COUR D’APPEL

D’ANGERS

CHAMBRE A – COMMERCIALE

CC/ILAF

ARRET N°:

AFFAIRE N° RG 22/01008 – N° Portalis DBVP-V-B7G-FALF

jugement du 01 Juin 2022

Tribunal de Commerce de LAVAL

n° d’inscription au RG de première instance 2021000993

ARRET DU 23 JANVIER 2024

APPELANTE :

CAISSE FEDERALE DU CREDIT MUTUEL DE MAINE ANJOU ET BASSE NORMANDIE

[Adresse 1]

[Adresse 1]

Représentée par Me Nicolas FOUASSIER de la SELARL SELARL BFC AVOCATS, avocat au barreau de LAVAL – N° du dossier 22100110

INTIMEE :

S.A.S. OUEST ACRO

prise en la personne de son représentant légal domicilié en cette qualité audit siège

[Adresse 5]

[Adresse 5]

Représentée par Me Inès RUBINEL, associée de la SELARL LEXAVOUE RENNES ANGERS, avocat postulant au barreau d’ANGERS et par Me Julie DEGENEVE, avocat plaidant au barreau de LYON substituée par Me COILLARD

COMPOSITION DE LA COUR

L’affaire a été débattue publiquement à l’audience du 21 Novembre 2023 à 14 H 00, les avocats ne s’y étant pas opposés, devant Mme CORBEL, présidente de chambre qui a été préalablement entendue en son rapport et devant M. CHAPPERT, conseiller.

Ces magistrats ont rendu compte des plaidoiries dans le délibéré de la Cour, composée de :

Mme CORBEL, présidente de chambre

M. CHAPPERT, conseiller

Mme GANDAIS, conseillère

Greffière lors des débats : Mme TAILLEBOIS

ARRET : contradictoire

Prononcé publiquement le 23 janvier 2024 par mise à disposition de l’arrêt au greffe de la cour, les parties en ayant été préalablement avisées dans les conditions de l’article 450 du code de procédure civile ;

