CA Paris, 5, 6, 18-01-2023, n° 21/05247, Infirmation partielle

A475489X

Article, 341, CPC
Article, L111-6, COJ
Article, L133-18, C. mon. fin.
Article, L133-7, C. mon. fin.
Article, L133-6, C. mon. fin.
Article, L133-15, C. mon. fin.
Article, L133-2, C. mon. fin.
Article, L133-6, alinéa 1, C. mon. fin.
Article, L133-19, IV, L133-23, C. mon. fin.
Récusation
Établissement bancaire
Caisse d'epargne
Tribunal indépendant et impartial
Expression d'une opinion
Instrument de paiement
Clé usb
Plainte pénale
Paiement
Prestation de service
Négligence grave
Victime d'une fraude
Auteur inconnu
Huissier
Échec d'une tentative
Personne physique
Charge de la preuve
Preuve
Preuve contraire
Présomption
Présomption simple
Convention de compte
Ordre d'exécution
Administrateur
Support papier
Relevés de compte bancaire
Régularité apparente
Condition générale des contrats
Force majeure
Obligation de couverture
Intention frauduleuse
Système informatique
Expertise
Comptabilité de l'entreprise
Langue anglaise
Négligence
Obligation de vigilance
Perte de chance
Taux légal
Préjudice distinct
Paiement partiel
Préjudice moral
Frais répétibles
Voir plus

Référence

CA Paris, 5, 6, 18-01-2023, n° 21/05247, Infirmation partielle. Lire en ligne : https://www.lexbase.fr/jurisprudence/92485734-ca-paris-5-6-18012023-n-2105247-infirmation-partielle

Copier

Copies exécutoires RÉPUBLIQUE FRANÇAISE

délivrées aux parties le : AU NOM DU PEUPLE FRANÇAIS

COUR D'APPEL DE PARIS

Pôle 5 - Chambre 6

ARRÊT DU 18 JANVIER 2023

(n° , 13 pages)

Numéro d'inscription au répertoire général : N° RG 21/05247 - N° Portalis 35L7-V-B7F-CDKH7

Décision déférée à la Cour : Jugement du 02 Mars 2021 -Tribunal de Commerce de PARIS - RG n° 2017015865

APPELANTES

S.A.S. ARTEMIS GROUP

[Adresse 4]

[Localité 2]

N° SIRET : 799 816 558

S.A.S. ARTEMIS SECURITY

[Adresse 4]

[Localité 2]

N° SIRET : 529 075 194

Représentées par Me Blandine DAVID de la SELARL KÆM'S AVOCATS, avocat au barreau de PARIS, toque : R110

Ayant pour avocat plaidant Me Audrey ARBUSA, avocat au barreau de LILLE substituée à l'audience par Me Claire CAMBERNON de la SARL TGS FRANCE AVOCATS, avocat au barreau de LILLE, toque : 0107

INTIMEE

S.A. BRED BANQUE POPULAIRE

[Adresse 1]

[Localité 3]

N° SIRET : 552 091 795

Représentée par Me Jean-Philippe GOSSET de la SELEURL CABINET GOSSET, avocat au barreau de PARIS, toque : B0812, avocat plaidant

COMPOSITION DE LA COUR :

En application des dispositions des articles 805 et 907 du code de procédure civile🏛🏛, l'affaire a été débattue le 29 Novembre 2022, en audience publique, les avocats ne s'y étant pas opposés, devant Monsieur Marc BAILLY, Président de chambre, chargé du rapport, et Monsieur Vincent BRAUD, Président.

Ces magistrats ont rendu compte des plaidoiries dans le délibéré de la Cour, entendu en son rapport, composée de :

M. Marc BAILLY, Président de chambre,

M. Vincent BRAUD, Président,

MME Pascale SAPPEY-GUESDON, Conseillère,

Greffier, lors des débats : Madame Aa A

ARRET :

- CONTRADICTOIRE

- par mise à disposition de l'arrêt au greffe de la Cour, les parties en ayant été préalablement avisées dans les conditions prévues au deuxième alinéa de l'article 450 du code de procédure civile🏛.

- signé par M. Vincent BRAUD, Président, et par Mme Anaïs DECEBAL, Greffière, présente lors de la mise à disposition.

*

* *

Les Sas Artemis Group et Artemis Security disposent d'un compte ouvert dans les livres de la Bred Banque Populaire (ci-après Bred). Par contrat du 26 mai 2011, modifié par avenant du 18 décembre 2013, Artemis Group a souscrit auprès de la Bred, pour son compte et celui de Artemis Security, un abonnement au service « Transbred » afin de transmettre à la banque, par internet, des ordres d'opération authentifiés par certificat. Monsieur [Ab] [Ac], directeur financier de Artemis Group, a été désigné administrateur du service et autorisé tant à choisir deux autres utilisateurs qu'à gérer leurs profils sur le site d'Artemis Group.

Le 23 juin 2015, les ordres de six virements, de montants cumulés de 498 266,50 €, des comptes de Artemis Group (26 400 €) et Artemis Security (471 866,50 €) vers ceux de bénéficiaires ouverts dans les livres de banques britannique, polonaise, roumaine et suédoise ont été donnés via Transbred, depuis le poste informatique de Madame [T] [N], comptable desdites sociétés, à la Bred, qui les as exécutés.

Le 24 juin 2015, Artemis Group et Ad Ae ont porté plainte des chefs d'accès frauduleux dans un système de traitement informatisé de données et d'escroquerie, affirmant que les virements ont été effectués sans utilisation du « token » (clé UBS remise par la Bred).

