République Française

Au nom du Peuple Français

COUR D’APPEL DE DOUAI

CHAMBRE 2 SECTION 2

ARRÊT DU 28/04/2022

****

N° de MINUTE : 22/

N° RG 20/04550 – N° Portalis DBVT-V-B7E-TIZS

Jugement (N°2018018964) rendu le 14 octobre 2020 par le tribunal de commerce de Lille Métropole

APPELANTE

La Caisse Régionale de Crédit Agricole Mutuel Nord de France, prise en la personne de Madame [D] [V], chef du service juridique.

Ayant son siège social 10 avenue Foch BP 369 – 59020 Lille Cedex

représentée et assistée par Me Martine Mespelaere, avocat au barreau de Lille

INTIMÉE

SAS Les Serres [L], prise en la personne de son représentant légal domicilié ès qualités audit siège

Ayant son siège social 3, rue de l’Avenir 59126 Linselles

représentée et assistée par Me Gwendoline Muselet, avocat au barreau de Lille

DÉBATS à l’audience publique du 01 février 2022 tenue par Agnès Fallenot magistrat chargé d’instruire le dossier qui, après rapport oral de l’affaire, a entendu seule les plaidoiries, les conseils des parties ne s’y étant pas opposés et qui en a rendu compte à la cour dans son délibéré (article 786 du code de procédure civile).

Les parties ont été avisées à l’issue des débats que l’arrêt serait prononcé par sa mise à disposition au greffe

GREFFIER LORS DES DÉBATS : Audrey Cerisier

COMPOSITION DE LA COUR LORS DU DÉLIBÉRÉ

Laurent Bedouet, président de chambre

Nadia Cordier, conseiller

Agnès Fallenot, conseiller

ARRÊT CONTRADICTOIRE prononcé publiquement par mise à disposition au greffe le 28 avril 2022 (date indiquée à l’issue des débats) et signé par Laurent Bedouet, président et Marlène Tocco, greffier lors du délibéré, auquel la minute a été remise par le magistrat signataire.

ORDONNANCE DE CLÔTURE DU : 11 janvier 2022

FAITS ET PROCÉDURE :

La SAS Les Serres [L], spécialisée dans la fabrication et la commercialisation de serres tunnel, a pour président Monsieur [H] [L].

La société Les Serres [L] et Monsieur [L] disposent de comptes bancaires ouverts dans les livres du Crédit Agricole Nord de France, en l’agence de Bondues (59910), dépendant de l’agence de Marcq-en-Bar’ul (59700) :

– un compte courant n°16104093202 ouvert au nom de la société ;

– un compte de dépôt à vue n°50151873021 ouvert au nom de Monsieur [L].

En outre, la société Les Serres [L] a disposé d’un compte d’excédent de trésorerie n°59931523186 qui a été clôturé le 19 septembre 2018.

Ces comptes étaient consultables et gérables en ligne, par Monsieur [L] d’une part et par Monsieur [G], directeur administratif et financier de la société d’autre part.

Entre le 7 juin et le 15 juin 2018, la société Les Serres [L] et Monsieur [L] ont dénoncé avoir été victimes de huit virements frauduleux.

Averti, le Crédit Agricole Nord de France a adressé, le 15 juin 2018, à la banque bénéficiaire, des demandes de recall. Seuls les deux virements du 15 juin 2018 effectués sur le compte de Monsieur [L] ont été contrepassés par la banque, pour une somme totale de 7 400 euros.

Le 19 juin 2018, Monsieur [L] a déposé plainte contre X à la DIPJ de Lille du chef d’escroquerie, en son nom personnel et au nom de la société Les Serres [L].

Le Crédit Agricole Nord de France a pour sa part déposé plainte à la date du 13 février 2019.

Après plusieurs demandes amiables restées vaines, Monsieur [L] a mis la banque en demeure de recréditer les sommes virées depuis le compte de l’entreprise par lettre recommandée du 1er octobre 2018, sans obtenir satisfaction.

Par acte introductif d’instance délivré le 27 novembre 2018, la société Les Serres [L] a l’a donc assignée en ce sens. Elle a demandé au tribunal de :

– condamner le Crédit agricole à payer à la société Les serres [L] la somme de 269 075 euros outre intérêts au taux légal à courir à compter du 17 juin 2018 ;

– condamner le Crédit agricole à payer à la société Les serres [L] la somme de 70 000 euros à titre de dommages-intérêts pour résistance manifestement abusive ;

– ordonner l’exécution provisoire de la décision à intervenir ;

– débouter le Crédit agricole de l’intégralité de ses demandes, fins et conclusions ;

– condamner le Crédit agricole à payer à la société Les serres [L] la somme de 5 000 euros en application des dispositions article 700 du code de procédure civile ;

– condamner le Crédit agricole aux entiers frais et dépens de l’instance.

