GS/SL

N° Minute

[Immatriculation 1]/279

COUR D’APPEL de CHAMBÉRY

Chambre civile – Première section

Arrêt du Mardi 06 Mai 2025

N° RG 22/00813 – N° Portalis DBVY-V-B7G-G7PL

Décision attaquée : Jugement du Tribunal de Commerce d’ANNECY en date du 03 Mai 2022

Appelante

CAISSE REGIONALE DE CREDIT AGRICOLE MUTUEL DES SAVOIE, dont le siège social est situé [Adresse 2]

Représentée par la SARL AVOLAC, avocats au barreau d’ANNECY

Intimée

Société MONT-BLINVEST, dont le siège social est situé [Adresse 3]

Représentée par la SAS LEGALPS AVOCATS-HERLEMONT ET ASSOCIES, avocat au barreau d’ANNECY

— =-=-=-=-=-=-=-=-

Date de l’ordonnance de clôture : 16 Décembre 2024

Date des plaidoiries tenues en audience publique : 11 mars 2025

Date de mise à disposition : 06 mai 2025

— =-=-=-=-=-=-=-=-

Composition de la cour :

— M^me Nathalie HACQUARD, Présidente,

— M^me Myriam REAIDY, Conseillère,

— M. Guillaume SAUVAGE, Conseiller,

avec l’assistance lors des débats de M^me Sylvie LAVAL, Greffier,

— =-=-=-=-=-=-=-=-

Faits et procédure

La société Mont-Blinvest, ayant pour objet la prise de participations, a ouvert le 11 juin 2005 un compte professionnel dans les livres de la société Caisse Régionale de Crédit Agricole des Savoie et souscrit une assurance Sécuricompte professionnel auprès de la même société.

Les deux associés de la société Mont-Blinvest, Monsieur [H] [S] et son épouse, Mme [G] [I], ont tous deux accès au compte de la société. M. [H] [S] est par ailleurs titulaire d’un compte personnel ouvert auprès du même établissement bancaire.

Les 15 et 16 février 2021, deux virements frauduleux ont été effectués sur le compte professionnel de la société, pour des montants respectifs de 18.072, 07 euros et 23.507 euros, au profit d’un nouveau bénéficiaire, la société Global Collect Services BV, qui venait d’être ajouté par le biais du service 'SécuriPass’ de la banque. M. [S] a quant à lui été victime, de manière concomittante, d’une tentative de fraude sur son compte personnel, qui a été détectée par le service anti-fraude de la banque le 16 février 2021, qui lui a remboursé la somme de 2 400 euros.

Suite au refus exprimé par sa banque de lui rembourser la somme de 41.579,07 euros, correspondant aux sommes indûment prélevées sur son compte, la société Mont-Blinvest, soutenant avoir été victime d’un hameçonnage rendu possible par les défaillances de sa contractante, l’a, suivant exploit en date du 30 juillet 2021,faite assigner devant le tribunal de commerce d’Annecy afin d’obtenir le remboursement des virements frauduleux ainsi que le paiement de dommages et intérêts.

Par jugement du 3 mai 2022, le tribunal de commerce d’Annecy, avec le bénéfice de l’exécution provisoire, a :

— Constaté que les virements frauduleux n’ont pu être effectués qu’en raison du délit de fraude informatique dont a été victime la société Caisse régionale de Crédit Agricole des Savoie ;

— Constaté que la société Caisse régionale de Crédit Agricole des Savoie a gravement manqué à ses obligations de surveillance, de sécurité, et de vigilance ;

— Dit l’action de la société Mont-Blinvest recevable et bien fondée ;

— Débouté la société Caisse régionale de Crédit Agricole des Savoie de sa demande de partage de responsabilité ;

— Condamné la société Caisse régionale de Crédit Agricole des Savoie à payer à la société Mont-Blinvest la somme de 41.579,07 euros, en remboursement des virements frauduleux, assortie des intérêts au taux légal à compter du 16 février 2021, date à laquelle la société Mont-Blinvest a signalé ne pas avoir autorisé les deux opérations litigieuses ;

— Ordonné la capitalisation des intérêts de retard ;

— Condamné la société Caisse régionale de Crédit Agricole des Savoie à payer à la société Mont-Blinvest la somme de 5.000 euros à titre de dommages et intérêts ;

— Condamné la société Caisse régionale de Crédit Agricole des Savoie à payer à la société Mont-Blinvest la somme de 1.000 euros en application de l’article 700 du code de procédure civile ;

— Condamné la société Caisse régionale de Crédit Agricole des Savoie aux entiers dépens de l’instance.

