MM/ND

Numéro 23/2014

COUR D’APPEL DE PAU

2ème CH – Section 1

ARRET DU 13/06/2023

Dossier : N° RG 21/04112 – N° Portalis DBVV-V-B7F-ICIV

Nature affaire :

Autres actions en responsabilité exercées contre un établissement de crédit

Affaire :

S.A.S. ORTHALY

C/

Société CAISSE REGIONALE DE CREDIT AGRICOLE MUTUEL PYRENEE S GASCOGNE

Grosse délivrée le :

à :

RÉPUBLIQUE FRANÇAISE

AU NOM DU PEUPLE FRANÇAIS

A R R E T

Prononcé publiquement par mise à disposition de l’arrêt au greffe de la Cour le 13 Juin 2023, les parties en ayant été préalablement avisées dans les conditions prévues au deuxième alinéa de l’article 450 du Code de Procédure Civile.

* * * * *

APRES DÉBATS

à l’audience publique tenue le 14 Mars 2023, devant :

Monsieur Marc MAGNON, magistrat chargé du rapport,

assisté de Madame SAYOUS, Greffière présente à l’appel des causes,

Marc MAGNON, en application des articles 805 et 907 du Code de Procédure Civile et à défaut d’opposition a tenu l’audience pour entendre les plaidoiries, en présence de Jeanne PELLEFIGUES et en a rendu compte à la Cour composée de :

Madame Jeanne PELLEFIGUES, Présidente

Monsieur Marc MAGNON, Conseiller

Madame Joëlle GUIROY, Conseiller

qui en ont délibéré conformément à la loi.

dans l’affaire opposant :

APPELANTE :

S.A.S. ORTHALY

immatriculée au RCS de Pau sous le n° 328 033 287, prise en al personne de son représentant légal en exercice domicilié ès qualité au siège

[Adresse 5]

[Localité 3]

Représentée par Me Sophie CREPIN de la SELARL LEXAVOUE, avocat au barreau de PAU

Assistée de Me Jean-Luc VINCKEL (SELARL VINCKEL), avocat au barreau de MONTPELLIER

INTIMEE :

La CAISSE REGIONALE DE CREDIT AGRICOLE MUTUEL PYRENEES GASCOGNE

Société coopérative à personnel et capital variables,

immatriculée au RCS de Tarbes sous le n° 776 983 546, dont le siège social est [Adresse 2], et dont la Direction Générale est [Adresse 4], poursuites et diligences de son représentant légal

Représentée par Me Paul CHEVALLIER de la SCP CHEVALLIER-FILLASTRE, avocat au barreau de TARBES

sur appel de la décision

en date du 15 NOVEMBRE 2021

rendue par le TRIBUNAL DE COMMERCE DE TARBES

EXPOSE DES FAITS ET PROCEDURE :

La SAS Orthaly est titulaire d’un compte courant n°[XXXXXXXXXX01] auquel est rattaché un contrat d’échange de données informatisées selon le protocole EBICS TS, permettant à la société cliente de réaliser des opérations bancaires selon un système sécurisé, par le réseau internet. Dans le cas particulier des contrats EBICS TS, chaque représentant de la société cliente, dûment habilité par cette dernière, se voit attribuer une clé de signature électronique dont le support est une clé USB attachée à la personne physique habilitée par la société à réaliser des opérations pour son compte via cet instrument.

Dans le cadre de son contrat EBICS TS, la SAS Orthaly a mandaté deux personnes aux ‘ns d’émission d’ordres pour son compte :

‘ Madame [Y] [X], disposant d’une signature simple, avec plafonds illimités pour tous les services souscrits ;

‘ Madame [A] [M], cheffe comptable de la société Orthaly, disposant d’une signature en binôme, avec plafonds illimités pour tous les services souscrits.

La société Orthaly a été victime d’une escroquerie dite «  au président » dans les circonstances suivantes.

Le 26.08.2019, alors que le président de la société, [E] [N], était en vacances à l’étranger, un ordre de virement de 186 240,00 € a été émis par la SAS Orthaly, via son contrat EBICS TS. Il ressort des bases de données du Crédit Agricole que ce virement, effectué vers un compte ouvert sur les livres d’une banque hongroise, a été signé à l’aide de la clé d’identification d’une personne habilitée, Madame [Y] [X].

