Un couple victime d’une fraude par substitution de RIB après le piratage de sa messagerie électronique a obtenu, par un jugement du Tribunal judiciaire de Lille du 14 octobre 2025 (n° 23/10687), la condamnation solidaire de sa banque et de son fournisseur de messagerie. Point marquant : le tribunal retient la responsabilité “de plein droit” du prestataire de messagerie sur le fondement de l’article 15 de la LCEN, en considérant qu’il n’a pas démontré avoir mis en œuvre toutes les mesures nécessaires pour empêcher l’intrusion. Une décision qui pourrait rebattre les cartes, autant pour les victimes que pour les acteurs du numérique.
1. Fraude au faux RIB : comment un email piraté peut coûter très cher
La fraude dite “par substitution de RIB” est devenue un grand classique de la cybercriminalité : un escroc parvient à s’insérer dans un échange (souvent par email), remplace discrètement les coordonnées bancaires du bénéficiaire, et fait virer l’argent vers un compte contrôlé par un tiers. Le drame, c’est que tout semble “normal” : même objet de message, même ton, parfois même signature… sauf que le RIB a changé.
Dans l’affaire jugée à Lille, la mécanique est redoutablement simple. Un couple contracte un prêt pour acheter un véhicule. Un premier email contient le RIB du concessionnaire. Quelques minutes plus tard, un second message, quasi identique, arrive… mais il émane en réalité d’une adresse frauduleuse. Le RIB joint affiche le nom de la même société, mais correspond à un compte ouvert dans un autre établissement.
L’élément clé, relevé par l’analyse technique, est le piratage de la messagerie : un tiers a réussi à s’introduire dans la boîte email de la destinataire (service fourni sous un nom de domaine bien connu), puis à mettre en place une règle de transfert automatique vers une adresse contrôlée par le fraudeur. Résultat : l’escroc intercepte le mail initial, remplace la pièce jointe ou les coordonnées, puis renvoie le message falsifié à la bonne personne.
Le virement est exécuté (17 500 € dans le dossier). Les fonds sont perdus. Les victimes se tournent alors vers deux acteurs : la banque, qui a réalisé le virement, et le fournisseur de messagerie, dont le service a été compromis.
2. Article 15 de la LCEN : une “responsabilité de plein droit” qui change la donne
Jusqu’ici, lorsqu’on parle de fraude au virement, l’attention se focalise souvent sur les établissements bancaires et les règles du Code monétaire et financier. La nouveauté de cette décision est ailleurs : le tribunal ancre la responsabilité du fournisseur de messagerie dans un texte de droit du numérique grand public, l’article 15 de la LCEN (loi pour la confiance dans l’économie numérique).
En termes simples, l’article 15 prévoit que le prestataire est responsable de plein droit vis-à-vis du consommateur de la bonne exécution des obligations du contrat. Autrement dit, il ne suffit pas de dire “ce n’est pas nous, c’est un pirate” : le prestataire ne peut s’exonérer que s’il prouve que la mauvaise exécution est due :
- au client (l’acheteur),
- à un tiers, mais à condition que l’événement soit imprévisible et insurmontable,
- ou à un cas de force majeure.
Dans ce jugement, le tribunal mobilise ce régime protecteur pour considérer que le fournisseur de messagerie, en tant que professionnel fournissant un service numérique au consommateur, doit répondre de la sécurisation du service, sauf à démontrer une cause d’exonération conforme au texte.
Le tribunal s’appuie aussi sur les stipulations contractuelles du fournisseur, qui mentionnent la mise en place des moyens nécessaires au bon fonctionnement et à la sécurisation du service. Cette combinaison (LCEN + contrat) conduit à une lecture très “consommateur” : la messagerie n’est pas seulement un tuyau technique, c’est un service dont la sécurité fait partie des attentes légitimes.
3. Pourquoi le juge demande au fournisseur de prouver ses mesures de sécurité
Ce qui frappe, dans le raisonnement, c’est la question de la preuve. Dans beaucoup de litiges numériques, les victimes se heurtent à un mur : comment prouver concrètement ce qui s’est passé dans un système informatique qu’elles ne maîtrisent pas ? Qui sait quelles protections existent ? Qui a les journaux de connexion ? Qui peut expliquer les mesures de détection d’intrusion ?
