PG/SL

COUR D’APPEL de CHAMBÉRY

Chambre civile – Première section

Arrêt du Mardi 08 Octobre 2019

N° RG 18/00138 – N° Portalis DBVY-V-B7C-F4DA

Décision attaquée : Jugement du Tribunal de Commerce d’ANNECY en date du 15 Décembre 2017, RG 2015J00184

Appelante

CAISSE RÉGIONALE DE CRÉDIT AGRICOLE MUTUEL DES SAVOIE, dont le siège social est situé 4 avenue du Pré Félin – 74940 ANNECY-LE-VIEUX

Représentée par la SCP VISIER PHILIPPE – OLLAGNON DELROISE & ASSOCIES, avocats au barreau de CHAMBERY

Intimées

SARL ETABLISSEMENTS X, dont le siège social est situé […]

Représentée par la SELARL VAILLY-BECKER, avocats au barreau d’ANNECY

SA SFR, dont le siège social est situé […]

Représentée par la SCP BOLLONJEON ARNAUD BOLLONJEON, avocats postulants au barreau de CHAMBERY

Représentée par la SCP PIRIOU METZ NICOLAS, avocats plaidants au barreau de VERSAILLES

— =-=-=-=-=-=-=-=-

COMPOSITION DE LA COUR :

Lors de l’audience publique des débats, tenue le 03 juin 2019 avec l’assistance de M^me Sylvie LAVAL, Greffier,

Et lors du délibéré, par :

—  Monsieur Philippe GREINER, Président, qui a procédé au rapport

—  M^me Alyette FOUCHARD, Conseiller,

—  M^me Inès REAL DEL SARTE, Conseiller,

— =-=-=-=-=-=-=-=-

La société ETABLISSEMENTS X (ci après dénommée X), dont l’activité est la menuiserie bois et PVC, est titulaire d’un compte bancaire ouvert auprès de la Caisse Régionale de

Crédit Agricole Mutuel des Savoie et bénéficie du système de paiement en ligne de cette banque.

Pour effectuer un virement, les opérations à réaliser sont les suivantes :

— le client accède à son compte par internet, après avoir mentionné son identifiant et son mot de passe ;

— il choisit l’opération à effectuer en l’occurrence « virement », clique sur le compte à débiter et indique le bénéficiaire ;

— pour ce faire, s’il s’agit d’un bénéficiaire non enregistré, il est nécessaire de mentionner son IBAN, mais pour que le virement soit effectif, un code est envoyé par SMS sur le numéro d’un téléphone portable préalablement communiqué par le client à la banque ;

— ce code une fois reçu sur le téléphone, n’a qu’une durée de validité très restreinte, et doit être rentré pour que l’IBAN (numéro du compte bénéficiaire) soit enregistré et que le virement puisse être effectif.

En l’espèce, le numéro de téléphone était celui de l’épouse du gérant, M^me Y X, titulaire d’un abonnement téléphonique auprès de la société SFR.

La société X a été victime d’une escroquerie, une personne ayant réussi à effectuer des virements à son profit à l’insu de l’entreprise, de la manière suivante :

— cette tierce personne a réussi à obtenir le 11/04/2014 de la société SFR une nouvelle carte SIM, activée à 19:04 ;

— quelques minutes après, une demande de création de comptes bénéficiaires de virements étaient effectués sur l’espace personnel de la société X par internet, ce qui aboutissait à la création du compte bénéficiaire CHANTECOQ, après envoi de deux codes d’authentification sur la ligne SFR ;

— le 12/04/2014, la même opération se répétait deux fois, deux comptes étant créés, WESTERN UNION et HATIMI ;

— dans l’après-midi, M^me X, constatant la défaillance de sa ligne téléphonique, se faisait délivrer une nouvelle carte SIM, activée à 16h42, ce qui avait pour conséquence de neutraliser la carte obtenue frauduleusement ;

— le 14/04/2014, deux virements frauduleux étaient effectués, l’un de 500 euros sur le compte WESTERN UNION, le second de 8.056,78 euros sur le compte HATIMI ;

— le lendemain, une nouvelle carte SIM était délivrée et activée à 19:20, et deux nouveaux comptes bénéficiaires étaient créés, les comptes Z A et B C ;