Le même jour, la Bred a, sur demande de Artemis Group, révoqué les certificats d'authentification de ces sociétés au service Transbred.

La Bred a ensuite recouvré par « recall » une partie des montants des virements litigieux, Artemis Group et Ad Ae étant toujours en perte respectivement de 2 483,41 € et 247 566,50 €. Le 9 juillet 2015, la Bred a informé Artemis Group et Artemis Security qu'elle ne pouvait donner une suite favorable à leurs demandes de remboursement du solde desdits virements.

Par acte d'huissier du 22 février 2017, Artemis Group et Ad Ae ont assigné la Bred, soutenant que cette dernière avait manqué à son obligation de restitution de la chose déposée à celui qui lui a confiée en qualité de dépositaire.

Par jugement contradictoire en date 2 mars 2021, le tribunal de commerce de Paris :

Déboute Artemis Group et Ad Ae de leurs demandes de :

Condamner la Bred à rembourser les sommes encore dues à Artemis Security, soit la somme de 2 483,41 €

Condamner la Bred à rembourser les sommes encore dues à Artemis Group, soit la somme de 247 566,50 €

N'ordonne pas l'exécution provisoire du présent jugement

Condamne in solidum Artemis Group et Artemis Security à payer à la Bred la somme de 4 000 € sur le fondement de l'article 700 du code de procédure civile🏛

Déboute les parties de toutes leurs demandes autres, plus amples ou contraires

Condamne in solidum Artemis Group et Artemis Security à payer les dépens.

****

Par déclaration d'appel en date 18 mars 2021, Artemis Group et Ad Ae ont interjeté appel dudit jugement à l'encontre de la Bred.

Dans leurs conclusions en date du 18 juin 2021, Artemis Group et Ad Ae demandent à la cour de :

« - DECLARER recevable et bien fondé l'appel des sociétés ARTEMIS Security et ARTEMIS Group ;

Y faisant droit,

- ANNULER le jugement rendu le 2 mars 2021 par le Tribunal de commerce de Paris,

- A titre subsidiaire, INFIRMER le jugement rendu le 2 mars 2021 par le Tribunal de commerce de Paris en ce qu'il a :

-débouté les sociétés ARTEMIS GROUP et ARTEMIS SECURITY de leurs demandes

de :

- condamner la BRED BANQUE POPULAIRE à rembourser les sommes

encore dues à ARTEMIS SECURITY, soit la somme de 2.483,41 euros ;

- condamner la BRED BANQUE POPULAIRE à rembourser les sommes

encore dues à ARTEMIS GROUP, soit la somme de 247.566,50 euros ;

- condamné in solidum, les sociétés ARTEMIS GROUP et ARTEMIS SECURITY à payer

à la BRED BANQUE POPULAIRE la somme de 4.000 euros sur le fondement de

l'article 700 du code de procédure civile🏛 ;

- débouté les sociétés ARTEMIS GROUP et ARTEMIS SECURITY de toutes leurs

demandes autres, plus amples ou contraires ;

- condamné, in solidum les sociétés ARTEMIS GROUP et ARTEMIS SECURITY à payer

les dépens, dont ceux à recouvrer par le greffe, liquidés à la somme de 99,58 € dont 16,38€ de TVA.

Et statuant à nouveau :

A TITRE PRINCIPAL :

- CONDAMNER la société BRED Banque Populaire pour avoir manqué à son obligation de restitution de la chose déposée à celui qui la lui a confiée en tant que dépositaire ;

- CONDAMNER la société BRED Banque Populaire qui a exécuté des ordres de virement nonautorisés et engagé sa responsabilité en tant que prestataire de service ;

- CONDAMNER la société BRED Banque Populaire pour avoir manqué à son devoir de vigilance,

En conséquence :

- ACCUEILLIR les sociétés ARTEMIS SECURITY et ARTEMIS GROUP en l'ensemble de leurs demandes, fins et conclusions ;

- DEBOUTER la société BRED Banque Populaire de l'ensemble de ses demandes, fins et conclusions ;

- CONDAMNER la société BRED Banque Populaire à rembourser les sommes encore dues à la société ARTEMIS SECURITY, soit la somme de 247.566,50 € ;

- CONDAMNER la société BRED Banque Populaire à rembourser les sommes encore dues à la société ARTEMIS GROUP, soit la somme de 2.483,41 € ;

- CONDAMNER la société BRED Banque Populaire pour négligence fautive et manquement à son obligation de vigilance et de conseil à payer à la société ARTEMIS SECURITY la somme de 40.000 € à titre de dommages et intérêts ;

- CONDAMNER la société BRED Banque Populaire pour négligence fautive et manquement à son obligation de vigilance et de conseil à payer à la société ARTEMIS GROUP la somme de 10.000 € à titre de dommages et intérêts ;

- CONDAMNER la BRED Banque Populaire à payer à la société ARTEMIS SECURITY la somme de 2.000 € à titre de dommages et intérêts en réparation de son préjudice moral;

- CONDAMNER la BRED Banque Populaire à payer à la société ARTEMIS GROUP la somme de 2.000 € à titre de dommages et intérêts en réparation de son préjudice moral;

- CONDAMNER la société BRED Banque Populaire à payer aux sociétés ARTEMIS SECURITY et ARTEMIS GROUPE une somme de 43.328,80 € en application de l'article 700 du code de procédure civile🏛, dont les frais irrépétibles d'un montant de 18.328,80 € ».

