Your cart is currently empty!
COUR D’APPEL
D’ANGERS
CHAMBRE A – CIVILE
CM/IM
ARRET N°
AFFAIRE N° RG 19/02215 – N° Portalis DBVP-V-B7D-ES5F
Jugement du 25 Juin 2019
Tribunal de Grande Instance du Mans
n° d’inscription au RG de première instance : 18/00253
ARRET DU 12 SEPTEMBRE 2023
APPELANTE :
SCS [F] [H] représentée par la SELARL […] prise en la personne de Me [P] [X] ès qualités d’administrateur provisoire
[Adresse 4]
[Localité 6]
Représentée par Me Benoît JOUSSE de la SELARL LACROIX JOUSSE BOURDON, avocat au barreau du MANS – N° du dossier 2018031
INTIMEE :
[…] agissant poursuites et diligences de ses représentants légaux domiciliés en cette qualité au siège
[Adresse 10]
[Localité 9]
Représentée par Me Philippe LANGLOIS de la SCP ACR AVOCATS, avocat au barreau d’ANGERS – N° du dossier 71190463
INTERVENANTES VOLONTAIRES
SOCIÉTÉ […], administrateur judiciaire prise en la personne de Me [P] [X] en qualité d’administrateur judiciaire de la société [F] [H]
[Adresse 7]
[Localité 3]
S.E.L.A.R.L. […] en qualité d’administrateur provisoire de la société [F] [H] prise en la personne de son représentant légal Me [M] [V]
[Adresse 2]
[Localité 11]
S.E.L.A.R.L. […] prise en la personne de Me [W] [O], mandataire judiciaire de la société [F] [H]
[Adresse 8]
[Localité 5]
Représentées par Me Benoît JOUSSE de la SELARL LACROIX JOUSSE BOURDON, avocat postulant au barreau du MANS, et Me Nicolas MENAGE, avocat plaidant au barreau de RENNES
COMPOSITION DE LA COUR :
L’affaire a été débattue publiquement, à l’audience du 06 Septembre 2022 à 14 H 00, Mme MULLER, conseillère faisant fonction de présidente ayant été préalablement entendue en son rapport, devant la Cour composée de :
Mme MULLER, conseillère faisant fonction de présidente
Mme GANDAIS, conseillère
Mme ELYAHYIOUI, vice-présidente placée
qui en ont délibéré
Greffière lors des débats : Mme LEVEUF
ARRET : contradictoire
Prononcé publiquement le 12 septembre 2023 par mise à disposition de l’arrêt au greffe de la cour, les parties en ayant été préalablement avisées dans les conditions de l’article 450 du code de procédure civile ;
Signé par Catherine MULLER, conseillère faisant fonction de présidente, et par Christine LEVEUF, greffière à laquelle la minute de la décision a été remise par le magistrat signataire.
~~~~
Exposé du litige
La société en commandite simple [F] [H] (ci-après la SCS), société mayennaise spécialisée dans la confection et la commercialisation de plats cuisinés charcutiers, a pour partenaire bancaire depuis de nombreuses années la […] (ci-après le […]).
Pour réaliser ses virements bancaires, elle utilise depuis le 6 décembre 2011 le service «electronic banking internet communication standard» (ci-après EBICS) proposé par le […], qui définit un protocole de communication sécurisée permettant l’échange de fichiers entre le client et l’établissement bancaire, les données transmises par le client étant protégées par trois clés informatiques, à savoir la signature du fichier, le chiffrement de l’ordre et son authentification, destinées à empêcher la falsification ou l’interception des ordres de virement.
En vertu de ce protocole, l’ordre de virement télétransmis par la SCS via son terminal informatique doit être confirmé par l’envoi d’un fax standardisé comportant diverses mentions obligatoires ainsi que le cachet commercial de l’entreprise et la signature de M. [C], directeur administratif et financier habilité à effectuer le virement.
Le 3 août 2016, une personne se faisant appeler M. [N] et indiquant travailler pour le […] a contacté téléphoniquement la SCS et, prétextant n’avoir plus accès aux données bancaires de l’entreprise et devoir effectuer des tests, a demandé à son interlocutrice Mme [Y], qui travaille au service comptabilité, de lui adresser des documents types simulant des virements pour des montants importants.