Signé par Catherine CORBEL, présidente de chambre et par Sophie TAILLEBOIS, greffière à laquelle la minute de la décision a été remise par le magistrat signataire.

~~~~

FAITS ET PROCÉDURE

La société (SAS) Ouest Acro, entreprise du secteur du bâtiment et des travaux publics, est spécialisée dans l’emploi de techniques de travaux en hauteur, notamment sur cordes, et la sécurité des hommes en hauteur. Elle a pour président la société (SARL) Bara Investissement qui a pour associée unique la société K2, holding personnelle de M. [G] [U], également dirigeant de la SAS Ouest Acro.

La SAS Ouest Acro est titulaire d’un compte courant professionnel ouvert dans les livres de la Caisse fédérale du Crédit Mutuel de Maine Anjou Basse Normandie.

Le 29 octobre 2010, la SARL Bara Investissement a conclu un contrat de ‘banque à distance’ n°BAD003810000000381 avec la Caisse fédérale du Crédit Mutuel de Maine Anjou et Basse Normandie, comprenant les services de télétransmission et de ‘services délégués avec les fonctions suivantes : gestion des délégués’.

Le même jour, la SAS Ouest Acro a signé une extension de contrat de banque à distance par laquelle elle donnait mandat à la SARL Bara Investissement pour ‘régir et administrer, tant activement que passivement pour moi et en mon nom, tous comptes et contrats actuels et futurs, sans exception, ouverts à mon nom auprès du Crédit Mutuel de Maine Anjou et Basse Normandie.’

La SARL Bara Investissement a souscrit une option d’identification Safetrans qui devait permettre de garantir l’authentification de l’opérateur amené à effectuer des opérations dans le cadre du contrat de banque à distance. Il s’agit d’un processus d’authentification et de sécurisation d’opérations qui repose sur une carte d’authentification et un boîtier lecteur associé.

Ce même 29 octobre 2010, la SARL Bara Investissement en sa qualité de souscripteur a convenu avec la Caisse fédérale du Crédit Mutuel de Maine Anjou Basse Normandie de l’attribution à M. [O] [M], comptable salarié de la SARL Bara Investissement, du ‘produit carte d’authentification bancaire n° 13003018230″. Par la suite, la gestion comptable de la SAS Ouest Acro a été confiée à M. [O] [M].

Le 13 mars 2020, M. [U] a reçu un appel du Crédit Agricole, dont la société Ouest Acro est aussi cliente, qui lui a demandé confirmation d’une demande faite téléphoniquement visant à l’augmentation du montant de l’ouverture de crédit consentie par cette banque.

M. [U] a demandé immédiatement à ce que le virement soit bloqué et annulé.

A cette occasion, M. [U] a découvert que M. [M] avait ordonné à partir du compte ouvert auprès de la Caisse fédérale du Crédit Mutuel de Maine Anjou et Basse Normandie, 11 virements vers des comptes bancaires situées à l’étranger (Roumanie, Hongrie et Pologne) pour un montant de 1’297’158,32 euros, entre le 10 février 2020 et le 9 mars 2020.

M. [U] a demandé la suppression de l’accès au réseau informatique de la SAS Ouest Acro de M. [M], puis l’intégralité des droits et autorisations de ce dernier auprès de la Caisse fédérale du Crédit Mutuel de Maine Anjou et Basse Normandie. M. [M] a été mis à pied à titre conservatoire.

La SAS Ouest Acro explique que, le 6 février 2020, M. [M] avait reçu un courriel de la part d’une fausse adresse email de M. [U] l’informant d’une opération d’acquisition secrète d’une société basée en Europe, lui demandant d’effectuer à cet effet des virements immédiats sur l’adresse d’un prétendu Maître [V] (présenté comme membre du cabinet de conseil juridique de la SAS Ouest Acro), et lui imposant des mesures de confidentialité ; qu’il s’agirait d’une escroquerie connue sous le nom ‘fraude au président’.

Le 14 mars 2020, M. [U] a sollicité auprès de la Caisse fédérale du Crédit Mutuel de Maine Anjou et Basse Normandie le rapatriement des fonds objets des virements frauduleux.

Le 17 mars 2020, M. [U] a déposé plainte auprès de la Brigade financière des services régionaux de la police judiciaire (SRPJ) d'[Localité 2] pour escroquerie.

Par courriel du 19 mars 2020, la Caisse fédérale du Crédit Mutuel de Maine Anjou et Basse Normandie a répondu qu’aucun retour de fonds n’était possible parce qu’ils avaient été utilisés et que la seule solution était la voie judiciaire.

Le 20 mars 2020, une copie de la plainte déposée auprès de la SRPJ d'[Localité 2] a été adressée au procureur de la République de [Localité 4].

La SAS Ouest Acro indique que confrontée au refus du Crédit Mutuel de procéder à toute restitution, elle a dû souscrire le 31 mars 2020, un emprunt bancaire de 700 000 euros auprès de la société BPI Financement, en vue d’un ‘renforcement de la structure financière’, remboursable sur une durée de 5 ans, au taux d’intérêts de 2%.

Le 24 avril 2020, la branche roumaine de la banque ING a remboursé à la SAS Ouest Acro la somme de 48 611,71 euros.

Par lettre recommandée avec accusé de réception du 15 juin 2020, M. [U], reprochant de nombreux manquements à la Caisse fédérale du Crédit Mutuel de Maine Anjou et Basse Normandie, notamment aux obligations dont elle est tenue en qualité de dépositaire de fonds, de prestataire de services de paiement, au titre de son devoir de vigilance, l’a mise en demeure de rembourser l’ensemble des fonds détournés.

Par lettre en réponse du 7 juillet 2020, la Caisse fédérale du Crédit Mutuel de Maine Anjou Basse Normandie a dénié sa responsabilité, rejetant la faute sur M. [M].

Aucune solution amiable n’a été trouvée entre les parties.

