L’obligation de vigilance de la banque

Notez ce point juridique

1. Il est important de respecter les obligations contractuelles en matière de paiement, sous peine de devoir verser des dommages et intérêts en cas de non-exécution ou de retard dans l’exécution.

2. Les banques ont une obligation de non-ingérence dans les affaires de leurs clients, sauf en cas d’anomalies apparentes qui nécessitent une vigilance accrue de leur part.

3. En cas de virements litigieux ou non autorisés, il est essentiel de démontrer un manquement de la banque à son obligation de vigilance pour pouvoir prétendre à une restitution des sommes perdues.

L’affaire concerne des ordres de virement litigieux émis par l’Hôtel Rive Gauche, qui ont été effectués de manière frauduleuse par un individu se faisant passer pour un employé de la banque CIC. Ces virements ont été validés par un employé de l’hôtel, sans vérification adéquate, et ont conduit à des pertes financières importantes.

La société CIC demande à la cour de juger que les virements ont été émis par l’hôtel et que ce dernier a commis des négligences graves à l’origine du préjudice subi. En revanche, l’Hôtel Rive Gauche conteste la légitimité des virements, affirmant qu’ils sont frauduleux, et demande que la responsabilité de la banque CIC soit reconnue pour ne pas avoir vérifié l’authenticité des ordres de virement.

L’affaire soulève des questions sur l’autorisation des opérations de paiement, la responsabilité de l’utilisateur de services de paiement et la responsabilité du banquier. Les parties s’opposent sur la question de savoir qui est responsable des pertes financières subies et si les opérations de paiement étaient autorisées ou non.

Application de l’article 1147 ancien du code civil

En application de l’article 1147 ancien, devenu1231-1, du code civil, le débiteur est condamné, s’il y a lieu, au payement de dommages et intérêts soit à raison de l’inexécution de l’obligation, soit à raison du retard dans l’exécution, s’il ne justifie pas que l’exécution a été empêchée par la force majeure.

Obligation de non-ingérence de la banque

Limites du devoir de non-ingérence

S’il est exact que ce devoir de non-ingérence trouve une limite dans l’obligation de vigilance de l’établissement de crédit prestataire de services de payement, c’est à la condition que l’opération recèle une anomalie apparente, matérielle ou intellectuelle, soit des documents qui lui sont fournis, soit de la nature elle-même de l’opération ou encore du fonctionnement du compte.

Analyse des anomalies des virements litigieux

Le [6] invoque un manquement du CIC à son obligation de vigilance en ce que la banque n’a pas relevé les anomalies tant matérielles qu’intellectuelles qui affectaient les virements litigieux.

Conclusion sur l’absence de manquement du CIC

En l’absence d’anomalie manifeste, la banque n’était pas tenue à de plus amples diligences. Aucun manquement du CIC n’étant démontré, le payeur doit supporter toutes les pertes occasionnées par des opérations de payement non autorisées.

Décision sur les dépens et les frais irrépétibles

Le [6] sera condamné à payer au CIC la somme de 5 000 euros au titre des frais irrépétibles.

– La société Saint-Jacques Hôtel et Congrès est condamnée à payer à la société Crédit industriel et commercial la somme de 5 000 euros sur le fondement de l’article 700 du code de procédure civile.
– La société Saint-Jacques Hôtel et Congrès est condamnée aux entiers dépens.

Sommaire

Réglementation applicable

– Code de procédure civile
– Code monétaire et financier
– Code civil

Avocats

Bravo aux Avocats ayant plaidé ce dossier :

– Me Fanny DESCLOZEAUX de la SELARL CARBONNIER LAMAZE RASLE
– Me Hélène FERON-POLONI de la SCP LECOQ VALLON & FERON-POLONI

Mots clefs associés

– article 1147 ancien, devenu 1231-1, du code civil
– débiteur
– dommages et intérêts
– force majeure
– banque
– obligation de non-ingérence
– investigations
– prestataire de services de paiement
– devoir de non-immixtion
– obligation de vigilance
– anomalies
– virements litigieux
– contre-appel de sécurité
– montant des virements
– destination des virements
– compte bancaire
– télécopies
– signatures falsifiées
– escroc
– pertes
– opérations de paiement non autorisées
– droit commun du dépôt
– restitution des sommes
– dépens
– frais irrépétibles
– article 700 du code de procédure civile
– honoraires et frais

– Confirmation du jugement :
– Acte par lequel une cour d’appel ou une juridiction supérieure approuve et maintient la décision rendue par un tribunal de première instance.

