Paiement carte et réservation d’hôtel : la preuve du consentement

Depuis Saint-Nazaire, où la SELARL Philippe GONET est implantée 2 rue du Corps de Garde, 44600 Saint-Nazaire, cette décision présente un intérêt très concret : la réservation à distance d’un hôtel, d’un déplacement professionnel ou d’un hébergement saisonnier repose souvent sur la simple communication des données de carte bancaire. Or la frontière entre garantie de réservation et ordre de paiement ne peut pas être présumée.

1. Résumé de la décision

Les parties sont, d’un côté, la SCI RJSAM, titulaire du compte débité, et, de l’autre, la société CIC, banque teneuse du compte. L’affaire a été jugée par la Cour de cassation, chambre commerciale, financière et économique, le 10 décembre 2025, sous le pourvoi n° 24-20.778. La décision attaquée était un jugement du tribunal judiciaire de Paris du 20 mars 2023.

Le litige porte sur une opération de paiement à distance contestée : la gérante de la SCI avait communiqué par téléphone le numéro et le cryptogramme de sa carte à un hôtelier pour réserver une chambre ; la réservation n’a pas été honorée, l’hôtelier n’a pas remboursé le débit, et la SCI a demandé à sa banque la restitution de la somme.

L’apport direct de l’arrêt est net : la communication volontaire des données de carte bancaire en vue d’une réservation ne suffit pas, à elle seule, à dispenser le juge de vérifier si la banque rapporte la preuve d’un consentement au paiement lui-même. La Cour ne dit pas que le paiement était forcément non autorisé ; elle dit que le tribunal ne pouvait pas rejeter la demande sans rechercher si un tel consentement existait.

Cass. com., 10 décembre 2025, n° 24-20.778

2. Les faits

Le 5 août 2021, la SCI RJSAM, représentée par sa gérante, a communiqué par téléphone à un hôtelier le numéro et le cryptogramme de sa carte bancaire afin de réserver une chambre. La chambre n’a finalement pas été occupée et l’hôtelier a refusé de rembourser la somme débitée. La SCI a alors soutenu qu’elle n’avait transmis ces données qu’aux fins de réservation, et non pour autoriser un paiement immédiat à distance.

Le point de droit est donc précis : la remise des données de carte pour garantir une réservation vaut-elle, en elle-même, consentement à une opération de paiement ?

3. La procédure

La SCI a saisi le tribunal pour obtenir le remboursement par la banque des sommes prélevées. Le tribunal judiciaire de Paris, par jugement du 20 mars 2023, a rejeté ses demandes. La SCI a formé un pourvoi. Le 10 décembre 2025, la chambre commerciale de la Cour de cassation a cassé et annulé le jugement en toutes ses dispositions, puis a renvoyé l’affaire devant le tribunal judiciaire de Paris autrement composé. Elle a en outre condamné la banque aux dépens et à payer 3 000 euros à la SCI au titre de l’article 700 du code de procédure civile.

4. Le contenu de la décision

L’arrêt reproduit le moyen de cassation de la SCI : selon elle, la communication par téléphone du numéro de carte et du cryptogramme, aux seules fins de réservation d’une chambre d’hôtel, ne constituait pas un ordre de paiement autorisé au prestataire de services de paiement.

En revanche, la décision ne reproduit pas de manière développée les écritures de la banque. Ce que l’on connaît avec certitude, c’est le raisonnement retenu par le tribunal : celui-ci avait considéré qu’il n’était pas sérieusement contestable que la SCI avait spontanément communiqué son numéro de carte et le cryptogramme de sécurité à l’hôtelier, et en avait déduit qu’il n’y avait pas d’opération non autorisée.

Le raisonnement de la Cour de cassation

La Cour vise les articles L. 133-6 et L. 133-7 du code monétaire et financier. Elle rappelle qu’une opération de paiement, y compris lorsqu’elle est initiée par le payeur par l’intermédiaire du bénéficiaire, n’est autorisée que si le payeur a donné son consentement à son exécution, sous la forme convenue avec son prestataire. À défaut, l’opération est réputée non autorisée.

La cassation tient dans la méthode de preuve : le tribunal ne pouvait pas s’arrêter au constat matériel de la communication des données de carte. Il devait rechercher, puisque la SCI contestait avoir consenti à un paiement immédiat, si la banque établissait la preuve d’un tel consentement. En omettant cette recherche, le tribunal a privé sa décision de base légale.