Par acte d’huissier du 25 février 2021, la SAS Ouest Acro a fait assigner la Caisse fédérale du Crédit Mutuel de Maine Anjou et Basse Normandie, devant le tribunal de commerce de Laval en paiement de la somme de 1 248 546,61 euros à titre de dommages et intérêts au titre de son préjudice financier principal, de la somme de 43 072 euros à titre de dommages et intérêts au titre de ses préjudices financiers accessoires, de la somme de 20 000 euros à titre de dommages et intérêts au titre de son préjudice moral et d’image,

La Caisse fédérale du Crédit Mutuel de Maine Anjou et Basse Normandie s’est opposées à ces prétentions.

Par jugement du 1er juin 2012, le tribunal de commerce de Laval, au vu des articles 1937-5 du code civil, L. 561-6 du code monétaire et financier, et 514-5 du code de procédure civile, a :

– condamné la Caisse fédérale du Crédit Mutuel de Maine Anjou et Basse Normandie à payer à la SAS Ouest Acro la somme de 624 273,30 euros à titre de dommages et intérêts,

– condamné la Caisse fédérale du Crédit Mutuel de Maine Anjou et Basse Normandie à payer à la SAS Ouest Acro la somme de 8 000 euros en application des dispositions de l’article 700 du code de procédure civile,

– débouté les parties de toutes leurs autres demandes plus amples ou contraires,

– dit l’exécution provisoire de plein droit, la subordonnant à la constitution d’une garantie à hauteur de 300 000 euros,

– condamné la Caisse fédérale du Crédit Mutuel de Maine Anjou et Basse Normandie aux entiers dépens.

Le tribunal a considéré que le Crédit Mutuel avait fautivement validé onze virements vers des banques de pays connus pour le type d’escroquerie en cause et autorisé un découvert de 400 000 euros afin de pouvoir exécuter certains de ces virements, sans alerter M. [U], en méconnaissance de l’article L. 561-6 du code monétaire et financier ; que la banque avait manqué à son devoir de vigilance au regard de l’importance inhabituelle des montants des opérations effectuées mais aussi de la destination des virements. Il a néanmoins estimé que la fraude avait été favorisée par le comportement fautif de M. [M] (qui était habilité par son employeur à effectuer des virements et disposait de tous les codes pour parvenir à ces opérations bancaires, et qui n’a pas vérifié les ordres reçus) mais aussi par l’absence de surveillance de la part de M. [U] qui n’a pas mis en place des règles de contrôle interne suffisamment efficientes face à ce risque connu, relevant que l’opération de fraude avait duré pendant un mois. Il a retenu un partage de responsabilités à hauteur de 50% du dommage subi par la SAS Ouest Acro

Par déclaration du 10 juin 2022, la Caisse fédérale du Crédit Mutuel de Maine Anjou et Basse Normandie a relevé appel de ce jugement en attaquant toutes ses dispositions.

La SAS Ouest Acro a formé appel incident.

La Caisse fédérale du Crédit Mutuel de Maine Anjou et Basse Normandie et la SAS Ouest Acro ont conclu.

Une ordonnance du 13 novembre 2023 a clôturé l’instruction de l’affaire.

MOYENS ET PRÉTENTIONS DES PARTIES :

La Caisse fédérale du Crédit Mutuel de Maine Anjou et Basse Normandie (ci-après le Crédit mutuel) demande à la cour de :

– infirmer le jugement entrepris du tribunal de commerce de Laval du 1er juin 2022 en ce qu’il a :

– condamné la Caisse fédérale du Crédit Mutuel de Maine Anjou Basse Normandie à payer à la SAS Ouest Acro la somme de 624 273,30 euros à titre de dommages et intérêts,

– condamné la Caisse fédérale du Crédit Mutuel de Maine Anjou Basse Normandie à payer à la SAS Ouest Acro la somme de 8 000 euros en application des dispositions de l’article 700 du code de procédure civile,

– débouté les parties de toutes leurs autres demandes plus amples ou contraires,

– condamné la Caisse fédérale du Crédit Mutuel de Maine Anjou Basse Normandie aux entiers dépens ;

statuant à nouveau,

– débouter la SAS Ouest Acro de l’intégralité de ses demandes, fins, moyens et conclusions,

– condamner la SAS Ouest Acro à lui payer et porter la somme de 7.500 euros au titre de l’article 700 du code de procédure civile, en première instance, et la somme de 10.000 euros au titre de l’article 700 du code de procédure civile en cause d’appel,

– condamner la SAS Ouest Acro aux entiers dépens, dont distraction au profit de la SELARL BFC Avocats, Maître Nicolas Fouassier, avocat aux offres et affirmations de droit.

La SAS Ouest Acro demande à la cour de :

vu l’article 1937 du code civil,

vu l’article 1147 dans sa rédaction antérieure à l’ordonnance n°2016-131 du 10 février 2016,

vu les articles L. 133-17, L. 133-23 et L. 561-6 du code monétaire et financier,

– déclarer recevable et fondé l’appel incident qu’elle a interjeté à l’encontre du jugement du tribunal de commerce de Laval en date du 1er juin 2022,

y faisant droit,

– confirmer le jugement du tribunal de commerce de Laval en ce qu’il a :

* dit que la Caisse fédérale de Crédit Mutuel de Maine Anjou et Basse Normandie avait manqué à ses obligations en vertu de l’article L. 561-6 du code monétaire et financier,

– infirmer et au besoin réformer le jugement du tribunal de commerce de Laval en ce qu’il a :

* limité la condamnation de la Caisse fédérale de Crédit Mutuel de Maine Anjou et Basse Normandie au paiement de la somme de 624 273,30 euros à titre de dommages et intérêts,

* débouté la SAS Ouest Acro de ses autres demandes indemnitaires,

et statuant à nouveau,

– condamner la Caisse fédérale de Crédit Mutuel de Maine Anjou et Basse Normandie à lui payer la somme de 1 248 546,61 euros à titre de dommages et intérêts en réparation des pertes subies,

– condamner la Caisse fédérale de Crédit Mutuel de Maine Anjou et Basse Normandie à lui payer la somme de 53 948 euros à titre de dommages et intérêts du fait du coût de l’emprunt bancaire souscrit auprès de la société BPI Financement,