— le 16/04/2014, M^me X, constatant à nouveau le dysfonctionnement de son téléphone, se faisait délivrer une carte SIM désactivant ainsi la 2^e carte SIM frauduleuse ;

— pour autant, des virements ont pu être opérés sur les comptes créés à savoir :

* 500 euros le 17/04/2014 sur le compte WESTERN UNION

* 15.500,56 euros sur le compte Z A, le même jour ;

* 900,56 euros et 950,90 euros sur le compte B C le même jour, 980,80 euros le

22/04 et 5.000 euros le 23/04/2014 :

* 4.999 euros le 27/04 sur le compte WESTERN UNION

* 15.000 euros le 28/04 sur le compte CHANTECOQ

* 15.000 euros le 30/04 sur ce même compte ;

* 14.990,80 euros le 02/05/2014 sur le compte Z A, soit un total de 81.070,04 euros.

La création de nouveaux comptes bénéficiaires sollicitée le 24/04/2014 échouait, les codes étant envoyés sur la nouvelle carte SIM du téléphone de M^me X.

Le 02/05/2014, M^me X D à la banque ces paiements suspects. La banque D aux banques des bénéficiaires les opérations frauduleuses sollicitait la restitution des fonds et effectuait une déclaration de virements frauduleux sur la plate-forme de surveillance des fraudes informatiques UFM.

La somme de 29.117,25 euros pouvait être récupérée et le compte de la société X était recrédité de cette somme le 14/05/2014.

Le 07/07/2014, la Caisse Régionale de Crédit Agricole Mutuel des Savoie a recrédité « à titre dérogatoire et commercial » la société X d’une nouvelle somme de 31.393,35 euros, au motif qu’à partir du 24/04/2014, la société X avait été en mesure de découvrir la fraude.

Par acte du 23/06/2015, la société X a assigné la Caisse Régionale de Crédit Agricole Mutuel des Savoie devant le tribunal de commerce d’Annecy en paiement des sommes de 19.989,40 euros et 190,64 euros, outre 5.000 euros de dommages intérêts et 3.000 euros au titre des frais irrépétibles visés à l’article 700 du code de procédure civile.

Par acte du 04/02/2016, la Caisse Régionale de Crédit Agricole Mutuel des Savoie a appelé en cause la société SFR, lui réclamant paiement de la somme de 31.963,35 euros.

Par jugement du 15/12/2017, le tribunal a condamné la Caisse Régionale de Crédit Agricole Mutuel des Savoie à payer à la société X les sommes suivantes :

—  19.989,44 euros au titre du solde des sommes indûment prélevées de son compte bancaire, outre intérêts au taux légal à compter de la mise en demeure du 04/02/2015 ;

—  190,64 euros au titre des frais bancaires outre intérêts au taux légal à compter de la mise en demeure du 04/02/2015 ;

— débouté la Caisse Régionale de Crédit Agricole Mutuel des Savoie de sa demande à l’encontre de la société SFR ;

— condamné la Caisse Régionale de Crédit Agricole Mutuel des Savoie à payer 2.000 euros au titre des frais irrépétibles visés à l’article 700 du code de procédure civile à la société X d’une part et à la société SFR d’autre part ;

— rejeté le surplus des demandes ;

— condamné la Caisse Régionale de Crédit Agricole Mutuel des Savoie aux dépens ;

— ordonné l’exécution provisoire.

Par déclaration du 16/01/2018, la Caisse Régionale de Crédit Agricole Mutuel des Savoie a relevé appel de cette décision, intimant les sociétés X et SFR.