– Condamnation des sociétés [Adresse 8] et Idéal :
– Décision de justice qui impose à ces sociétés spécifiques de se conformer à une sanction ou à une obligation déterminée par le tribunal, suite à un litige.

– Dépens d’appel :
– Ensemble des frais engagés pour un procès en appel, incluant les frais de justice, les honoraires d’avocat, les coûts de documentation, etc., que la partie perdante peut être condamnée à payer.

– Équité :
– Principe de justice fondé sur l’idée de moralité et de bon sens, qui vise à atteindre une solution juste dans une situation donnée, souvent utilisé pour pallier les rigueurs du droit strict.

– Article 700 du Code de Procédure Civile :
– Disposition légale permettant à une partie dans un litige de demander une indemnisation pour les frais non couverts par les dépens, tels que les honoraires d’avocats et autres frais liés à la procédure.

* * *

REPUBLIQUE FRANÇAISE

AU NOM DU PEUPLE FRANÇAIS

Copies exécutoires REPUBLIQUE FRANCAISE

délivrées aux parties le : AU NOM DU PEUPLE FRANCAIS

COUR D’APPEL DE PARIS

Pôle 5 – Chambre 6

ARRET DU 28 FEVRIER 2024

(n° , 10 pages)

Numéro d’inscription au répertoire général : N° RG 21/18998 – N° Portalis 35L7-V-B7F-CESY4

Décision déférée à la Cour : Jugement du 21 Septembre 2021 -tribunal de commerce de Paris -5ème chambre – RG n° 2016036339

APPELANTE

S.A. CREDIT INDUSTRIEL ET COMMERCIAL

[Adresse 3]

[Localité 4]

N°SIRET : B 542 016 381

agissant poursuites et diligences de son représentant légal domicilié en cette qualité audit siège

Représentée par Me Fanny DESCLOZEAUX de la SELARL CARBONNIER LAMAZE RASLE, avocat au barreau de PARIS, toque : P0298, avocat postulant et plaidant

INTIMÉE

S.A.S. SAINT JACQUES HOTEL ET CONGRES-SJHC sous l’enseigne : [Localité 5] Mariott rive gauche hôtel & Conference Center

[Adresse 1]

[Localité 5]

N°SIRET : 485 009 393

agissant poursuites et diligences de son représentant légal domicilié en cette qualité audit siège

Représentée par Me Hélène FERON-POLONI de la SCP LECOQ VALLON & FERON-POLONI, avocat au barreau de PARIS, toque : L0187, avocat postulant et plaidant

COMPOSITION DE LA COUR :

En application des dispositions des articles 805 et 907 du code de procédure civile, l’affaire a été débattue le 15 Janvier 2024, en audience publique, les avocats ne s’y étant pas opposés, devant M. Vincent BRAUD, président entendu en son rapport, et MME Laurence CHAINTRON, conseillère.

Ces magistrats ont rendu compte des plaidoiries dans le délibéré de la Cour, composée de :

M. Vincent BRAUD, président chargé du rapport

M. Marc BAILLY, président

MME Laurence CHAINTRON, conseillère

Greffier, lors des débats : Mme Mélanie THOMAS

ARRET :

– CONTRADICTOIRE

– par mise à disposition de l’arrêt au greffe de la Cour, les parties en ayant été préalablement avisées dans les conditions prévues au deuxième alinéa de l’article 450 du code de procédure civile.

– signé par Vincent BRAUD, président, et par Mélanie THOMAS, greffier, présent lors de la mise à disposition.

* * * * *

La société Saint-Jacques Hôtel et Congrès (SJHC), exerçant sous l’enseigne [Localité 5] [6] Rive gauche Hôtel et Conference Center, ci-après le [6], est un hôtel sis [Adresse 1], à [Localité 5].

Le [6] a ouvert un compte dans les livres du Crédit industriel et commercial (CIC).

Dans la période du 1er au 10 décembre 2015, trois virements litigieux ont été enregistrés au débit du compte CIC du [6].

Ces trois virements ont été contestés par le [6] pour un montant total de 823 011,00 euros se décomposant comme suit :

1) Virement du 1er décembre 2015 exécuté le 2 décembre 2015, de 257 614,00 euros à l’ordre de « RUSSLAN TRAVEL 24. DE GMBH » ;

2) Virement du 4 décembre 2015 exécuté le 7 décembre 2015, de 267 614,00 euros à l’ordre de « RUSSLAN TRAVEL 24. DE GMBH » ;

3) Virement du 9 décembre 2015 exécuté le 10 décembre 2015, de 297 783,00 euros à l’ordre de « RUSSLAN TRAVEL 24. DE GMBH ».

