ARRÊT N°

JFL /FA

COUR D’APPEL DE BESANÇON

– 172 501 116 00013 –

ARRÊT DU 14 MARS 2023

PREMIÈRE CHAMBRE CIVILE ET COMMERCIALE

Contradictoire

Audience publique du 10 janvier 2023

N° de rôle : N° RG 22/00749 – N° Portalis DBVG-V-B7G-EQIE

S/appel d’une décision du tribunal de commerce de Chalon sur Saône du 04 septembre 2017 [RG N° 2016002124]

S/appel d’un arrêt de la cour d’appel de Dijon du 05 décembre 2019

S/appel d’un arrêt de la cour de cassation du 09 mars 2022

Code affaire : 38E Autres actions en responsabilité exercées contre un établissement de crédit

CAISSE D’EPARGNE ET DE PREVOYANCE DE BOURGOGNE FRANCHE-COMTE C/ S.A.R.L. GARAGE LECAT ET FILS, Société CAISSE DE CREDIT MUTUEL DU CREUSOT

PARTIES EN CAUSE :

CAISSE D’EPARGNE ET DE PREVOYANCE DE BOURGOGNE FRANCHE-COMTE Banque coopérative régie par les articles L512-85 et suivants du CMF SA à directoire et Conseil d’orientation et de surveillance inscrite au RCS de DIJON 352483341 agissant poursuites et diligences de ses représentants légaux en exercice domiciliés pour ce audit siège

Sise[Adresse 1]

Représentée par Me Ludovic BUISSON de la SELAS ADIDA ET ASSOCIES, avocat au barreau de CHALON-SUR-SAONE, avocat plaidant,

Représentée par Me Caroline LEROUX, avocat au barreau de BESANCON, avocat postulant

APPELANTE

ET :

S.A.R.L. GARAGE LECAT ET FILS prise en la personne de son représentant légal domicilié en cette qualité audit siège, immatriculée au RCS de Chalon sur Saône sous le numéro 305 503 443

Sise [Adresse 3]

Représentée par Me Séverine WERTHE de la SCP DSC AVOCATS, avocat au barreau de BESANCON, avocat postulant,

Représentée par Me Zakeye ZERBO de la SELAS ZERBO, avocat au barreau de LYON, avocat plaidant

CAISSE DE CREDIT MUTUEL DU CREUSOT représentée par son Président du Conseil d’Administration domicilié en cette qualité audit siège, immatriculée au RCS de Chalon sur Saône sous le numéro 324 804 285

Sise [Adresse 2]

Représentée par Me Delphine GROS de la SELARL TERRYN – AITALI -GROS-CARPI-LE DENMAT, avocat au barreau de BESANCON, avocat postulant,

Représentée par Me Simon LAMBERT de la SCP LANCELIN ET LAMBERT, avocat au barreau de DIJON, avocat plaidant

INTIMÉES

COMPOSITION DE LA COUR :

COMPOSITION DE LA COUR :

Lors des débats :

PRÉSIDENT : Monsieur Michel WACHTER, Président de chambre.

ASSESSEURS : Messieurs Jean-François LEVEQUE, conseiller et Dominique RUBEY, vice-président placé,

GREFFIER : Madame Fabienne ARNOUX, Greffier.

Lors du délibéré :

PRÉSIDENT : Monsieur Michel WACHTER, Président de chambre,

ASSESSEURS : Messieurs Jean-François LEVEQUE, conseiller, magistrat rédacteur et Dominique RUBEY, vice-président placé.

L’affaire, plaidée à l’audience du 10 janvier 2023 a été mise en délibéré au 14 mars 2023. Les parties ont été avisées qu’à cette date l’arrêt serait rendu par mise à disposition au greffe.

**************

Exposé du litige

La SARL Carrosserie Lecat et fils (la société Lecat) a ouvert deux comptes courants auprès de la SA Caisse d’épargne et de prévoyance de Bourgogne Franche-Comté (la Caisse d’épargne) le 16 septembre 2003.