Au visa principalement des motifs suivants :

le compte personnel de M. [S] a fait l’objet d’un détournement identique qui a bien été détecté par le service anti-fraude;

la banque a ainsi pu stopper le virement et recréditer le compte personnel de M. [S] de la même somme ;

la société Crédit Agricole des Savoie n’a donné aucune explication sur la différence de traitement entre le compte personnel de M. [S] et le compte professionnel de la société;

la défaillance des procédures du système de contrôle anti-fraude de la banque est avérée ;

aucun élément du dossier ne permet de caractériser la moindre négligence imputable à M. [S] ;

les manquements contractuels imputables à la société Caisse régionale de Crédit Agricole des Savoie ont causé un préjudice à la société Mont-Blinvest, dont elle fondée à obtenir l’indemnisation.

Par déclaration au greffe de la cour d’appel du 9 mai 2022, la société Caisse régionale de Crédit Agricole des Savoie a interjeté appel de ce jugement en toutes ses dispositions.

Prétentions et moyens des parties

Aux termes de ses dernières écritures du 8 décembre 2022, régulièrement notifiées par voie de communication électronique, la société Caisse régionale de Crédit Agricole des Savoie sollicite l’infirmation de la décision entreprise et demande à la cour, statuant à nouveau, de :

A titre principal,

— Dire et juger que sa responsabilité ne saurait être engagée ;

— Dire et juger que la société Mont-Blinvest est seul responsable de son préjudice ;

— Voir rejeter toutes demandes en ce qu’elles ne sont pas fondées ;

— Voir condamner la société Mont-Blinvest au paiement d’une somme de 5.000 euros au titre de l’article 700 du code de procédure civile outre aux entiers dépens ;

A titre subsidiaire, si par extraordinaire la juridiction de céans entendait retenir en partie sa responsabilité,

— Voir ordonner un partage de responsabilité à hauteur de 80 % à charge de la société Mont-Blinvest du montant des sommes détournées ;

— Ordonner la restitution des sommes trop perçues par l’intimée ;

— Dire et juger que chacune des parties conservera ses frais irrépétibles et dépens ;

— Rejeter toutes autres demandes et notamment l’appel incident sur le montant des dommages intérêts.

Au soutien de ses prétentions, l’établissement bancaire fait notamment valoir que :

' le hameçonnage dont a été victime sa cliente n’est nullement imputable à une quelconque défaillance de ses systèmes de sécurité ;

' la société Mont-Blinvest a contrevenu à ses obligations tirées des articles L. 133-16 et L. 133-19 du code monétaire et financier en faisant preuve d’une négligence grave dans la conservation ses instruments de paiement, M. [S] ayant répondu le 15 février 2021 à un courriel qui était manifestement frauduleux, ce qui a permis l’ajout d’un nouveau bénéficiaire de virement authentifié par le système SécuriPass;

' M. [S] a, à cette occasion, communiqué ses données personnelles à un tiers, permettant la réalisation de la fraude et cette négligence grave est seule à l’origine de la fraude;

' le service SécuriPass répond aux critères de sécurité imposés par l’article L.133-4 du code monétaire et financier, en ce qu’il cumule au moins deux éléments obligatoires d’authentification forte ;

' aucune déficience technique ne peut être retenue, dès lors que l’ensemble des étapes d’ajout du bénéficiaire a été respecté ;

' M. [S] a été destinataire de mails l’informant des virements réalisés vers une société inconnue et a également été négligeant à ce titre ;

' les virements effectués sur le compte de la société Mont-Blinvest étaient des virements SEPA instantanés, conduisant à la mise à disposition immédiate des fonds au profit de son bénéficiaire ;

' les procédures d’alerte pour des virements douteux qui sont mises en place pour les comptes professionnel sont différentes de celles qui existent pour les comptes des particuliers, et la société Mont-Blinvest effectuait régulièrement sur son compte des virements importants ;

' il n’est justifié d’aucun préjudice distinct, alors que le compte de la société Mont-Blinvest a pu fonctionner de manière normale et honorer ses échéances suite aux opérations frauduleuses.