Le 10 décembre 2015, le [6] a déposé une plainte pour escroquerie.

Le même jour, le [6] a contesté les opérations litigieuses auprès du CIC qui lui a confirmé que la société Saint-Jacques Hôtel et Congrès avait fait l’objet d’un piratage informatique et lui a adressé copie des trois ordres de virement susvisés.

Par lettre recommandée avec accusé de réception du 17 décembre 2015, le [6] a réclamé au CIC le remboursement des virements frauduleux.

Par courriel du 28 décembre 2015, le CIC a informé le [6] qu’il avait pu récupérer la somme de 267 594,00 euros correspondant au virement no 2 de 267 614,00 euros du 7 décembre 2015, moins les frais percus par la banque correspondante.

Puis par courriel du11 janvier 2016, le CIC a précisé que des fonds complémentaires avaient pu être récupérés et avaient été crédités pour un montant de 18 557,53 euros sur le compte du [6].

C’est ainsi une somme totale de 286 151,53 euros qui a pu être récupérée auprès de la banque allemande détentrice du compte qui avait été crédité des trois virements frauduleux, ramenant le montant détourné à 536 859,47 euros.

Par lettre recommandée avec accusé de réception du 8 mars 2016, le conseil du [6] a mis en demeure le CIC de restituer à sa cliente la somme de 536 859,47 euros.

Le CIC a refusé de procéder à ce règlement.

Par exploit en date du 26 mai 2016, le [6] a assigné le CIC devant le tribunal de commerce de Paris.

Par jugement contradictoire en date du 21 septembre 2021, le tribunal de commerce de Paris a :

‘ Condamné le CIC à payer à la société Saint-Jacques Hôtel, exerçant sous l’enseigne [Localité 5] [6] Rive gauche, la somme de 536 589,47 euros en principal avec intérêts au taux légal à compter du 26 mai 2016, date de délivrance de l’assignation introductive de la présente instance ;

‘ Ordonné la capitalisation des intérêts sur ladite condamnation ;

‘ Ordonné l’exécution provisoire de la présente décision ;

‘ Condamné le CIC à payer à la société Saint-Jacques Hôtel, exerçant sous l’enseigne [Localité 5] [6] Rive gauche, la somme de 10 000 euros au titre de l’article 700 du code de procédure civile ;

‘ Condamné le CIC aux dépens de l’instance dont ceux à recouvrer par le greffe liquidés à la somme de 95,62 euros dont 15,72 euros de taxe sur la valeur ajoutée.

Par déclaration du 29 octobre 2021, la société Crédit industriel et commercial a interjeté appel du jugement.

Aux termes de ses dernières conclusions déposées le 8 décembre 2023, la société anonyme Crédit industriel et commercial (CIC) demande à la cour de :

– JUGER que les ordres de virement litigieux ont été émis par l’HOTEL [6] RIVE GAUCHE et qu’il n’existe aucune anomalie intellectuelle apparente ;

– JUGER que l’HOTEL [6] RIVE GAUCHE et son préposé, dont le requérant est responsable en sa qualité de commettant, ont commis de graves négligences à l’origine directe et exclusive du préjudice subi ;

En conséquence,

– INFIRMER le jugement déféré en toutes ses dispositions ;

Statuant à nouveau,

– DEBOUTER l’HOTEL [6] RIVE GAUCHE de l’ensemble de ses prétentions ;

En toute hypothèse,

– ENJOINDRE à l’HOTEL [6] RIVE GAUCHE d’avoir à justifier du montant du préjudice effectivement subi ;

– CONDAMNER l’HOTEL [6] RIVE GAUCHE à payer au CIC la somme de 20.000 € au titre de l’article 700 du Code de procédure civile ainsi qu’aux entiers dépens.

