecom à « relever et garantir BNP Paribas » des dommages dus à une victime de spoofing. Cette jurisprudence bouleverse fondamentalement la répartition des responsabilités dans la chaîne de la fraude téléphonique.
Les faits de l'affaire
Le 17 novembre 2023, une cliente de BNP Paribas reçut un appel téléphonique affichant le numéro officiel de sa banque. L'appelant, se faisant passer pour un conseiller bancaire, la dirigea vers l'exécution de virements destinés à « sécuriser » son compte. Le fraudeur avait usurpé le numéro de téléphone de la banque grâce à la technologie du spoofing.
🔍 Qu'est-ce que le spoofing ?
Le spoofing téléphonique consiste à falsifier le numéro d'origine d'un appel pour afficher à l'écran du destinataire un numéro de confiance (banque, administration, etc.). Cette technique permet aux fraudeurs de gagner la confiance de leurs victimes en se faisant passer pour des interlocuteurs légitimes.
Fondement juridique de la responsabilité bancaire
Le tribunal s'est appuyé sur une jurisprudence bien établie considérant que les victimes ne peuvent être jugées négligentes lorsque des numéros bancaires légitimes apparaissent sur leurs téléphones. La Cour de cassation a déjà rendu plusieurs décisions établissant que de telles circonstances n'équivalent pas à une « négligence grave » au sens du Code monétaire et financier.
"Les victimes de spoofing ne commettent pas de négligence grave lorsqu'elles se fient à l'affichage du numéro officiel de leur banque."
Jurisprudence constante de la Cour de cassation
En conséquence, la banque doit rembourser la victime conformément aux dispositions du Code monétaire et financier relatives aux paiements non autorisés.
L'élément novateur : la responsabilité de l'opérateur
La véritable innovation de cette décision réside dans l'application de l'article L. 44 du Code des postes et des communications électroniques. Cette disposition, issue de la loi Naegelen de 2020, impose aux opérateurs de mettre en œuvre des mécanismes d'authentification des numéros d'appels, effective depuis le 25 juillet 2023.
⚖️ Constat juridique critique
Le tribunal a rejeté la date d'application du 1er octobre 2024 souvent citée, la qualifiant de « sans fondement juridique ». L'obligation légale existait dès le 25 juillet 2023.
Article L. 44 du CPCE
Cet article impose aux opérateurs de télécommunications de :
- Mettre en place des dispositifs techniques d'authentification des numéros
- Bloquer ou filtrer les appels dont les numéros sont manifestement falsifiés
- Garantir l'intégrité de l'affichage des numéros d'appels entrants
Le manquement à ces obligations engage la responsabilité contractuelle et délictuelle de l'opérateur.
Implications pratiques de la décision
Période critique de 14 mois
Les fraudes survenues entre le 25 juillet 2023 et le 1er octobre 2024 (période de 14 mois) peuvent désormais générer des réclamations de responsabilité contre les opérateurs téléphoniques qui n'avaient pas mis en place les mécanismes requis.
Impact financier considérable
Les dommages estimés liés au spoofing en France ont atteint 380 millions d'euros en 2023 selon les statistiques officielles. Cette jurisprudence ouvre potentiellement la voie à une redistribution massive de la responsabilité financière.
💡 Stratégie contentieuse
Les victimes de spoofing disposent désormais d'une option supplémentaire de défendeur au-delà de leur banque. L'analyse de la conformité de l'opérateur téléphonique aux exigences de l'article L. 44 devient un élément central de toute stratégie contentieuse.
Chaîne de responsabilité dans la fraude par spoofing
Cette décision redéfinit la cascade de responsabilités :
- Responsabilité de la banque envers le client : Obligation de remboursement des paiements non autorisés (sauf négligence grave du client)
- Responsabilité de l'opérateur envers la banque : Garantie et relèvement de la banque en cas de manquement aux obligations d'authentification
- Responsabilité finale : L'opérateur devient l'acteur supportant ultimement le coût de la fraude
Conditions d'engagement de la responsabilité de l'opérateur
Pour engager avec succès la responsabilité d'un opérateur téléphonique, il convient d'établir :
- Date de la fraude : Survenue après le 25 juillet 2023
- Technique utilisée : Usurpation de numéro par spoofing
- Manquement de l'opérateur : Absence de mise en œuvre des mécanismes d'authentification requis
- Lien de causalité : Le spoofing a directement contribué à la réussite de la fraude
📋 Éléments de preuve à réunir
- Captures d'écran ou relevés téléphoniques montrant l'affichage du numéro usurpé
- Déclarations circonstanciées des échanges téléphoniques
- Preuves de l'exécution des virements frauduleux
- Documentation du statut de conformité de l'opérateur à la date des faits
Perspectives d'évolution
Cette jurisprudence pionnière pourrait inciter les opérateurs téléphoniques à :
- Accélérer le déploiement des technologies anti-spoofing
- Améliorer la traçabilité et l'authentification des appels
- Développer des mécanismes de signalement en temps réel des tentatives d'usurpation
- Renforcer la coopération avec les établissements bancaires
Recommandations pour les victimes
Si vous avez été victime de fraude par spoofing :
- Déposez plainte immédiatement auprès des autorités compétentes
- Conservez toutes les preuves : relevés téléphoniques, captures d'écran, messages
- Contestez l'opération auprès de votre banque dans les délais légaux
- Identifiez l'opérateur téléphonique concerné par l'appel frauduleux
- Consultez un avocat spécialisé pour évaluer les recours contre l'opérateur
Contact professionnel
Me Thomas GAURIAT
Avocat au Barreau de Paris
Spécialisé en droit bancaire et boursier
Coordonnées :
Email : thomas.gauriat@tga-avocat.fr
Téléphone : 07.61.77.20.83
Site : thomas-gauriat-avocat.fr
Consultations préliminaires disponibles pour analyser votre situation et déterminer les voies de recours optimales.