Ce virement a cependant été signalé et suspendu par le logiciel du Crédit Agricole de lutte contre la fraude aux virements, ce système étant paramétré, selon la banque, pour isoler toute opération en faveur d’un nouvel IBAN étranger, c’est-à-dire, non FR et jamais utilisé par le groupe Crédit Agricole.

Après avoir pris connaissance de l’alerte, l’un des préposés de la banque est entré en contact avec la société Orthaly.

Le Service comptable de la société Orthaly (en possession de la clé de signature électronique) a confirmé la légitimité de l’opération de virement et en être à l’origine. Le virement a dès lors été validé par le Crédit Agricole.

En réalité, Madame [F] [G], assistante comptable d’Orthaly, avait reçu, le 26 août 2019 à 10H36 et 10H44, deux mails prétendument écrits par M [N] depuis sa boîte mail personnelle l’informant qu’elle allait être contactée par Maître [L], avocat du cabinet Cornet, et qu’elle devait collaborer avec ce dernier pour réaliser une opération financière liée à l’acquisition d’une société, cette transaction devant demeurer strictement confidentielle. Après plusieurs échanges, Madame [G] avait viré la somme de 186 240,00 euros, par ordre de virement électronique émis à 11H27.

Ce n’est que deux jours plus tard, le 28.08.2019, et après avoir demandé au Crédit Agricole d’effectuer un autre virement de 198.800,00 € vers le même compte étranger, que Madame [G] a envoyé un SMS au Président de la société Orthaly, Monsieur [N] vers sa boîte mail professionnelle lui demandant de la rappeler d’urgence .

Celui-ci, comprenant alors que sa société venait d’être victime d’une «  escroquerie au Président » a averti le Crédit Agricole a’n de récupérer les fonds virés.

Le Crédit Agricole a effectué le 28 août 2019 les diligences nécessaires pour obtenir un retour des fonds, réussissant à récupérer les 198.800,00 € qui avaient été transférés un peu plus tôt dans la journée, ne parvenant pas en revanche à obtenir le retour des 186.240,00 € transférés deux jours plus tôt, et entre temps débités du compte destinataire du virement.

La société Orthaly a réclamé au Crédit Agricole le remboursement de la somme de 186.240,00 €. La banque a refusé de procéder à ce remboursement, au motif qu’elle n’aurait commis aucune faute et que l’autorisation de virement avait été confirmée par la société Orthaly.

Par acte du 13.02.2020, la SAS Orthaly a fait assigner 1e Crédit Agricole devant le Tribunal de Commerce de Tarbes en paiement de la somme de 186.240,00 €.

Par jugement en date du 15.11.2021, le Tribunal de Commerce de Tarbes a débouté la SAS Orthaly de toutes ses demandes.

Par déclaration du 21 décembre 2021, la société Orthaly a relevé appel de ce jugement.

L’ordonnance de clôture est du 8 février 2023, l’affaire étant fixée au 14 mars 2023.

MOYENS ET PRETENTIONS DES PARTIES :

Vu les conclusions du 3 février 2023 de la SAS ORTHALY, qui demande au visa des articles 1239 ancien (1342-2 nouveau), 1937, 1103, 1104, 1194 du Code civil, et des articles L. 133-3, L. 133-4, L133-7, L. 133-18, L. 133-24 du Code monétaire et financier, de :

Recevoir la concluante en son appel et conclusions

Réformer le jugement dont appel en toutes ses dispositions, soit en ce qu’il a :

– Débouté la SAS Orthaly de toutes ses demandes

– Dit que la SAS Orthaly a failli à ses obligations contractuelles

– Condamné la SAS Orthaly à payer à la Banque la somme de 1500 euros sur le fondement de l’article 700 du code de procédure civile.

– Dit qu’il n’y a pas lieu à exécution provisoire

– Condamné la SAS Orthaly aux entiers dépens de l’instance dont les frais du présent jugement liquidés à la somme de 73,22 euros TTC. »

Jugeant à nouveau,

Juger que l’ordre de virement du 26 août 2019 est frauduleux, ceci n’étant pas contesté,

Juger que la CRCA a manqué à son devoir de vigilance et a validé sciemment une opération qu’elle savait irrégulière,

Juger que la CRCA a par conséquent obligation de rembourser à Orthaly les sommes virées en application de ces ordres de virement

Juger que Orthaly a demandé par la voie de son conseil ce remboursement dès le 1er octobre 2019, cette demande constituant une mise en demeure faisant courir les intérêts au titre de l’article 1231-6 du Code civil.