Aux termes de ses dernières conclusions déposées le 11 décembre 2023, la société par actions simplifiée Saint-Jacques Hôtel et Congrès (SJHC), dont l’enseigne est [Localité 5] [6] Rive gauche Hôtel et Conference Center, demande à la cour de :

– JUGER mal fondée la banque CREDIT INDUSTRIEL ET COMMERCIAL en son recours ;

– JUGER que les trois ordres de virement effectués entre le 1 er et le 9 décembre 2015 sont de faux ordres de virements ;

– JUGER que la banque CREDIT INDUSTRIEL ET COMMERCIAL a manqué à son obligation de vérification de l’authenticité des ordres de virement,

– JUGER que la banque CREDIT INDUSTRIEL ET COMMERCIAL est tenue d’une obligation de résultat de restituer les fonds au déposant ;

A titre subsidiaire :

– JUGER que la banque CREDIT INDUSTRIEL ET COMMERCIAL a manqué à son obligation de vigilance renforcée pour des mouvements inhabituels ;

En conséquence :

– CONFIRMER le jugement du Tribunal de commerce de PARIS du 21 septembre 2021 en l’ensemble de ses dispositions favorables à la société SAINT JACQUES HOTELS ET CONGRES,

– DÉBOUTER l’ensemble des demandes, fins et prétentions de la Banque CREDIT INDUSTRIEL ET COMMERCIAL ;

– CONDAMNER la banque CREDIT INDUSTRIEL ET COMMERCIAL à payer à la société SAINT JACQUES HOTELS ET CONGRES la somme de 20 000 euros en application des dispositions de l’article 700 du Code de procédure civile ;

– CONDAMNER la banque CREDIT INDUSTRIEL ET COMMERCIAL aux entiers dépens, dont distraction au profit de la SCP LECOQ-VALLON & FERON-POLONI.

Pour un plus ample exposé des faits, de la procédure, des moyens et des prétentions des parties, il est expressément renvoyé au jugement déféré et aux dernières conclusions écrites déposées en application de l’article 455 du code de procédure civile.

L’ordonnance de clôture a été rendue le 12 décembre 2023 et l’audience fixée au 15 janvier 2024.

CELA EXPOSÉ,

Il est établi par les pièces versées aux débats que le 28 mai 2010, le [6] a ouvert un compte courant no [XXXXXXXXXX02] dans les livres du CIC (pièce no 1 de l’appelante : contrat d’ouverture de compte en date du 28 mai 2010 ; pièce n°19 : carton de signatures au 1er septembre 2015).

Pour faciliter la gestion de son compte, le [6] a souscrit le 28 juillet 2010 au service dénommé « Filbanque » lui permettant d’accéder par Internet à ses comptes et de procéder aux opérations suivantes : « gestion des délégués [préposés habilités à faire fonctionner les comptes], validation partielle (délégués), ordres de bourse, virements externes France, virements Union européenne, virements hors Union européenne, autoriser le change en devise, prélèvements, recherches et réclamations, validation fichiers télétransmis » (pièce no 2 de l’appelante : contrat Filbanque du 28 juillet 2010).

Aux termes des conditions particulières de ce contrat, signées par le [6], celui-ci reconnaît avoir reçu en temps utile les conditions générales correspondantes, en avoir pris connaissance et les approuver entièrement. Elles lui sont donc opposables.

Le service Filbanque est accessible au moyen d’un numéro d’identification ainsi que d’un mot de passe dont le souscripteur doit assurer la confidentialité (article 2 des conditions générales) (pièces nos 18 et 31 de l’appelante : conditions générales Filbanque 2010 et 2015).

Depuis le mois de juin 2012, les parties sont convenues que tous les fichiers transmis par Filbanque, et notamment les virements unitaires, seraient validés par télécopie d’un bordereau de virement portant la signature de deux salariés autorisés (pièce no 3 de l’appelante : courrier électronique du CIC au [6] du 22 juin 2012 ; pièce no 4 de l’appelante : modèles d’avis de virement ; pièce no 36 de l’intimée : exemples de virements des années 2013 et 2014 (12 virements) avec accusés de réception de télécopie ; pièce no 47 de l’intimée : exemples de virements de septembre, octobre, novembre 2015 (30 virements) avec accusés de réception de télécopie). Parmi les signataires autorisés figuraient au 1er septembre 2015 [A] [S] et [H] [R] (pièce no 19 de l’appelante : cartons de signature ; pièce no 12 de l’intimée : liste des personnes habilitées).