Dans ses dernières conclusions du 1er décembre 2022, régulièrement notifiées par voie de communication électronique, la société Mont-Blinvest demande de son côté à la cour de :

— Débouter la société Caisse régionale de Crédit Agricole des Savoie des fins de son appel;

— Confirmer le jugement du 3 mai 2022 du tribunal de commerce d’Annecy, en ses toutes ses dispositions hormis en ce qu’elle a condamné la société Caisse régionale de Crédit Agricole des Savoie à payer à la société Mont-Blinvest la somme de 5.000 euros à titre de dommages et intérêts ;

Y faisant droit et statuant de nouveau,

— Constater que la société Caisse régionale de Crédit Agricole des Savoie a gravement manqué à ses obligations de surveillance, de sécurité, et de vigilance ;

— Constater que la société Caisse régionale de Crédit Agricole des Savoie fait preuve d’une particulière mauvaise foi ;

En conséquence,

— Condamner la société Caisse régionale de Crédit Agricole des Savoie à lui payer la somme de 20.000 euros à titre de dommages et intérêts en réparation des préjudices résultant du manquement à ses obligations de surveillance, de sécurité et de vigilance et de sa résistance abusive ;

A titre subsidiaire,

— Débouter la société Caisse régionale de Crédit Agricole des Savoie des fins de son appel;

— Confirmer le jugement du 3 mai 2022 du tribunal de commerce d’Annecy, dans l’ensemble de ses dispositions,

En tout état de cause,

— Condamner la société Caisse régionale de Crédit Agricole des Savoie à lui payer la somme de 5.000 euros sur le fondement de l’article 700 du code de procédure civile ;

— Condamner la société Caisse régionale de Crédit Agricole des Savoie aux entiers dépens.

Au soutien de ses prétentions, la société Mont-Blinvest fait notamment valoir que :

' suite à la réception d’un courriel qui semblait émaner du Crédit Agricole, et concernant son compte personnel, M. [S] s’est connecté et identifié sur une plateforme conforme à celle de sa banque, ne présentant aucune anomalie sérieuse, et le code permettant son authentification lui a été transmis par le numéro habituel de sa banque, de sorte qu’il ne disposait d’aucun indice lui permettant de soupçonner qu’il était victime d’une fraude ;

' le service SécuriPass n’offre pas les garanties attachées à une authentification forte, puisqu’il n’a reçu aucune demande d’autorisation sur son téléphone pour valider les virements frauduleux ;

' aucune négligence de sa part ne se trouve caractérisée :

' la banque ne démontre nullement que les opérations litigieuses n’ont pas été affectées par une déficience technique ni n’explique la différence de traitement entre le compte professionnel et le compte personnel de M. [S], ce d’autant que l’accès à ces comptes se fait par le biais des mêmes codes d’accès ;

' le piratage du compte met en exergue une défaillance du système de sécurité de la banque, dont elle doit répondre ;

' la banque aurait dû être alertée par le double ajout d’un même bénéficiaire, situé aux Pays-Bas et sur des virements ne correspondant pas au fonctionnement du compte, alors que le compte personnel de M. [S] était de manière concomitante la cible de la même fraude ;

' la mauvaise foi du Crédit Agricole l’a mise en difficulté pour le paiement des factures et des salaires, et l’a conduite à différer des investissements qu’elle projetait de réaliser, ce qui justifie l’allocation de dommages et intérêts.

Pour un plus ample exposé des faits, de la procédure et des prétentions des parties, la cour se réfère à leurs conclusions visées par le greffe et développées lors de l’audience ainsi qu’à la décision entreprise.

Une ordonnance du 16 décembre 2024 a clôturé l’instruction de la procédure. L’affaire a été plaidée à l’audience du 11 mars 2025.