– condamner la Caisse fédérale de Crédit Mutuel de Maine Anjou et Basse Normandie à lui payer la somme de 50 000 euros à titre de dommages et intérêts en réparation de son préjudice financier complémentaire,

– condamner la Caisse fédérale de Crédit Mutuel de Maine Anjou et Basse Normandie à lui payer la somme de 20 000 euros à titre de dommages et intérêts en réparation de son préjudice moral,

– condamner la Caisse fédérale de Crédit Mutuel de Maine Anjou et Basse Normandie à lui payer la somme de 10 000 euros au titre de l’article 700 du code de procédure civile,

– condamner la Caisse fédérale de Crédit Mutuel de Maine Anjou et Basse Normandie au paiement des entiers dépens de l’instance,

– débouter la Caisse fédérale de Crédit Mutuel de Maine Anjou et Basse Normandie de l’ensemble de ses demandes, fins et conclusions.

Pour un plus ample exposé des prétentions et moyens des parties il est renvoyé, en application des dispositions des articles 455 et 954 du code de procédure civile, à leurs dernières conclusions respectivement déposées au greffe :

– le 31 août 2023 pour la Caisse de Crédit Mutuel de Maine Anjou et Basse Normandie,

– le 27 mars 2023 pour la SAS Ouest Acro.

MOTIFS DE LA DECISION :

Sur le prétendu manquement de la banque en sa qualité de prestataire de services de paiement

La SAS Ouest Acro reproche à la banque de s’être abstenue de s’assurer de la régularité des ordres de virement qu’elle a exécutés.

S’appuyant sur les courriels produits aux débats, elle prétend, en premier lieu, que les opérations en cause ont été faites par simples courriels et non au moyen de l’accès sécurisé qu’offre le dispositif ‘Safetrans’ permettant d’avoir une connexion plus sécurisée pour réaliser les opérations bancaires, ce qui priverait de toute portée les développements de la banque relatifs à ce mécanisme.

Mais les courriels échangés entre M. [M] et le préposé bancaire sont des réponses à des demandes de confirmation de la banque ou des relances de M. [M] pour obtenir le déblocage de la validation envoyée par le service télématique. Ils s’inscrivent dans le processus prévu pour l’utilisation de la banque à distance.

Il y a donc lieu de retenir que les virements litigieux ont été effectués par le biais du service télématique proposé par la banque, au travers du procédé Safetrans, après authentification de M. [M] au moyen de sa carte d’authentification personnelle. Les conditions générales relatives à l’accès à l’utilisation de ce service, qui trouvent ainsi à s’appliquer, figurent aux pages 37’à 47 des conditions générales.

Les parties sont, en second lieu, en désaccord sur l’étendue de l’habilitation reçue par M. [M] pour effectuer des virements à distance, y compris au moyen du procédé ‘Safetrans’.

La société Acro Ouest prétend que M. [M], qui n’est ni le souscripteur du contrat conclu avec la banque ni le mandataire de celui-ci, n’avait pas l’autorisation de réaliser des virements importants à partir du compte courant professionnel, ni quand il était salarié de la société Bara Investissement, ni encore moins quand il était son salarié (à défaut pour la banque de démontrer que l’autorisation, à la supposer avérée, a été renouvelée au profit de son nouvel employeur lorsqu’il est devenu salarié de la société Ouest Acro, en 2013) ; que cette absence d’habilitation ressortirait des conditions particulières et de l’attestation du Crédit mutuel adressée aux commissaires aux comptes de la société ; qu’en outre, ces opérations auraient dû être validées après confirmation auprès de M. [U], seul interlocuteur désigné.

Le Crédit mutuel reproche à la SAS Ouest Acro d’entretenir une confusion entre les opérations de télétransmission permettant l’échange de données depuis un logiciel de gestion comptable de la cliente, avec obtention du certificat de chiffrement, et celles faites, comme dans le cas présent, dans le cadre du contrat de banque à distance et de l’option Safetrans.

Il indique que le choix d’habiliter une personne pour effectuer telle ou telle opération revient au souscripteur, ce que prévoient en son article 3.1 les conditions générales (p. 39) aux termes desquelles :

‘Le souscripteur peut déléguer les fonctionnalités de gestion de compte mises à disposition sur le Service et/ou l’accès aux différents produits et services dont il est équipé et qui sont restitués dans son espace personnel, à plusieurs préposés ou tiers, ci-après dénommé(s) le(les) délégué(s). Le souscripteur choisi librement le(s) délégué(s). A cet effet, il a la libre faculté de créer lui-même directement un ou plusieurs numéros d’identification supplémentaires qu’il attribuera au(x) délégué(s), chaque numéro d’identification étant assorti d’une méthode d’authentification convenue avec la [3] (un mot de passe, une carte à puce dotée d’un code confidentiel associée à un boîtier lecteur,’ etc.). Le souscripteur devra obligatoirement associer, à chaque nouvel identifiant, les nom, prénom(s) du délégué concerné, à charge pour celui-ci de compléter ses coordonnées personnelles, notamment les date, lieu de naissance et adresse. Le souscripteur pourra limiter l’accès du (des) délégué(s) au Service, aux fonctionnalités permises, à certains comptes et/ou à certains produits et services dont il est équipé, ceci selon les évolutions de la fonction « gestion des délégués » telle qu’indiquée à l’écran. (‘) Il appartient au souscripteur, sous sa seule responsabilité, d’attribuer, de limiter, de gérer, de modifier ou de supprimer lesdites délégations. Il lui appartient également de surveiller l’usage qui est fait par les délégués des délégations ainsi conférées et de supprimer les délégués le cas échéant, notamment en cas de cessation des fonctions du délégué dans l’entreprise du souscripteur. En effet, la Banque n’intervient en aucune manière dans l’attribution des délégations, la limitation des opérations, la gestion et le retrait des délégations. Plus généralement, le souscripteur s’oblige à informer les délégués des termes du présent contrat qui leur sera de plein droit opposable et des limites des délégations qu’il leur confère. En aucun cas, la Banque ne pourra être tenue pour responsable en cas d’utilisation non conforme du Service et des fonctionnalités de gestion de compte et/ou produits et services auxquels les délégués ont accès, notamment s’ils en faisaient un usage personnel ou non conforme à l’intérêt social de l’entreprise du souscripteur’.

