ASD/LL

CAISSE DE CRÉDIT MUTUEL DU CREUSOT

C/

SA CAISSE D’EPARGNE ET DE PRÉVOYANCE DE D E COMTE

SARL CARROSSERIE A ET FILS

Expédition et copie exécutoire délivrées aux avocats le

COUR D’APPEL DE DIJON

2^e Chambre Civile

ARRÊT DU 05 DÉCEMBRE 2019

N° RG 17/01424 – N° Portalis DBVF-V-B7B-E3YP

MINUTE N°

Décision déférée à la Cour : au fond du 04 septembre 2017,

rendue par le tribunal de commerce de Chalon sur Saône – RG N°2016/2124

APPELANTE :

CAISSE DE CRÉDIT MUTUEL DU CREUSOT, représentée par son Président du Conseil d’Administration domicilié au siège social sis :

[…]

[…]

représentée par M^e Simon LAMBERT, membre de la SCP LANCELIN & LAMBERT, avocat au barreau de DIJON, vestiaire : 62

INTIMÉES :

SA CAISSE D’EPARGNE ET DE PRÉVOYANCE DE D E COMTE, agissant poursuites et diligences de ses représentants légaux domiciliés en cette qualité au siège social sis :

[…]

[…]

représentée par M^e Jean-Vianney GUIGUE, membre de la SCP Y & ASSOCIES, avocat au barreau de CHALON-SUR-SAONE,

assistée de M^e Ludovic BUISSON, avocat au barreau de CHALON SUR SAÔNE

SARL CARROSSERIE A ET FILS, représentée par son gérant, domicilié au siège :

[…]

[…]

représentée par M^e Florence LHERITIER, avocat au barreau de DIJON, vestiaire : 22

assisté de M^e Zakeye ZERBO, membre de la SELARL ZERBO, avocat au barreau de LYON

COMPOSITION DE LA COUR :

L’affaire a été débattue le 03 octobre 2019 en audience publique devant la cour composée de :

Françoise VAUTRAIN, Président de Chambre, Président,

Sophie DUMURGIER, Conseiller,

Anne SEMELET-DENISSE, Conseiller, ayant fait le rapport sur désignation du Président,

qui en ont délibéré.

GREFFIER LORS DES DÉBATS : Laurence SILURGUET, Greffier

DÉBATS : l’affaire a été mise en délibéré au 05 Décembre 2019,

ARRÊT : rendu contradictoirement,

PRONONCÉ : publiquement par mise à disposition de l’arrêt au greffe de la cour, les parties en ayant été préalablement avisées dans les conditions prévues au deuxième alinéa de l’article 450 du code de procédure civile,

SIGNÉ : par Françoise VAUTRAIN, Président de Chambre, et par Laurence SILURGUET, greffier auquel la minute de la décision a été remise par le magistrat signataire.

FAITS ET PROCÉDURE

La SARL carrosserie A et fils exerce une activité de dépannage et une activité de vente de véhicule neufs et d’occasion multimarques.

Le 16 septembre 2003, elle a ouvert auprès de la Caisse d’Epargne et de Prévoyance de D E-Comté deux comptes professionnels ayant des usages distincts :

— un compte «véhicule'» n°08001323165 destiné spécifiquement à l’activité d’achat et de vente de véhicules, sur lequel sont enregistrées les opérations d’un montant important,

— un compte «'carrosserie'» n°08774842591 utilisé uniquement pour les activités de carrosserie, réparations et les opérations de faible montant.

Le garage est aussi titulaire d’un compte auprès de la Caisse de Crédit Mutuel du Creusot.

Le 19 décembre 2014, afin de sécuriser et de faciliter ses opérations bancaires sur internet, la carrosserie A et fils a conclu une convention dénommée «'formule clé'» avec le Crédit Mutuel.

Pour accéder à ses différents comptes bancaires, pour consultation ou pour effectuer des opérations, l’utilisateur doit connecter à son ordinateur une clé USB, puis saisir un code pin à quatre chiffres, ainsi qu’un

identifiant à treize chiffres et pour finir un mot de passe de six chiffres.

Les seules personnes habilitées au sein de la carrosserie A et fils étaient les gérants Messieurs X et Z A.

Le 16 juillet 2015 à 11 H 31, la carrosserie A et fils a été victime d’un piratage informatique et d’un virement frauduleux de 64 850 euros du compte Caisse d’Epargne «'carrosserie'» n°08774842591 vers un compte situé au Royaume Uni au profit d’un dénommé Lukasz Wojcik.