Au soutien de leurs prétentions, elles font valoir que :

S'agissant de la nullité du jugement. Tout d'abord, Artemis Group et Artemis Security soutiennent eu égard aux circonstances qu'au moins juge consulaire, qui préside la juridiction de première instance, soit en même temps, un représentant au plus haut niveau d'un établissement bancaire, est de nature à créer un doute légitime sur son impartialité, conforté par le fait que des moyens de fait et de droit ont été écartés sans justifier ni motiver en droit la décision rendue, il est demandé sur le fondement de l'article 6 de la Convention de sauvegarde des Droits de l'Homme et des Libertés fondamentales d'annuler le jugement critiqué pour non-respect des exigences d'indépendance et d'impartialité d'au moins un juge consulaire du Tribunal de première instance et de statuer à nouveau. Elles indiquent ensuite qu'à défaut d'abstention et de l'exercice de l'obligation de révélation, elles ont été privées du droit de faire entendre leur cause par un tribunal respect les exigences précitées. En outre, Artemis Group et Ad Ae indiquent que le tribunal s'est fondé sur une interprétation partielle de quelques extraits de la note technique de Monsieur [S] et sur les enregistrements produits par la Bred mais a négligé les constats d'huissier fournis par Artemis Group et Ad Ae. Enfin, Artemis Group et Ad Ae font valoir que l'obligation de vigilance ne dépend pas de la souscription d'alertes et que la Bred en était bien tenue.

S'agissant de la responsabilité de la Bred en sa qualité de dépositaire. Artemis Group et Ad Ae indiquent que de nombreuses anomalies ont été relevées par les constats d'huissier et la note technique de l'expert, Monsieur [S], prouvant le caractère non autorisé des virements litigieux. Ensuite, Artemis Group et Artemis Security soutiennent qu'il a été constaté par Monsieur [S] que l'ordinateur de Madame [Af] a été victime d'une intrusion par le trojan Upatre (DRIDEX/DERYZA) et que par conséquent, le système de double authentification a été détourné. Elles ajoutent qu'il est possible de réaliser un virement sans insertion physique de la clé Token suite à l'attaque par ledit virus.

S'agissant de la responsabilité de la Bred en sa qualité de prestataire de paiement. Artemis Group et Artemis Security indiquent que le tribunal n'a pas admis d'autres preuves que les enregistrements du système informatique de la Bred alors que le contrat-cadre prévoit la possibilité de contester des virements par tous moyens de preuve. Elles ajoutent que le caractère non autorisé des virements litigieux est prouvé par les anomalies relevées tant par les constats d'huissiers et la note technique de Monsieur [S] que par les enregistrements de la Bred. Enfin, Artemis Group et Artemis Security indiquent que dans l'hypothèse où la cour n'admettrait pas d'autres moyens de preuve que les enregistrements de la Bred et retiendrait que le caractère non autorisé n'est pas prouvé, l'article 12.1 des conditions générales de la Bred sera déclaré comme étant non écrit pour avoir instauré un déséquilibre significatif entre les parties.

S'agissant du manquement par la Bred à son obligation de vigilance et de conseil. Artemis Group et Artemis Security soutiennent que la non-souscription du service des alertes n'exonère pas la banque de son obligation de vigilance et que la Bred, consciente de l'avertissement du CERT-FR sur la circulation du trojan Upatre à la période des faits litigieux n'a pas mis en garde ses clientes sur le danger de ce dernier sur son service de paiements. En outre, elles indiquent que la Bred aurait dû les alerter eu égard au fait que les virements litigieux étaient inhabituels par rapport aux relevés de compte fournis par cette dernière.

S'agissant de la réparation des préjudices subis par Artemis Group et Ad Ae. Artemis Group et Ad Ae demandent à la cour de condamner la Bred au remboursement de la somme de 250 049,91 €, au paiement de la somme de 50 000 € pour manquement à son obligation d'information et de conseil et à son obligation de vigilance et 4 000 € au titre de préjudice moral.

S'agissant de l'article 700 du code de procédure civile🏛 et des dépens. Artemis Group et Ad Ae demandent à la cour de condamner la Bred au paiement de la somme de 43 328,80 € dont les frais irrépétibles à hauteur de 18 328,80 €.

Dans ses conclusions en date du 17 septembre 2021, la Bred demande à la cour de :

« IL EST DEMANDE A LA COUR DE :

RECEVOIR la BRED en ses conclusions, l'y déclarant bien fondée ;

JUGER que sont particulièrement indéterminées les conditions dans lesquelles les

virements litigieux sont intervenus,

JUGER que la responsabilité la BRED ne peut en tout état de cause être engagée et

ce en particulier sur les fondements:

- des articles L.133-2 et suivants du Code monétaire et financier🏛,

- des articles 1927 et suivants du Code civil🏛,

- de l'obligation générale de vigilance de la BRED,

- de l'obligation de contrôle de la BRED au titre des articles L.561-1 et

suivants du Code monétaire et financier🏛.

JUGER que la BRED n'est pas davantage plus responsable des conséquences des

virements litigieux sur le fondement des stipulations contractuelles applicables entre

les parties,

JUGER que les nécessaires négligences graves des sociétés ARTEMIS GROUP et

ARTEMIS SECURITY constituent en tout état de cause la cause exclusive de leurs

préjudices,

DEBOUTER ainsi les sociétés ARTEMIS GROUP et ARTEMIS SECURITY de

l'intégralité de leurs demandes, fins et prétentions.