Un ordre de virement d’un montant de 180 745 euros au profit d’un compte bénéficiaire tenu par la Polski bank a ainsi été transmis à 15h21 au […] qui, à réception à 15h23 du fax de confirmation revêtu à l’insu de la comptable d’une reproduction de la signature de M. [C] et du cachet de l’entreprise, a exécuté ce virement dont le montant a, toutefois, été recrédité sur le compte de la SCS le 5 août 2016 au motif que l’IBAN était invalide.
Le 8 août 2016, M. [N] a recontacté la SCS et, mis en relation avec Mme [K], autre comptable salariée, a obtenu de celle-ci, au titre des tests, la télétransmission d’un ordre de virement d’un montant de 352 971 euros, dont 198 714 euros au profit d’un compte ouvert à la Lloyds bank et 154 257 euros au profit d’un compte ouvert à […], et l’envoi d’un fax de confirmation sans la signature de M. [C] et le cachet de l’entreprise dont une reproduction a été apposée ultérieurement sur le document adressé par M. [N] au […].
Ces deux virements ont été exécutés et seul le second a été recrédité sur le compte de la SCS le 11 août 2016 au motif que l’IBAN était invalide.
Informé par la comptable de la sollicitation de M. [N], M. [C] a pris attache le 11 août 2016 avec son interlocuteur habituel au sein du […], découvert qu’il s’agissait d’une fraude et aussitôt déposé plainte pour escroquerie.
Le […] n’a pas pu récupérer les fonds qui avaient été transférés vers une autre banque.
Après avoir mis en cause sa responsabilité par lettre recommandée avec demande d’avis de réception en date du 16 mars 2017, la SCS a fait assigner le […] le 16 janvier 2018 devant le tribunal de grande instance du Mans en restitution de la somme de 198 714 euros.
Par jugement en date du 25 juin 2019, le tribunal a condamné le […] à payer à la SCS les sommes de 99 357 euros à titre de restitution, outre les intérêts au taux légal à compter du présent jugement, et de 3 000 euros au titre de l’article 700 du code de procédure civile, ainsi qu’aux entiers dépens et a rejeté la demande d’exécution provisoire.
Suivant déclaration en date du 12 novembre 2019, la SCS représentée par la SELARL […] prise en la personne de Me [X] en qualité d’administrateur provisoire, désignée par ordonnance du président du tribunal de commerce de Laval en date du 10 septembre 2018, a relevé appel de ce jugement en ce qu’il a condamné le […] à lui payer les sommes de 99 357 euros à titre de restitution, outre intérêts, et de 3 000 euros au titre de l’article 700 du code de procédure civile, intimant le […].
La SELARL […] prise en la personne de Me [V] en qualité d’administrateur provisoire de la SCS, désignée par ordonnance de référé en date du 9 octobre 2020 suite au décès de M. [H], ainsi que la SELARL […] prise en la personne de Me [X] et la SELARL […] prise en la personne de Me [O] en qualités respectives d’administrateur judiciaire avec mission d’assistance et de mandataire judiciaire, désignées par le jugement du tribunal de commerce de Laval en date du 12 février 2021 ayant ouvert une procédure de sauvegarde à l’égard de la SCS, sont intervenues volontairement à l’instance d’appel le 27 mai 2021.
L’ordonnance de clôture est intervenue le 2 février 2022 et l’affaire, initialement fixée pour être plaidée à l’audience du 15 mars 2022, a finalement été appelée à celle du 6 septembre 2022.
Dans leurs dernières conclusions «récapitulatives après ouverture d’une procédure de sauvegarde» en date du 27 mai 2021, la SCS [F] [H] et les SELARL […], […], […] en qualités respectives d’administrateur judiciaire, d’administrateur provisoire et de mandataire judiciaire demandent à la cour de déclarer l’arrêt à intervenir commun et opposable aux sociétés […], […] et […], de réformer le jugement entrepris en ce qu’il a condamné la […] à payer à la société [F] [H] la somme de 99 357 euros et de condamner la […] au paiement de la somme de 198 741 euros, outre intérêts de retard au taux légal depuis le 16 mars 2017, et d’une somme de 6 000 euros sur le fondement de l’article 700 du code de procédure civile, ainsi qu’aux entiers dépens d’instance et d’appel.