Egalement titulaire d’un autre compte courant auprès de la société Crédit mutuel Le Creusot (le Crédit mutuel), la société Lecat a conclu avec celle-ci le 14 janvier 2014 une convention Formule Clé lui permettant de sécuriser les opérations bancaires pratiquées sur ses divers comptes par internet grâce la connexion d’une clé USB spécifique dénommée K.Sign et à la saisie de plusieurs codes de sécurité

Ces sécurités fournies par le Crédit mutuel n’ont pas empêché un virement frauduleux de 64 850 euros effectué le jeudi 16 juillet 2015 à 11 heures 31 par débit d’un des comptes ouverts à la Caisse d’épargne et par crédit d’un compte inconnu ouvert dans une banque britannique. Les investigations techniques ont révélé qu’un virus informatique avait permis à un tiers de s’emparer des codes secrets et de les utiliser en prenant la main sur un ordinateur de la société Lecat à un moment où était laissée branchée la clé USB de sécurité.

Les deux banques ayant décliné leur responsabilité, la société Lecat les a assignées le 22 mars 2017 en remboursement de la somme détournée et en paiement de dommages et intérêts. Le tribunal de commerce de Chalon-sur-Saône, par jugement du 4 septembre 2017 visant les articles L. 133-18 et L. 133-24 du code de monétaire et financier, ainsi que les articles 1131, 1135, 1147 et 1937 du code civil, a :

– débouté la société Lecat de sa demande en dommages et intérêts ;

– condamné solidairement la Caisse d’épargne et le Crédit mutuel à lui rembourser la somme demandée de 64 850 euros ;

– les a déboutées de toute demande  ;

– et les a condamnées solidairement à payer à la société Lecat 2 000 euros pour ses frais irrépétibles et à payer les dépens.

Pour statuer ainsi, le premier juge a retenu :

– que la Caisse d’épargne ne démontrait pas qu’une faute de la société Lecat avait permis le faux ordre de virement, faute qui ne résultait pas de la seule réalisation de la fraude, et qu’en conséquence elle n’était pas exonérée de l’obligation de rembourser prévue à l’article L. 133-18 du code monétaire et financier ;

– qu’en outre la Caisse d’épargne avait permis la réalisation du dommage en manquant fautivement à son devoir de surveillance, contrôle et vigilance, pour s’être abstenue de demander la confirmation de l’ordre de virement frauduleux alors qu’elle disposait d’un faisceau d’anomalies intellectuelles imposant de contrôler la régularité formelle ;

– que le Crédit mutuel, quant à lui, ne pouvait opposer à la société Lecat l’exonération de responsabilité figurant dans des conditions générales qu’il ne démontrait pas avoir portées à sa connaissance ;

– que le Crédit mutuel avait commis une faute en ne fournissant pas à la société Lecat un système procurant la sécurité attendue ;

– mais que la société Lecat, si elle avait manifestement supporté un préjudice, n’avait pas fourni au tribunal les éléments permettant de l’évaluer, ce qui justifiait le rejet de sa demande indemnitaire.

Le Crédit mutuel a interjeté appel de cette décision contre les deux autres parties par déclaration enregistrée le 29 septembre 2017 et la cour d’appel de Dijon, par arrêt du 5 décembre 2019, a infirmé le jugement en toutes ses dispositions et a débouté la société Lecat de ses demandes, aux motifs  que si la société Lecat avait été victime d’un virus de type ‘malware’ ayant permis, au terme de manoeuvres sophistiquées, la prise en main à distance par le pirate informatique de l’ordinateur à partir duquel le virement avait été ordonné, ce virement avait pu avoir lieu parce que la clé de sécurité était restée introduite dans l’ordinateur alors que l’opérateur n’était pas à son poste, car sinon il aurait constaté la prise en main à distance. La cour de Dijon a en outre retenu qu’il n’appartenait pas au Crédit mutuel de rapporter la preuve de l’absence de l’opérateur à son poste au moment du virement, ni de démontrer que la présence de l’opérateur aurait pu rendre ce virement impossible, ni d’établir que l’antivirus de la société n’était pas à jour ou qu’un autre système de protection aurait pu détecter et neutraliser plus efficacement le virus. La cour de Dijon a ajouté que les conditions générales de la convention ‘Formule clé’, lesquelles prévoient notamment qu’à la fin de chaque utilisation ou service, le souscripteur doit veiller à se déconnecter systématiquement et correctement du service, étaient opposables à la société, et qu’il n’était pas établi que le virement frauduleux avait pu être réalisé en raison d’une insuffisance du système de sécurisation des transactions fourni par le Crédit mutuel.