Juger que la CRCA n’a pas exécuté son obligation de remboursement,

Condamner la CRCA à rembourser à Orthaly la somme de 186.240,00€, assortie du taux d’intérêt légal, avec anatocisme, depuis le 3 octobre 2019.

Juger que la CRCA a fait preuve d’un manque de vigilance et d’une légèreté blâmable

Juger que la CRCA a fait preuve de réticence dolosive en ne se conformant pas aux dispositions de l’article L. 133-18 du Code monétaire et financier,

Condamner en conséquence la CRCA à payer la somme de 100.000 € au titre des dommages et intérêts,

Condamner la CRCA à payer la somme de 10.000 € en application des dispositions de l’article 700 du Code de procédure civile,

Condamner la CRCA aux entiers dépens de l’instance, en ce compris les sommes prévues par les articles R. 444-3 et ses annexes, et A444-31 du Code de commerce, portant fixation du tarif des huissiers de justice en matière civile et commerciale, ajoutées en sus aux sommes auxquelles elle sera condamnée et laissées entièrement à sa charge.

Débouter la CRCA de toute demande contraire,

Sur l’appel incident

Débouter la CRCA de l’ensemble de ses demandes,

*

Vu les conclusions de la CRCAM Pyrénées Gascogne du 11 mais 2022 qui demande de :

Vu les articles L. l33-18. L. 133-16 et L. l33-23 du Code Monétaire et Financier

Confirmer le jugement du Tribunal de Commerce de Tarbes en date du 15.11.2021 dont appel

Débouter la SAS Orthaly de l’ensemble de ses demandes ‘ns et conclusions tendant a :

« Recevoir la concluante en son appel et conclusions,

Reformer le jugement dont appel en toutes ses dispositions,

Jugeant à nouveau,

Dire et juger que l ‘ordre de virement du 26 août 2019 est frauduleux, ceci n’étant pas contesté

Dire et juger que la CRCA a manqué à son devoir de vigilance et a validé sciemment une opération qu’elle savait irrégulière

Dire et juger que la CRCA a par conséquent obligation de rembourser à Orthaly les sommes virées en application de ses ordres de virement

Dire et juger que Orthaly a demandé par la voie de son conseil ce remboursement des le 1er octobre 2019, cette demande constituant une mise en demeure faisant courir les intérêts au titre de l’article 1231-6 du Code civil.

Dire et juger que la CRCA n’a pas exécuté son obligation de remboursement

Condamner la CRCA à rembourser à Orthaly la somme de 186.240 € assortie du taux d’intérêt légal avec anatocisme depuis le 3 octobre 2019.

Dire et juger que la CRCA a fait preuve d’un manque de vigilance et d’une légèreté blâmable

Dire et juger que la CRCA a fait preuve de réticence dolosive en ne se conformant pas aux dispositions de l’article L. 133-18 du Code Monétaire et Financier.

Condamner en conséquence la CRCA à payer la somme de 100.000 € au titre des dommages et intérêts

Condamner la CRCA à payer la somme de 10. 000 € en application des dispositions de l’article 700 du Code de procédure civile

Condamner la CRCA aux entiers dépens de l’instance, en ce compris les sommes prévues par les articles R. 444-3 et ses annexes et A. 444-31 du Code de commerce, portant ‘xation du tarif des huissiers de justice en matière civile et commerciale, ajoutées en sus aux sommes auxquelles elle sera condamnée et laissées entièrement à sa charge. »

Juger la société Orthaly entièrement responsable de son préjudice.

Débouter la société Orthaly de sa demande en dommages-intérêts.

Juger que le Crédit Agricole n’est coupable d’aucune réticence dolosive.

Condamner la société Orthaly au paiement de la somme de 10.000 € de dommages et intérêts au titre de l’article 700 du CPC.

Condamner la société Orthaly aux dépens d’appel.

MOTIVATION :

Au soutien de sa critique du jugement déféré, la société Orthaly fait valoir notamment que le banquier teneur de compte est responsable de plein droit en cas d’ordre de virement donné par une personne non habilitée, même en l’absence de faute de sa part, ajoutant que lorsqu’il exécute un faux ordre de virement, c’est en sa qualité de dépositaire des fonds, tenu de les restituer, et non de mandataire, que sa responsabilité est engagée.