Le 24 septembre 2015, le [6] a souscrit le contrat Safetrans (pièce no 7 de l’appelante). Aux termes des conditions générales (pièce no 20 de l’appelante), auxquelles renvoient les conditions particulières signées par le [6], il s’agit d’un processus d’authentification et de sécurisation d’opérations qui s’adresse aux clients de la banque ayant souscrit au contrat Filbanque. Il établit un chiffrement supplémentaire dans l’échange entre le souscripteur et la banque. Il repose sur l’utilisation de deux éléments indissociables : une carte à puce personnelle, à laquelle est associé un code confidentiel, et un boîtier lecteur dédié. Lorsque le souscripteur se connecte à son espace personnel sur Filbanque, il insère sa carte dans le lecteur et saisit le code confidentiel de la carte. Chaque opération sensible (création de bénéficiaire de virement, validation d’opération) doit être confirmée par la saisie du code confidentiel. Un lecteur et une carte Safetrans ont ainsi été remis le 28 août 2015 à [Y] [G], comptable du [6], puis résiliés le 21 décembre 2015.

Il ressort des éléments du dossier, et notamment de la plainte du [6] (pièce no 2 de l’intimée), du jugement du tribunal correctionnel de Nuremberg en date du 27 juillet 2018 (pièce no 37 de l’intimée), et de la lettre de licenciement pour faute grave de [Y] [G] du 1er février 2016 (pièce no 46 de l’intimée), qu’à partir de novembre 2015, des appels téléphoniques supposés émaner d’employés de la banque ont été reçus par le [6]. Ces individus connaissaient les noms et les adresses électroniques des employés du service de la comptabilité de l’hôtel. L’un d’eux, se présentant sous le nom d'[K] [E], a faussement prétendu à [Y] [G] qu’il était employé par le CIC et que la plateforme de virements en ligne de la banque devait être mise à jour. Prétendant que la consultation en ligne des comptes de l’hôtel ne pourrait se faire pendant quelques jours à cause de cette maintenance, il expliquait que si l’hôtel désirait obtenir des relevés de compte, il devrait se connecter sur des liens qu'[K] [E] lui fournirait. Ce dernier, en effet, a envoyé quotidiennement le relevé du compte par messagerie électronique, relevé qui ne révélait aucune anomalie (pièce no 3 de l’intimée).

Par cette man’uvre, [K] [E] a amené [Y] [G], le 1er décembre 2015, à se connecter sur le site depuis l’interface dédiée de son ordinateur et à opérer plusieurs manipulations afin de faire un virement test. Il lui a demandé de se connecter sur le site pour y entrer les références bancaires d’un compte, puis lui a fait procéder à un virement. [Y] [G] a validé les informations du virement. Il a répété cette opération le 4 et le 9 décembre suivants. Les trois virements ont été légitimés par l’envoi par télécopie à la banque des confirmations correspondantes falsifiées, au nom de [A] [S] et de [H] [R].

Les mouvements suspects ont été découverts le 9 décembre 2015 par une employée qui s’était connectée directement au site du CIC.

Une enquête pénale, dans laquelle le [6] et le CIC ont été entendus comme témoins, a abouti à la condamnation d'[N] [Z] et de [J] [L] par le tribunal correctionnel de Nuremberg le 27 juillet 2018.

Le [6] sollicite du CIC la restitution des fonds sur le fondement des articles L. 133-6 et suivants du code monétaire et financier et de l’article 1937 du code civil.

a) Sur le caractère autorisé des opérations de payement :

Aux termes de l’article L. 133-6, paragraphe premier, alinéa premier, du code monétaire et financier dans sa rédaction applicable à l’espèce, une opération de payement est autorisée si le payeur a donné son consentement à son exécution.

L’article L. 133-7, alinéas 1 et 2, du même code dispose :

« Le consentement est donné sous la forme convenue entre le payeur et son prestataire de services de paiement.

« En l’absence d’un tel consentement, l’opération ou la série d’opérations de paiement est réputée non autorisée. »

L’article L. 133-23 du même code dispose :

« Lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre.

« L’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière. »

En l’occurrence, le [6] nie avoir autorisé les trois virements litigieux.