Par jugement rendu le 14 octobre 2020, le tribunal de commerce de Lille Métropole a statué en ces termes :

DÉBOUTE le CRÉDIT AGRICOLE de sa demande de surseoir à statuer et de toutes ses autres demandes ;

CONDAMNE le CRÉDIT AGRICOLE à payer à la société LES SERRES [L] la somme de 269 075 € outre intérêts au taux légal à compter du 17 juin 2018 ;

CONDAMNE le CRÉDIT AGRICOLE à payer à la société LES SERRES [L] la somme de 35 000 € à titre de dommages et intérêts en réparation du préjudice subi ;

CONDAMNE le CRÉDIT AGRICOLE à payer à la société LES SERRES [L] la somme de 2 000 € en application des dispositions de l’article 700 du Code de procédure civile ;

CONDAMNE le CRÉDIT AGRICOLE aux dépens, taxés et liquidés à la somme de 73.24 € en ce qui concerne les frais de greffe ;

ORDONNE l’exécution provisoire du présent jugement nonobstant appel et sans caution.

Par déclaration du 9 novembre 2020, la Caisse régionale de crédit agricole mutuel Nord de France a relevé appel de l’ensemble des chefs de cette décision, à l’exception de celui ayant ordonné l’exécution provisoire.

PRÉTENTIONS DES PARTIES

Par conclusions régularisées par le RPVA le 10 novembre 2021, la Caisse régionale de crédit agricole mutuel Nord de France demande à la cour de :

– Dire mal jugé, bien appelé ;

– Réformer en tous points la décision frappée d’appel ;

En conséquence, statuant à nouveau,

– Débouter la Société LES SERRES [L] de l’ensemble de ses demandes fins et conclusions

– Condamner la Société LES SERRES [L] au paiement de la somme de 5000 € sur le fondement de l’article 700 du Code de procédure civile ;

– La condamner aux entiers frais et dépens

La banque plaide qu’un certain nombre de zones d’ombres sur les circonstances dans lesquelles la fraude a eu lieu font supposer qu’est survenue une rupture de confidentialité des accès personnels de Monsieur [L], suite à des négligences commises par lui et/ou une défaillance dans la protection de ses matériels et/ou réseau informatique.

Elle argue qu’il n’est pas établi que les ordres de virement n’émanaient pas du client, dûment authentifié dans son espace personnel. En effet, ils ont été rendus possibles grâce à l’ajout d’un iban demandé via l’utilisation de la messagerie du compte bancaire de la société, par un mail d’instructions adressé à l’agence le 7 juin 2018 à partir de son espace en ligne, dont seul le gérant est officiellement détenteur des identifiants et codes d’accès qu’il indique dans sa plainte avoir pourtant communiqué au directeur administratif et financier de la société et à son épouse.

La banque ajoute que ces virements à destination de la Suisse n’étaient pas de nature à l’alerter, puisqu’elle savait que Monsieur [L] avait des projets d’investissement dans le canton du Valais où il passe toutes ses vacances d’été en famille, étant rappelé le principe de non-ingérence dans les affaires des clients.

A supposer que les ordres de virement n’émanent pas de la société elle-même, il apparaît clairement que les opérations n’ont été possibles que parce qu’il a été permis au fraudeur d’accéder à l’espace en ligne de la société, ce qui permet de penser que le dirigeant, ou des personnes de son entourage, ont divulgué les identifiant et code d’accès, au besoin en répondant à un mail d’invitation. En effet, Monsieur [L] a reçu deux emails de fraudeurs voulant se faire passer pour le Crédit Agricole. On peut difficilement le croire lorsqu’il déclare s’être borné à les placer dans ses spams sans y répondre, alors que manifestement, le fraudeur est parvenu à obtenir son numéro de téléphone portable mais aussi ses identifiant et code d’accès à l’espace personnel du compte bancaire de la société. Par ailleurs, Monsieur [L] a déclaré en première instance que son épouse avait accès à son ordinateur professionnel. Elle pourrait donc avoir eu accès aux mails qu’il dit avoir transféré dans ses spams.

L’envoi à Monsieur [L] de deux SMS contenant des codes d’activation signifiait clairement que le fraudeur tentait d’ajouter un iban dans la liste des bénéficiaires de virement. Leur réception ne pouvait qu’alerter Monsieur [L], habitué de ces procédures. Cependant, ce dernier n’a pas averti la banque de la perte de confidentialité de son dispositif de sécurité, alors que, de façon évidente, quelqu’un s’était manifesté le 4 juin 2018 sur son espace bancaire.

Le fraudeur n’ayant pas pu obtenir ces codes, l’iban n’a pas pu être ajouté par le fraudeur le 4 juin 2018.

Cependant, la banque a constaté l’existence de nombreuses connexions au compte en ligne de la société entre le 31 mai et le 5 juillet 2018, ce qui signifie clairement que la fraude aurait pu être évitée si Monsieur [L] l’avait alertée au plus tard le 4 juin 2018, le premier virement frauduleux ayant eu lieu le 7 juin 2018.

La communication par Monsieur [L] de ses codes d’accès constitue une violation de ses obligations de non divulgation et sécurisation de ses accès. Leur communication à son épouse n’avait strictement aucun intérêt dans le couple, celle-ci disposant d’une procuration lui permettant d’avoir accès aux comptes personnels de son mari avec ses propres codes d’accès, mais permettait à cette dernière d’accéder aux comptes de l’entreprise.