Quant à la faute du client titulaire du compte, c’est au banquier de l’établir. La société Orthaly estime n’avoir commis aucune faute contrairement au Crédit Agricole.

Elle ajoute que c’est au prestataire de services de paiement qu’il incombe de rapporter la preuve que l’utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence grave à ses obligations, cette preuve ne pouvant se déduire du seul fait que l’instrument de paiement où les données personnelles qui lui sont liées ont été utilisés.

La société Orthaly impute principalement à la caisse de Crédit Agricole les fautes suivantes :

‘ une personne non habilitée, Madame [G], aurait utilisé la clef de signature numérique d’une personne autorisée, Madame [X] ; le CRCA a téléphoné pour demander confirmation de l’ordre, constatant que la personne ayant utilisé la clef n’était pas la personne titulaire, la banque n’aurait pas dû valider l’ordre de virement ;

‘ la banque aurait dû appeler le président de la société, ce qui est le moyen imparable de démasquer une tentative de fraude au président, d’autant qu’elle détenait ses coordonnées mobiles ;

‘ les ordres de virement étaient totalement inhabituels, destinés à une banque en Hongrie, pays avec lequel la société Orthaly ne commerce pas ;

‘ la banque ne s’est pas assurée que la personne qui a utilisé la clef en avait le droit, de sorte que la banque aurait dû vérifier auprès de la hiérarchie de Madame [G]. Or, elle n’a même pas cherché à joindre la titulaire de la clef sécurisée utilisée, ce qui aurait été la diligence normale à accomplir.

La caisse de Crédit Agricole, après avoir rappelé l’évolution de la jurisprudence en matière de faute du titulaire du compte, oppose notamment à la société Orthaly

‘ qu’elle n’a pas manqué à son obligation de vigilance ;

‘ que le paiement est bien un paiement autorisé par la société Orthaly à l’aide de la clef sécurisée de l’une de ses préposées habilitées en exécution de la convention d’échange de données informatisées EBICS TS ;

‘ que l’opération a été détectée et suspendue par les systèmes de sécurité de la banque qui a pris soin de contacter par téléphone la société cliente laquelle a confirmé, toujours par téléphone, être à l’origine de cette opération ;

‘ que l’ordre passé était régulier du fait de l’authentification électronique. Son exécution s’imposait donc sans vérification particulière. La concluante a pourtant suspendu l’exécution de l’ordre dans l’attente d’une réponse par la société cliente par un contre appel téléphonique ;

‘ que l’opération ayant été expressément confirmée, le devoir de non-immixtion du banquier l’emportait sur la vigilance ;

‘ qu’il n’y avait pas d’incohérence au regard du montant ou de l’élément d’extranéité, compte-tenu de l’activité de la société Orthaly et des mouvements importants enregistrés habituellement sur le compte ;

Elle ajoute qu’elle n’avait aucun moyen de joindre le président de la société Orthaly, M [N], qui était en vacances à l’étranger au moment des faits, la seule adresse mail dont elle disposait étant celle du service comptable, et qu’en outre elle n’était pas tenue de lui demander confirmation de l’ordre de virement, le dirigeant ne jouant aucun rôle dans la transmission des ordres émis dans le cadre du contrat EBICS TS.

Elle rappelle qu’en exécution de l’article 3 de la convention, «  le client est responsable de la garde, de la conservation et de la confidentialité des identifiants et des certificats utilisés dans le cadre de la prestation et, le cas échéant, des conséquences de leur divulgation ou de leur utilisation par des tiers. ».

Et que selon l’annexe 3-3.1.1 b)  « toute validation de fichiers d’ordres effectuée au moyen d’un certificat est réputée émaner du client et engage celui-ci. »

Le certificat ou clef électronique attribué à Madame [X] ne pouvait être utilisé par Madame [G], alors que selon la société Orthaly, c’est Madame [M], chef comptable, qui aurait délégué ses pouvoirs à Madame [G].

Or, selon l’annexe 4 de la convention, seul le certificat attribué à Madame [X], prévoyant une signature simple, l’habilitait à effectuer des virements à l’étranger, Madame [M] ne pouvant seule effectuer de tels virements puisqu’elle disposait d’un certificat prévoyant une signature en binôme.