Motifs de la décision

I – Sur la demande de remboursement des virements frauduleux

Aux termes de l’article L133-16 du code monétaire et financier, dans sa version en vigueur depuis le 13 janvier 2018, telle que modifiée par l’ordonnance n°2017-1252 du 9 août 2017, 'dès qu’il reçoit un instrument de paiement, l’utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées'.

L’article L133-23 du même code prévoit quant à lui que :

'Lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre.

L’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière. Le prestataire de services de paiement, y compris, le cas échéant, le prestataire de services de paiement fournissant un service d’initiation de paiement, fournit des éléments afin de prouver la fraude ou la négligence grave commise par l’utilisateur de services de paiement'.

En l’espèce, il se déduit des pièces qui sont versées aux débats que M. [S] a reçu le 15 février 2021, à 14H53, un courriel émanant d’un utilisateur dénommé 'Caisse Régionale de Crédit-Agricole', utilisant l’adresse '[Courriel 4]', relatif à l’activation de la fonctionnalité 'Secupass', l’informant de la mise en service d’un nouveau site de la banque et l’invitant à en découvrir les nouvelles fonctionnalités à partir d’un lien (ACCES: vos identifiants) et mentionnant un numéro de téléphone au 08 800 48 48 48 en cas de difficultés.

Il est constant que M. [S] a cliqué sur ce lien et a accédé à une plateforme dont aucune des parties ne produit la photographie mais qui, à défaut de preuve contraire, doit nécessairement être considérée comme étant conforme ou à tout le moins ressemblant à celle de la banque. Sur cette plateforme, M. [S] indique avoir renseigné les coordonnées de la carte de crédit associée à son compte personnel. Il a ensuite reçu deux SMS consécutifs, émanant du même numéro de téléphone que celui utilisé habituellement par le Crédit Agricole, dont l’un, à 18H21, contenant un code confidentiel lui permettant d’activer la fonctionnalité 'Sécuripass'. Une copie de ces SMS, conformes à ceux antérieurement adressés à l’intéressé par sa banque, est versée aux débats.

Il est constant que suite à l’activation de cette fonctionnalité, intervenue de manière effective à 18H25, conformément à deux courriels reçus de sa banque par M. [S], un nouveau compte bénéficiaire, correspondant à la société Global Collect Services BV, domiciliée aux Pays-Bas, a été ajouté à son compte personnel et à son compte professionnel, à 18H45 puis 18H50. Les virements litigieux ont ensuite été effectués les 15 février et 16 février 2021, sans que la société Mont-Blinvest n’en soit informée par sa banque ni ne reçoive de demande de confirmation.

Il n’est pas non plus contesté que le 16 février 2021, à 9H30, M. [S] a reçu un appel du service anti-fraudes de la banque, lui permettant d’obtenir la restitution d’un virement de 2.400 euros qui avait été effectué de manière concomittante sur son compte personnel au profit de la même société hollandaise.

Comme le fait observer l’appelante, le courriel qui a été reçu par M. [S] le 15 février 2021 à 14H53 contenait des indices permettant à un utilisateur normalement attentif de douter de sa provenance, en ce qu’il émanait d’une adresse 'orange.fr', et non 'ca-des-savoie.fr', que le numéro de téléphone qu’il mentionnait pour l’assistance n’était pas celui du Crédit Agricole, et qu’il désignait le service d’authentification forte de la banque de manière erronée, à savoir 'Secupass’ au lieu de 'Securipass'. Il est constant, par ailleurs, que sur son site, le Crédit Agricole attire l’attention de ses clients sur le risque de fraude, en précisant que l’activation de Sécuripass s’effectue uniquement dans l’application prévue à cet effet. Ce qui peut être de nature à caractériser l’existence d’une négligence imputable à M. [S].

Force est de constater, cependant, que la banque n’apporte aucune explication sur les SMS qui ont été reçus par son client à partir du numéro de téléphone qu’elle utilise habituellement, ce qui démontre que ce dernier a été piraté. Or, la réception de tels messages, émanant du numéro habituel, était de nature à conforter M. [S] sur la sécurisation de la procédure qu’il était en train d’utiliser.