CONFIRMER en conséquence en toutes ses dispositions le Jugement du

Tribunal de Commerce de PARIS rendu en date du 2 mars 2021,

A titre subsidiaire et si par extraordinaire le Tribunal retenait la responsabilité de la

BRED :

JUGER, outre l'absence de preuve du quantum des demandes formées à titre de

dommages et intérêts, que les préjudices invoqués par les demanderesses relèvent

de leur seule perte de chance d'avoir pu éviter les opérations de virements

litigieuses,

JUGER par conséquent que l'indemnisation des sociétés ARTEMIS GROUP et

ARTEMIS SECURITY ne saurait consister dans le remboursement intégral du solde

des montants des virements contestés,

PRONONCER ainsi un éventuel partage de responsabilité basé sur la perte de

chance d'avoir pu conserver les fonds dont il est demandé le remboursement à la

BRED,

En tout état de cause :

CONDAMNER solidairement les sociétés ARTEMIS GROUP et ARTEMIS

SECURITY à verser à la BRED la somme de 5.000 € au titre des dispositions de

l'article 700 du Code de procédure civile🏛,

CONDAMNER solidairement les sociétés ARTEMIS GROUP et ARTEMIS

SECURITY aux entiers dépens ».

Au soutien de ses prétentions, elle fait valoir que :

S'agissant des nombreuses incertitudes entourant la fraude alléguée par Artemis Group et Ad Ae et l'absence de partialité du tribunal de commerce. La Bred indique qu'il résulte des écrits mêmes des appelantes que les ordres de virement avaient été lancés depuis les locaux de l'entreprise sur la plateforme Transbred avec un poste habilité à cet effet. La Bred ajoute qu'il ressort du rapport de Monsieur [S] diligenté à la demande de Artemis Group et Artemis Security que :« (...) aucune autre ouverture de session relative à « o.morabet » n'est intervenue au cours de cette période, que ce soit directement sur le support ou par le biais d'une connexion « Bureau à distance » (...) ». La Bred en déduit que les étapes préalables à la connexion au service Transbred ont bien été accomplies ce qui exclut la prétendue intrusion d'un tiers à distance, étant précisé que Monsieur [S] n'affirme absolument pas qu'aucune clé USB n'était connectée sur l'ordinateur de Madame [Af] au moment de l'exécution des virements litigieux et qu'il n'est pas non plus démontré que ladite clé n'était pas branchée sur un autre poste. Enfin, la Bred fait valoir que la prétendue piraterie dont les appelantes auraient été victimes aurait été permise par l'ouverture par un préposé d'une ou plusieurs pièces jointes attachées à un ou plusieurs mails reçus mais que Artemis Group et Ad Ae se gardent bien de verser aux débats la copie desdits mails.

Ensuite, la Bred fait valoir que le simple fait qu'un juge consulaire travaille dans le milieu bancaire ne saurait suffire à qualifier un conflit d'intérêts, étant précisé que ce dernier travaille au sein de la Caisse d'Épargne, concurrente de la Bred.

S'agissant de l'impossible qualification juridique d'une obligation de remboursement par la Bred des virements contestés. La Bred soutient que les opérations de virements litigieuses ont bien été autorisées conformément aux article 12 et 16 alinéa 3 des conditions générales du service Transbred et à l'article 4.3 des conditions générales de la convention compte courant entreprises. En d'autres termes, le respect affiché de la forme du consentement constitue entre les parties la preuve de la validité d'un ordre de virement émis via le site Transbred sans équivoque quant au caractère autorisé dudit virement. Par ailleurs, la Bred indique qu'il ressort de l'étude de l'historique des connexions de la journée du 23 juin 2015 que l'opération litigieuse a été réalisée à partir de l'adresse IP de l'administrateur Monsieur [Ac] dûment désigné comme utilisateur autorisé à gérer des profils dans Transbred et que partant, il ne peut être reproché à la Bred un quelconque manquement résultant d'une prétendue absence d'authentification. La Bred ajoute que sa responsabilité doit être appréciée en fonction du seul mode de preuve admissible entre les parties, à savoir les enregistrements sur support informatique de la Bred et de ses partenaires et qu'en l'espèce, elle est incompatible avec la caractérisation juridique d'une anomalie matérielle apparente dans l'exécution des virements litigieux.

Ensuite, la Bred fait valoir que les ordres de virements litigieux ne sauraient être considérés comme des faux ordres de paiement et que par conséquent, Artemis Group et Artemis Security doivent être déboutées de leurs demandes fondées sur les articles 1927 et suivants du code civil🏛.

La Bred indique que Artemis Group et Ad Ae lui reprochent de ne pas les avoir alertées en raison de l'exécution de six ordres de virements le même jour alors qu'un tel procédé est totalement exclu du dispositif mis en place contractuellement. De plus, la Bred affirme que la destination et les montants des virements ne pouvaient être un élément constitutif d'une anomalie dès lors qu'objectivement le contexte de l'opération ne laisse pas soupçonner l'illicéité de l'opération. Enfin, la Bred souligne que les conditions générales du contrats Transbred autorisaient bien les virements SEPA à l'étranger. Aussi, la Bred soutient qu'elle n'a pas manqué à son obligation de vigilance.

Enfin, la Bred fait valoir qu'il ne lui appartenait pas de déposer la moindre déclaration de soupçon sur le fondement de l'article L561-1 du code monétaire et financier🏛.