La banque en conclut que la société cliente a commis une faute dont elle ne peut se prévaloir pour opposer à la concluante un virement exécuté par une personne non habilitée par le contrat.

L’intimée ajoute qu’elle n’avait aucun moyen de savoir que le virement avait été effectué par une personne non habilitée.

En droit :

Il est établi que banquier est débiteur d’une obligation de vigilance, ou de surveillance, qui doit le conduire à procéder à certaines vérifications et à refuser de participer à certaines opérations.

Cette responsabilité est limitée par le principe dit de non-ingérence ou de non-

immixtion du banquier dans les affaires de son client. Mais, s’il atténue l’obligation de surveillance du banquier, ce principe ne la supprime pas. L’établissement de crédit

commet une faute en ne relevant pas les anomalies apparentes, qui, matérielles ou intellectuelles, ne doivent pas échapper au banquier normalement vigilant.

Ainsi, le devoir de vigilance auquel est tenu le banquier peut être défini comme « l’obligation pour le banquier de déceler, parmi les opérations qu’on lui demande de traiter, celles qui présentent une anomalie apparente et de tout mettre en ‘uvre pour éviter le préjudice qui en résulterait pour le client ou pour un tiers si ces opérations étaient réalisées » ([H]. [W], les obligations d’information et de conseil du banquier p. 124)

En tant que dépositaire des fonds confiés par son client, le banquier a l’obligation de ne les restituer qu’à ce dernier ou de suivre ses indications de paiement.

Il n’est pas libéré de cette obligation s’il s’en défait sur présentation d’un faux ordre de paiement, revêtu, dès l’origine, d’une fausse signature.

Il s’agit d’une responsabilité de plein droit, qui est engagée même si aucune faute n’est imputable à la banque, cette circonstance n’étant pas de nature à la décharger de son obligation de ne restituer les fonds qu’aux déposants ou à leurs mandataires.

L’action ne repose pas sur la responsabilité du banquier fondée sur sa faute dans la vérification du document mais sur le fait qu’il s’agit d’un document faux n’ayant pu valablement libérer la banque à l’égard de son client déposant.

En effet, en exécutant l’ordre de paiement émanant de son client, le banquier agit comme son mandataire. Il doit accomplir sa mission avec une diligence certaine, au titre d’une obligation de moyens. Partant, il peut échapper à toute indemnisation en l’absence de faute de sa part dans l’exécution de l’ordre du virement.

En revanche, lorsqu’il exécute un ordre de virement faux, c’est-à-dire donné par un tiers non habilité à faire fonctionner le compte, le banquier n’agit pas en qualité de mandataire du donneur d’ordre dans la mesure où, par définition, aucun mandat valable ne lui a été conféré. Dès lors, c’est en sa seule qualité de dépositaire que sa responsabilité doit être recherchée

L’obligation de restitution des fonds est une obligation de résultat dont le banquier ne saurait être déchargé s’il n’a pas remis les fonds au titulaire du compte ou à une personne désignée par ce dernier, quand bien même il n’aurait commis aucune faute.

Le paiement ne saurait, dès lors, être libératoire en ces circonstances, sur le fondement de l’article 1937 du code civil.

C’est au banquier d’apporter la preuve que l’ordre d’effectuer le paiement émane bien de son client et non à celui-ci d’établir qu’il est faux (Com., 31 octobre 2006)

Lorsque cette preuve n’est pas rapportée, le banquier peut toutefois échapper à sa responsabilité s’il établit que l’établissement du faux ordre n’a été rendu possible que par la faute du client titulaire du compte ou de l’un de ses préposés. Dans ce cas, il ne répond que de sa propre négligence, et dans la mesure de la part de responsabilité qui en découle.

En cas d’ordre douteux, présentant une « anomalie », le banquier, en application de son devoir de vérification évoqué précédemment, doit se rapprocher de son client pour lui en demander la confirmation. C’est notamment le cas lorsque l’exécution de l’ordre litigieux porte sur une somme inhabituellement importante ou met le compte à découvert pour un montant élevé en l’absence de convention sur ce point.

Pour être dispensé de ce devoir de vigilance, le banquier doit démontrer que des éléments particuliers lui ont permis de croire que les ordres de virement émanaient bien du titulaire du compte.