En outre, l’enquête a révélé que Monsieur [L] s’est connecté sur un réseau wi-fi allemand, dépourvu de sécurité, les 22 et 23 mai 2018.

Il a donc commis des négligences graves aux obligations lui incombant dans le cadre de l’utilisation du service en ligne par le non-respect de la convention qui le lie au Crédit Agricole, laquelle lui fait obligation de prendre toutes mesures raisonnables pour préserver la sécurité de son instrument de paiement et son dispositif de sécurité personnalisé. Il doit en conséquence supporter seul les conséquences liées à la perte de confidentialité du dispositif et doit être débouté de l’ensemble de ses demandes fins et conclusions dirigées contre la banque.

C’est à tort que le tribunal a fait grief à la banque de ne pas avoir respecté un plafond de montant de virement de 7 000 euros car il est établi qu’à la date du 23 avril 2018, la société Les serres [L] a souhaité passer à la fonction Pro de façon à être autonome dans ses opérations en bourse, ce qui a eu pour effet de retirer la date de fin de plafond. Un avenant a été édité à cette occasion, transmis au client par la banque.

De plus, c’est également à tort que le tribunal a reproché au Crédit Agricole la circonstance que l’ajout de l’iban ait été réalisé par une autre agence que celle de la société Les Serres [L]. En effet, la société et son dirigeant à titre personnel sont clients de la Caisse Régionale de Crédit Agricole Mutuel Nord de France, et non pas d’une agence en particulier, les agents ayant les mêmes compétences. La banque produit la fiche de poste qui décrit le métier d’assistant commercial occupé par sa salariée mise en cause par la société Les Serres [L], dont le nom apparaît sur les mails avec la qualification qui était la sienne. La description du poste d’assistant commercial confirme bien l’habilitation de cette personne à procéder comme elle l’a fait.

C’est encore à tort que le tribunal a fait grief à la banque de la circonstance que les virements ont eu lieu immédiatement après l’ajout de l’iban et non pas à l’expiration d’un délai de 48h. En réalité, ce délai n’est observé que lorsque l’ajout d’iban est effectué par le client de la banque lui-même sur son espace personnel, non pas lorsque l’ajout d’iban a été effectué par le conseiller à la demande du client. Par ailleurs, contrairement à ce qui est prétendu, un contre-appel a bien eu lieu par la salariée qui a ajouté l’iban.

Enfin, il n’y a pas lieu de reprocher au Crédit Agricole de n’avoir pas réagi suite aux connexions depuis l’étranger, dont la banque a été informée par la suite et non pas dans l’instant. En effet, elle ne dispose pas directement du logiciel qui permet d’analyser les connexions de ses clients. Ce logiciel est géré par la société CA-PS, qui peut lui communiquer les informations seulement après qu’une demande a été formulée. En aucun cas la banque ne pouvait à l’époque grâce à ce logiciel bloquer d’éventuelles fraudes sur le compte de la société Les Serres [L].

La banque ajoute ne pas comprendre le grief qui lui a été fait relatif à la dégradation de la côte Banque de France de la société Les Serres [L] par suite du passage à perte de la somme de 269 075 euros. En effet, il s’agit d’une décision unilatérale de la société qui ne lui est pas imputable. Ses déclarations ne peuvent être retenues, et l’attestation de son commissaire aux comptes doit être écartée des débats, comme irrégulière et portant atteinte au secret professionnel et bancaire.

C’est donc encore à tort que le tribunal a alloué à la société Les Serres [L] la somme de 35 000 euros à titre de dommages et intérêts complémentaires. Manifestement, les premiers juges ont voulu indemniser le temps qui a passé par l’allocation de cette somme alors qu’il est déjà compensé par l’intérêt légal appliqué à compter du 17 juin 2018 qui, au moment du paiement, a représenté la somme de 5 458,96 euros.

Par conclusions régularisées par le RPVA le 12 octobre 2021, la société Les Serres [L] demande à la cour de :

Vu les dispositions de l’article 133-18 du code monétaire et financier

Vu les dispositions de l’article 123-23 du code monétaire et financier

Vu les dispositions de l’article 700 du code de procédure civile

(…)

– confirmer la décision entreprise en toutes ses dispositions et en conséquence débouter le CREDIT AGRICOLE de l’ensemble de ses demandes fins et conclusions

– y ajoutant, condamner le CREDIT AGRICOLE au paiement d’une somme de 5 000 € en application des dispositions de l’article 700 du CPC

– condamner le CREDIT AGRICOLE aux entiers frais et dépens de l’instance

La société Les Serres [L] plaide que le Crédit agricole ne démontre pas qu’elle est à l’origine des virements frauduleux. Il tente vainement d’inverser la charge de la preuve, puisqu’en vertu de la loi, l’utilisation des identifiants de l’usager ne suffit pas à démontrer qu’il en est l’auteur et qu’il appartient à l’établissement bancaire d’en apporter la preuve par d’autres biais. Il a fait lui-même l’aveu, dans ses écritures, que le compte en ligne de Monsieur [L], et partant de la société Les serres [L], avait subi à compter du 31 mai 2018 de nombreuses tentatives de connexion en provenance de l’étranger. Il aurait pu éviter la fraude en utilisant le logiciel qui lui a permis de constater l’existence de ces connexions, la société CA’PS étant le membre du groupe Crédit agricole en charge de la sécurité.