S'agissant de l'existence de manquements de Artemis Group et Artemis Security à l'origine de leurs propres préjudices. La Bred soutient que la cour pourra constater que la présente action judiciaire est abusive du seul fait des stipulations contractuelles et que les appelantes ont fait preuve de négligences graves, causes exclusives de leurs préjudices, notamment en ce qu'elles ont refusé de mettre en place l'option « Gestion des alertes » et qu'il leur appartenait de ne pas laisser la clé USB connectée à l'ordinateur pour éviter toute éventuelle prise de contrôle à distance.

S'agissant du préjudice de perte de chance de Artemis Group et Ad Ae. La Bred indique que si la cour devait estimer qu'elle aurait engagé sa propre responsabilité, il convient de relever, outre l'absence de preuve du quantum des demandes formées à titre de dommages et intérêts, que l'indemnisation des appelantes relèverait de leur seule perte de chance d'avoir pu empêcher les ordres de virements litigieux. Par conséquent, Artemis Group et Ad Ae ne peuvent solliciter le remboursement intégral des montants desdits virements.

MOTIFS

Sur la demande d'annulation du jugement

Les sociétés Artemis n'ont formé aucune demande de récusation avant la clôture des débats en première instance.

La circonstance - dénoncée par les société Artemis exclusivement sur le fondement de l'article 6-1 de la CEDH - que le président de la formation consulaire du tribunal de commerce de Paris ayant statué exerce en qualité de directeur au sein d'un établissement bancaire, en l'espèce la Caisse d'Epargne - qui, pour appartenir au même groupe que la BRED n'en est pas moins une banque concurrente - ne constitue pas un motif de récusation selon l'article L111-6 du code de l'organisation judiciaire🏛 auquel renvoi l'article 341 du code de procédure civile🏛.

Elle ne caractérise un intérêt, ni direct ni indirect, à la contestation de même qu'elle ne porte pas atteinte à l'impartialité objective de la juridiction ainsi composée au sens de l'article 6 de la CEDH alors qu'il n'est fait valoir aucun argument sur l'impartialité subjective, telle une connaissance antérieure de l'affaire, une amitié ou inimitié notoire ou encore l'expression d'une opinion puisque l'affaire a été évoquée devant un autre juge qui en a fait rapport.

En conséquence, la demande tendant à l'annulation du jugement doit être rejetée.

Sur le fond

Il résulte des pièces produites :

- que les parties sont notamment liées par une convention d'ouverture de compte du 26 mai 2011 et par une convention dite 'Transbred' de la même date mettant à la disposition des sociétés un instrument de paiement au sens de l'article L133-15 du code monétaire et financier🏛 qui permet aux personnes habilitées, en l'espèce M. [H] et les deux personnes au maximum qu'il fera désigner dont Mme [N], comptable, d'ordonner des virements par l'utilisation sur les postes informatiques de la cliente, sécurisé par l'utilisation d'une clé USB et de codes confidentiels,

- que le 23 juin 2015, entre 11h17 et 14h49, six virements ont été effectués à partir des comptes de la société Artemis Group pour un montant de 26 400 euros et Artemis Security pour un total de 471 866,50 euros à destination de comptes ouvertes dans des établissements bancaires sis en Grande-Bretagne, Pologne, Roumanie et Suède,

- que les société Artemis exposent s'être aperçue de ces virements le 24 juin 2015 au matin, qu'elle en a averti la BRED qui a révoqué les certificats d'authentification des sociétés, qu'elle a déposé une plainte pénale à ces dates en indiquant n'avoir jamais autorisé les dits virements,

- qu'à la suite de la réclamation des sociétés Artemis auprès de la BRED, cette dernière a pu obtenir des banques tenant les comptes destinataires la restitution des sommes diminuant les virements à celles de 2 483,41 euros pour la société Artemis group et 247 566,5 pour la société Artemis Security.

L'article L 133-6 alinéa 1er du code monétaire et financier🏛 définit l'opération de paiement autorisée par le consentement donné par le payeur à son exécution.

Les articles L133-18 alinéa 1er , -23 alinéa 1er et 2ème et -24 alinéas 1ers disposent respectivement que :

- 'En cas d'opération de paiement non autorisée signalée par l'utilisateur dans les conditions prévues à l'article L. 133-24, le prestataire de services de paiement du payeur rembourse immédiatement au payeur le montant de l'opération non autorisée et, le cas échéant, rétablit le compte débité dans l'état où il se serait trouvé si l'opération de paiement non autorisée n'avait pas eu lieu',

- 'Lorsqu'un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l'opération de paiement n'a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l'opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu'elle n'a pas été affectée par une déficience technique ou autre,

- L'utilisation de l'instrument de paiement telle qu'enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l'opération a été autorisée par le payeur ou que celui-ci n'a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière,

- L'utilisateur de services de paiement signale, sans tarder, à son prestataire de services de paiement une opération de paiement non autorisée ou mal exécutée et au plus tard dans les treize mois suivant la date de débit sous peine de forclusion à moins que le prestataire de services de paiement ne lui ait pas fourni ou n'ait pas mis à sa disposition les informations relatives à cette opération de paiement conformément au chapitre IV du titre 1er du livre III'.

Il en résulte que la banque, en qualité de prestataire de services de paiements à laquelle le caractère non autorisé d'un virement a été régulièrement dénoncé par son client dans le délai prévu est tenue, de plein droit, de rembourser ce dernier, sous réserve de démontrer ou que l'opération était en réalité dûment autorisée ou encore que son caractère non autorisé résulte de ce que l'utilisateur n'a pas satisfait, intentionnellement ou par négligence grave, aux obligations lui incombant, sauf à ce dernier à faire valoir, au-delà de l'obligation de remboursement, un manquement du prestataire de services de paiement à ses propres obligations distinctes.