La Cour de cassation, par arrêt du 9 mars 2022 rendu sur pourvoi de la société Lecat, a cassé l’arrêt de la cour d’appel de Dijon et renvoyé l’affaire devant la cour d’appel de Besançon, aux motifs que celle de Dijon avait violé les articles L. 133-19 IV et L. 133-23 du code monétaire et financier, dans leur rédaction ancienne applicable au litige, dont il résulte que c’est au prestataire de services de paiement qu’il incombe de rapporter la preuve que l’utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence grave à ses obligations, cette preuve ne pouvant se déduire du seul fait que les instruments de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés.

La Caisse d’épargne a mis l’affaire au rôle par déclaration de saisine le 6 mai 2022.

La société Lecat, par conclusions transmises 16 décembre 2022 visant les articles L. 133-6, L. 133-18, L. 133-19, L. 133-23 et L. 133-24 du code de monétaire et financier, ainsi que les articles 1131, 1135, 1147 et 1937 du code civil,  demande à la cour de :

– confirmer le jugement en ce qu’il a condamné solidairement les deux banques à lui rembourser la somme soustraite ;

– l’infirmer en ce qu’il l’a déboutée de sa demande en dommages et intérêts ;

– condamner solidairement la Caisse d’épargne et le Crédit mutuel à lui payer 336 285 euros de dommages et intérêts en réparation de son préjudice financier et économique ;

– les débouter de leurs demandes ;

– les condamner solidairement à lui payer 10 000 euros pour ses frais irrépétibles et à payer les dépens.

Cette intimée fait valoir :

– que sa demande en remboursement est fondée dès lors qu’aucune faute ne peut être retenue contre elle ;

– que le Crédit mutuel a manqué à ses obligations contractuelles en livrant un système insuffisamment sécurisé, notamment en ce qu’il ne prévoyait pas une confirmation des virements via un support extérieur, tel un téléphone mobile ;

– qu’il n’est pas démontré qu’elle ait commis une faute, notamment en laissant la clé USB connectée à l’ordinateur trop longtemps, alors de plus qu’elle était équipée d’un antivirus ;

– que la clause d’exonération invoquée par le Crédit mutuel figure dans des conditions générales inopposables et qui, de plus, ne peuvent prévaloir sur les dispositions impératives du code monétaire et financier ;

– que la Caisse d’épargne était tenue à dommages et intérêts en cas de violation des obligations mises à la charge du dépositaire par l’article 1147 du code civil, ainsi que d’une obligation de vigilance en cas d’ordre de paiement inhabituel, compte tenu d’une campagne de sensibilisation au risque de fraude réalisée à l’époque par la gendarmerie de Saône-et-Loire et compte tenu du fait que la société Lecat n’ordonnait jamais des virements internationaux de tels montants ;

– que n’ayant commis elle-même ni manquement au contrat ni aucune autre faute, elle doit bénéficier du remboursement prévu aux articles L. 133-18 à L. 133-24 du code monétaire et financier ;

– que l’augmentation de sa demande indemnitaire devant la cour ne la rend pas irrecevable comme nouvelle au sens de l’article 566 du code de procédure civile ;

– et que son préjudice est égal à la somme des bénéfices qu’elle aurait pu tirer des ventes de véhicules qu’elle aurait pu réaliser depuis 2015 avec la somme détournée.