Il est vrai que Monsieur [L] s’est ouvert à Madame [U], sa conseillère de l’agence banque privée de Bondues, dépendant de l’agence de Marcq-en-Bar’ul, en septembre 2017, de ce qu’il pourrait avoir un projet immobilier en Suisse. Toutefois, on ne voit pas comment Madame [N] [B], assistante commerciale en CDD à l’agence de Bondues Croix Blanche, qui a procédé à la mise en ligne du nouveau bénéficiaire en Suisse, pouvait être au courant au moment où elle a procédé à l’activation de l’iban au mépris de toutes les règles de sécurité. Par ailleurs, un financement immobilier personnel au moyen du compte courant de la société aurait ni plus ni moins constitué un abus de bien social.

Le Crédit agricole ne démontre aucune négligence grave en lien avec la fraude perpétrée. Il est faux de prétendre que Monsieur [L] aurait divulgué ses identifiant et mot de passe. En ce qui concerne Monsieur [G], directeur administratif et financier de la société, le Crédit agricole ne peut ignorer que celui-ci dispose, suivant habilitation en date du 28 mars 2018, de ses propres mot de passe et identifiant pour accéder aux seuls comptes de la société. S’agissant de Madame [L], celle-ci a procuration sur les comptes ouverts dans les livres du Crédit agricole depuis le 19 juin 1998. Monsieur [L] dément formellement avoir déclaré que son épouse aurait accès à son ordinateur professionnel ainsi qu’à sa boîte mail professionnelle. En réalité, le Crédit agricole a procédé à une lecture tronquée du procès-verbal de plainte et confond les appareils informatiques.

Le rapport de synthèse de la police met définitivement et clairement hors de cause Monsieur et Madame [L] ainsi que Monsieur [G] pour considérer que la méthode est plutôt caractéristique de pirates informatiques des pays originaires de l’Est malheureusement non identifiables.

Contrairement à ce que tente de laisser croire l’appelante, ni la connexion à un réseau wi-fi hôtelier ni le fait qu’il ne se soit pas rapproché de la banque à la réception des faux mails et SMS ne sont constitutifs d’une négligence grave. Il a au contraire agi avec prudence en n’y donnant aucune suite.

En réalité, la protection de son compte a été assurée jusqu’à l’ajout, par un agent non habilité d’une agence bancaire dont ne dépend pas la société, d’un bénéficiaire étranger non européen sans exiger la présence physique de Monsieur [L] en agence, en ne procédant à aucun contre-appel téléphonique, en n’adressant aucun SMS de validation, ni mail de confirmation de virement, et en autorisant des virements dépassant le plafond autorisé. C’est en réalité au mépris de l’ensemble de ses propres mesures de sécurité et du mode de fonctionnement habituel du compte que le Crédit agricole a permis au fraudeur ces détournements d’ampleur.

Monsieur [L] nie avoir accepté et signé l’avenant Bourse Pro dont se prévaut la banque pour expliquer le déplafonnement. Ses relevés de factures pour les mois d’avril, mai et juin ne font d’ailleurs état d’aucun abonnement en ligne Bourse Pro, ces derniers n’apparaissant qu’en juillet et août, soit postérieurement aux détournements frauduleux. Immédiatement, la société Les Serres [L] a demandé à ce qu’il soit mis un terme à cet abonnement jamais souscrit. Le Crédit agricole a manifestement manqué à son devoir de surveillance.

Seule l’excellente gestion financière de la société lui a permis de faire face à l’effondrement de sa trésorerie. Dans son exercice clos au 31 octobre 2018, elle avait déjà dû faire face à la perte de près de 100 000 euros de marchandises dans l’incendie d’entrepôts. Elle a dû encore supporter, par la seule faute du Crédit agricole et sa résistance à la rembourser, la perte de toute sa ligne de trésorerie pour une somme de 269 075 euros, entamant gravement les conditions d’une transmission sereine de la société, Monsieur [L] ayant 60 ans.

La cotation banque de France de l’entreprise a été dégradée, ce qui résulte principalement du passage en perte de la créance de la société à l’égard du Crédit agricole, et par conséquent d’une dégradation de ses capitaux propres, de nature à compromettre le financement de tous ses projets. Cette décote s’est au demeurant immédiatement fait ressentir dans ses relations avec les fournisseurs et leurs assureurs-crédit, lesquels ont par suite exigé des règlements avant expédition. Ce passage en perte ne procède d’aucune décision unilatérale mais d’une obligation comptable et légale ainsi qu’en atteste son commissaire aux comptes. Cette fragilité de trésorerie a été encore plus cruellement ressentie durant l’année 2020 et les effets économiques catastrophiques de la pandémie.

La cour renvoie, pour un plus ample exposé des faits et des prétentions et moyens des parties, à la décision déférée et aux écritures susvisées, en application des dispositions de l’article 455 du code de procédure civile.

L’ordonnance de clôture a été prononcée le 12 octobre 2021.

