CA Lyon, 11-01-2024, n° 21/07660, Infirmation partielle

A24542EM

Article, 1240, C. civ.
Article, L133-17, C. mon. fin.
Article, L133-16, C. mon. fin.
Article, L133-17, I, C. mon. fin.
Détournements de fonds
Négligence grave
Caractère frauduleux
Dirigeant de l'entreprise
Lien de causalité
Erreur
Paiement partiel
Remboursement
Délai légal
Délai de réponse
Refus de communiquer
Mauvaise foi du débiteur
Courriel frauduleux
Instrument de paiement
Paiement
Agissement frauduleux
Prestation de service
Données personnelles
Personne physique
Personne morale
Caractère irrégulier
Notoriété publique
Dommages-intérêts
Raison objective
Voir plus

Référence

CA Lyon, 11-01-2024, n° 21/07660, Infirmation partielle. Lire en ligne : https://www.lexbase.fr/jurisprudence/104149871-ca-lyon-11012024-n-2107660-infirmation-partielle

Copier

N° RG 21/07660 - N° Portalis DBVX-V-B7F-N4T7

Décision du Tribunal de Commerce de SAINT-ETIENNE du 23 septembre 2021

RG : 2020j458

Société CAISSE REGIONALE DE CREDIT AGRICOLE MUTUEL LOIRE H AUTE-LOIRE

C/

S.A.S. VULCAMAT

RÉPUBLIQUE FRANÇAISE

AU NOM DU PEUPLE FRANÇAIS

COUR D'APPEL DE LYON

3ème chambre A

ARRET DU 11 Janvier 2024

APPELANTE :

CAISSE REGIONALE DE CREDIT AGRICOLE MUTUEL LOIRE H AUTE-LOIRE à capital variable immatriculée au registre du commerce et des sociétés de SAINT-ETIENNE sous le n° 380 386 854, agissant poursuites et diligences de ses représentants légaux en exercice, domiciliés en cette qualité audit siège

[Adresse 4]

[Localité 2]

Représentée par Me Jean-louis ROBERT de la SELARL SELARL ROBERT, avocat au barreau de ROANNE, postulant et ayant pour avocat plaidant Me Grégoire MANN de la SELARL LEX MENSA AVOCATS, avocat au barreau de SAINT-ETIENNE

INTIMEE :

S.A.S. VULCAMAT immatriculée au RCS de Saint-Etienne sous le n° 323 800 722, agissant poursuites et diligences de ses représentants légaux, domiciliés en cette qualité audit siège

[Adresse 1]

[Localité 3]

Représentée par Me Jacques AGUIRAUD de la SCP JACQUES AGUIRAUD ET PHILIPPE NOUVELLET, avocat au barreau de LYON, toque : 475, postulant et ayant pour avocat plaidant Me Jérôme NOVEL de la SELARL ELAN AVOCATS, avocat au barreau de LYON

* * * * * *

Date de clôture de l'instruction : 24 Janvier 2023

Date des plaidoiries tenues en audience publique : 15 Novembre 2023

Date de mise à disposition : 11 Janvier 2024

Composition de la Cour lors des débats et du délibéré :

- Patricia GONZALEZ, présidente

- Aurore JULLIEN, conseillère

- Viviane LE GALL, conseillère

assistées pendant les débats de Clémence RUILLAT, greffière

A l'audience, un membre de la cour a fait le rapport, conformément à l'article 804 du code de procédure civile🏛.

Arrêt contradictoire rendu publiquement par mise à disposition au greffe de la cour d'appel, les parties en ayant été préalablement avisées dans les conditions prévues à l'article 450 alinéa 2 du code de procédure civile🏛,

Signé par Patricia GONZALEZ, présidente, et par Clémence RUILLAT, greffière, auquel la minute a été remise par le magistrat signataire.

* * * *

EXPOSÉ DU LITIGE

La SAS Vulcamat est titulaire d'un compte ouvert auprès de la Caisse régionale de crédit Agricole mutuel Loire Haute-Loire (ci-après « le Crédit Agricole »).

Le 23 mai 2019, la société Vulcamat a reçu un mail d' « hameçonnage » semblant provenir du Crédit Agricole.

Le 24 mai 2019, la société Vulcamat a constaté un virement d'un montant de 40.000 euros de son compte bancaire vers un compte ouvert auprès du Crédit Lyonnais. Elle s'est rapprochée des services du Crédit Agricole et a déposé plainte le même jour.