Le Crédit mutuel, par conclusions transmises le 6 décembre 2022 visant les articles 1134 et 1147 du code civil et l’article L. 133-23 du code monétaire et financier, demande à la cour de :

– réformer le jugement ;

– dire irrecevable la demande en dommages et intérêts de ‘100 000″ euros ;

– débouter la société Lecat de ses demandes ;

– condamner la société Lecat à lui payer 4 000 euros au titre des frais irrépétibles et aux dépens.

L’appelante soutient

– qu’étant non pas dépositaire des fonds mais simple fournisseur d’une la clé de signature électronique qui était adaptée aux besoins de son utilisateur, et qui n’avait présenté aucune défaillance, elle n’était pas responsable du prélèvement litigieux, qui n’avait été rendu possible que par les négligences graves commises par la société Lecat en violation de ses propres obligations contractuelles, ayant utilisé un système antivirus et un pare-feu de mauvaise qualité et non mis à jour, ayant ouvert imprudemment la pièce jointe à un mail douteux et ayant laissé la clé de signature à demeure sur l’ordinateur ;

– qu’en application des conditions générales sa responsabilité était limitée aux conséquences d’une faute que l’autre partie avait la charge de prouver, ce en quoi elle échouait ;

– et que le préjudice invoqué n’est pas établi, ne pouvant en réalité excéder le coût de la trésorerie manquante.

La Caisse d’épargne, par conclusions transmises le 6 septembre 2022 visant les articles 1134 et 1147 du code civil, demande à la cour de :

– confirmer le jugement en ce qu’il a débouté la société Lecat de ses demandes ;

– infirmer le jugement en ce qu’il a l’a condamnée au remboursement, aux frais irrépétibles et aux dépens ;

– débouter la société Lecat de ses demandes ;

– la condamner à lui payer 4 000 euros au titre des frais irrépétibles et à payer les dépens.

Cette intimée soutient :

– que les conditions générales du contrat d’Echange de Données Informatisées Datalis souscrit par la société Lecat imposait à celle-ci de faire son affaire personnelle des moyens informatiques utilisés, sous son exclusive responsabilité ;

– que la décision de la Cour de cassation ne concerne pas la Caisse d’épargne, simple dépositaire des fonds mais uniquement le Crédit Mutuel, fournisseur de la clé de paiement ;

– qu’elle-même n’a commis aucune faute ayant concouru à la réalisation du virement litigieux ;

– que les nouvelles conditions générales applicables depuis janvier 2015, auxquelles la société Lecat a adhéré, la dispensaient de tout devoir de vigilance en matière de prélèvement, et l’exonèrent de toute responsabilité en cas d’usage frauduleux ou abusif du certificat éléctronique ou du lecteur CAP ;

– que la fraude résulte d’un dysfonctionnement de la clé de sécurité qui n’engage pas sa responsabilité, peu important que ce dysfonctionnement résulte d’une mauvaise utilisation de la clé ou d’une défaillance inhérente à la clé ;

– qu’elle a en outre accompli les diligences utiles pour tenter de récupérer les fonds détournés ;

– que le préjudice invoqué, passé de 15 000 euros devant la cour de Dijon à 150 000, puis 200 000 euros devant celle de Besançon, n’est pas établi par l’unique évaluation d’un expert-comptable établie non-contradictoirement.

Il est renvoyé aux écritures des parties pour plus ample exposé de leurs moyens de fait et de droit, conformément à l’article 455 du code de procédure civile.

L’instruction a été clôturée le 9 janvier 2023. L’affaire a été appelée à l’audience du 10 janvier 2023 et mise en délibéré au 14 mars 2023

Motifs de la décision

Sur les règles applicables au litige

Les articles L. 133-1 et suivants du code monétaire et financier invoqués par la société Lecat dans leur version ancienne applicable aux faits portent, ainsi qu’en dispose le même article L. 133-1, sur les opérations de paiement réalisées par les prestataires de services de paiement mentionnés au livre V, dont font partie les prestataires de services bancaires tels le Crédit mutuel et la Caisse d’épargne, dans le cadre des activités définies au II de l’article L. 314-1, parmi lesquelles l’exécution des virements associés à un compte de paiement, tel le virement litigieux. Ont concouru à l’exécution de ce virement tant le Crédit mutuel, qui a fourni le système d’authentification utilisé pour ordonner le virement, que la Caisse d’épargne, qui a transféré les fonds conformément à l’ordre authentifié. L’un comme l’autre de ces établissements sont donc soumis aux dispositions invoquées.