SUR CE

Il sera observé à titre préliminaire que si l’appelante a formé appel du chef de la décision querellée l’ayant déboutée de sa demande de sursis à statuer, elle n’a développé aucun moyen à l’appui de sa demande de réformation, pourtant présentée comme « en tous points ». Il sera donc confirmé.

I – Sur la demande en remboursement formée par la société Les serres [L]

Aux termes de l’article L133’16 du code monétaire et financier, dès qu’il reçoit un instrument de paiement, l’utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées. Il utilise l’instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation qui doivent être objectives, non discriminatoires et proportionnées.

Aux termes de l’article L133’17 du code monétaire et financier, lorsqu’il a connaissance de la perte, du vol, du détournement ou de toute utilisation non autorisée de son instrument de paiement ou des données qui lui sont liées, l’utilisateur de services de paiement en informe sans tarder, aux fins de blocage de l’instrument, son prestataire ou l’entité désignée par celui-ci.

Aux termes de l’article L133’18 du code monétaire et financier, la responsabilité du payeur n’est pas engagée si l’opération de paiement non autorisée a été effectuée en détournant, à l’insu du payeur, l’instrument de paiement ou les données qui lui sont liées. Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17.

Aux termes de l’article L 133’23 du code monétaire et financier, lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre. L’utilisation de l’instrument de paiement tel qu’enregistré par le prestataire de services de paiement ne suffit pas nécessairement en tant que tel à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière. Le prestataire de services de paiement, y compris, le cas échéant, le prestataire de services de paiement fournissant un service d’initiation de paiement, fournit des éléments afin de prouver la fraude ou la négligence grave commise par l’utilisateur de services de paiement.

Aux termes de l’article L133’18 du code monétaire et financier, en cas d’opérations de paiement non autorisées signalées par l’utilisateur dans les conditions prévues à l’article L133’24, le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement et s’il communique ses raisons par écrit à la banque de France.

Le cas échéant, le prestataire de services de paiement du payeur rétablit le compte débité dans l’état où il se trouvait si l’opération de paiement non autorisée n’avait pas eu lieu.

1) Sur les agissements frauduleux reprochés par la banque à sa cliente

Le Crédit agricole plaide qu’il n’est pas établi que les ordres de virement n’émanaient pas de la société Les Serres [L], dûment authentifiée dans son espace personnel.

Il lui sera cependant rappelé que la preuve d’un agissement frauduleux de l’utilisateur ne peut se déduire du seul fait que les données personnelles liées à l’instrument de paiement ont été utilisées.

Il ressort au surplus des pièces versées à la procédure que Monsieur [L] s’est aperçu, le 15 juin 2018, en consultant ses relevés de compte personnel, de la réalisation de deux virements de 1 500 euros chacun vers le compte professionnel de la société Les Serres [L] sans qu’il en ait donné l’ordre.

Vérifiant les comptes de la société, il a alors constaté l’existence de quatre virements vers une bénéficiaire inconnue du nom de [T] [X] sur un compte suisse :

-un virement de 96 800 euros le 7 juin 2018 ;

-un virement de 99 275 euros le 8 juin 2018 ;

-un virement de 50 000 euros le 11 juin 2018 ;

-un virement de 23 000 euros le 12 juin 2018.

Il a immédiatement alerté sa banque, laquelle lui a adressé le mail reçu depuis la messagerie de l’espace client sécurisé de la société, en date du 7 juin 2018, sollicitant l’ajout dans nouvel iban au nom de [T] [X].

Or ce mail ne figurait pas dans la dite messagerie.

Le 19 juin 2018, Monsieur [L] a encore découvert deux autres virements frauduleux de 2 400 euros et 5 000 euros réalisés le 15 juin 2018 sur son compte de dépôt à vue, lesquels ont pu faire l’objet d’une procédure de recall.

Les vérifications réalisées par la société CA-PS à la demande du Crédit agricole ont mis en évidence de nombreuses connexions au compte en ligne de la société depuis la Bulgarie, la Serbie, la Tchéquie, le Maroc et le Royaume Uni entre le 1er juin et le 5 juillet 2018.

L’enquête a conclu que les auteurs avaient agi depuis des ordinateurs distants pour se connecter à l’interface de gestion internet des comptes de Monsieur [L] et ainsi réaliser à son insu l’ajout d’un RIB puis les virements frauduleux, la variété des adresses IP utilisées, non traçables en raison de l’utilisation de réseaux privés virtuels apparaissant comme la caractéristique des pirates informatiques originaires des pays de l’Est. Elle a été classée sans suite sur instruction du parquet de Lille pour auteur inconnu.

Au regard de ces éléments, c’est avec une parfaite mauvaise foi et sans en offrir aucune preuve que la banque allègue que les ordres de virement litigieux ont pu être donnés par la société Les Serres [L], alors qu’il est établi que cette dernière a été victime d’un détournement de ses données.

2) Sur les négligences graves imputées à la société Les Serres [L]

La banque reproche à Monsieur [L], en sa qualité de gérant de la société, d’avoir violé son obligation de sécuriser son trafic, contrevenant aux conventions signées entre eux.