Il se prévaut également des stipulations de l’article 6 de ces mêmes conditions générales (page 42) selon lesquelles ‘en aucun cas la Banque ne peut être tenue responsable en cas d’utilisation non conforme du service de banque à distance par les délégués, notamment s’ils en font un usage personnel ou contraire à l’intérêt social de l’entreprise du souscripteur’.

Il explique que le choix de la délégation se faisait au travers de l’onglet “Gestion des délégués” sur l’interface internet du Crédit mutuel, ce que la société Bara Investissement a fait pour M. [M], sans aucune limitation ; qu’il s’agit-là d’une prérogative du souscripteur, accomplie sous son entière responsabilité, conformément aux conditions générales.

S’agissant des ordres de virement, il indique que lorsqu’un virement est ordonné, la banque effectue une validation du virement après saisie et validation par le client, puis vérifie que le virement a effectivement été ordonné par l’une des personnes habilitées aux termes du contrat, donc bénéficiaire d’une carte d’authentification, au moyen d’un appel téléphonique de confirmation aux fins de validation orale ; puis exécute le virement le cas échéant.

Il indique avoir effectué la validation des virements en appelant [N], habilité à cet effet, pour s’assurer de ce qu’il était bien l’auteur des virements litigieux et de ce qu’il y avait lieu pour la banque de les valider.

Il en déduit que les opérations litigieuses ont été faites conformément au contrat, par M. [M], habilité à cet effet par la Sarl Bara Investissement pour effectuer les opérations bancaires sur les comptes de la société Ouest Acro, la Sarl Barta Investissement ayant reçu mandat de la société Ouest Acro de régir et administrer l’ensemble de ses comptes.

Il se prévaut, également, d’une lettre du 3 juillet 2018 de M. [U] le déchargeant de toute responsabilité dans l’exécution des ordres de paiement et de confirmation de ces ordres.

Il fait valoir que le préjudice subi par la société Ouest Acro n’est dû qu’au fait qu’elle a laissé son comptable agir en toute autonomie, sans aucun contrôle, au mépris de ses propres statuts et qu’elle a été complètement défaillante dans le cadre de ses contrôles internes.

Sur ce,

Les articles L. 133-1 et suivants du code monétaire et financiers s’appliquent en matière d’instruments de monnaie scripturale autres que le chèque, bancaire ou postal, la lettre de change et le billet à ordre, et donc à un virement bancaire.

Un ordre de virement n’est soumis à aucun formalisme. En application de l’article L. 133-6 du code monétaire et financier, une opération de paiement est autorisée si le payeur a donné son consentement à son exécution.

Selon les premier et troisième alinéas de l’article L.133-7, le consentement est donné sous la forme convenue entre le payeur et son prestataire de services de paiement. [‘] En l’absence d’un tel consentement, l’opération ou la série d’opérations de paiement est réputée non autorisée.

L’article L.133-4 a) précise qu’un dispositif de sécurité personnalisé s’entend de tout moyen technique affecté par un prestataire de services de paiement à un utilisateur donné pour l’utilisation d’un instrument de paiement. Ce dispositif, propre à l’utilisateur de services de paiement et placé sous sa garde, vise à l’authentifier. Selon l’article L. 133-4 e) une authentification s’entend d’une procédure permettant au prestataire de services de paiement de vérifier l’identité d’un utilisateur de services de paiement ou la validité de l’utilisation d’un instrument de paiement spécifique, y compris l’utilisation des données de sécurité personnalisées de l’utilisateur.

L’article L. 133-18 pose le principe selon lequel, en cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L. 133-24 (qui prévoit un délai dans lequel une opération non autorisée doit être signalée), le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée.

Aux termes du 1er alinéa de l’article L. 133-23, lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre.

La charge de la preuve de la régularité de l’autorisation pèse donc sur le prestataire de services de paiement, qui doit établir que l’ordre émane bien de l’utilisateur du service.

Dans le cas présent, il est constant que les parties sont convenues de la possibilité de faire des opérations bancaires à distance au moyen d’un service télématique et d’une procédure d’authentification renforcée, du nom de ‘Safetrans’.

Des conditions générales précitées, que le souscripteur a déclaré avoir reçues lors de la souscription du contrat, il ressort que les opérations à distance faites grâce à un service télématique peuvent être déléguées par le souscripteur dans les conditions précisées. M. [U] n’était donc pas nécessairement la seule personne pouvant procéder aux virements par la banque à distance, ce qui ne ressort pas d’un document le désignant comme interlocuteur de la banque, que rien ne permet d’appliquer aux opérations à distance.