La recherche de la bonne exécution de cette obligation de vigilance n’a d’intérêt qu’au cas où l’établissement de l’ordre de virement faux dès l’origine n’a été rendu possible que par la faute prouvée du client. Elle permet, le cas échéant, d’opérer un partage de responsabilité, voire de mettre l’intégralité du dommage à la charge de ce dernier. En revanche, si le client n’a commis aucune faute, le banquier encourt une responsabilité de plein droit et il est inutile de vérifier s’il n’a commis aucune négligence (Cassation Com., 23 avril 2013, n° 12-18.119)

Selon l’article L. 133-16 du code monétaire et financier :

« Dès qu’il reçoit un instrument de paiement, l’utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées.

Il utilise l’instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation qui doivent être objectives, non discriminatoires et proportionnées. »

L’article L. 133-17 du même code ajoute que :

« I. ‘ Lorsqu’il a connaissance de la perte, du vol, du détournement ou de toute utilisation non autorisée de son instrument de paiement ou des données qui lui sont liées, l’utilisateur de services de paiement en informe sans tarder, aux fins de blocage de l’instrument, son prestataire ou l’entité désignée par celui-ci. »

Selon l’article L. 133-18 :

«  En cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L. 133-24, le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement et s’il communique ces raisons par écrit à la Banque de France. Le cas échéant, le prestataire de services de paiement du payeur rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu. »

Selon l’article L. 133-19-IV :

« Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17. »

Aux termes de l’article L. 133-23 alinéa 1 et 2 du même code :

«  lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre.

L’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière. »

Il découle de ces dispositions que la banque, en qualité de prestataire de services de paiement à laquelle le caractère non autorisé d’un virement a été régulièrement dénoncé par le titulaire du compte est tenue, de plein droit, de rembourser ce dernier, sauf à démontrer soit que l’opération a été régulièrement autorisée, soit l’existence d’une fraude de la part de l’utilisateur du service de paiement, soit que le caractère non autorisé résulte de ce que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant, à charge pour le client fautif d’établir le propre manquement du banquier à son obligation de vigilance.

En l’espèce , il ressort des pièces versées aux débats que la SAS Orthaly a été victime d’une fraude dite au président. Madame [G], préposée de la société Orthaly assistante comptable, a été contactée depuis une fausse adresse mail personnelle au nom de M [N], PDG de la société Orthaly, par une personne se faisant passer pour celui-ci, puis par un prétendu avocat, M. [L]. Elle a suivi leurs consignes et a viré, le 26/08, la somme de 186 240 € au bénéfice d’un compte situé en Hongrie. Un second virement, d’un montant un peu plus important, a été effectué dans les mêmes circonstances deux jours plus tard, mais Madame [G], réalisant qu’elle avait été abusée, a alerté M [N] sur son adresse mail professionnelle, puis par SMS. Celui-ci est intervenu. Le Crédit Agricole a pu récupérer auprès de l’établissement de domiciliation du compte bénéficiaire les fonds objets de ce second virement, mais pas les fonds virés deux jours plus tôt.

Mme [G] a utilisé le système EBICS TS fourni par la banque, plus précisément la clé de Mme [X] pour effectuer le virement demandé.

Selon le procès-verbal d’audition de M [N], [F] [G] ne faisait habituellement aucun virement et c’est à chaque fois [A] [M], chef comptable, qui donnait les ordres de virements. Toutefois, toujours selon cette audition « [A] [M] a accordé informatiquement l’accès aux virements à Mme [G] [F] dès le début de l’été 2019 en prévision de ses congés. Cette dernière pouvait ainsi faire des virements internes et externes ».

Cependant, Mme [M] ne pouvait tout au plus déléguer à Mme [G] que ses propres droits en la matière, limités à une signature électronique en binôme, impliquant pour toute opération une seconde signature, en l’occurrence celle de Madame [X], conformément à l’article 3.1.2 de l’annexe 4 de la convention EBICS TS.

Or, dans les faits, les virements frauduleux ont été effectués par Mme [G] à l’aide de la clé de Mme [X], qui disposait, elle, en vertu de l’annexe 4 du contrat, de droits l’autorisant à signer, seule, les ordres émis par la société Orthaly : « signature simple, plafond illimité sur tous les services » , notamment les ordres de virement vers l’étranger.