Il sera cependant observé qu’elle ne produit pas les contrats souscrits par la société Les Serres [L], et ne peut donc se prévaloir des divers documents qu’elle produit dont rien ne démontre qu’ils sont conformes à ceux acceptés par sa cliente.

Cette dernière n’en reste pas moins tenue par les obligations légales précédemment rappelées qui lui sont imposées par le code monétaire et financier, et notamment celle de prendre toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées et de l’informer sans tarder de la perte, du vol, du détournement ou de toute utilisation non autorisée de son instrument de paiement ou des données qui lui sont liées.

a ‘ sur la communication de ses identifiant et mot de passe

Il s’impose de constater que lors de son dépôt de plainte pour escroquerie devant les services de police de Lille, Monsieur [L] a répondu, à la question « qui possède les codes d’accès au compte professionnel de la société ‘ » :

« Mon DAF Monsieur [G] possède les codes d’accès au compte professionnel. Je possède des identifiants et codes d’accès personnels grâce auxquels je peux me connecter sur mes comptes personnels et professionnels. Mon DAF possède ses propres identifiants et codes d’accès avec lesquels il peut uniquement se connecter au compte professionnel. Mon épouse a également mes codes d’accès et a procuration sur les comptes professionnels de HSBC et du Crédit Agricole. »

Il résulte clairement de ces déclarations, contrairement à ce que plaide la banque, que Monsieur [G], directeur administratif et financier de la société Les Serres [L], ne dispose pas des identifiant et code de Monsieur [L] mais des siens propres.

Il ne peut par ailleurs être considéré comme une négligence grave le fait que Monsieur [L] ait communiqué ses identifiant et code d’accès à son épouse. L’allégation de la banque selon laquelle cette dernière pourrait « avoir eu accès aux mails qu’il dit avoir transféré dans ses spams » est purement hypothétique et n’est pas étayée par le moindre commencement de preuve, étant observé au surplus qu’aucune des déclarations de Monsieur [L] ne permet de supposer que son épouse a accès à son ordinateur et sa boîte mails professionnels.

Cet argument doit donc être rejeté.

b ‘ sur la connexion à un réseau wi-fi non sécurisé

La banque reproche également à Monsieur [L] de s’être connecté à un réseau wi-fi non sécurisé à l’occasion d’un séjour en Allemagne.

Cependant, les investigations techniques réalisées sur son téléphone portable et sa tablette numérique, suite à la plainte qu’il a déposée auprès des services de police de Lille, n’ont mis en évidence la présence d’aucun logiciel malveillant dans ces appareils.

Si les enquêteurs ont prévenu Monsieur [L] de ce que les connexions à des hot-spots wi-fi dépourvus de sécurité étaient susceptibles d’être interceptées, aucune des investigations réalisées n’a établi de lien certain entre la fraude subie et ces connexions depuis le wi-fi d’un hôtel en Allemagne les 22 et 23 mai 2018.

Dans le journal d’activité de l’utilisation de données des réseaux, sur la période couvrant mai et juin 2018, l’application dénommée « fr.creditagricole.monbudget » n’a d’ailleurs été utilisée que les 24 et 25 mai 2018, soit postérieurement.

Cet argument doit donc être rejeté.

c- sur l’absence d’alerte donnée à la banque

Il est avéré que Monsieur [L] a reçu, le 4 juin 2018, deux mails suspects, au regard de leur contenu et de leurs adresses :

-le premier à 13h55 en provenance d’une adresse creditagricole ;

-le second à 15h41 en provenance d’une adresse [email protected] ;

qu’il expose avoir placés immédiatement dans ses spams.

Par la suite, il a également reçu deux SMS lui donnant un code d’activation pour enregistrer un nouveau bénéficiaire de virement, à 15h55 et 15h59, qu’il indique avoir supprimés sans les ouvrir.

Ce comportement ne peut qu’être qualifié de conforme aux règles de sécurité informatique, dans la mesure où il est seul susceptible d’éviter la contamination par des virus ou l’installation involontaire de logiciels malveillants, les vérifications réalisées ultérieurement par les services de police ayant confirmé l’absence de malwares sur le téléphone et la tablette de Monsieur [L].

Le Crédit agricole reconnaît lui-même que le fraudeur n’a pu obtenir les codes et ajouter son iban le 4 juin 2018, ce qui implique qu’il n’a effectivement ouvert ni les mails, ni les SMS litigieux.

Il est manifeste que Monsieur [L] n’avait pas conscience, à cette date, du détournement de ses données. Il ne peut donc lui être reproché une négligence grave du seul fait de ne pas s’être rapproché de sa banque.

Cet argument sera rejeté.

3) Sur les fautes reprochées à la banque

a ‘ sur l’absence de prise en compte des facteurs d’alerte

Les éléments de la procédure démontre que la banque n’a eu connaissance des nombreuses connexions au compte de la société Les Serres [L] en provenance de l’étranger qu’a posteriori, en interrogeant la société CA-PS, société appartenant au groupe Crédit agricole en charge de la sécurité informatique. Les raisons pour lesquelles elle n’est pas dotée d’un semblable logiciel de détection sont étrangères aux présents débats et il n’y a pas lieu de retenir contre elle de grief de ce chef.