Sur les règles de droit applicables, elles rappellent que, selon l’article 1937 du code civil, le dépositaire ne doit restituer la chose déposée qu’à celui qui la lui a confiée ou à celui au nom duquel le dépôt a été fait ou à celui qui a été indiqué pour le recevoir, que le code monétaire et financier définit, en son article L. 133-3 I, l’opération de paiement comme une action consistant à verser, transférer ou retirer des fonds, indépendamment de toute obligation sous jacente entre le payeur et le bénéficiaire, ordonnée par le payeur ou le bénéficiaire, précise, en son article L. 133-6 I, qu’une opération de paiement est autorisée si le payeur a donné son consentement à son exécution et énonce, en son article L. 133-7 alinéas 1 et 2, que le consentement est donné sous la forme convenue entre le payeur et son prestataire de service de paiement et qu’en l’absence d’un tel consentement, l’opération ou la série d’opérations de paiement est réputée non autorisée, que, si un organisme financier a un devoir de non-immixtion, il a néanmoins une obligation de vigilance, particulièrement lorsque l’anomalie est apparente et ne doit pas échapper à son contrôle et que, conformément à l’article L. 133-23 du code monétaire et financier, il incombe à la banque de démontrer que l’ordre de virement contesté par le titulaire du compte était authentique.
Sur les conditions convenues pour la validation d’un ordre de virement, elles soutiennent que le procédé convenu entre les parties au sens de l’article L. 133-7 alinéa 1er du code monétaire et financier se décompose en deux phrases non dissociables, à savoir une information donnée par la SCS à sa banque par un mécanisme de télétransmission sécurisé sur le plan informatique et la confirmation par fax émanant du client et comportant un certain nombre de mentions obligatoires, et que le tribunal a justement considéré que l’ordre de virement litigieux n’était pas authentique et que le […] ne s’est donc pas légitimement dessaisi des fonds puisque la SCS n’a émis aucun fax de confirmation, le fax ayant été expédié par l’escroc en dehors de la région mayennaise depuis le numéro [XXXXXXXX01], alors qu’il appartenait au […], qui a fini par avouer que son système de gestion des fax ne permettait pas de lire le numéro émetteur sur un fax envoyé par la SCS, de mettre en place un système de contrôle interne pour vérifier l’émission du fax, de sorte qu’on ne peut reprocher aux salariés de la SCS d’avoir commis une faute qui justifierait de réduire ses réclamations financières.
Subsidiairement, sur l’appréciation des négligences de chacune des parties, elles font valoir que :
– les imprudences des salariés de la SCS à qui le tribunal a reproché une trop grande crédulité doivent être relativisées dans la mesure où, comme exposé ci-dessus, le […] n’a pas sécurisé la seconde phase par la mise en place d’un système permettant de contrôler le numéro émetteur du fax de confirmation, ce qui aurait immédiatement permis de démasquer l’usurpateur manifestement au courant de cette faille, et où la preuve de l’envoi et de la réception des courriels que le […] prétend avoir adressés à la SCS les 29 juillet 2015 et 13 juin 2016 pour l’alerter sur des risques d’escroquerie n’est pas rapportée, d’autant que ces documents comportent seulement des conseils génériques visant à se montrer prudent et notamment à prendre le temps d’effectuer les vérifications nécessaires, ce que la banque a précisément omis de faire
– les négligences du […] sont multiples dès lors que, d’une part, il n’a pas sensibilisé la SCS à la fraude au Président ou plus généralement au faux ordre de virement, technique d’escroquerie relativement nouvelle, et ne lui a pas proposé le système du «contre appel», qui n’a été mis en place qu’après les faits, pour sécuriser les ordres de virement par un échange téléphonique, d’autre part, il a manqué de vigilance au regard des montants et destinataires des virements car les virements à destination de l’étranger ne représentent qu’environ 3 % des ordres émis par la SCS et le montant des trois virements internationaux d’août 2016 s’élève à un total important de 533 716 euros, ce qui aurait dû le conduire à prendre attache directement avec le client afin de s’assurer de leur sincérité, de troisième part, il a fait preuve d’une totale passivité malgré les indices inquiétants tenant au fait que le 5 août 2016 le virement d’un montant de 180 745 euros initié deux jours plus tôt a été recrédité sur le compte de la SCS pour motif d’IBAN invalide, enfin, il n’a pas contrôlé le fax litigieux, que ce soit la signature et le tampon y figurant qui sont parfaitement identiques à ceux apposés sur deux autres opérations de virement de 756,90 euros et de 180 745 euros, ce qui révèle leur duplication frauduleuse, ou le numéro de fax émetteur qui n’apparaît pas sur les fax reçus de la SCS bien que la banque soit en mesure de le connaître par son service flux, alors qu’il s’agit d’un élément d’une grande fiabilité pour vérifier la sincérité de l’opération, ce qui révèle un défaut d’organisation interne majeur sanctionné par la jurisprudence.