Dans ses conclusions du 17/05/2019, elle conclut à la réformation de la décision déférée et réclamer aux intimées 6.000 euros au titre des frais irrépétibles visés à l’article 700 du code de procédure civile, elle demande à la Cour de :

— dire que la société X est seule responsable de son préjudice tandis que la Caisse Régionale de Crédit Agricole Mutuel des Savoie n’a commis aucune faute et débouter cette société de l’ensemble de ses prétentions ;

— débouter la société SFR de ses demandes ;

— dire que la société SFR a commis des fautes qui lui ont été préjudiciables ;

— la condamner à lui payer la somme de 31.963,35 euros correspondant au remboursement opéré au profit de la société X et à la relever et garantir de toutes condamnations qui pourraient être prononcées à son encontre ou à lui régler des dommages intérêts d’un montant équivalent à ces condamnations ;

— subsidiairement, si sa responsabilité était retenue, retenir en sus la faute de la société SFR et prononcer un partage de responsabilité entre les trois intervenants et en tous cas entre elle-même et la société SFR ;

— dès lors condamner la société SFR à payer à la Caisse Régionale de Crédit Agricole Mutuel des Savoie la somme de 15.981,67 euros, et à la relever et garantir pour moitié des condamnations qui seraient encore prononcées à son encontre, ou à lui régler des dommages intérêts d’un montant équivalent à ces condamnations.

Elle expose en substance que :

— les virements contestés ont été autorisés au sens de l’article L.133-23 du code monétaire et financier, en l’absence de défaillance technique de la part de sa part ;

— des négligences graves ont été commises par l’utilisateur du service de paiement en ligne, exonératoires de toute responsabilité pour la banque, la société X n’ayant pas mis en place un mot de passe pour pouvoir changer de carte SIM et ayant tardé à réagir, ayant attendu 7 jours pour signaler le détournement ;

— la société SFR a commis des fautes en délivrant des cartes SIM sans vérifier l’identité du demandeur et en ne réagissant pas alors que 4 cartes SIM étaient délivrées en peu de temps.

Par conclusions du 09/07/2017, la société X conclut à la confirmation du jugement entrepris et réclame 5.000 euros de dommages intérêts pour résistance abusive et injustifiée outre 4.000 euros au titre des frais irrépétibles visés à l’article 700 du code de procédure civile, sollicitant à titre subsidiaire, la condamnation in solidum de la Caisse Régionale de Crédit Agricole Mutuel des Savoie et de la société SFR au paiement des sommes de 19.989,44 euros et 190,64 euros, outre intérêts au taux légal à compter de la mise en demeure, faisant valoir que la banque avait manqué à son devoir de surveillance du compte et qu’elle n’a jamais reçu le moindre SMS pour l’ensemble des virements frauduleux.

Par conclusions du 03/05/2019, la société SFR conclut à la confirmation de la décision attaquée et réclame 5.000 euros au titre des frais irrépétibles visés à l’article 700 du code de procédure civile. A titre subsidiaire, elle conclu au rejet des demandes formées à son encontre, déclarant en substance

que ;

— il y a eu nécessairement « phishing bancaire » car le pirate a eu accès au compte de la société X en étant doté de son identifiant et de son mot de passe ;

— une nouvelle carte SIM a été délivrée grâce à l’usurpation d’identité de la victime grâce au phishing ;

— le code monétaire et financier pose le principe que le prestataire de services de paiement supporte le risque lié à l’envoi au payeur d’un instrument de paiement ou de tout dispositif de sécurité personnalisé de celui-ci ;

— la banque a une obligation de vigilance et n’a pas cherché à s’assurer auprès de son client que des opérations totalement inhabituelles correspondaient bien à ses ordres ;

— en faisant le choix d’un système d’envoi de mot de passe sur un téléphone portable, alors qu’il existe d’autres systèmes, la banque a pris un risque qu’elle doit assumer ;

— elle a été assignée tardivement, ce qui l’empêche désormais de vérifier la réalité des messages entrants sur chacune des cartes SIM délivrées ;

— son obligation de vérifier l’identité d’un demandeur de carte SIM n’est qu’une obligation de moyen, alors que le processus de changement de carte par téléphone implique de connaître la dernière facture et les 14 derniers chiffres présents sur la carte SIM et le numéro de mobile et le mot de passe si ce changement est fait par internet ;

— le changement de carte SIM ne permet pas à lui seul de réaliser des virements frauduleux ;

— la banque a chargé un tiers, la société NETSIZE, de la gestion des messages d’authentification et n’a pas avisé la société SFR de ce qu’elle utilisait son réseau mobile pour finaliser des opérations bancaires ce qui exclut tout partage des responsabilités.