Les services de sécurité financière du Crédit Agricole ont procédé à une demande de retour de fonds auprès du Crédit Lyonnais. Le 23 juillet 2019, un remboursement partiel de la somme virée a été effectué sur le compte de la société Vulcamat à hauteur de 15.495,84 euros.

Par courrier recommandé du 3 février 2020, la société Vulcamat a sollicité la communication des échanges intervenus entre le Crédit Agricole et le Crédit Lyonnais et mis en demeure le Crédit Agricole d'avoir à lui rembourser la somme de 24.504,16 euros correspondant à la différence entre le montant du virement litigieux et celui reçu en restitution partielle des fonds.

Par courrier du 24 février 2020, le Crédit Agricole s'est opposé à ces demandes au motif que les échanges avec la banque bénéficiaire étaient couverts par le secret professionnel et que la société Vulcamat avait été négligente en transmettant en interne le mail sans vérifier sa provenance alors qu'il présentait des anomalies apparentes.

Aucun accord amiable n'ayant été trouvé entre les parties, par acte du 3 août 2020, la société Vulcamat a assigné le Crédit Agricole devant le tribunal de commerce de Saint-Étienne afin d'obtenir notamment la somme de 24.504,16 euros en remboursement des fonds qui ont été détournés de manière frauduleuse.

Par jugement contradictoire du 23 septembre 2021, le tribunal de commerce de Saint-Étienne a :

- condamné le Crédit Agricole à verser à la société Vulcamat la somme de 24.504,16 euros en remboursement des fonds détournés de façon frauduleuse,

- débouté la société Vulcamat de sa demande au titre de la résistance abusive,

- débouté le Crédit Agricole de l'ensemble de ses demandes, fins et conclusions,

- condamné le Crédit Agricole à verser à la société Vulcamat la somme de 3.000 euros au titre de l'article 700 du code de procédure civile🏛,

- dit que les dépens sont à la charge du Crédit Agricole,

- dit qu'il n'y a pas lieu d'écarter l'exécution provisoire de la présente décision.

La Banque a interjeté appel par acte du 19 octobre 2021.

***

Par conclusions notifiées par voie dématérialisée le 12 septembre 2022 fondées sur l'article L. 133-19 du code monétaire et financier🏛, le Crédit Agricole a demandé à la cour de :

- réformer le jugement déféré en toutes ses dispositions,

- débouter la société Vulcamat de l'intégralité de ses demandes, fins et conclusions,

- condamner la société Vulcamat à lui verser la somme de 3.000 euros au titre de l'article 700 du code de procédure civile ainsi qu'aux entiers dépens de l'instance.

Par conclusions notifiées par voie dématérialisée le 21 septembre 2022 fondées sur les articles L. 133-17, L. 133-18, L. 133-20, L. 133-23, L. 133-24, L. 133-45 du code monétaire et financier🏛🏛🏛🏛🏛🏛, la société Vulcamat a demandé à la cour de :

- confirmer le jugement déféré en ce qu'il a condamné le Crédit Agricole à lui verser la somme de 24.504,16 euros en remboursement des fonds qui ont été détournés de manière frauduleuse,

- infirmer le jugement déféré en ce qu'il l'a débouté de sa demande de condamnation du Crédit Agricole à lui verser la somme de 5.000 euros pour résistance abusive,

statuant à nouveau,

- condamner le Crédit Agricole à lui verser la somme de 5.000 euros pour résistance abusive,

- condamner le Crédit Agricole à lui verser la somme de 3.000 euros au titre de l'article 700 du code de procédure civile,

- condamner le Crédit Agricole aux entiers dépense de l'instance avec droit de recouvrement

La procédure a été clôturée par ordonnance du 24 janvier 2023, les débats étant fixés au 15 novembre 2023.

Pour un plus ample exposé des moyens et motifs des parties, renvoi sera effectué à leurs dernières écritures conformément aux dispositions de l'article 455 du Code de Procédure Civile🏛.

MOTIFS DE LA DÉCISION

Sur la demande en remboursement des fonds détournés

Le Crédit Agricole a fait valoir :

- l'existence d'une négligence grave de l'intimée du fait du caractère frauduleux évident du mail reçu par le dirigeant de la société Vulcamat au regard des éléments suivants : adresse mail de l'expéditeur différente de l'adresse habituelle, la syntaxe irrégulière, l'absence de signature et le logo qui est différent du logo de l'appelante ;

- l'existence d'une solution de sécurité mise en œuvre par l'appelante qui constitue une notion d'identification forte du client,