Dans ses dernières conclusions récapitulatives en date du 11 août 2021 pour l’intimé, la […] demande à la cour de :
– déclarer l’arrêt à intervenir commun et opposable aux sociétés […], […] et […] ès qualités d’administrateur judiciaire, d’administrateur provisoire et de mandataire judiciaire de la SCS [F] [H]
– débouter la SCS [F] [H] de son appel et de l’ensemble de ses demandes
– la recevoir en son appel incident et en ses demandes
y faisant droit,
– infirmer le jugement entrepris
– constater qu’elle n’a commis aucune faute dans l’exécution des ordres de paiements effectués par la société [F] [H]
– en conséquence, débouter la SCS [F] [H] de sa demande en restitution et la décharger des condamnations injustement prononcées à son encontre
– très subsidiairement, en cas de partage de responsabilité, réduire sa part de responsabilité dans les plus larges proportions
– en toute hypothèse, condamner la SCS [F] [H] à lui verser la somme de 6 000 euros par application de l’article 700 du code de procédure civile, ainsi qu’aux dépens de première instance et d’appel, lesquels seront recouvrés conformément à l’article 699 du même code.
Rappelant qu’en matière de virement bancaire, il appartient à la banque de rapporter la preuve de ce que l’ordre de virement émanait bien de son client, que, si cette preuve n’est pas rapportée, elle peut s’exonérer de toute responsabilité en démontrant que l’établissement du faux ordre de virement n’a été rendu possible que par la faute du client titulaire du compte ou de l’un de ses préposés et qu’en cas de concours de fautes, la banque ne répond que de sa propre négligence, à proportion de la part de responsabilité en découlant, elle affirme n’avoir commis aucune faute de nature à engager sa responsabilité car l’escroquerie n’a été rendue possible que par la négligence de la SCS.
Sur la validité de l’ordre de paiement au regard des articles L. 133-3, L. 133-6 et L. 133-7 du code monétaire et financier en vigueur à la date des faits, elle maintient que l’ordre de virement litigieux respectait en tous points les exigences du protocole sécurisé du dispositif EBICS et que rien ne lui permettait de douter que sa cliente s’était laissée abuser par un tiers car la SCS, qui maîtrise parfaitement le protocole de ce dispositif qu’elle a adopté depuis le 6 décembre 2011, ne conteste pas avoir effectué l’ordre de virement grâce à son accès personnel et sécurisé au terminal de télétransmission, ce qui suffit à caractériser son consentement, la confirmation par fax étant une simple mesure de sécurité additionnelle venant réitérer le consentement déjà donné, et a d’ailleurs toujours refusé, malgré ses préconisations, d’adopter le dispositif EBICS TS permettant le recours à la signature électronique, plus sécurisée que la confirmation par fax.
Sur l’absence de manquement à son devoir de vérification et de vigilance, elle expose qu’elle justifie avoir adressé à la SCS deux courriels en date des 29 juillet 2015 et 13 juin 2016 l’alertant sur les risques d’escroquerie et lui transmettant un numéro local spécial à joindre en cas de suspicion de fraude ainsi qu’un «guide sécurité» complet élaboré par la Fédération bancaire française, que l’efficacité du protocole EBICS ne souffre aucune remise en question car l’accès sécurisé de la SCS au service de télétransmission et le chiffrement des données n’ont pas été violés ni contournés, que, pour sa part, elle a respecté scrupuleusement le protocole de sécurité en s’attachant à vérifier que le fax de confirmation comportait les mentions exigées, à savoir les éléments d’identification de la cliente et de la banque, le numéro émetteur, le contenu de l’ordre avec la référence de télétransmission, le compte bénéficiaire, le montant du virement, son numéro de référence, la mention ‘ce fax vaut confirmation de notre télétransmission’ et la signature de M. [C] avec le cachet de la société, qu’en l’absence de toute anomalie apparente sur ce fax, l’absence de contrôle du numéro de fax émetteur, contrôle qui n’est pas imparti par le protocole de sécurité, ne peut être considéré comme un manquement de sa part, d’autant que ce numéro ne figure sur aucun fax reçu de la SCS, ce qui rendait toute comparaison impossible, et qu’il ne peut pas davantage lui être reproché de ne pas avoir sollicité confirmation directement auprès de la SCS dans la mesure où elle est tenue à un devoir de non-immixtion dans les affaires de ses clients, où, si un contre-appel après la réception de chaque ordre de virement a été mis en place suite à la fraude, il ne s’agit nullement d’un palliatif d’une carence de la banque, mais d’une procédure dérogatoire en raison du refus de la SCS d’adopter le protocole sécurisé EBICS TS et où, en toute hypothèse, les opérations débitrices réalisées par la SCS étaient parfois d’un montant équivalent à celui du virement litigieux qui ne revêtait aucun caractère suspect ou inhabituel.