L’article L. 133-18 du code monétaire et financier dans sa version en vigueur du 1er novembre 2009 au 13 janvier 2018 applicable au litige, dispose qu’en cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L. 133-24, ce qui n’est pas discuté, le prestataire de services de paiement du payeur rembourse immédiatement au payeur le montant de l’opération non autorisée et, le cas échéant, rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu. Les parties ne peuvent y déroger, ainsi qu’il se déduit de l’article L. 133-2 du même code qui énumère limitativement les articles auxquels les parties peuvent déroger, au nombre desquels ne figure pas l’article L. 133-18.

L’article L. 133-19 du même code prévoit spécialement, dans le cas d’utilisation d’instruments de paiements dotés de données de sécurité personnalisées, que la responsabilité du payeur, c’est à dire l’utilisateur du service de paiement, n’est pas engagée si l’opération de paiement non autorisée a été effectuée en détournant, à son insu, l’instrument de paiement ou les données qui lui sont liées, mais qu’inversement, le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations de prudence et d’alerte mentionnées aux articles L. 133-16 et L. 133-17.

L’article L. 133-23 du même code dispose que lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre.

Le même texte précise que l’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière.

Il résulte ainsi des articles L. 133-19 et L. 133-23 du code monétaire et financier, qu’en cas d’opération de paiement non autorisée, réalisée au moyen d’un instrument de paiement doté de données de sécurité personnalisées, et signalée par l’utilisateur dans les conditions prévues à l’art. L. 133-24, le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée, sauf si la responsabilité du payeur est engagée en application de l’art. L. 133-19 (Com. 30 nov. 2022, no 21-17.614).

Il en résulte encore, ainsi que l’a rappelé la Cour de cassation dans la présente espèce, que c’est au prestataire de services de paiement qu’il incombe de rapporter la preuve que l’utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence grave à ses obligations, et que cette preuve ne peut se déduire du seul fait que les instruments de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisées par un tiers.

Toutefois, il peut être dérogé à ces deux textes par contrat, ainsi que le permet expressément l’article L. 133-2 précité.

En conséquence, si les parties ne peuvent déroger à l’obligation de remboursement immédiat du paiement non-autorisé par le prestataire de service de paiement, prévue à l’article L. 133-18, elles restent libres de déroger aux règles légales qui font peser sur le prestataire la charge de prouver la faute du payeur et qui précisent que cette preuve ne résulte pas de la seule effectivité du paiement non-autorisé.

Sur la responsabilité du Crédit mutuel

Pour éviter la charge de prouver la faute du payeur, qui lui incombe pour dégager sa responsabilité en application des dispositions légales ainsi que l’a rappelé la Cour de cassation, le Crédit mutuel soutient que le contrat ne le rend responsable envers la société Lecat qu’au titre des fautes démontrées par celle-ci, conformément aux conditions générales ‘CMUT direct pro – CMUT direct association 03.07 07/13’, contenues dans le fascicule ‘Conditions générales professionnels associations agriculteurs référence 82.02.64″ que la société Lecat aurait reconnu avoir reçu, et qui lui seraient ainsi opposables.

L’offre de contrat Formule Clé signée le 14 janvier 2014 comporte une clause par laquelle la société Lecat a reconnu avoir reçu en temps utile un fascicule intitulé ‘Conditions générales professionnels associations agriculteurs référence 82.02.64 07/13″. Le Crédit mutuel produit un document intitulé ‘Condition générales Professionnels Association Agriculteurs’, datée du mois de juillet 2013, lequel comporte en page 29 et suivantes les ‘Conditions générales CMUT direct pro – CMUT direct association’. Celles-ci apparaissent ainsi avoir été remises à la société Lecat, et lui sont en conséquence opposables.