La solution retenue

La solution n’est donc pas une condamnation définitive de la banque sur le fond. C’est une cassation pour défaut de base légale. Autrement dit, la Cour impose au juge du renvoi de vérifier concrètement si la banque peut démontrer que la SCI a bien consenti à l’exécution d’un paiement, et non à la seule garantie d’une réservation.

5. Analyse juridique approfondie

L’arrêt du 10 décembre 2025 s’inscrit dans une logique simple mais exigeante : en matière de paiement, le consentement ne se confond ni avec la remise des données de carte, ni avec l’apparence technique de validité de l’opération.

La première idée-force est celle de la distinction entre support technique et consentement juridique. Le fait qu’un commerçant détienne valablement un numéro de carte, une date d’expiration et un cryptogramme ne suffit pas encore à prouver que le titulaire a voulu que le compte soit débité à ce moment-là, pour ce montant-là, dans ces conditions-là. Cette distinction était déjà présente dans la jurisprudence antérieure et la décision de 2025 la réactive avec force dans le contexte très concret des réservations hôtelières.

La seconde idée-force est que le consentement doit être qualifié. Depuis l’arrêt du 30 novembre 2022, la Cour de cassation affirme qu’une opération initiée par le payeur n’est autorisée que s’il a aussi consenti au montant de l’opération. L’arrêt du 10 décembre 2025 transpose cette exigence à la réservation d’hôtel : la question n’est pas de savoir si la carte a été donnée, mais si le titulaire a accepté un paiement immédiat ou une simple garantie.

La troisième idée-force tient à la charge probatoire de la banque. L’article L. 133-23 impose au prestataire de prouver que l’opération a été authentifiée, enregistrée, comptabilisée et non affectée par une déficience technique ; en outre, la seule utilisation technique de l’instrument ne prouve pas nécessairement l’autorisation du payeur. La jurisprudence de 2017, 2018, 2020, 2024 et 2025 construit de manière continue cette exigence.

La portée pratique est importante pour les hôteliers, plateformes, banques et clients professionnels : si la carte est fournie pour “garantir” une réservation, il faut pouvoir prouver très clairement si les conditions prévoyaient un prépaiement, une pénalité de no-show, ou aucun débit sans accord complémentaire. À défaut, le litige ne peut pas être tranché par une simple présomption tirée de la communication des données de carte.

6. Jurisprudences antérieures pertinentes

A. La jurisprudence la plus proche sur l’objet exact : réservation d’hôtel et carte donnée en garantie

Cass. com., 24 mars 2009, n° 08-12.025  La Cour censure déjà un jugement qui avait considéré qu’une banque pouvait débiter le compte après communication en ligne des données de carte, alors que le formulaire précisait « AUCUN DEBIT ! » et que ces données n’étaient nécessaires que pour garantir la réservation. Cette décision est le précédent le plus proche, presque jumeau, de l’arrêt de 2025.

Cass. com., 10 déc. 2025, n° 24-20.778 . La Cour retrouve, sous l’empire des articles L. 133-6 et L. 133-7 du code monétaire et financier, la même idée directrice : la preuve d’un consentement au paiement ne se déduit pas automatiquement d’une communication des données de carte en vue d’une réservation.

B. La construction jurisprudentielle sur le consentement, la preuve et la négligence grave

Cass. com., 18 janv. 2017, n° 15-18.102 . La preuve de la fraude ou de la négligence grave ne peut se déduire du seul fait que l’instrument de paiement ou les données liées ont été utilisés.
Cass. com., 28 mars 2018, n° 16-20.018 . Même ligne : le seul usage technique des données ne suffit pas ; la charge de la preuve reste sur le prestataire.
Cass. com., 12 nov. 2020, n° 19-12.112. Pour faire supporter la perte au payeur, la banque doit aussi prouver que l’opération a été authentifiée, dûment enregistrée, comptabilisée et non affectée par une déficience technique.
Cass. com., 30 nov. 2022, n° 21-17.614 . Une opération initiée par le payeur n’est réputée autorisée que s’il a aussi consenti au montant de l’opération.
Cass. com., 30 août 2023, n° 22-11.707 . Sauf fraude du payeur, celui-ci ne supporte aucune conséquence financière si l’opération non autorisée a été effectuée sans authentification forte.
Cass. com., 23 oct. 2024, n° 23-16.267 . En contexte de spoofing, la négligence grave n’est pas automatiquement caractérisée ; il faut apprécier concrètement le comportement du payeur.
Cass. com., 20 nov. 2024, n° 23-15.099 . La banque doit, au préalable, démontrer l’absence de déficience technique si elle veut opposer au client une faute intentionnelle ou une négligence grave.
Cass. com., 15 janv. 2025, n° 23-13.579 . Lorsqu’est en cause une opération non autorisée ou mal exécutée, seul le régime spécial des articles L. 133-18 à L. 133-24 s’applique, à l’exclusion d’un régime alternatif de responsabilité de droit commun fondé sur les mêmes faits.
Cass. com., 30 avr. 2025, n° 24-10.149 . Confirmation récente : le juge doit vérifier que les opérations ont été authentifiées, enregistrées, comptabilisées et exemptes de déficience technique avant de retenir une négligence grave du payeur.