Pour sa part, le CIC invoque notamment l’article 5.2 des conditions générales du contrat Filbanque qui stipule :

« La seule réception par la banque des ordres de virements, des avis de prélèvement et des L. C. R., adressés par voie télématique vaut ordre de virement ou ordre d’encaissement adressé par le souscripteur à la banque. La preuve de l’ordre donné résultera suffisamment des enregistrements informatiques en la possession de la banque » ;

ainsi que l’article 2.2, alinéa 4, des conditions générales du contrat Safetrans qui stipule :

« Les actions ou opérations effectuées dans le cadre du processus sont réputées émaner du souscripteur, ou du mandataire le cas échéant, ce qu’ils acceptent, et ils en seront seuls responsables. »

Ces clauses doivent cependant être combinées avec la convention des parties de juin 2012 prévoyant une confirmation par télécopie des ordres de payement passés par le service Filbanque, convention qui n’a pas été résiliée par la souscription, le 24 septembre 2015, du service complémentaire Safetrans. Ainsi que l’a jugé le tribunal, dans les relations entre le [6] et le CIC, la forme convenue pour que le [6] donne son consentement à l’exécution des opérations de payement consiste donc en :

‘ la frappe d’un numéro d’identification et d’un mot de passe pour accéder au service en ligne Filbanque ;

‘ complétée par l’utilisation d’une carte à puce, de son code confidentiel, et du lecteur dédié, afin d’assurer un chiffrement supplémentaire des communications ;

‘ la confirmation par une télécopie portant une double signature.

Il n’est pas contesté que les ordres de virement litigieux ont été passés par [Y] [G] en recourant aux services Filbanque et Safetrans, ce qui est au demeurant prouvé par l’historique des virements, lequel montre que les opérations en question ont été authentifiées, dûment enregistrées et comptabilisées et qu’elles n’ont pas été affectées par une déficience technique ou autre (pièce no 8 de l’appelante). Toutefois, l’utilisation de l’instrument de payement telle qu’enregistrée par le CIC ne suffit pas en tant que telle à prouver que l’opération a été autorisée par le [6].

Or, il est établi que les bordereaux de confirmation télécopiés au CIC portent de fausses signatures, comme l’a constaté le tribunal correctionnel de Nuremberg qui a connu des faits, et comme cela ressort de l’identité formelle des signatures apposées sur les trois documents, et de l’origine des télécopies, dont l’en-tête mentionne le nom d'[K] [E] et un numéro qui n’est pas celui du [6], à la différence des bordereaux de virement authentiques.

Le consentement du [6] n’ayant pas été donné dans la forme convenue, les opérations de payement sont réputées non autorisées (Com., 21 avr. 2022, no 20-18.859).

Aux termes de l’article L. 133-18, alinéa premier, du code monétaire et financier, en cas d’opération de payement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L. 133-24, le prestataire de services de payement du payeur rembourse immédiatement au payeur le montant de l’opération non autorisée et, le cas échéant, rétablit le compte débité dans l’état où il se serait trouvé si l’opération de payement non autorisée n’avait pas eu lieu.

Toutefois, aux termes de l’article L. 133-19, paragraphe IV, du même code, le payeur supporte toutes les pertes occasionnées par des opérations de payement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17.

b) Sur la faute du payeur :

L’article L. 133-16 dispose :

« Dès qu’il reçoit un instrument de paiement, l’utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés.

« Il utilise l’instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation. »

En l’occurrence, l’article 3 des conditions générales du contrat Filbanque stipule :

« Il appartient au souscripteur sous sa seule responsabilité de surveiller l’usage qui est fait par les délégués des délégations ainsi conférées, étant souligné que la banque n’intervient en aucune manière dans l’attribution des délégations, la fixation des plafonds, la gestion et le retrait des délégations. »

L’article 5 des mêmes conditions générales stipule :

« Le souscripteur est responsable vis-à-vis de la banque du contrôle de l’utilisation du service par ses mandataires ou collaborateurs et s’interdit en conséquence de contester les opérations effectuées par l’intermédiaire du service. »

L’article 4 des conditions générales du contrat Safetrans stipule :

« Le souscripteur est entièrement responsable de l’utilisation de son (ses) lecteur(s) et/ou de sa carte bancaire de paiement ou de sa carte Safetrans jusqu’à leur restitution à la banque, l’éventuel blocage du (des) lecteur(s) ou la mise en opposition de la carte utilisée dans le cadre du processus. »

En outre, la négligence opposée par le CIC au [6] doit être appréciée au regard des stipulations de l’article 6 des conditions générales du contrat Filbanque :

« L’attention du souscripteur est particulièrement attirée sur les pratiques dites de phishing ou de vol d’identité : la banque rappelle expressément qu’en dehors des connexions initiées directement par le souscripteur lui-même au service, en aucun cas, elle sera amenée à demander au souscripteur et ce, pour quelque motif que ce soit, la communication de ses identifiant, mot de passe ou tout autre élément d’authentification complémentaire, que ce soit par téléphone, courrier électronique, service de messagerie SMS, fax, ou tout autre moyen. En outre, le souscripteur s’engage à prendre régulièrement connaissance des informations de sécurité qui lui sont communiquées sur le site de la banque. »