- la réception du courriel par le dirigeant qui l'a transféré ensuite en interne à sa secrétaire alors qu'il aurait dû être supprimé, le lien de causalité entre le traitement du mail et le détournement d'argent étant évident,

- l'existence d'une erreur de l'intimée qui ne démontre pas la compromission de sa boîte mail ou de son téléphone et qui a traité le courriel, en renseignant les informations nécessaires et en donnant le code vérification reçu par SMS, démarches sans laquelle la fraude n'aurait pas abouti,

- la suppression de l'ensemble des mails de la messagerie sécurisée de l'intimée, alors qu'un courriel avait été envoyé concernant l'ajout d'un bénéficiaire,

- l'absence de faute de la banque, outre le fait que ce type de procédé est répandu et connu tant des consommateurs que des professionnels,

- l'existence d'un remboursement partiel en raison d'un retour de fonds de la banque bénéficiaire suite aux démarches de l'appelante, cette dernière banque ne fournissant aucun autre élément.

La société Vulcamat a fait valoir :

- l'information immédiate de l'appelante dès la réalisation du virement pour obtenir le remboursement, sa réclamation ne trouvant de réponse que deux mois plus tard, en dépit du délai légal de réponse de 45 jours prévu à l'article L133-45 du Code Monétaire et Financier,

- la contradiction de l'appelante qui évoque un refus de la banque bénéficiaire de communiquer des informations tout en procédant à un remboursement partiel,

- la mauvaise foi de l'appelante qui fait état du secret professionnel pour refuser de transmettre les échanges, motif invoqué uniquement après avoir tenté de pointer une négligence de l'intimée,

- l'absence du caractère fautif de la transmission du courriel, l'absence d'autorisation de paiement de sa part et de mise en œuvre d'une authentification forte,

- l'absence de preuve de la réalisation des démarches d'autorisation de paiement par l'intimée,

- s'agissant du courriel frauduleux, l'impossibilité d'analyser l'adresse de l'expéditeur (adresse barrée), et l'impossibilité de déduire le caractère frauduleux d'un mail en raison d'une absence de ponctuation, de prétendues fautes de syntaxe ou de logo non personnalisé, qui ne sont pas suffisants à avertir un usager normal,

- la suppression des mails reçus sur la messagerie par le dirigeant et la secrétaire, sur conseils de l'appelante.

Sur ce,

L'article L133-16 du Code Monétaire et Financier🏛 dispose que dès qu'il reçoit un instrument de paiement, l'utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées, qu'il utilise l'instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation qui doivent être objectives, non discriminatoires et proportionnées.

L'article L.133-17 I du code monétaire et financier dispose que « Lorsqu'il a connaissance de la perte, du vol, du détournement ou de toute utilisation non autorisée de son instrument de paiement ou des données qui lui sont liées, l'utilisateur de services de paiement en informe sans tarder, aux fins de blocage de l'instrument, son prestataire ou l'entité désignée par celui-ci. »

L'article L.133-19 IV et V du code monétaire et financier dispose que « le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d'un agissement frauduleux de sa part ou s'il n'a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17, et que sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si l'opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement du payeur n'exige une authentification forte du payeur prévue à l'article L. 133-44. »

Si aux termes des articles L. 133-16 et L. 133-17 du code monétaire et financier, il appartient à l'utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d'informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l'instrument de paiement ou des données qui lui sont liées, c'est au prestataire qu'il incombe, par application des articles L. 133-19, IV, et L. 133-23 du même code, de rapporter la preuve que l'utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n'a pas satisfait, intentionnellement ou par négligence grave, à ses obligations. Cette preuve ne peut se déduire du seul fait que l'instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés.

Une négligence grave de l'utilisateur d'un service de paiement est caractérisée en l'absence de mise en œuvre de toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés, et notamment la communication des données personnelles de ce dispositif de sécurité en réponse à un courriel qui contient des indices permettant à un utilisateur normalement attentif de douter de sa provenance, peu important qu'il soit, ou non, avisé des risques d'hameçonnage.

Il ressort des pièces versées aux débats que le courriel litigieux reçu par le dirigeant de la société Vulcamat et transmis à sa secrétaire, sans vérification de la provenance ou de l'adresse, démontre que contrairement aux courriels habituels entre les parties, le courriel litigieux ne provenait pas de la même adresse mail, ne comportait pas la signature du conseiller et que le logo était différent de celui de l'appelante.

En outre, le contenu du courriel litigieux se distingue par sa brièveté, l'absence de toute formule de politesse, mais aussi l'absence de toute explication quant à une demande de communication de données personnelles, a contrario de la convention de compte et d'utilisation des moyens de paiement liant les parties soit autant d'éléments qui ne peuvent qu'attirer l'attention de toute personne physique ou morale, consommateur ou professionnelle.