C'est vainement que la BRED insiste sur la circonstance indifférente que, contrairement à ce que soutiennent les sociétés Artemis, les virements n'ont pu avoir lieu sans que la clé USB ne soit insérée dans le poste utilisé par Mme [N] sous les éléments d'authentification de M. [H] ou encore que deux autres certificats initiés par M. [H] ont pu être utilisés dès lors que la fraude dont ont été victimes les sociétés Artemis ressort, sans contestation sérieuse, clairement des pièces produites.

Au demeurant, la mise en oeuvre de la procédure de rappel des fonds par la BRED et les termes de son courrier du 9 juillet 2015 montrent qu'elle a immédiatement elle-même considéré que les sociétés Artemis ont été victimes d'une fraude puisqu'elle y écrit notamment 'nous continuons à travailler avec les banques destinataires ainsi qu'avec les autorités de police spécialisées pour tenter de localiser ou récupérer les fonds éventuels que les fraudeurs n'auraient pas encore appréhendés'.

En effet, outre le fait que les société Artemis ont déposé une plainte pénale dont aucun élément ne permet de remettre en cause la sincérité alors qu'elle a été classée sans suite au motif 'auteur inconnu' le '29 septembre 2017", il résulte des pièces produites et singulièrement du rapport de M. [S], expert mandaté par les sociétés Artemis mais sur la suggestion même de la banque ( le courriel précédent mentionnant 'la société [S] que nous avons contactée avec votre autorisation') qui a opéré ses constatations dès le 24 juin 2015 sous le contrôle d'un huissier de justice, :

- que le poste de Mme [N] à partir duquel les demandes de virements ont été effectuées avait reçu, les 22 et 23 juin 2015, deux fichiers Pdf et un fichier Word infectés par un 'cheval de Troie' ( malware Trojan.Upatre.gen.3),

- qu'il a été établi sans contradiction apportée par la BRED qu'un très grand nombre d'échec de tentative d'ouverture de cession a été repéré le 23 juin 2015 ( 57 tentatives au cours de la matinée) puis 159 tentatives de connexion au compte utilisateur de M. [H],

- que les ports sources à partir desquelles ces tentatives de connexion ont été faites correspondent à des protocoles fréquemment utilisés par des cybercriminels,

- qu'un logiciel 'Malwarebytes Anti-Malware' a visiblement été exécuté en date du 2 juin, cet outil étant susceptible d'avoir supprimé d'éventuelle traces d'autres infections'.

- et du procès-verbal d'huissier de justice que lorsqu'elle a voulu se connecter sur le site de la BRED par le système Transbred le 24 juin 2015, un message est apparu selon lequel 'un autre utilisateur est déjà connecté avec le même nom d'utilisateur, vous pouvez déconnecter l'autre utilisateur, puis accéder à l'application', les sociétés en déduisant que la connexion au site de la BRED est possible sans utilisation de la clé USB après l'infection par un cheval de Troie à un moment où cette clé est présente, permettant la duplication du certificat numérique.

Les société Artemis ne sont pas non plus utilement contredites lorsqu'elles exposent qu'il n'a jamais été fait usage des deux autres clés USB que le contrat Transbred leur permettait d'avoir puisqu'il avait été demandé à la banque de mettre fin à ces certificats par courrier du 25 mai 2012 après le départ de Mme [Ag] de l'entreprise en 2012 et après l'affectation de Mme [K] dans un autre service et que les clés USB correspondantes sont restées dans le coffre des sociétés.

La circonstance que Mme [Af] aurait été réceptionnaire des codes confiés par le contrat à M. [H] est, en tout état de cause et quelle que soit sa véracité, sans lien de conséquence avec le déroulement des faits.

Il en résulte que la fraude dont ont été victimes les sociétés Artemis est établie à suffisance.

La BRED conteste toutefois leur caractère non autorisé du paiement en faisant valoir, d'une part, que les parties ont convenu contractuellement que l'utilisation de l'instrument de paiement suffisait à établir l'autorisation du client et, d'autre part et en tout état de cause, que les relevés informatiques démontrent ce caractère autorisé.

C'est à juste titre qu'elle fait valoir que l'article L133-2 du code monétaire et financier🏛 prévoit que les parties, lorsqu'il ne s'agit pas de personnes physiques agissant pour des besoins non professionnels, peuvent déroger notamment à son article L133-23 qui régit la charge de la preuve du caractère non autorisé du paiement.

Toutefois, il doit d'abord être relevé, que l'article 4.3 de la convention de compte qui dispose que 'les enregistrements dématérialisés ... ou leur reproduction sur un support informatique constituent la preuve des opérations effectuées et la justification de leur inscription au compte, sauf preuve contraire apportée par tous moyens par le client' ne constitue qu'une simple présomption qui concerne la convention de compte courant et ne régit pas spécifiquement l'exécution d'un virement au moyen du système Transbred qui a fait l'objet d'un contrat particulier alors qu'en tout état de cause, la preuve contraire est réservée.