Sur la faute commise par la SCS, elle approuve le tribunal d’avoir relevé que le service comptable de celle-ci a fait preuve d’une trop grande crédulité en communiquant à une personne se faisant passer pour un employé de la banque, sans vérifier la réalité de ses fonctions ni la nécessité de pratiquer des virements tests ni le destinataire des fax de confirmation, des documents ayant pour fonction d’assurer l’authentification de l’émetteur de l’ordre de virement, et ce même s’ils n’étaient pas assortis de la signature du directeur financier et du cachet de l’entreprise dont la reproduction par scanner était rendue facile par les nouvelles technologies, et que cette crédulité est aggravée par les montants importants sollicités par l’escroc et la destination des virements dans des banques étrangères, qui auraient dû l’alerter ; en revanche, elle considère que la négligence fautive de la SCS a exclusivement concouru à son propre préjudice car celle-ci s’est affranchie des conseils de sécurité qu’elle lui a prodigués, a délibérément choisi de mettre en place un circuit de validation interne permettant à un seul de ses employés de procéder à des virements conséquents en violation des règles élémentaires de sécurité, a accepté à deux reprises de procéder à un «test informatique» en effectuant des ordres de virement pour des montants conséquents, de surcroît à destination de banques étrangères, à la demande d’un interlocuteur inconnu sans s’assurer, avant de lui transmettre des informations confidentielles, de la réalité de ses fonctions et de la véracité de ses dires, alors qu’un simple contre-appel à son conseiller bancaire habituel tel que recommandé par le guide de sécurité aurait permis de déjouer le fraude, ni même en informer au préalable le directeur administratif et financier seul habilité à confirmer un ordre de virement, et n’a opéré aucun contrôle de son compte bancaire, ce qui lui aurait permis de constater que le prétendu «virement test» du 3 août 2016 avait en réalité été porté au débit de son compte et d’éviter la réalisation de la seconde opération frauduleuse.
Sur ce,
Sur les interventions volontaires
Il y a lieu de faire droit à la demande conjointe des parties tendant à déclarer le présent arrêt commun et opposable aux SELARL […], […] et […] dont l’intervention volontaire en appel en qualités respectives d’administrateur provisoire, d’administrateur judiciaire et de mandataire judiciaire de la SCS ne souffre d’aucune discussion.
Sur la demande en restitution des fonds
Il est constant, comme l’a rappelé le premier juge, que la banque dépositaire n’est pas libérée de l’obligation de restitution pesant sur elle en application de l’article 1937 du code civil si elle ne rapporte pas la preuve, qui lui incombe, que l’ordre de virement en vertu duquel elle s’est défaite des fonds émanait bien de son client, qu’elle ne peut s’exonérer de la responsabilité de plein droit qu’elle encourt pour avoir exécuté un faux ordre de virement qu’en démontrant que l’établissement de celui-ci n’a été rendu possible que par la faute du client titulaire du compte ou de l’un de ses préposés et qu’en cas de concours de fautes, la banque ne répond que de sa propre négligence, à proportion de la part de responsabilité en découlant.
Il est également constant que l’ordre de virement litigieux du 8 août 2016 est une opération de paiement au sens de l’article L. 133-3 du code monétaire et financier dans sa version en vigueur à la date des faits, à savoir une action consistant à verser, transférer ou retirer des fonds, indépendamment de toute obligation sous-jacente entre le payeur et le bénéficiaire, ordonnée par le payeur ou le bénéficiaire, et soumise comme telle aux dispositions des articles L. 133-1 et suivants du même code.
Sur la validité de l’ordre de virement
L’article L. 133-6 I du code monétaire et financier dispose qu’une opération de paiement est autorisée si le payeur a donné son consentement à son exécution.
L’article L. 133-7 du même code précise, en son alinéa 1er, que le consentement est donné sous la forme convenue entre le payeur et son prestataire de services de paiement et, en son alinéa 2, qu’en l’absence d’un tel consentement, l’opération ou la série d’opérations de paiement est réputée non autorisée.