De telles consignes de sécurité ont été données sur le site Internet du CIC où, en octobre 2015, soit quelques mois avant les faits, la banque informe ses clients sur « 5 techniques de fraude à connaître pour pouvoir les déjouer », à savoir :

‘ La fraude au dirigeant,

‘ La boîte e-mail piratée,

‘ Le pseudo-test bancaire ou faux technicien,

‘ Les cyberattaques,

‘ L’hameçonnage (phishing) (pièce no 26 de l’appelante).

Dans le cas présent, le CIC reproche une négligence grave au [6], dans la personne de son préposé [Y] [G] qu’il n’a pas suffisamment contrôlé.

Il apparaît en effet que, pendant dix jours, [Y] [G] a exécuté trois ordres de virement émanant d’une personne qui n’était pas son supérieur hiérarchique. Il a entré les références bancaires d’un compte inconnu de lui, puisqu’il ne s’agissait pas d’un fournisseur déjà enregistré. Il a validé les informations des virements sans vérification de sa part. Il a ainsi réalisé, de manière répétée, des virements « tests » de 257 614 euros, 267 614 euros et 297 783 euros vers un destinataire inconnu.

À aucun moment, [Y] [G], à qui le [6] avait délégué l’accès au service Filbanque, n’a informé sa direction des manipulations qui lui étaient demandées, ni du fait qu’il s’agissait de virements tests vers un destinataire inconnu, pour des montants importants.

Les en-têtes des télécopies de confirmation révèlent en outre que les bordereaux de virement ont été envoyés par le [6] à [K] [E] avant que celui-ci ne les transmît au CIC.

Dans ces circonstances, le [6] n’a pas pris toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et a commis une négligence grave dans l’utilisation de l’instrument de payement.

Néanmoins la négligence grave retenue contre l’utilisateur de services de payement ne le prive pas du droit d’invoquer le manquement du banquier à ses propres obligations en application des règles du droit commun de la responsabilité contractuelle (Com., 17 mai 2017, no 15-28.209).

c) Sur la faute du banquier :

Sauf disposition légale contraire, la banque est tenue à une obligation de non-ingérence dans les affaires de son client, quelle que soit la qualité de celui-ci, et n’a pas à procéder à de quelconques investigations sur l’origine et l’importance des fonds versés sur ses comptes ni même à l’interroger sur l’existence de mouvements de grande ampleur, dès lors que ces opérations ont une apparence de régularité et qu’aucun indice de falsification ne peut être décelé (Com., 25 sept. 2019, no 18-15.965, 18-16.421). Ainsi, le prestataire de services de payement, tenu d’un devoir de non-immixtion dans les affaires de son client, n’a pas, en principe, à s’ingérer, à effectuer des recherches ou à réclamer des justifications des demandes de payement régulièrement faites aux fins de s’assurer que les opérations sollicitées ne sont pas périlleuses pour le client ou des tiers.

Le [6] invoque un manquement du CIC à son obligation de vigilance en ce que la banque n’a pas relevé les anomalies tant matérielles qu’intellectuelles qui affectaient les virements litigieux, à savoir :

‘ les signatures falsifiées des télécopies de confirmation sont strictement identiques entre elles ;

‘ l’émetteur des télécopies était inconnu de la banque ;

‘ le bénéficiaire des virements était inhabituel ;

‘ le montant des virements était élevé au regard du fonctionnement du compte ;

‘ le rythme des virements était exceptionnel.

L’intimée reproche à la banque de n’avoir pas passé un contre-appel de sécurité auprès des supposés signataires des trois ordres de virement litigieux, [A] [S] et [H] [R].

Toutefois, ni l’ancienneté des relations entretenues par la banque avec le [6], ni les habitudes antérieures de celui-ci quant aux opérations qu’il pratiquait sur son compte ne devaient conduire la banque à s’interroger sur la cause ou l’opportunité des virements ordonnés et à s’immiscer dans les affaires de l’intéressé (Com., 30 sept. 2008, no 07-18.988).