Ces conditions générales stipulent que ‘la banque ne saurait être tenue pour responsable des risques liés aux caractéristiques mêmes du média internet ou inhérents aux échanges d’information par le biais du dit média, risque que le souscripteur déclare accepte’, que le souscripteur ‘s’engage à prendre toutes les mesures nécessaires afin de garantir le niveau requis de protection de son ordinateur (…) contre tous les risques de virus ou de logiciel espions quels qu’ils soient’ et que ‘la banque ne saurait dès lors être tenue responsable d’une défectuosité du système et/ou du service dû à une telle altération, ce que le souscripteur accepte’.

Une telle clause, en exonérant le fournisseur de l’instrument de paiement de toute responsabilité en cas d’utilisation frauduleuse de cet instrument par un tiers au moyen d’un virus ou d’un logiciel espion, a pour effet de le dispenser du remboursement des sommes en cas de paiement non autorisé, ce qui constitue une dérogation prohibée à l’article L. 133-18.

Par ailleurs, si les conditions générales d’utilisation du certificat de signature et d’authentification K.Sign, paraphées par les représentants de la société Lecat et donc opposables à celle-ci, imposent à l’utilisateur de prendre toutes mesures nécessaires afin de protéger sa clé privée, ses données et les postes informatiques utilisée, avant de le déclarer ensuite ‘seul responsable’ de sa clé privée conservée sur son matériel informatique ‘contre’ la violation, la perte, la divulgation, la modification et l’usage abusif, ces clauses, comme précédemment, aboutissent à exonérer la banque de son obligation de remboursement immédiat en cas de paiement non-autorisé, constituent donc une dérogation prohibée à l’article L. 133-18, et ne peuvent faire obstacle à celui-ci.

Ne pouvant dès lors se prévaloir de dérogations contractuelles contraires aux dispositions impératives du code monétaire, le Crédit mutuel reste soumis au régime légal, qui lui impose de rembourser le paiement non-autorisé sauf à prouver la faute intentionnelle ou la négligence du payeur.

Il n’apporte pas cette preuve dès lors que l’allégation, selon laquelle l’utilisation frauduleuse de la clé n’aurait été possible que par la négligence grave d’un opérateur de la société Lecat qui l’aurait laissée branchée sur son poste informatique plus longtemps que nécessaire et sans surveillance, laissant ainsi au fraudeur le temps d’opérer, n’est confortée par aucun élément consistant et reste hypothétique.

N’ayant pas prouvé la faute du payeur, le Crédit mutuel reste débiteur de son obligation légale de remboursement. Sa condamnation à rembourser la société Lecat sera donc confirmée.

En revanche, si la clause exonératoire stipulée aux conditions générales d’utilisation du certificat de signature et d’authentification K.Sign, selon laquelle le souscripteur est seul responsable de sa clé privée ‘contre’ l’usage abusif de celle-ci, est inefficace pour dispenser la banque de son obligation légale de rembourser les sommes détournées, elle exonère valablement la banque de toute responsabilité supplémentaire en cas d’usage abusif de la clé, et fait ainsi obstacle à l’allocation de dommages et intérêts en sus du remboursement de la somme détournée.

De plus, il n’apparaît pas que le Crédit mutuel ait commis de faute engageant sa responsabilité contractuelle de droit commun en fournissant fautivement un dispositif de sécurité inefficace, dès lors qu’il ne résulte pas du contrat qu’il ait été débiteur à cet égard d’une obligation de résultat, qu’il n’est pas davantage démontré que son obligation de moyen lui imposait, au regard des standards de sécurisation de 2014, de compléter la sécurité du dispositif par une confirmation des transactions par téléphone mobile, qu’au demeurant l’absence de ce dispositif complémentaire résultait des conditions d’usage des certificats et des conditions générales d’utilisation de la clé K.Sign dont le souscripteur avait déclaré avoir pris connaissance, et qu’enfin la seule survenance d’une fraude n’établit pas que l’efficacité du système ait été en deçà de l’aléa de sécurité incompressible propre aux transactions sur internet.