En l’espèce, si le contrat d’échanges de données informatiques (EDI) autorisant la SCS à utiliser depuis le 6 décembre 2011 le service EBICS proposé par le […] n’est pas versé aux débats, il n’est pas contesté que, selon le protocole de communication sécurisée de ce dispositif, l’ordre de virement télétransmis par le client via son accès personnel au terminal informatique, doit être confirmé par l’envoi à la banque d’un fax standardisé comportant diverses mentions obligatoires, dont le numéro de référence unique attribué au virement et la mention ‘ce fax vaut confirmation de notre télétransmission’, ainsi que le cachet commercial du client et la signature du préposé habilité à effectuer le virement, à savoir M. [C], directeur administratif et financier.
Il s’en déduit que, contrairement à ce que soutient l’intimé, la télétransmission de l’ordre de virement ne suffit pas à établir le consentement de la SCS, lequel doit également être donné par l’envoi d’un fax de confirmation portant notamment la signature du préposé habilité, et que la seule preuve de la passation de cet ordre par une comptable de l’entreprise au moyen du terminal informatique sécurisé auquel elle avait accès n’établit pas que l’opération de paiement a été autorisée (voir en ce sens un arrêt n°20-18.859 rendu le 21 avril 2022 par la chambre commerciale de la Cour de cassation).
Or il est acquis que le fax de confirmation reçu par le […] le 8 août 2016 à 16h35 ne lui a pas été envoyé directement par la SCS mais par un tiers qui, après avoir convaincu la comptable de l’entreprise de lui adresser en guise de test un fax de confirmation vierge de toute signature et cachet, l’a falsifié en y apposant, ou faisant apposer, une reproduction frauduleuse du cachet de la SCS et de la signature de M. [C].
Il apparaît ainsi que l’ordre de virement télétransmis le 8 août 2016 n’a pas été autorisé par la SCS sous la forme convenue avec la banque.
Le premier juge a donc exactement considéré que le […] ne s’est pas légitimement dessaisi de la somme de 198 714 euros au profit de la Lloyds bank en exécution de cet ordre de virement.
Sur la faute de la cliente
Le premier juge ne peut qu’être approuvé d’avoir considéré que le service comptable de la SCS a fait preuve d’une trop grande crédulité en communiquant à une personne se faisant passer pour un employé du […], sans vérifier la réalité de ses fonctions ni la nécessité de pratiquer des virements tests ni le destinataire des fax de confirmation, des documents qui ont pour fonction d’assurer l’authentification de l’émetteur de l’ordre de virement, même s’ils n’étaient pas assortis de la signature du directeur financier et du cachet de l’entreprise dont la reproduction par scanner était rendue facile par les nouvelles technologies.
Il doit être souligné que l’individu prétendant s’appeler M. [N] n’était pas un interlocuteur connu de la SCS et s’est présenté comme ‘travaillant au service informatique du […] et basé à [Localité 12]’ ainsi que l’a précisé M. [C] lors de son audition de dépôt de plainte à la gendarmerie en date du 11 août 2016.
Une simple vérification auprès du conseiller bancaire habituel de l’entreprise avant de transmettre au prétendu M. [N], sur un numéro de fax non répertorié en interne, des informations confidentielles aurait permis de démasquer l’usurpateur et de déjouer la fraude.
Si le […] ne justifie pas de l’envoi en particulier à la SCS des courriels qu’il affirme avoir adressés les 29 juillet 2015 et 13 juin 2016 à l’ensemble des clients ‘utilisant le service EBICS avec validation par fax’ afin de les informer de la recrudescence des tentatives de fraudes aux ordres de virement et les inviter à consulter les bonnes pratiques pour s’en protéger, courriels dont la SCS affirme n’avoir retrouvé aucune trace de la réception, force est de constater que celle-ci produit elle-même en pièce 1 la page de couverture et la page 17 d’un guide de sécurité bancaire intitulé «Ordres de virement des entreprises – 9 réflexes sécurité» édition mai 2016, qui ne correspond pas au guide complet ayant le même intitulé édition janvier 2015 versé aux débats par le […] mais qui, comme ce dernier, recommande de ‘prendre le temps d’effectuer des vérifications, a fortiori si l’opération demandée est inhabituelle’ et précise que ‘cette vérification doit par exemple prendre la forme :
d’un contre-appel auprès du partenaire commercial ou financier au moyen de coordonnées figurant dans les fichiers internes de l’entreprise (ligne de téléphone par exemple),
(…)
ou d’une demande de renseignement auprès de sa hiérarchie et de ses collègues.’