7. Textes légaux applicables

Article L. 133-6 du code monétaire et financier
Version applicable au litige : rédaction en vigueur depuis le 13 janvier 2018.

Article L. 133-7 du code monétaire et financier
Version applicable au litige : rédaction en vigueur depuis le 13 janvier 2018.
Texte utile : « Le consentement est donné sous la forme convenue entre le payeur et son prestataire de services de paiement. (…) En l’absence d’un tel consentement, l’opération (…) est réputée non autorisée. »

Article L. 133-18 du code monétaire et financier
Version en vigueur au 5 août 2021.
Texte utile : « En cas d’opération de paiement non autorisée (…) le prestataire (…) rembourse (…) immédiatement (…) et au plus tard à la fin du premier jour ouvrable suivant. »

Article L. 133-19 du code monétaire et financier
Version applicable au litige : rédaction en vigueur depuis le 13 janvier 2018.
Texte utile : « Le payeur supporte toutes les pertes (…) s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17. »
Texte utile complémentaire : « (…) si l’opération (…) a été effectuée sans que le prestataire (…) n’exige une authentification forte (…) », le payeur ne supporte aucune conséquence financière, sauf fraude.

Article L. 133-23 du code monétaire et financier
Version applicable au litige : rédaction en vigueur depuis le 13 janvier 2018.
Texte utile : « Il incombe à son prestataire (…) de prouver que l’opération (…) a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre. »
Texte utile complémentaire : « L’utilisation de l’instrument de paiement (…) ne suffit pas nécessairement (…) à prouver que l’opération a été autorisée. »

Article L. 133-24 du code monétaire et financier
Version applicable au litige : rédaction en vigueur depuis le 13 janvier 2018.
Texte utile : « L’utilisateur de services de paiement signale, sans tarder, (…) et au plus tard dans les treize mois suivant la date de débit (…) ».

8. Critique de la décision

L’arrêt de 2025 est rigoureux parce qu’il évite deux excès contraires. Il ne transforme pas la contestation du client en vérité automatique. Mais il refuse aussi que la banque se retranche derrière la seule remise des données techniques de la carte. Le cœur du dossier reste le contenu du consentement.

La décision ne crée pas une règle nouvelle totalement isolée. Elle rattache un cas très concret — la réservation hôtelière — à deux axes jurisprudentiels déjà construits :
d’abord, la vieille distinction entre garantie de réservation et mandat de payer ; ensuite, la jurisprudence moderne sur la preuve stricte du consentement et de l’absence de déficience technique.

9. Effets pratiques de l’arrêt

Pour les banques, l’enseignement est clair : elles doivent conserver une preuve exploitable de la forme du consentement, du montant accepté, et, en cas de contestation, de l’authentification et de l’absence de déficience technique.

Pour les hôteliers et plateformes de réservation, il faut distinguer sans ambiguïté :
soit un pré-paiement, soit une empreinte/garantie, soit une pénalité de non-présentation prévue contractuellement. Plus les conditions sont claires et traçables, moins le risque contentieux est fort. Cette exigence ressort déjà du précédent de 2009 et est réactivée en 2025.

Pour les clients professionnels, SCI et petites entreprises, le réflexe utile est double : contester rapidement l’opération par écrit auprès de la banque et conserver toute preuve de ce qui avait été convenu avec l’hôtel ou la plateforme. Le délai de principe est de treize mois.

10. Conclusion

En définitive, l’arrêt Cass. com., 10 déc. 2025, n° 24-20.778 rappelle une règle simple et décisive : une carte bancaire peut servir à réserver sans pour autant autoriser, par cela seul, un débit immédiat. Ce qui compte n’est pas seulement la transmission des données, mais la preuve du consentement au paiement.

La présente analyse est offerte par la SELARL Philippe GONET, cabinet d’avocat situé 2 rue du Corps de Garde, 44600 Saint-Nazaire.