Ensuite, l'article 16 des conditions générales du service Transbred qui dispose que 'l'utilisation du Certificat de l'Abonné est indispensable à la validation et à la signature de l'ordre transmis à la Banque. La signature électronique ainsi apposée sur le Formulaire vaut ordre d'exécution et engage le signataire, et notamment la responsabilité de l'Abonné envers la BRED. Cet ordre ne peut être répudié. ' n'a pour objet que de déterminer les modalités de l'engagement du client sans régir les hypothèses d'un virement non consenti et frauduleux.

Enfin, si l'article 12 des conditions générales du service Transbred prévoit que 'L'authentification de l'Abonné, de son Administrateur et/ou de ses Utilisateurs, au moyen du Certificat, vaut imputabilité des ordres effectués à l'Abonné. La confirmation des ordres par l'Abonné, Administrateur et/ou Utilisateur, au moyen de la saisie de son Code d'activation, constitue un écrit sous forme électronique qui a, entre les parties, la même valeur qu'un écrit sur support papier. Les enregistrements sur support informatique de la BRED Banque populaire et de ses partenaires constituent la preuve des opérations effectuées par l'Abonné', comme le fait valoir la banque, il ajoute qu' 'à défaut de contestation formulée par ce dernier dans les 30 jours calendaires, les relevés de comptes adressés par la BRED Banque Populaire (cachet faisant foi) feront foi', de sorte qu'il ne s'agit que de la réaffirmation de ce que l'emploi du dispositif de sécurité du client accompagnant l'instrument de paiement fait présumer qu'il a sollicité l'ordre, sauf contestation de ce dernier comme c'est l'usage en matière bancaire.

Ce rappel correspond à la combinaison de l'article L133-7 alinéa 1er, prévoyant que le consentement est donné sous la forme convenue entre le payeur et son prestataire de service de paiement', des articles L133-15 et suivant sur les instruments de paiement sécurisés et de l'article L133-23 alinéa 2, ci-dessus rapporté, qui prévoit que l'utilisation d'un tel instrument de paiement ne suffit pas à prouver le caractère autorisé de l'opération, c'est à dire l'existence d'une présomption d'autorisation résultant de l'utilisation d'un dispositif de paiement sécurisé, avec les apparences de la régularité, mais la faculté pour l'utilisateur de prouver que l'opération n'était en réalité pas autorisée, au sens ou elle ne résulte pas de son consentement selon la définition de l'article L133-6 du code monétaire et financier🏛, qui demeure.

Il résulte de tout ce quoi précède que les virements litigieux n'ont pas été consentis au sens des articles L133-6 et L133-7 du code monétaire et financier🏛🏛 et qu'ils n'étaient donc pas autorisés.

Enfin, si l'article L133-2 du code monétaire et financier🏛 réserve la possibilité d'une dérogation, entre professionnels, à certaines règles de preuve, il ne le prévoit pas quant au principe de l'obligation de remboursement d'une opération non autorisée dûment signalée dans les conditions que prévoit son article L133-18, de sorte que l'article 14 des conditions générales du contrat Transbred ne peut constituer une clause exonératoire de ses obligations à ce titre étant observé que tel n'est pas son sens puisque, après qu'ont été rappelées les obligations de 'l'abonné' (acceptation de modifications ultérieures du contrat, exclusion - là prévue expressément- de responsabilité de la BRED en cas de force majeure, pour inexécution du virement en cas d'absence de provision, obligation de couverture du débit, obligation de signalement de la perte ou du vol du dispositif de sécurité) son alinéa 8 qui stipule 'en tout état de cause, l'Abonné demeurant le seul interlocuteur de l'Autorité de Certification et de la BRED Banque populaire, il répond seul de la perte, du vol, du piratage des Cartes à puce, Clés USB et Code PIN délivrés confidentiellement aux Administrateurs et Utilisateurs qu'il aura désignés ou fait désigner' a pour seule vocation de rappeler que 'l'abonné' est le 'seul interlocuteur' de la banque à l'égard de laquelle il répond des agissements de ses mandataires ou préposés qu'il aura fait désigner auprès d'elle comme administrateur ou utilisateur.

En conséquence et en application de l'article L 133-18 du code monétaire et financier🏛, il appartient, en principe, à la BRED de procéder au remboursement des sommes objets des virements, sauf à cette dernière, en vertu des articles L133-19 IV et L133-23 du code monétaire et financier🏛🏛, à rapporter la preuve que l'utilisateur a agi frauduleusement ou n'a pas satisfait, intentionnellement ou par négligence grave, aux obligations lui incombant en vertu des articles L 133-16 et L133-17 sur la préservation de la sécurité de ses dispositifs de sécurité personnalisés et sur l'alerte à donner au prestataire.

Les sociétés Artemis ont immédiatement signalé les virements non autorisés et aucune intention frauduleuse de leur part n'est établie.

Le BRED fait cependant également valoir que s'il est considéré qu'une fraude est intervenue par l'introduction d'un cheval de Troie dans le système informatique des sociétés au moyen de courriels adressés les 22 et 23 juin 2015 à un préposé, en l'espèce, Mme [N], c'est nécessairement fautivement que cette dernière a laissé se commettre cette intrusion.

Or, il ressort précisément de l'expertise de M. [S] que la boîte mail de Mme [N] a été destinataire de trois missives comportant toutes des pièces jointes - censément adressées par '[M] [R]' - les sociétés exposant qu'il est responsable d'exploitation en son sein- qui sont ainsi respectivement rédigées :

'Good day !