Le Crédit Agricole, en fournissant des éléments de comparaison avec les communications habituelles, mais aussi les éléments relatifs à l'usage avec précaution des moyens de paiement démontre le caractère irrégulier du courriel litigieux.

En outre, les parties conviennent qu'un système d'identification fort, c'est-à-dire renforcé afin de passer des opérations de paiement avait été mis en œuvre au profit de la société Vulcamat.

Enfin, la société Vulcamat ne peut prétendre être non avertie concernant les procédés d'hameçonnage qui sont de notoriété publique avec avertissement régulier des banques envers leurs clients concernant le processus, et n'a pas fait le nécessaire que ce soit au niveau du premier destinataire du message, le directeur, ou du second destinataire, la secrétaire, pour réaliser les vérifications nécessaires.

À aucun moment, la société Vulcamat n'a procédé à une analyse même simple du courriel reçu, négligeant l'absence de nom du conseiller mais procédant sans aucune réflexion à la démarche sollicitée qui revient à donner l'intégralité de ses codes du système d'identification fort mis en œuvre, en dépit de ses engagements.

Au surplus, la société Vulcamat qui prétend que sa messagerie a été compromise n'en rapporte pas la preuve et au contraire, a fait montre d'un manque de précaution quant à l'usage des moyens de paiement mis à sa disposition dans le cadre de la convention passée avec le Crédit Agricole.

Dès lors, l'analyse de l'espèce permet de relever l'existence de négligences graves commises par la société Vulcamat dans le cadre de la gestion de ses outils de paiement.

En conséquence, il convient d'infirmer la décision déférée dans sa totalité et de rejeter toute demande en paiement formée par la société Vulcamat à l'encontre du Crédit Agricole au titre des sommes non obtenues suite au signalement de la fraude.

Sur la demande de dommages et intérêts pour résistance abusive

La société Vulcamat a fait valoir :

- le remboursement tardif réalisé par l'appelante alors qu'initialement, le Crédit Agricole avait indiqué faire droit à sa demande,

- l'opacité de l'appelante dans le traitement de son dossier, notamment concernant ses relations avec la banque bénéficiaire du virement,

- l'absence de raisons objectives au remboursement total de la somme faisant l'objet du virement frauduleux.

Le Crédit Agricole ne fait pas valoir de moyens sur ce point.

Sur ce,

L'article 1240 du Code civil🏛 dispose que tout fait quelconque de l'homme, qui cause à autrui un dommage, oblige celui par la faute duquel il est arrivé à le réparer.

Eu égard à ce qui précède, et en l'absence de toute faute du Crédit Agricole, il convient de rejeter la demande présentée.

Sur les demandes accessoires

La société Vulcamat échouant en ses prétentions, elle sera condamnée à supporter les dépens de première instance et de procédure d'appel.

L'équité commande d'accorder au Crédit Agricole une indemnisation sur le fondement de l'article 700 du code de procédure civile.

La société Vulcamat sera condamnée à lui verser la somme de 3.000 euros à ce titre.

PAR CES MOTIFS

La Cour, statuant publiquement, dans les limites de l'appel

Infirme la décision déférée dans son intégralité sauf en ce qu'elle a rejeté la demande de dommages et intérêts de la SAS Vulcamat pour résistance abusive,

Statuant à nouveau

Rejette l'intégralité des demandes en paiement de la SAS Vulcamat,

Condamne la SAS Vulcamat à supporter les dépens de la procédure de première instance et de la procédure d'appel,

Condamne la SAS Vulcamat à payer à la Société Caisse Régionale de Crédit Agricole Mutuel Loire-Haute-Loire la somme de 3.000 euros à titre d'indemnisation sur le fondement de l'article 700 du code de procédure civile.

LA GREFFIERE LA PRESIDENTE

Article, 1240, C. civ. Article, L133-17, C. mon. fin. Article, L133-16, C. mon. fin. Article, L133-17, I, C. mon. fin. Détournements de fonds Négligence grave Caractère frauduleux Dirigeant de l'entreprise Lien de causalité Erreur Paiement partiel Remboursement Délai légal Délai de réponse Refus de communiquer Mauvaise foi du débiteur Courriel frauduleux Instrument de paiement Paiement Agissement frauduleux Prestation de service Données personnelles Personne physique Personne morale Caractère irrégulier Notoriété publique Dommages-intérêts Raison objective