Or l’importance des montants pour lesquels les virements tests ont été sollicités devait inciter à la prudence et justifiait de procéder à des vérifications élémentaires préalables, soit auprès de l’agence bancaire Entreprises Laval, dans les livres de laquelle est ouvert le compte courant de la SCS, soit auprès du service EDI du […], soit auprès du directeur financier M. [C] qui, pour sa part, a su contacter immédiatement l’agence lorsqu’il a été informé des opérations le 11 août 2016 à 9 heures par Mme [K].
Il doit aussi être relevé qu’avant d’accepter de télétransmettre l’ordre de virement test du 8 août 2016 d’un montant de 352 971 euros, le service de la comptabilité ne s’est nullement inquiété du sort du premier ordre de virement test télétransmis cinq jours plus tôt pour un montant de 180 745 euros, également à la demande du prétendu M. [N], alors que la consultation du relevé bancaire de la SCS, auquel il n’est pas prétendu que ce service n’aurait pas eu accès, ne pouvait qu’éveiller l’attention en ce que le montant de ce virement qui n’avait pas vocation à être exécuté puisqu’il s’agissait d’un test a pourtant été débité du compte courant le 3 août 2016 et n’a été recrédité que le 5 août 2016 par suite de son ‘rejet’, ce qui constitue une anomalie manifeste.
Dès lors, quand bien même le circuit de validation interne à l’entreprise, requérant la signature de son directeur financier mais habilement contourné par l’escroc qui a prétexté devoir effectuer des tests pour remédier à un dysfonctionnement informatique, ne recèle en lui-même aucune insuffisance caractérisée, le premier juge a, à bon droit, conclu que la SCS a, en la personne de ses préposés, commis une faute sans laquelle l’établissement du faux ordre de paiement reçu par la banque n’aurait pas été possible.
Sur la faute de la banque
Comme l’a rappelé le premier juge, le devoir de non-immixtion de la banque est tempéré par l’obligation de vigilance qui lui impose, en cas d’ordre de paiement douteux, de se rapprocher de son client pour en obtenir confirmation.
En l’espèce, s’il ne saurait être reproché au […], en l’état des pièces communiquées en appel, de n’avoir pas sensibilisé la SCS à la fraude aux faux ordres de virement, il ne peut qu’être constaté qu’il avait conscience des limites du dispositif EBICS l’ayant conduit à proposer à ses clients de recourir au dispositif EBICS-TS avec signature électronique, plus sécurisée que la confirmation par fax, et qu’il devait donc être particulièrement vigilant au stade de la réception des fax de confirmation des clients qui, à l’instar de la SCS, avaient choisi de continuer à utiliser le système EBICS mis à leur disposition.
Or, si son service flux était en mesure de connaître le numéro du fax émetteur qu’il a ainsi pu préciser à la SCS par courriel du 28 novembre 2016 en ce qui concerne le fax de confirmation de l’ordre de virement litigieux, il reconnaît que ce numéro n’apparaissait pas sur les fax reçus de la SCS et que, de ce fait, ‘aucun contrôle utile ne peut être opéré sur cette information non apparente’ comme indiqué dans son courriel du 29 juin 2017, alors qu’il s’agit d’un élément d’une certaine fiabilité pour vérifier que l’ordre de virement émane bien du client, d’autant que le numéro de fax de la SCS est une donnée connue de la banque de longue date et systématiquement rappelée dans l’encadré relatif aux éléments d’identification de l’expéditeur figurant sur les fax de confirmation versés aux débats.
En se privant, par ce défaut d’organisation interne, de la possibilité de détecter une discordance entre le numéro de fax émetteur et le numéro de fax du client censé envoyer le fax de confirmation, discordance qui, en l’occurrence, justifiait de vérifier auprès de la SCS que l’ordre de virement litigieux émanait bien d’elle, ce dont il s’est abstenu, le […] a manqué à son obligation de vigilance, quand bien même il n’est pas utilement démenti en ce qu’il indique que le numéro de fax émetteur ne fait partie des mentions qui doivent figurer dans le fax de confirmation selon le protocole de sécurité du dispositif EBICS, à la différence du ‘numéro émetteur’ commençant par ‘PAIN’.