Il ne peut qu’être induit de ces constatations que la négligence imputable à M. [S] ne présente pas un caractère grave au sens de l’article L133-23 du code monétaire et financier.

Il convient d’observer, surtout, que l’appelante n’explique nullement comment il a été possible, pour l’auteur de la fraude, de procéder, à travers un faux site internet, à une activation effective de la fonctionnalité 'Securipass', mise en place par le Crédit Agricole, et de procéder ensuite à la création d’un nouveau bénéficiaire, puis de réaliser les virements litigieux, sans aucune nouvelle intervention de la part de M. [S]. Ces éléments sont de nature à démontrer qu’en réalité, ainsi qu’il a été relaté par la presse, dans un article qui est versé aux débats par l’intimée, cette banque a été la cible d’une campagne de phishing ou hameçonnage de grande ampleur, ayant impacté environ 1 700 de ses clients, notamment à travers un logiciel capable de recréer des interfaces de sites Web comme celui du Crédit Agricole. Et tout porte à croire que la société Mont-Blinvest fait partie des victimes de ce pirate informatique.

En tout état de cause, le fait qu’il ait été possible, pour un pirate, de procéder à l’activation effective de la fonctionnalité 'Securipass’ du Crédit Agricole à travers un faux site internet, et d’adresser des SMS à partir du même numéro que celui utilisé habituellement par cet établissement bancaire, met clairement en exergue l’existence de défaillances de la banque dans les procédures sécurisées qu’elle met à disposition de ses clients.

Il est important de relever, ensuite, que l’activation qui a été réalisée par M. [S] par le biais du faux site internet du Crédit Agricole ne concernait que son compte personnel, et en aucun cas le compte professionnel de la société dont il était actionnaire. Or, il est constant qu’à partir des mêmes identifiants et codes d’accès de M [S], l’auteur de la fraude a également pu accéder au compte de la société, les deux comptes étant accessibles à partir de la même interface.

Il se déduit également des pièces qui sont versées aux débats qu’à aucun moment, M. [S] n’a été destinataire d’une demande de confirmation par SMS de l’ajout du nouveau bénéficiaire, n’ayant été informé de cette opération qu’a posteriori, par courriel. Aucune demande de validation ne lui a non plus été adressée s’agissant des virements qui ont ensuite été réalisés.

Il doit nécessairement se déduire de ces constatations que le Crédit Agricole ne démontre nullement que les opérations litigieuses, dont il est constant qu’elles ont été réalisées par un pirate informatique, auraient été authentifiées, dûment enregistrées et comptabilisées et qu’elles n’auraient pas été affectées par une déficience technique ou autre, au sens de l’article L133-23 du code monétaire et financier.

Enfin, comme l’ont constaté les premiers juges, la société Caisse Régionale de Crédit Agricole des Savoie ne justifie nullement de la différence de traitement qui a été opérée entre le compte personnel de M. [S] et le compte professionnel de la société Mont-Blinvest, alors que la réglementation applicable à ces deux comptes est identique en ce qui concerne la gestion des alertes auxquelles la banque est tenue de procéder en cas d’opérations inhabituelles.

Or, en l’espèce, les virements qui sont intervenus les 15 et 16 février 2021 présentaient bien un caractère inhabituel au regard du fonctionnement normal de la société Mont-Blinvest, tel qu’il se déduit de l’examen de ses relevés de compte, compte tenu de leur montant, et de leur bénéficiaire, qui était une société étrangère. Et d’une manière plus générale, la banque aurait nécessairement dû être alertée sur le risque de fraude, alors que les opérations étaient réalisées de manière concomitante sur le compte personnel de M. [S] et sur le compte de la société. En effet, si une fraude a immédiatement été détectée dans le premier cas, il est malaisé de justifier de l’absence d’alerte dans le second, alors que le bénéficiaire des virements frauduleux était identique.

Ces éléments sont de nature à caractériser un manquement de la banque à son devoir de surveillance et de vigilance.

C’est bien, en définitive, les manquements de la banque à ses obligations de sécurité, de surveillance et de surveillance qui sont à l’origine des virements frauduleux intervenus sur le compte de sa cliente. Il n’y a ainsi pas lieu à partage de responsabilité.