Please note that our department needs several documents before allotment of dividens. Please provide the docuement listed in the attachment' Thanks in advance',

- Trust You are Well. Please be noted that bank failed to conduct payment due to reasons listed in the document enclosed. Kindly check. [B] [L]. Bank Department'

- Please confirm receipt of the payment, swift isattached John Gooding'

Dans le contexte du service de comptabilité de la société Artemis Security dont la holding est Artemis Group, qui a pour activité essentielle la mise à disposition de personnels de sécurité physique de locaux dans le Nord de la France, qui exposent ne pas avoir de relations avec des partenaires étrangers ni jamais avoir ordonné de virement à l'étranger, à l'exception d'un seul à destination de la Belgique, il doit être considéré que l'ouverture des courriels de cette nature, rédigés en langue anglaise pour une raison inconnue puisqu'il proviennent d'un autre préposé demeurant [… …] et qui apparaissent manifestement trompeurs, non causés, de manière évidente sans justifications et inexplicablement signés par un tiers inconnu pour le dernier, constitue une négligence grave qui leur est imputable.

Il doit toutefois être également ajouté qu'en dehors du manque général de réactivité de la BRED aux alertes diffusées du Cert du 10 juin 2015 sur une campagne massive de spam sans détection de certains antivirus, il ressort encore non seulement du rapport de M. [S] mais également des pièces produites par la BRED elle-même, que dans la matinée du jour où les virements ont été effectués un nombre considérable de plus d'une centaine de tentatives infructueuses de connexion au système Transbred à partir des postes informatiques des sociétés ont eu lieu, et qu'en ne prenant pas en considération cette situation manifestement anormale, la BRED a manqué à son obligation de vigilance et de surveillance de ses systèmes.

Il résulte de l'ensemble des éléments ci-dessus, d'incidence contraire, qu'il y a lieu non pas d'indemniser une perte de chance d'avoir évité les virements préjudiciables pour les sociétés Artemis mais de partager les obligations des parties à en répondre en condamnant la BRED à rembourser les sociétés Artemis de 50 % des sommes frauduleusement virées et non récupérées, les appelantes devant supporter 50 % de leur préjudice eu égard au manquement qui lui est imputable.

En conséquence, il y a lieu de condamné la BRED à payer la somme de (2 843,41 / 2) = 1 421,70 euros à la société Artemis Security et celle de (247 566,50 / 2 ) = 123 783,25 euros à la société Artemis Group, et ce, avec intérêt au taux légal à compter du présent arrêt compte tenu de la solution adoptée.

Les sociétés Artemis ne justifient pas d'un préjudice distinct de celui réparé par le remboursement partiel des sommes ordonné au titre 'd'un manquement à l'obligation d'information et de conseil'ni d'un préjudice moral, de sorte qu'elles doivent être déboutées du surplus de leurs prétentions.

Toutes les sommes allouées au titre de l'article 700 du code de procédure civile🏛 constituent des frais irrépétibles et y a lieu de condamner, de ce chef, la société BRED Banque Populaire à payer aux sociétés Artemis qui produisent des pièces à cet égard, la somme de 12 000 euros.

PAR CES MOTIFS

DÉBOUTE les sociétés Artemis Group et Artemis Security de leur demande tendant à l'annulation du jugement entrepris ;

INFIRME le jugement entrepris en toutes ses dispositions ;

Et, statuant à nouveau,

CONDAMNE la société BRED Banque Populaire à payer à la société Artemis Group la somme de 1 421,70 euros avec intérêts au taux légal à compter du présent arrêt ;

CONDAMNE la société BRED Banque Populaire à payer à la société Artemis Security la somme de 123 783,25 euros avec intérêts au taux légal à compter du présent arrêt ;

DÉBOUTE les sociétés Artemis Group et Artemis Security du surplus de leur demande et de leur demande de dommages-intérêts ;

CONDAMNE la société BRED Banque Populaire à payer aux sociétés Artemis Group et Artemis Group la somme de 12 000 euros en application de l'article 700 du code de procédure civile🏛 ;

CONDAMNE la société BRED Banque Populaire aux entiers dépens.

LE GREFFIER LE PRESIDENT

Article, 341, CPC Article, L111-6, COJ Article, L133-18, C. mon. fin. Article, L133-7, C. mon. fin. Article, L133-6, C. mon. fin. Article, L133-15, C. mon. fin. Article, L133-2, C. mon. fin. Article, L133-6, alinéa 1, C. mon. fin. Article, L133-19, IV, L133-23, C. mon. fin. Récusation Établissement bancaire Caisse d'epargne Tribunal indépendant et impartial Expression d'une opinion Instrument de paiement Clé usb Plainte pénale Paiement Prestation de service Négligence grave Victime d'une fraude Auteur inconnu Huissier Échec d'une tentative Personne physique Charge de la preuve Preuve Preuve contraire Présomption Présomption simple Convention de compte Ordre d'exécution Administrateur Support papier Relevés de compte bancaire Régularité apparente Condition générale des contrats Force majeure Obligation de couverture Intention frauduleuse Système informatique Expertise Comptabilité de l'entreprise Langue anglaise Négligence Obligation de vigilance Perte de chance Taux légal Préjudice distinct Paiement partiel Préjudice moral Frais répétibles

Revues (1)

Confirmation de l’application exclusive des dispositions issues des « DSP »

Agir sur cette sélection :

Rechercher dans Lexbase

Jurisprudence : CA Paris, 5, 6, 18-01-2023, n° 21/05247, Infirmation partielle

Jurisprudence : CA Paris, 5, 6, 18-01-2023, n° 21/05247, Infirmation partielle

Agir sur cette sélection :