En outre, en complément des extraits isolés de relevés de compte versés aux débats en première instance montrant que la SCS a effectué des virements importants les 10 février 2015 (173 179,82 euros), 10 mars 2015 (146 195 euros) et 10 février 2016 (128 017,40 euros), le […] communique en appel l’intégralité du relevé de compte sur la période du 1er au 12 août 2016 confirmant ses dires sur l’existence d’un solde créditeur de plus de 16 000 000 euros à la date de la fraude, mais ne produit pas plus qu’en première instance de pièces de nature à contredire le décompte communiqué par la SCS recensant, sur la période du 1er avril au 5 décembre 2016, 32 virements internationaux sur un total de 1 150 virements SEPA, soit 2,78 %, pour un montant global de 582 732 euros presque exclusivement lié aux ordres de virement frauduleux des 3 et 8 août 2016 qui représentent un montant cumulé de 533 716 euros.
Il s’en déduit que la SCS n’avait recours que très occasionnellement et pour des montants limités à des virements internationaux, même si le solde créditeur de son compte lui permettait largement de faire face au paiement des ordres de virement frauduleux dont ni le montant de chacun pris isolément, ni la destination à l’intérieur de l’europe au profit de comptes tenus par une banque polonaise et deux banques britanniques, ne sont en eux-mêmes anormaux.
Dans ce contexte, il appartenait au […], nonobstant son devoir de non-immixtion, de se rapprocher de la SCS lorsque, trois jours après le rejet le 5 août 2016 du virement international d’un montant de 180 745 euros pour motif d’IBAN invalide, il a reçu un nouvel ordre de virement international pour la somme de 352 971 euros, accompagné d’un fax de confirmation sur lequel apparaît le cachet commercial de l’entreprise et la signature de M. [C] tels qu’exigés par le protocole de sécurité du dispositif EBICS, certes sans erreur de tracé apparente par rapport aux spécimens détenus par la banque, mais selon une disposition en tous points identique à celle du fax de confirmation du 3 août 2016 comme cela peut être aisément constaté par transparence, ce qui traduit leur duplication frauduleuse.
S’en étant abstenu, il a derechef manqué à son obligation de vigilance.
Le premier juge a donc, également à bon droit quoique pour des motifs qui ne sont pas entièrement repris par la cour, retenu que ce double manquement du […] a concouru pour moitié à la réalisation du préjudice de la SCS, qui ne résulte pas de la seule faute de celle-ci s’analysant, au demeurant, plus en une faute d’imprudence qu’en une faute de négligence.
***
Le jugement sera, dès lors, confirmé, en ce qu’il a condamné le […] à restituer à la SCS la moitié du montant de l’ordre de virement litigieux, soit la somme de 99 357 euros.
Conformément à l’article 1936 du code civil selon lequel le dépositaire ne doit aucun intérêt de l’argent déposé, si ce n’est du jour où il a été mis en demeure de faire la restitution, il y a lieu de considérer que cette somme produit intérêts au taux légal à compter, non pas de la lettre recommandée de mise en demeure du 16 mars 2016 qui, comme relevé par le […] dans ses conclusions de première instance, porte sur la somme de 180 745 euros par suite d’une confusion entre les virements, mais de l’assignation introductive d’instance du 16 janvier 2018.
Sur les demandes annexes
La SCS, dont l’appel principal n’est pas fondé sauf de manière marginale sur le point de départ des intérêts, et le […], dont l’appel incident ne l’est pas davantage, conserveront chacun la charge des dépens et frais non compris dans les dépens qu’ils ont pu exposer en appel, sans application de l’article 700 du code de procédure civile à leur profit, le jugement étant confirmé en ses dispositions relatives aux dépens et frais non compris dans les dépens de première instance mis à la charge du […].
Par ces motifs
La cour,
Déclare le présent arrêt commun et opposable aux SELARL […], […] et […] intervenues volontairement en appel en qualités respectives d’administrateur provisoire, d’administrateur judiciaire et de mandataire judiciaire de la SCS [F] [H].
Confirme le jugement entrepris en toutes ses dispositions, excepté sur le point de départ des intérêts.
L’infirmant de ce chef,
Dit que la somme de 99 357 (quatre vingt dix neuf mille trois cent cinquante sept) euros que la […] doit restituer à la SCS [F] [H] produit intérêts au taux légal à compter du 16 janvier 2018.
Y ajoutant,
Dit n’y avoir lieu à application de l’article 700 du code de procédure civile en appel.
Laisse à la charge de chaque partie ses propres dépens d’appel.
LA GREFFIERE LA PRESIDENTE
C. LEVEUF C. MULLER