La société Mont-Blinvest apparaît ainsi bien fondée à obtenir le remboursement de la somme de 41.579,07 euros, assortie des intérêts au taux légal à compter du 16 février 2021. Le jugement sera donc confirmé de ce chef.

II – Sur les dommages et intérêts

Aux termes de l’article 1231-6 alinéa 3 du code civil, 'le créancier auquel son débiteur en retard a causé, par sa mauvaise foi, un préjudice indépendant de ce retard, peut obtenir des dommages et intérêts distincts de l’intérêt moratoire'.

La société Mont-Blinvest sollicite l’allocation de dommages et intérêts en raison de la résistance abusive de la banque. Elle ne précise cependant nullement la consistance exacte du préjudice, moral ou financier, dont elle sollicite la réparation de ce chef.

Si elle justifie, par les courriels qu’elle verse aux débats, de ce qu’elle a rencontré des difficultés pour se connecter à son compte suite à la fraude dont elle a été victime, il n’est pas établi que ces difficultés seraient liées au refus de remboursement qui lui a été opposé par la banque, et non à la fraude en elle-même.

L’appelante n’apporte par ailleurs aucun élément susceptible de justifier de ce qu’elle se serait trouvée dans l’incapacité de payer des salaires ou des factures dans les mois suivants, alors que son compte restait créditeur de 297.232, 45 euros à la date du 28 février 2021, suite aux virements frauduleux. Elle ne précise ni ne justifie non plus les investissements qu’elle prétend avoir été contrainte de différer suite à ces opérations.

Elle échoue ainsi à caractériser l’existence d’un préjudice distinct de celui qui lui a été causé par le retard de paiement, lequel se trouve déjà réparé par le cours des intérêts moratoires, et ne pourra donc qu’être déboutée de sa demande indemnitaire de ce chef. De sorte que le jugement entrepris devra être infirmé de ce chef.

Les autres dispositions du jugement seront par contre confirmées.

III – Sur les demandes accessoires

En tant que partie perdante, la société Caisse Régionale de Crédit Agricole des Savoie sera condamnée aux dépens d’appel, ainsi qu’à payer à la société Mont-Blinvest la somme de 3.000 euros au titre de l’article 700 du code de procédure civile. La demande qui est formée de ce chef par l’appelante sera enfin rejetée.

PAR CES MOTIFS,

La cour, statuant publiquement, contradictoirement et après en avoir délibéré conformément à la loi,

Infirme le jugement rendu le 3 mai 2022 par le tribunal de commerce d’Annecy en ce qu’il a condamné la société Caisse régionale de Crédit Agricole des Savoie à payer à la société Mont-Blinvest la somme de 5.000 euros à titre de dommages et intérêts,

Statuant de nouveau de ce chef,

Rejette la demande de dommages et intérêts formée par la société Mont-Blinvest,

Confirme le jugement entrepris en ses autres dispositions,

Y ajoutant,

Condamne la société Caisse régionale de Crédit Agricole des Savoie aux entiers dépens exposés en appel,

Condamne la société Caisse régionale de Crédit Agricole des Savoie à payer à la société Mont-Blinvest la somme de 3.000 euros au titre de l’article 700 du code de procédure civile,

Rejette la demande formée par la société Caisse régionale de Crédit Agricole des Savoie au titre de l’article 700 du code de procédure civile.

Arrêt Contradictoire rendu publiquement par mise à disposition de l’arrêt au greffe de la Cour, les parties en ayant été préalablement avisées dans les conditions prévues au deuxième alinéa de l’article 450 du code de procédure civile,

et signé par Nathalie HACQUARD, Présidente et Sylvie LAVAL, Greffier.

Le Greffier, La Présidente,

Copie délivrée le 06 mai 2025

à

la SARL AVOLAC

la SAS LEGALPS AVOCATS-HERLEMONT ET ASSOCIES

Copie exécutoire délivrée le 06 mai 2025

à

la SARL AVOLAC

la SAS LEGALPS AVOCATS-HERLEMONT ET ASSOCIES