En effet, ni le montant des virements ‘ qui n’ont pas rendu débiteur le compte, puisque [Y] [G] l’a approvisionné le 9 décembre 2015 ‘, ni leur destination vers un compte détenu dans les livres de la Volksbank Raiffeisen, banque dûment agréée dans un pays membre de l’Union européenne, qui n’attirait pas spécialement l’attention en terme de sécurité, ne constituaient des anomalies devant alerter la vigilance du CIC. Au surplus, le fonctionnement du compte no [XXXXXXXXXX02] fait apparaître dans les mois qui précèdent d’autres virements du même ordre de grandeur, soit récurrents, soit occasionnels.

Si l’en-tête des télécopies porte le nom et le numéro de téléphone d'[K] [E], inconnu de la banque, y apparaît également le nom de leur émetteur initial, « [6] Hôtel Rive gauche ». Par ailleurs, les signatures apposées sur les bordereaux de confirmation litigieux sont semblables aux spécimens recueillis par le CIC sur le carton de signature (pièces nos 4 à 6 de l’intimée, no 19 de l’appelante). Pour autant qu’elles aient été numérisées par l’escroc, cela ne ressort pas à la vue de télécopies qui ne sont elles-mêmes que des fac-similés.

En l’absence d’anomalie manifeste, la banque n’était pas tenue à de plus amples diligences. En particulier, elle n’avait pas à passer de contre-appel aux signataires apparents des ordres de payement.

Aucun manquement du CIC n’étant démontré, le payeur doit supporter toutes les pertes occasionnées par des opérations de payement non autorisées, conformément aux dispositions spéciales du code monétaire et financier précitées.

L’intimée ne peut prétendre, sur le fondement du droit commun du dépôt, à la restitution des sommes dont le banquier s’est défait sur présentation de faux ordres de payement. Il ressort en effet de l’article L. 133-1, paragraphe II, du code monétaire et financier que les virements en cause sont impérativement soumis aux dispositions des articles L. 133-6 et suivants puisqu’ils entrent dans le champ d’application ainsi défini. Il en va d’autant plus ainsi que ces dispositions ont été adoptées pour transposer la directive no 2007/64 du 13 novembre 2007 concernant les services de payement dans le marché intérieur, qui a fait l’objet d’une harmonisation totale.

Le jugement critiqué sera infirmé en conséquence.

Sur les dépens et les frais irrépétibles :

Aux termes de l’article 696, alinéa premier, du code de procédure civile, la partie perdante est condamnée aux dépens, à moins que le juge, par décision motivée, n’en mette la totalité ou une fraction à la charge d’une autre partie. Le [6] en supportera donc la charge.

En application de l’article 700 du code de procédure civile, le juge condamne la partie tenue aux dépens ou qui perd son procès à payer :

1o À l’autre partie la somme qu’il détermine, au titre des frais exposés et non compris dans les dépens ;

2o Et, le cas échéant, à l’avocat du bénéficiaire de l’aide juridictionnelle partielle ou totale une somme au titre des honoraires et frais, non compris dans les dépens, que le bénéficiaire de l’aide aurait exposés s’il n’avait pas eu cette aide. Dans ce cas, il est procédé comme il est dit aux alinéas 3 et 4 de l’article 37 de la loi no 91-647 du 10 juillet 1991.

Dans tous les cas, le juge tient compte de l’équité ou de la situation économique de la partie condamnée. Il peut, même d’office, pour des raisons tirées des mêmes considérations, dire qu’il n’y a pas lieu à ces condamnations.

Les parties peuvent produire les justificatifs des sommes qu’elles demandent.

La somme allouée au titre du secundo ne peut être inférieure à la part contributive de l’État majorée de 50 %.

Sur ce fondement, le [6] sera condamné à payer au CIC la somme de 5 000 euros au titre des frais irrépétibles.

LA COUR,

PAR CES MOTIFS,

INFIRME le jugement ;

Statuant à nouveau,

DÉBOUTE la société Saint-Jacques Hôtel et Congrès, sous l’enseigne [Localité 5] [6] Rive gauche Hôtel et Conference Center, de ses demandes ;

CONDAMNE la société Saint-Jacques Hôtel et Congrès, sous l’enseigne [Localité 5] [6] Rive gauche Hôtel et Conference Center, à payer à la société Crédit industriel et commercial la somme de 5 000 euros sur le fondement de l’article 700 du code de procédure civile ;

CONDAMNE la société Saint-Jacques Hôtel et Congrès, sous l’enseigne [Localité 5] [6] Rive gauche Hôtel et Conference Center, aux entiers dépens.

* * * * *

LE GREFFIER LE PRÉSIDENT