Les documents contractuels produits devant la cour sont peu nombreux pour déterminer l’étendue des délégations consenties à M. [M] : la convention d’ouverture ‘formule clé’ ne fait état de la délégation possible qu’au travers de la formule suivante ‘services Délégués avec les fonctions suivantes :

Gestion des délégués’, dont les modalités sont explicitées aux conditions générales. N’est rien produit d’autre que le document relatif à l’attribution à [N] d’une carte d’authentification bancaire qui, pour les applications et services, renvoie aux conditions générales mais qui précise ensuite :

‘Application authentification souscrite le 20/10/2010

Compte opération (suivi d’un numéro qui ne correspond pas au numéro du compte courant)

Compte cotisation (suivi du même numéro qui ne correspond pas au numéro du compte courant)

Compte frais administratif (suivi du même numéro qui ne correspond pas au numéro du compte courant)’,

sans que le Crédit mutuel ne s’explique sur l’absence de référence au compte courant sur lequel les opérations litigieuses ont été effectuées par M. [M] ni que la société Acro Ouest n’indique à quoi correspondent les trois comptes désignés sur ledit document.

Il ne ressort donc pas de cette pièce que M. [M] aurait été habilité par le souscripteur à faire toutes opérations à distance sur le compte-courant au moyen d’une carte d’authentification personnelle. Pour autant, cette seule pièce n’établit pas le contraire dans la mesure où M. [M] pouvait, par la suite, être désigné comme délégué par le souscripteur dans les conditions prévues à l’article 3-1 précité, étant relevé que l’article 5-3 stipule que ‘de convention expresse, en raison des obligations faites au souscripteur de modification du mot de passe lors de la première connexion au service, et de celles relatives à la confidentialité et à la sécurité d’accès au service, toutes actions, interrogations ou opération (concernant le ou les comptes du souscripteur notamment), précédée de la saisie de l’identifiant, du mot de passe et, le cas échéant, de l’élément d’authentification complémentaire, sera réputée émaner, quelle qu’en soit l’origine, du souscripteur lui-même, ce que le souscripteur accepte’.

Pour prouver que M. [M] a été désigné comme étant un délégué, le Crédit mutuel produit un procès-verbal de constat établi le 26 mars 2021 à sa demande par M. [S], huissier de justice, montrant que pour opérer un virement à distance en se connectant à la banque en ligne, il faut nécessairement que la personne y soit autorisée, à savoir qu’elle soit désignée comme ‘délégué’ et que, pour ce faire, le souscripteur doit, en utilisant son identifiant et son mot de passe, aller sur l’onglet ‘délégué’ et définir les fonctions attribuées au délégué, lesquelles peuvent aller de simplement ‘consulter’ à ‘consulter, saisir et valider’ et qu’elle insère sa carte d’authentification dans le boîtier ; qu’en recherchant l’une des opérations litigieuses, celle du 19 février 2020, il apparaît qu’elle a bien été validée par M. [M] puis validée par l’agence.

Il en ressort la démonstration, qui n’est pas techniquement contredite, que pour avoir pu valider les virements en cause, M. [M] avait nécessairement été désigné comme délégué, opération qui est de la responsabilité du souscripteur et qui ne se fait que par voie informatique.

Pour le contredire, la société Ouest Acro se prévaut d’une lettre du Crédit mutuel adressée au commissaire aux comptes de la société Ouest Acro, le 13 mars 2019, attestant que seules cinq personnes étaient habilitées pour gérer les comptes de la société, parmi lesquelles M. [M] ne figure pas. Mais une telle habilitation est beaucoup plus large que celle qui porte sur de simples opérations de paiement faites à distance.

Il s’ensuit que la banque établit que M. [M] disposait des habilitations nécessaires conférées par la société Bara investissement agissant comme mandataire de la société Ouest Acro, pour saisir et transmettre de manière sécurisée, via internet, des ordres de virement à la banque et pour les valider. La vérification par demande de confirmation par la banque pour s’assurer de la régularité du virement pouvait donc avoir lieu par un appel téléphonique de la banque à M. [M], étant relevé que l’article 5-2 des conditions générales précitées stipulent que la seule réception par la banque des ordres de virements adressés par voie télématique vaut ordre de virement adressé par le souscripteur à la banque.

Ainsi, le dispositif de sécurité personnalisé mis à la disposition de la société Ouest Acro et visant à l’authentification des ordres de paiement a été respecté.

Il sera donc retenu que les opérations litigieuses qui ont effectuées par l’utilisation du dispositif de sécurité personnalisé ont été dûment autorisées par la société Ouest Acro. La demande sur le fondement des articles L. 133-18 et L. 133-23 du code monétaire et financier, ne peut être accueillie.

L’instrumentalisation, à la supposée établie, du préposé de la société victime, ayant permis l’accès aux instruments de paiement dotés d’un dispositif de sécurité personnalisé, ne conduit pas à exclure le consentement du payeur dès lors que l’ordre a été donné par la société elle-même.

Il n’y a donc pas, davantage, de manquement de la banque à ses obligations en qualité de dépositaire de fonds.

Reste à déterminer si le Crédit mutuel n’a pas, néanmoins, manqué à son devoir de vigilance au vu des circonstances.