Le rejet de la demande indemnitaire dirigée contre le Crédit mutuel sera donc confirmé, par substitution de motifs.

Sur la responsabilité de la Caisse d’épargne

Etant l’établissement qui a exécuté l’ordre de virement frauduleux, la Caisse d’épargne est un prestataire de service de paiement soumis au même régime légal et aux mêmes possibilités de dérogation contractuelle que ceux examinés précédemment au titre de la responsabilité du Crédit mutuel.

Pareillement, elle ne peut se prévaloir utilement de clauses exonératoires de responsabilité en ce qu’elles constituent une dérogation prohibée aux dispositions impératives de l’article L. 133-18 relatives à l’obligation de remboursement du paiement non autorisé.

Telles sont les conditions générales du contrat d’Echange de Données Informatisées Datalis souscrit par la société Lecat le 16 mai 2013, signées par le représentant de la société et donc opposable à celle-ci, qui lui imposent de faire son affaire personnelle des moyens informatiques utilisés, sous son exclusive responsabilité.

La question est sans objet pour les nouvelles conditions générales applicables depuis janvier 2015, qui dispensaient la Caisse d’épargne de tout devoir de vigilance en matière de prélèvement, et l’exonéraient de toute responsabilité en cas d’usage frauduleux ou abusif du certificat électronique ou du lecteur CAP, dès lors que la société Lecat conteste qu’elles lui aient été remises, et que la preuve de cette remise n’est pas apportée par la Caisse d’épargne, ce qui empêche celle-ci de les opposer à sa cliente.

En conséquence, la condamnation de la Caisse d’épargne à rembourser le paiement non autorisé aux côtés du Crédit Mutuel sera confirmée.

Sera en revanche infirmée la solidarité dont le premier juge a assorti cette condamnation, qui en l’absence de texte ou de contrat prévoyant une telle solidarité, ne pouvait être prononcée qu’in solidum.

Cependant, les conditions générales signées le 16 mai 2013, si elles ne pouvaient écarter l’obligation de remboursement prévue impérativement à l’article L. 133-18, pouvaient valablement exonérer la banque de sa responsabilité pour d’autres dommages.

Leur article 18 stipule non seulement que les ordres saisis ou déposés sur e-remise (le site de services mis à disposition des clients sur le portail internet de la banque) le sont sous la responsabilité exclusive du client, mais encore que la Caisse d’épargne n’est tenue à cet égard d’aucun contrôle ou vigilance particuliers, et qu’elle est dégagée de toute responsabilité en cas d’utilisation non conforme, abusive ou frauduleuse des services mis à disposition du client, notamment l’utilisation par un tiers de l’authentification fournie.

Il résulte de ces clauses que la société Lecat ne peut prétendre à d’autres indemnisations que le remboursement des sommes défournées, et qu’en conséquence le jugement doit être confirmé, à nouveau par substitution de motifs, en ce qu’il a débouté cette société de sa demande de dommages et intérêts.

Par ces motifs

La cour, statuant publiquement et contradictoirement,

Confirme le jugement rendu entre les parties le 4 septembre 2017 par le tribunal de commerce de Chalon-sur-Saône, sauf en ce qu’il a assorti de la solidarité la condamnation des sociétés Caisse de crédit mutuel du Creusot et Caisse d’épargne et de prévoyance de Bourgogne Franche-Comté à rembourser à la société Carrosserie Lecat et fils la somme de 64 850 euros ;

statuant à nouveau du chef infirmé et y ajoutant,

Prononce cette condamnation in solidum ;

Déboute les sociétés Caisse de crédit mutuel du Creusot et Caisse d’épargne et de prévoyance de Bourgogne Franche-Comté de leurs demandes fondées sur l’article 700 du code de procédure civile ;

Les condamne du même chef, in solidum, à payer à la société Carrosserie Lecat et fils la somme de 5 000 euros.

Ledit arrêt a été signé par M. Michel Wachter, président de chambre, magistrat ayant participé au délibéré, et par Mme Fabienne Arnoux, greffier.

La greffière Le président de chambre