MOTIFS DE LA DECISION

Sur l’action de la société X à l’encontre de la Caisse Régionale de Crédit Agricole Mutuel des Savoie

Mandataire à titre onéreux, le prestataire du payeur engage sa responsabilité même pour fautes légères, le banquier auquel l’ordre est adressé ayant l’obligation de s’assurer qu’il émane bien du titulaire du compte à débiter et qu’il ne comporte aucune anomalie.

En outre, selon l’article L.133-15 du code monétaire et financier dans sa version applicable à l’espèce, « le prestataire de services de paiement qui délivre un instrument de paiement doit s’assurer que les dispositifs de sécurité personnalisés de cet instrument tels que définis à l’article L.133-4 ne sont pas accessibles à d’autres personnes que l’utilisateur autorisé à utiliser cet instrument », l’article L.133-18 précisant que «en cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L.133-4, le prestataire de services de paiement du payeur rembourse immédiatement au payeur le montant de l’opération non autorisée et, le cas échéant, rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu ».

Par ailleurs, le client a de son côté des obligations, à savoir que, dès qu’il reçoit un instrument de paiement, il doit prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés, (art.L.133-16) et, lorsqu’il a connaissance de la perte, du vol, du détournement

ou de toute utilisation non autorisée de son instrument de paiement ou des données qui lui sont liées, il doit en informer sans tarder, aux fins de blocage de l’instrument, son prestataire ou l’entité désignée par celui-ci (art. L.133-17).

C’est ainsi que constituera une négligence grave de l’utilisateur d’un service de paiement en ligne, le fait d’avoir communiqué les données personnelles du dispositif de sécurité de son moyen de paiement en réponse à un courriel, lorsqu’il pouvait avoir conscience de répondre à un courriel frauduleux, voire seulement s’il pouvait avoir un doute sur sa provenance, peu important qu’il soit ou non avisé des risques « d’hameçonnage » (courriels frauduleux se présentant comme émanant d’une banque, d’une entreprise publique, voire du Trésor public et demandant au titulaire la confirmation de ses codes bancaires, dits aussi « phishing ».

Toutefois, l’article L.133-23 dans sa rédaction applicable à l’espèce, dispose que « lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre. L’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière ».

C’est donc à l’appelante de démontrer l’existence d’une faute ou d’une négligence commise par son client, avec pour conséquence de devoir supporter le préjudice subi par celui-ci, en cas d’insuffisance dans l’apport de la preuve.

En l’espèce :

— un tiers a pu créer sur le compte de la société X des autorisations d’effectuer des virements à son profit, en ajoutant dans la liste des bénéficiaires déjà enregistrés d’autres comptes, et ce, sans l’accord du titulaire du compte : on est ainsi en présence d’opérations de paiement non autorisées, qui se définissent comme celles qui sont déclenchées par une personne autre que le payeur à l’aide d’un instrument de paiement appartenant à ce dernier puisque a contrario l’article L. 133-6-I définit l’opération autorisée comme celle par laquelle le payeur a donné un consentement à son exécution ;

— la façon dont le faussaire a pu accéder au compte bancaire de la société X n’a pu être élucidée, et en conséquence aucun élément du dossier ne permet de démontrer l’existence d’une négligence de la société X ; il en va de même pour l’usage de cartes SIM ;

— or, cette preuve doit être apportée par la banque ; faute pour elle de le faire, elle engage sa responsabilité ; en effet, le banquier auquel l’ordre est adressé a l’obligation de s’assurer qu’il émane bien du titulaire du compte à débiter et qu’il ne comporte aucune anomalie ; lorsque comme en l’occurrence, la composition de codes ou d’identifiants est utilisée pour les ordres en ligne, le prestataire doit mettre en place des mesures de vérification des dispositifs de sécurité personnalisés et il doit supporter les conséquences de sa défaillance si les mesures prises se sont avérées insuffisantes (par exemple, des banques imposent outre l’usage d’un code envoyé par SMS, celui d’un autre code indiqué sur un document papier, une carte matricielle, remis à l’utilisateur seul, ce qui limite le risque tenant à l’utilisation de la ligne téléphonique du client par un tiers) ;

— enfin, la société X a, dès sa découverte de virements frauduleux, avisés sa banque, étant relevé que la titulaire de la ligne téléphonique, M^me X, était en congés à cette époque, se trouvant à Sainte Maxime, fait de nature à rendre plus difficile un examen au jour le jour de la comptabilité de l’entreprise.