En revanche, il s’avère que la banque a ajouté, le 7 juin 2018 à 12h42, parmi les destinataires de virements sur le compte de la société Les Serres [L], un nouveau bénéficiaire inconnu, sur un simple mail reçu le jour même à 11h50 adressé à [email protected], ainsi rédigé : « Bonjour voila le rib a ajouter mon espace Pro ».

Or il est établi par les pièces versées aux débats que :

– il ne figurait jusqu’à présent sur la liste des destinataires de virements de la société que les personnes suivantes : « anciens Ets V et R Tonn », « [L] » et « [L] [P] », la nouvelle bénéficiaire ayant donc un profil parfaitement atypique sur ce compte ;

– le mail n’a pas été adressé à la conseillère habituelle de Monsieur [L], Madame [U], mais à une autre conseillère, Madame [B], travaillant dans une agence distincte ;

– Madame [B] ne connaissait pas Monsieur [L], comme en atteste l’emploi de la formule « au plaisir de vous rencontrer prochainement » dans son mail en réponse, et n’avait aucune raison d’avoir connaissance de l’éventuel projet immobilier de Monsieur [L] en Suisse, ce dernier n’en ayant informé que sa conseillère habituelle Madame [U] par mail du 14 septembre 2017 ;

– il n’est pas rapporté de preuve de l’existence du contre-appel allégué par la banque, aucune force probante ne pouvant être accordée à la simple mention manuscrite « contre appel » figurant sur la « mise à jour destinataire virements sur crédit agricole en ligne » du 7 juin 2018, laquelle ne précise ni la date, ni l’heure de l’appel, ni le nom, ni le numéro de la personne appelée, et n’est corroborée par aucun élément objectif tel qu’un relevé des appels passés.

C’est donc à bon droit que la société Les Serres [L] reproche au Crédit agricole d’avoir manqué à son devoir de vigilance et de surveillance.

b – sur le dépassement du plafond de virement

Il ressort des pièces versées aux débats que le 12 avril 2016, Monsieur [L] a signé au nom de la société Les Serres [L] un avenant au contrat « Crédit agricole en ligne Vision + Pro » de manière à passer au deuxième niveau permettant non plus seulement la consultation et la réalisation de virements internes, mais également la réalisation de virements externes, avec un plafond fixé à 100 000 euros jusqu’au 12 mai 2018.

Le Crédit agricole ne produit pas le nouvel avenant au contrat par lequel il soutient que la société Les Serres [L] est passée à sa demande au troisième niveau à la date du 23 avril 2018, exposant que sa cliente ne le lui a jamais renvoyé signé.

Il s’impose cependant de constater que la société Les Serres [L] se prévaut elle-même d’un mail du 15 novembre 2018, dans lequel elle sollicite le remboursement de frais d’abonnement pour le mois d’octobre 2018, ainsi rédigé : « La société Les Serres [L] ne dispose plus de support de placement assis sur les marchés financiers depuis le mois d’août 2018 et vous avions demandé courant septembre d’arrêter l’abonnement « CA en ligne bourse pro ». Un avoir sur cet abonnement a été effectué le 10/10/2018 pour la période 09/2018. Je constate que nous sommes une nouvelle fois prélevé pour cet abonnement le10/11/2018 pour la période 10/2018. pouvez-vous procéder à l’extourne de cette écriture pour le mois d’octobre 2018 et arrêter définitivement cet abonnement. »

Il en résulte que la société Les Serres [L] a bien souscrit à son passage au niveau 3 du contrat jusqu’au mois d’août 2018, de manière à pouvoir gérer ses supports de placements financiers. C’est donc avec une parfaite mauvaise foi qu’elle tente de se prévaloir du fait que l’intitulé du prélèvement des frais d’abonnement n’a changé qu’en juillet 2018.

La banque produit aux débats des pièces suffisantes pour établir que le passage à ce niveau 3 entraîne un plafonnement des virements externes à 200 000 euros, sans date d’échéance.

Il en résulte qu’elle n’aurait pas dû excéder ce montant. Or entre le 7 juin et le 15 juin 2018, les huit opérations frauduleuses se sont élevées à un montant global de 269 075 euros.

Ces éléments, qui mettent en évidence non seulement l’absence de fraude ou négligence grave de la société Les Serres [L], mais aussi le manque de vigilance et la défaillance de la banque, justifient la confirmation de la décision entreprise en ce qu’elle a condamné le Crédit agricole à payer à la société Les Serres [L] la somme de 269 075 euros avec intérêts au taux légal à compter du 17 juin 2018 en remboursement des sommes détournées.

II ‘ Sur la demande de dommages et intérêts

Aux termes des articles 1240 et 1241du code civil, tout fait quelconque de l’homme, qui cause à autrui un dommage, oblige celui par la faute duquel il est arrivé à le réparer. Chacun est responsable du dommage qu’il a causé non seulement par son fait, mais encore par sa négligence ou par son imprudence.