Ici, le tribunal adopte une logique très structurante : puisque l’article 15 de la LCEN instaure une responsabilité de plein droit, le prestataire doit démontrer qu’il a “mis tout en œuvre” pour éviter l’intrusion ou qu’il se trouve dans un cas d’exonération. En l’espèce, il est reproché au fournisseur de ne pas établir dans quelle mesure il avait mis en place les mesures nécessaires pour empêcher le piratage.
On est proche, dans l’effet pratique, d’une obligation de résultat… même si le jugement ne prononce pas explicitement ces mots. Pour un public non juriste, retenons l’idée suivante : la charge de la preuve bascule. Le fournisseur ne peut pas se contenter d’affirmer que la cyberattaque est extérieure ; il doit apporter des éléments concrets sur sa politique de sécurité, ses dispositifs, ses contrôles.
Autre point important : le tribunal refuse de considérer automatiquement que l’intervention d’un pirate constitue un événement “imprévisible et insurmontable”. Le message envoyé au marché est fort : le risque cyber n’est plus une anomalie exceptionnelle, c’est un risque inhérent aux services de messagerie. Et un risque professionnel, en droit, appelle souvent une responsabilité professionnelle.
En parallèle, le jugement écarte l’argument classique de la “négligence grave” des victimes sur le terrain du Code monétaire et financier, notamment parce que la fraude analysée est traitée comme une opération autorisée (les victimes ont bien donné l’ordre de virement, même si elles ont été trompées sur l’identité du bénéficiaire). Conséquence : le débat se déplace vers la responsabilité contractuelle des professionnels (banque et fournisseur de messagerie) et leurs manquements respectifs.
4. Ce que cette décision implique pour les victimes… et pour les entreprises
Première implication : pour les victimes, cette décision ouvre une voie supplémentaire. Dans les fraudes par substitution de RIB, l’indemnisation peut devenir un parcours d’obstacles. Le jugement de Lille montre qu’il est possible, selon les circonstances, d’engager plusieurs responsabilités dans une même affaire : la banque (pour son exécution et ses contrôles) et le fournisseur de messagerie (pour la sécurité du service).
Deuxième implication : la condamnation in solidum (souvent comprise comme “solidaire” dans ses effets pratiques) change la dynamique. Elle permet à la victime d’obtenir réparation intégrale auprès de l’un des condamnés, à charge pour eux de se répartir ensuite la facture entre professionnels. Concrètement, cela renforce l’objectif d’indemnisation : la victime n’a pas à supporter les débats techniques sur “qui a le plus fauté”.
Troisième implication : pour les fournisseurs de messagerie et, plus largement, pour les prestataires de services numériques destinés aux consommateurs, c’est un avertissement : la sécurité n’est pas un simple argument commercial, c’est un engagement juridique. Le jugement laisse entendre que certaines mesures deviennent des standards attendus, par exemple :
- l’authentification à deux facteurs (2FA),
- des alertes en cas de connexions inhabituelles,
- la détection ou la surveillance des règles de transfert automatique,
- des notifications lors de modifications sensibles des paramètres,
- et, plus généralement, une démarche documentée de cybersécurité.
Quatrième implication : le contentieux pourrait s’intensifier. Le jugement est rendu en premier ressort et a vocation à être discuté. Plusieurs questions restent ouvertes : l’articulation exacte entre l’article 15 de la LCEN et le droit commun des contrats, le niveau de sécurité exigible selon les attaques, ou encore la part de responsabilité pouvant être imputée à la victime si des signaux d’alerte étaient objectivement détectables (adresse d’expédition, incohérences, etc.).
Enfin, sur un plan très concret, cette affaire rappelle une règle d’or : face à une demande de virement reçue par email (ou à un “RIB mis à jour”), la bonne pratique consiste à vérifier par un autre canal (appel téléphonique au numéro connu, espace client, rendez-vous physique). Côté entreprises, formaliser une procédure interne de validation des changements de coordonnées bancaires reste l’un des meilleurs remparts contre ce type de fraude.
***
Pour toute demande de conseil juridique, n’hésitez pas à nous contacter. Vous pouvez dès à présent demander un devis gratuit ici.