Ni M [N], dans son audition, ni la société Orthaly, dans ses conclusions, ne s’expliquent sur l’utilisation par Madame [G] du certificat de signature électronique attribué à Madame [X], dont le nom n’est même pas mentionné dans l’audition du dirigeant de la société Orthaly.

Il n’est pas fait état de l’utilisation frauduleuse de la clé de Mme [X] par Mme [G], ce qui conduit à considérer qu’il existait au sein de l’entreprise une pratique autorisée de mutualisation des certificats de signature électronique attribués individuellement et personnellement à Madame [X], d’une part, et à Madame [M], d’autre part.

Cette pratique n’était pas conforme à la convention EBICS TS, les droits attribués aux signataires habilités étant individuels et personnels en vertu de cette convention.

En effet, selon l’article 2.2.2 du contrat :

«  l’utilisation d’ EBICS profil TS suppose que les personnes habilitées à signer aient été préalablement dotées par le client de trois certificats personnels distincts permettant d’assurer les fonctions d’authentification , de chiffrement et de signature électronique personnelle.

Le certificat utilisé pour la signature électronique personnelle doit être sur support matériel cryptographique et avoir été acquis auprès d’une autorité de certification reconnue par la Caisse Régionale .

Le client précise à l’annexe 4 du présent contrat les identités des signataires, les caractéristiques de leurs certificats et les autorisations qui leur sont attachées. Le client est engagé par toute utilisation d’un certificat de signature et du code d’activation qui lui est associé, sauf révocation du certificat ou suspension des droits du signataire dans les conditions de l’article 5 …

En cas de révocation d’un certificat par le client, celui-ci doit parallèlement à cette demande faite auprès de l’autorité de certification émettrice du certificat, en informer immédiatement la Caisse Régionale , par écrit, afin de s’assurer de la prise en compte par celle-ci de ladite révocation».

Par ailleurs, aux termes de l’article 3 de la convention EBICS TS, «  le client est responsable de la garde, de la conservation et de la confidentialité des identifiants et des certificats utilisés dans le cadre de la prestation et, le cas échéant, des conséquences de leur divulgation ou de leur utilisation par des tiers. Il s’engage à signaler à la Caisse Régionale toute perte ou usage abusif des identifiants dans les plus brefs délais et par tous moyens, et de confirmer sans délai à la Caisse Régionale cette perte ou cet usage abusif par lettre recommandée ».

Alors qu’il n’est pas soutenu que Madame [X] aurait quitté l’entreprise, auquel cas son certificat de signature électronique aurait dû être révoqué par la société Orthaly, il ressort de l’annexe 4 de la convention, que ce certificat devait obligatoirement être activé, soit seul, soit en contre-signature des ordres opérés par Madame [M].

En habilitant et donnant délégation de pouvoirs à ces deux préposées, la société Orthaly devait en conséquence adapter l’organisation et le fonctionnement de son service comptable à ce choix, notamment en cas d’absence de Madame [X], ou bien habiliter une autre personne autorisée à valider, seule ou en binôme, la transmission électronique d’ordres d’opérations en exécution de la convention d’échange de données informatisées.

Ainsi et comme l’a retenu le tribunal, la SAS Orthaly a failli dans son organisation interne en permettant à Mme [G] d’utiliser la clé de Mme [X] à la place de cette dernière, et a manqué intentionnellement ou par négligence grave aux obligations lui incombant, notamment à l’obligation d’assurer la garde, la conservation et la confidentialité des certificats utilisés dans le cadre de la convention EBICS TS.

Il convient d’ajouter qu’il est pour le moins surprenant qu’une personne qui selon M [N] ne faisait habituellement aucun virement, se soit cru autorisée à effectuer, sur la foi d’un simple courriel, le virement de sommes importantes vers un compte bancaire domicilié à l’étranger qui ne correspondait à aucune référence connue de l’entreprise, sans demander une confirmation au dirigeant qu’elle savait en congés, en le joignant par SMS comme elle a décidé de le faire pour le second virement. Cette attitude est révélatrice d’une négligence grave de l’entreprise dans la mise en place de protocoles de sécurité destinés à prévenir ce type de fraude.