La société Les Serres [L] demande la confirmation du jugement entrepris en ce qu’il a condamné le Crédit agricole à lui payer la somme de 35 000 euros à titre de dommages-intérêts « pour résistance manifestement abusive, laquelle somme indemnitaire inclut notamment le temps passé par Monsieur [H] [L] et par Monsieur [Y] [G] à tenter d’obtenir amiablement ce que la loi impose ». Elle expose que cette résistance abusive a conduit à l’effondrement de sa trésorerie et à la dégradation de sa cotation en banque de France, à la suite du passage en perte de sa créance, compromettant le financement de tous projets et entamant les conditions d’une transmission sereine, Monsieur [L] ayant 60 ans.

En réponse, la banque se contente d’indiquer que ce passage en perte résulte d’une décision unilatérale de sa cliente, qui se garderait de justifier de l’irrecouvrabilité de sa créances, reprochant en outre à la société intimée de verser aux débats une attestation de son commissaire aux comptes, auquel elle reproche une atteinte au secret professionnel par une interprétation particulièrement contestable d’une consultation qu’elle a sollicitée auprès d’un expert judiciaire, étant observé qu’elle ne sollicite pas, dans le dispositif de ses écritures qui seul saisit la cour en application des dispositions de l’article 954 du code de procédure civile, le rejet des débats de l’attestation litigieuse.

Il sera rappelé que la procédure pénale ouverte suite à la plainte de la société Les Serres [L] et de Monsieur [L] a été classée sans suite pour auteur inconnu. Il est donc certain, contrairement à ce que prétend le Crédit agricole, que la créance ne sera jamais recouvrée.

Dans ce contexte, la société Les Serres [L] n’avait pas d’autre choix que de prendre une décision de passage en perte, face au refus de sa banque de respecter son obligation légale de rembourser les sommes détournées en dépit de l’absence de fraude et de négligence grave de sa cliente, et malgré les demandes répétées de cette dernière attirant son attention sur la situation très délicate dans laquelle elle se trouvait pour faire face à ses engagements après la perte de sa trésorerie.

La société Les Serres [L] justifie effectivement d’une dégradation de sa cotation Banque de France du niveau « correct » au niveau « assez faible ».

Cependant, la seule conséquence qu’elle établit est le retrait d’un agrément de crédit-vendeur et la nécessité de payer un de ses fournisseurs avant expédition.

En outre, aucune des pièces produites aux débats ne met en évidence un projet de transmission de l’entreprise contrarié par les suites de la fraude subie.

Enfin, il ne peut être reproché au Crédit agricole les conséquences du sinistre par incendie ayant touché quelques mois auparavant la société Les Serres [L]

Contrairement à ce que soutient la banque, les préjudices occasionnés par sa carence dans le remboursement de la somme détournée ne sont pas réparés par les intérêts moratoires, qui ne constituent que le coût de l’argent non restitué à la société Les Serres [L].

Les éléments produits justifient d’allouer à cette dernière la somme de 10 000 euros à titre de dommages et intérêts. La décision entreprise sera réformée en ce sens.

III ‘ Sur les demandes accessoires

1) Sur les dépens

Aux termes de l’article 696 du code de procédure civile, la partie perdante est condamnée aux dépens, à moins que le juge, par décision motivée, n’en mette la totalité ou une fraction à la charge d’une autre partie.

L’issue du litige justifie de condamner le Crédit agricole aux dépens d’appel et de confirmer la décision entreprise en ce qu’elle l’a condamné aux dépens de première instance

2) Sur les frais irrépétibles

Aux termes de l’article 700 du code de procédure civile, le juge condamne la partie tenue aux dépens ou qui perd son procès à payer à l’autre partie la somme qu’il détermine, au titre des frais exposés et non compris dans les dépens.

La décision entreprise sera confirmée en ce qu’elle a condamné le Crédit agricole à payer à la société Les Serres [L] la somme de 2 000 euros au titre de ses frais irrépétibles de première instance sur le fondement de l’article 700 du code de procédure civile.

Le Crédit agricole, tenu aux dépens d’appel, sera en outre condamné à verser à la société Les Serres [L] la somme de euros 5 000 au titre de ses frais irrépétibles d’appel, et débouté de sa propre demande de ce chef.

PAR CES MOTIFS

Confirme le jugement rendu le 14 octobre 2020 par le tribunal de commerce de Lille Métropole, sauf en ce qu’il a condamné la Caisse régionale de crédit agricole mutuel Nord de France à payer à la société Les Serres [L] la somme de 35 000 euros à titre de dommages et intérêts en réparation du préjudice subi ;

Statuant à nouveau de ce seul chef,

Condamne la Caisse régionale de crédit agricole mutuel Nord de France à payer à la société Les Serres [L] la somme de 10 000 euros à titre de dommages et intérêts en réparation du préjudice subi ;

Et y ajoutant,

Condamne la Caisse régionale de crédit agricole mutuel Nord de France à payer à la société Les Serres [L] la somme de 5 000 euros au titre de ses frais irrépétibles d’appel ;

Déboute la Caisse régionale de crédit agricole mutuel Nord de France de sa propre demande au titre de ses frais irrépétibles ;

Condamne la Caisse régionale de crédit agricole mutuel Nord de France aux dépens d’appel.

Le greffierLe président

Marlène ToccoLaurent Bedouet