C’est donc par une exacte appréciation des circonstances de la cause que le premier juge a déclaré la Caisse Régionale de Crédit Agricole Mutuel des Savoie responsable de l’entier dommage subi par la société X. Le jugement déféré sera confirmé de ce chef.

La société X voyant sa demande au principale satisfaite, il n’y a pas lieu en conséquence de se prononcer sur son action, diligentée à titre subsidiaire, dirigée contre la société SFR, seule l’action récursoire de la banque contre cette dernière devant être examinée par la Cour.

Sur l’action récursoire de la Caisse Régionale de Crédit Agricole Mutuel des Savoie à l’encontre de la société SFR

La Caisse Régionale de Crédit Agricole Mutuel des Savoie, tiers au contrat liant les sociétés X et SFR, est fondée à agir à l’encontre de celle-ci en invoquant une faute dans l’accomplissement de ses obligations vis à vis de la société X, le manquement invoqué constituant alors une faute extra-contractuelle, ce qui implique que la charge de la preuve incombe à la banque.

En l’espèce :

— la société SFR n’a pas expédié de carte SIM, ni n’en a vendu dans un de ses points de vente ;

— le changement de carte a été effectué par téléphone par une personne qui avait réussi à obtenir les informations suffisantes sur le titulaire de la ligne pour répondre aux questions de vérification permettant à l’opérateur de s’assurer de l’identité de son interlocuteur ;

— aucun élément du dossier ne permet de dire que le protocole d’identification mis en place par l’opérateur aurait été défaillant, l’obtention d’une nouvelle carte SIM nécessitant la connaissance d’éléments normalement seuls connus de l’abonné, étant observé qu’il n’a pas été mis en évidence une carence ou une négligence de la société X, la façon dont le faussaire s’est procuré les informations confidentielles n’ayant pas été élucidée ;

— la société SFR n’avait pas à mettre en place un système plus sécurisé, dès lors qu’elle n’avait pas connaissance de l’utilisation de la ligne téléphonique à des fins de paiement, la société SFR, uniquement engagée envers la société X par un contrat de téléphonie, n’étant pas en mesure de vérifier la fiabilité du système de sécurisation choisi par la banque ; le seul risque prévisible pour l’opérateur était constitué par une facturation indue d’appels téléphoniques frauduleux ;

— du reste, en vertu de l’article L.133-15 du code monétaire et financier, c’est celui qui délivre un instrument de paiement qui doit s’assure de la non-accessibilité des dispositifs de sécurité à d’autres personnes que son client ;

— la seule utilisation frauduleuse du téléphone ne permet pas d’effectuer des virements.

Dans ces conditions, c’est par une exacte appréciation des circonstances que le premier juge a mis hors de cause la société SFR.

Le jugement déféré sera en conséquence confirmé.

Sur les frais irrépétibles

Le jugement entrepris sera confirmé sur ce point. En revanche, l’équité ne commande pas l’application des dispositions de l’article 700 du code de procédure civile concernant les frais irrépétibles exposés par la société SFR et la société X en cause d’appel.

PAR CES MOTIFS,

La Cour statuant publiquement et contradictoirement,

CONFIRME le jugement déféré en toutes ses dispositions,

Y AJOUTANT,

DIT n’y avoir lieu à paiement des frais visés à l’article 700 du code de procédure civile exposés en cause d’appel,

CONDAMNE la Caisse Régionale de Crédit Agricole Mutuel des Savoie aux dépens de première instance et d’appel,

AUTORISE les avocats qui en ont fait la demande à recouvrer les dépens dont ils ont fait l’avance sans avoir reçu provision.

Ainsi prononcé publiquement le 08 octobre 2019 par mise à disposition de l’arrêt au greffe de la Cour, les parties en ayant été préalablement avisées dans les conditions prévues au deuxième alinéa de l’article 450 du code de procédure civile, et signé par Philippe GREINER, Conseiller HH et Sylvie LAVAL, Greffier.

Le Greffier, Le Président,