En effet, contrairement à ce que soutient le Crédit mutuel, le fait d’avoir exécuté des ordres de virement transmis par le système télématique, formellement réguliers, reçus au travers d’une relation sécurisée destiné à éviter les risques de fraude, ne l’exonère pas de toute responsabilité, pas plus que la demande que lui a faite le dirigeant de la société Ouest Acro, dans sa lettre du 3 juillet 2018, d’exécuter les instructions qu’il lui transmettait sous quelque forme que ce soit (‘courrier, fax ou mail’), c’est-à-dire en dehors des systèmes sécurisés préconisés par la banque, sous sa seule responsabilité.

Sur le devoir de vigilance

En premier lieu, la SAS Ouest Acro n’est pas fondée à invoquer l’obligation spéciale de vigilance en matière de lutte contre le blanchiment des capitaux et le financement du terrorisme, qui résulte des articles L. 561-1 et suivants du code monétaire et financier. Les diligences renforcées prévues par ces dispositions d’ordre public, qui dérogent au principe de non-ingérence, n’ont pas été édictées pour la satisfaction d’intérêts privés ; elles ne relèvent que de la protection de l’intérêt général. La victime d’agissements frauduleux ne peut donc se prévaloir de l’inobservation d’obligations résultant de ces textes pour réclamer des dommages-intérêts à l’établissement financier.

En second lieu, la société Ouest Acro fait valoir que la banque aurait dû s’apercevoir que les virements en cause répondaient à un schéma frauduleux bien connu des établissements de crédit notamment en ce qu’ils étaient à destination de pays est-européens, particulièrement à risque et souvent lieux de transit pour les fonds issus de la cybercriminalité ; qu’elle aurait dû s’interroger d’autant plus que la société Ouest Acro, dont elle connaissait l’activité, intervient quasi-exclusivement que sur le marché français.

Elle reproche à la banque de ne pas avoir averti son dirigeant des virements demandés en dépit de leur nombre et de leur fréquence sur une courte période, de leurs montants, allant jusqu’à près de 200 000 euros, et ce, à la différence de ce qu’a fait le Crédit agricole qui a demandé au dirigeant confirmation d’une demande inhabituelle qui lui avait été transmise par M. [M]. Elle dénonce une organisation défaillante de la banque du fait de l’arrêt pour congé maternité de sa conseillère bancaire au cours de cette période, remplacée par des assistantes commerciales, ce dont le dirigeant de la société n’a pas été informé, et qui n’ont pas eu le réflexe de prendre attache avec lui avant de valider les virements et même d’augmenter le plafond des virements vers l’étranger.

Le Crédit mutuel invoque le principe de non-immixtion, ou de non-ingérence, selon lequel le banquier n’a pas à accomplir de diligence particulière pour s’assurer de la régularité et de l’opportunité des actes de son client, qui devrait prévaloir en l’espèce dès lors que les virements litigieux, non seulement ne présentaient aucune anomalie apparente mais, plus encore, étaient parfaitement réguliers. Il fait valoir qu’il ne peut être tenu responsable en cas d’utilisation non conforme du service de banque à distance par un délégué, notamment lorsque celui-ci en fait un usage personnel ou contraire à l’intérêt social du souscripteur. Il ajoute qu’au cours des dix années qui ont précédé les opérations litigieuses, [N] était son seul interlocuteur au quotidien.

Mais le devoir de non-immixtion trouve sa limite dans le devoir de surveillance du banquier, qui, s’il s’étend au fonctionnement du compte, est toutefois limité à la détection des seules anomalies apparentes.

Ainsi, en présence d’anomalies apparentes, la banque est tenue à un devoir renforcé de surveillance et de vigilance dans le traitement des ordres de virement de son client et doit prendre toute précaution utile et alerter son client afin de procéder à des vérifications auprès de lui.

Dans le cas présent, le Crédit mutuel a validé douze virements vers des banques est-européennes, pour un montant total de 1 488 576,95 euros, en moins d’un mois, sur la demande d’un seul et même préposé, le comptable de la société. Il a même augmenté le plafond des virements à l’étranger. Or, l’importance en nombre et en valeur des virements (allant chacun de 81 345,72 euros à 191’418,63 euros) sur une si coutre période, sans justification apparente, au moyen d’un procédé certes sécurisé mais que ne permettait pas d’exclure une fraude, la destination des fonds dans des pays de l’Europe de l’Est vers lesquels la société Ouest Acro n’avait de surcroît jusqu’alors aucun engagement, le dépassement du plafond autorisé et la demande d’un découvert autorisé, étaient d’autant d’anomalies apparentes qui ne pouvaient qu’attirer l’attention de la banque. En s’abstenant de vérifier auprès du dirigeant de la société ou du directeur financier que ces ordres étaient bien donnés avec l’accord de la société, le Crédit mutuel a manqué à son devoir de vigilance. Si le découvert ponctuel de 400 000 euros sollicité par M. [M] n’a pas été autorisé par la banque comme l’ont retenu les premiers juges, celle-ci, au lieu de s’inquiéter de savoir si cette demande émanait d’une personne habilitée à faire une telle demande, a sollicité de M. [M] de lui faire parvenir certaines pièces pour pouvoir instruire le dossier, illustrant l’absence de vigilance.

Sur la faute de la victime

La société Ouest Acro prétend que le manque de vigilance de la banque qui n’a pas su détecter la fraude est la cause exclusive de son préjudice. Elle souligne que son dirigeant a immédiatement réagi lorsqu’il a appris l’existence de la fraude. Elle estime que la banque ne peut s’exonérer de sa responsabilité en rejetant la faute sur M. [M], simple préposé manipulé et trompé par des manoeuvres d’un escroc manifestement professionnel.