Il convient d’examiner maintenant si la banque a pu, sans manquer à son obligation générale de vigilance, exécuter cette opération qui offrait l’apparence d’une opération autorisée par le titulaire du certificat de signature électronique habilité à valider, seul, les ordres de virement internationaux,

En l’espèce, la caisse de Crédit Agricole reconnaît que l’ordre de virement présentait une anomalie apparente détectée par son logiciel de lutte contre la fraude au virement. Elle explique en effet que l’opération a été suspendue par son logiciel de sécurité qui est paramétré pour isoler toute opération en faveur d’un nouvel IBAN étranger, c’est-à-dire non FR et jamais utilisé par le groupe Crédit Agricole.

Selon les pièces 2 et 3 de l’intimée, l’alerte a été créée le 26 août 2019 à 11H53. Madame [U], préposée du Crédit Agricole et interlocutrice de la société Orthaly, en a pris connaissance le même jour à 14H12 et a téléphoné à 14 H15 au service comptable de la société cliente, dont le numéro de téléphone est inscrit dans la convention EBICS TS.

Selon la caisse de Crédit Agricole, la légitimité de l’ordre de virement a été confirmée verbalement, par téléphone, par «  le service comptable, malgré l’appel le mettant en garde ».

Il apparaît cependant, le certificat de signature électronique utilisé étant celui de Madame [X], que l’employée du Crédit Agricole aurait dû s’assurer que la confirmation verbale de l’opération émanait bien de cette dernière, ce qui manifestement n’a pas été le cas, puisque c’est Madame [G] qui avait émis et validé le virement à l’aide de la clef électronique de Madame [X].

En outre, Madame [G] était seule présente au sein du service comptable, à cette période.

Il apparaît ainsi que Madame [U] a fait preuve de négligence, en se contentant d’une confirmation verbale anonyme, sans s’assurer qu’elle émanait du titulaire de la clef électronique supposé avoir autorisé l’opération.

Si elle avait demandé à parler à Madame [X], elle se serait rendue compte de son absence et donc de l’impossibilité qu’elle fût à l’origine de l’ordre de virement suspect.

La négligence de la caisse de Crédit Agricole a ainsi participé au dommage subi par la société Orthaly.

Compte tenu des fautes commises respectivement par la société cliente et par la banque, il convient d’opérer un partage de responsabilité à hauteur de 80 % pour la société Orthaly et de 20 % pour la caisse de Crédit Agricole.

Compte tenu du partage de responsabilité opéré, la caisse de Crédit Agricole devra rembourser à la société Orthaly la somme de 37248,00 euros correspondant à 20 % de 186240,00 euros, avec intérêts au taux légal à compter de la présente décision, dans les conditions prévues par l’article 1343-2 du code civil, pour les intérêts dus depuis au moins un an .

Compte tenu des négligences graves commises par la société Orthaly, la somme mise à la charge de la caisse de Crédit Agricole répare exactement le préjudice subi par la société appelante qui doit être déboutée de sa demande de dommages et intérêts complémentaires.

Sur les demandes annexes :

Compte tenu de l’issue du litige, chacune des parties conservera la charge de ses dépens de première instance et d’appel.

L’équité ne justifie pas de faire application des dispositions de l’article 700 du code de procédure civile.

PAR CES MOTIFS :

La cour, statuant par arrêt mis à disposition au greffe, contradictoirement et en dernier ressort,

Infirme le jugement déféré et statuant à nouveau,

Dit que la Caisse Régionale de Crédit Agricole Mutuel Pyrénées Gascogne et la société Orthaly ont chacune commis une faute ayant contribué à la réalisation du dommage résultant du virement bancaire effectué le 26 août 2019,

Juge que le partage de responsabilité découlant de ces fautes respectives doit s’opérer à concurrence de 80 % à la charge de la société Orthaly et de 20 % à la charge de la caisse de Crédit Agricole,

En conséquence,

Condamne la Caisse Régionale de Crédit Agricole Mutuel Pyrénées Gascogne à payer à la société Orthaly la somme de 37248,00 euros, avec intérêts au taux légal à compter de la présente décision, dans les conditions prévues par l’article 1343-2 du code civil,

Dit que chacune des parties conservera la charge de ses dépens de première instance et d’appel,

Déboute les parties de leur demande formulée en application de l’article 700 du code de procédure civile.

Le présent arrêt a été signé par Monsieur Marc MAGNON, conseiller, suite à l’empêchement de Madame Jeanne PELLEFIGUES, Présidente, et par Madame Nathalène DENIS, greffière suivant les dispositions de l’article 456 du Code de Procédure Civile.

La Greffière La Présidente