Mais le Crédit mutuel fait valoir à juste titre que la fraude a été facilitée par le niveau d’habilitation du comptable, son absence de supervision et de contrôle, l’absence de suivi des comptes de la société. En effet, non seulement la société Ouest Acro n’a pas mis en place l’exigence d’une vérification des opérations faites à distance par son comptable par un de ses supérieurs hiérarchiques mais une somme considérable a pu être détournée entre le 10 février 2020 et le 9 mars suivant sans qu’aucun responsable de la société ne s’en rende compte, ce qui révèle une grave défaillance dans le suivi des comptes de la société et une absence de contrôle des actes faits par le comptable. Surtout, cette fraude n’a pu être possible que par la gestion défaillante des délégations permettant au comptable sans aucun pouvoir de décision au sein de la société, d’opérer n’importe qu’elle opération sur ses comptes par l’utilisation du service télématique.

Ainsi, la société Ouest Acro a commis des négligences graves qui ont concouru à la persistance de la fraude et a engagé sa responsabilité. La cour approuve les premiers juges d’avoir fixé la part de responsabilité de la société et de la banque à 50 % chacune.

Sur les préjudices

Les préjudices subis par la société Ouest Acro tiennent, d’abord, à la perte des fonds virés et dont elle n’a pu obtenir la restitution, soit la somme de 1 248 546,61 euros.

Ensuite, la société Ouest Acro évalue son préjudice financier à 53 948 euros correspondant au coût que représente la souscription d’un prêt BPI d’un montant de 700 000 euros souscrit en urgence, le 31 mars 2020, au taux de 2 %, qu’elle explique avoir été rendu nécessaire du fait de la perte de trésorerie que la fraude a entraînée, et dont elle produit le tableau d’amortissement et le contrat de prêt faisant apparaître comme objet : ‘le renforcement de la structure financière.

Ce prêt est en relation causale avec la perte des fonds qui la mettait en difficulté pour faire face à l’ensemble de ses charges et son coût est justifié à hauteur de 43 072 euros.

Le préjudice financier complémentaire dont la société Ouest Acro demande réparation à hauteur de 50 000 euros découlerait de la nécessité de se réorganiser pour faire face aux difficultés de trésorerie. Elle justifie de l’incidence de la perte de trésorerie en ce qu’elle a enregistré sur l’exercice 2020 un résultat net comptable négatif de 931 000 euros qui est la conséquence directe de la perte de la somme de 1 248 546,61 euros, et sans laquelle, selon son expert-comptable, elle aurait enregistré un résultat positif de 150 459 euros, étant observé que la crise sanitaire a eu une incidence limitée sur le chiffre d’affaires (passé de 15 848 188 euros au 31 décembre 2019 à 13 865 344 euros au 31’décembre 2020). Elle expose que ce bénéfice aurait permis de faire des investissements et d’autres évolutions et même des hausses de certains salaires. Elle justifie que le dirigeant a réorganisé l’actionnariat de la société afin de dégager des fonds propres pour pallier les pertes subies. Ainsi, d’abord, la société Bara investissement a cédé, le 23 décembre 2020, l’intégralité des titres de la société BTEM dont elle était propriétaire, pour aider sa filiale et, ce faisant en se séparant d’une entreprise de maçonnerie dont elle dit qu’elle travaillait régulièrement avec elle et, ensuite, la société K2, holding personnelle de [F], a procédé au virement de la somme de 250 000 euros au bénéfice de Bara investissement, ces deux sommes ayant permis à Ouest Acro de réaliser une augmentation de capital de 800 000 euros afin de renforcer ses fonds propres et faire face aux difficultés financières engendrées par la fraude dont elle a été victime. Elle fait valoir que ces opérations sont doublements pénalisantes en ce que les fonds injectés pour l’augmentation du capital ne sont plus disponibles pour réaliser des opérations de croissance externe et que la société Ouest acro ne peut plus répondre conjointement avec la société de maçonnerie BTEM lors des appels d’offres publics et privés.

Au vu des éléments produits, le préjudice économique complémentaire en relation directe avec la perte des fonds dont l’indemnisation est demandé est justifié.

Le préjudice total est évalué à la 1’341’618,61(1 248 546,61 +43 072 + 50 000).

Aucun préjudice moral et d’image n’est démontré du fait des agissements de la banque.

Il s’ensuit que, compte tenu du partage de responsabilité, le Crédit mutuel est condamné à payer à la société Ouest Acro la somme de 670’809,30 euros.

Sur les demandes accessoires

Le jugement est confirmé en ses dispositions relatives aux dépens et à l’indemnité allouée au titre de l’article 700 du code de procédure civile.

Le Crédit Mutuel est condamné aux dépens d’appel et à payer à la société Ouest Acro la somme de 5 000 euros au titre des frais irrépétibles exposés en appel.

PAR CES MOTIFS :

la cour, statuant contradictoirement, par mise à disposition au greffe,

Confirme le jugement entrepris sauf en ce qu’il limite la condamnation de la Caisse fédérale du Crédit Mutuel de Maine Anjou et Basse Normandie à payer à la SAS Ouest Acro la somme de 624 273,30 euros à titre de dommages et intérêts ;

Statuant à nouveau de ce chef,

Condamne la Caisse fédérale du Crédit Mutuel de Maine Anjou et Basse Normandie à payer à la SAS Ouest Acro la somme de 670’809,30 euros à titre de dommages et intérêts.

Y ajoutant,

Condamne la Caisse fédérale du Crédit Mutuel de Maine Anjou et Basse Normandie aux dépens d’appel.

Condamne la Caisse fédérale du Crédit Mutuel de Maine Anjou et Basse Normandie à payer à la SAS Ouest Acro la somme de 5 000 euros au titre des frais irrépétibles exposés en appel

LA GREFFIERE LA PRESIDENTE

S. TAILLEBOIS C. CORBEL