Dès 8 H 30 le lendemain, M. X A a signalé cette opération à la Caisse d’Epargne et de Prévoyance de D E Comté afin que ce virement soit suspendu.

Le 21 juillet 2015, la Caisse d’Epargne et de Prévoyance de D E Comté a informé la carrosserie A et fils de son incapacité à suspendre le virement frauduleux, sa demande de retour des fonds du 17 juillet 2015 à 9 H 03 pour motif de fraude auprès de la banque anglaise Loyd étant rendu impossible du fait de l’utilisation des fonds par le bénéficiaire.

Par courrier recommandé avec accusé de réception du 23 juillet 2015, la carrosserie A et fils a mis en cause le système de sécurisation des transactions du Crédit Mutuel et lui a demandé le remboursement de la somme de 64 850 euros ainsi que des frais engendrés par cette opération.

M. B C informaticien intervenu pour la société My computing indiquait que l’ordinateur avait été exposé à un virus de «'type drixed'» malgré l’antivirus installé.

Par courrier recommandé avec AR en date du 6 août 2015, la carrosserie A et fils a interrogé la Caisse d’Epargne et de D E Comté sur son devoir d’alerte alors que l’opération en cause était complètement inhabituelle tant par son montant que par sa nature.

La banque a répondu par courrier du 16 et du 21 septembre 2015, que son devoir de non ingérence la dispensait de juger de l’opportunité des opérations qui transitaient sur le compte de ses clients et ce d’autant plus que la transaction avait été générée par télétransmission via un logiciel sécurisé.

Le crédit Mutuel a également indiqué à la SARL carrosserie A et fils par courrier du 19 novembre 2015 qu’elle ne pouvait être tenue pour responsable d’une fraude par utilisation d’un malware constituant une cause qui lui est étrangère.

Par acte d’huissier du 23 mars 2016 la carrosserie A et fils a assigné la Caisse de Crédit Mutuel du Creusot et la Caisse d’Epargne et de Prévoyance de D E Comté devant le tribunal de commerce de Chalon sur Saône en lui demandant au visa des articles L133-18 et L133-24 du code monétaire et financier, les articles 1134, 1135, 1147 et 1937 du code civil de :

«'- constater que son compte «'carrosserie'» n°0877 484 255 91 ouvert dans les livres de la Caisse d’Epargne et de Prévoyance de D E-Comté n’enregistre que des opérations de faibles montants et jamais des opérations à l’international,

— juger que par son caractère international, par son montant et en raison de la recrudescence en été 2015 des fraudes sur internet des comptes bancaires, le virement frauduleux de 64 850 euros du 16 juillet 2015 aurait nécessairement dû alerter l’attention de la Caisse d’Epargne et l’obliger à interroger la carrosserie A et fils avant de valider cette opération de virement,

— en ne prenant aucune précaution, la Caisse d’Epargne D E-Comté a manqué à son obligation de vigilance et commis une faute à son égard,

— constater que le Crédit Mutuel Le Creusot à mis à sa disposition une formule clé, un code pin et des mots de

passe censés sécuriser ses opérations sur internet et la mettre à l’abri des opérations frauduleuses,

— juger que la clé supposée sécuriser les opérations n’assure pas entièrement ses fonctions

en conséquence,

— condamner solidairement la Caisse d’Epargne D E-Comté et le Crédit Mutuel le Creusot à rembourser à la société carrosserie A et fils la somme de 64 850 euros frauduleusement soustrait de son compte bancaire le 16 juillet 2015,

— de condamner solidairement les mêmes à lui payer la somme de 5 000 euros à titre de dommages et intérêts en réparation du préjudice subi,

— en toute hypothèse, condamner solidairement la Caisse d’Epargne D E-Comté (sic) à lui payer la somme de 5 000 euros au titre de l’article 700 du code de procédure civile, ainsi qu’aux entiers dépens.'»

Par jugement du 4 septembre 2017, le tribunal de commerce de Chalon Sur Saône a :

— dit que la Caisse d’Epargne et de Prévoyance de D E Comté qui ne démontre pas la faute de la carrosserie A et fils qui aurait permis le faux ordre de virement, ne peut être exonérée, même partiellement, de sa responsabilité de plein droit de dépositaire,

— dit la Caisse d’Epargne et de Prévoyance de D France Comté a manqué à son devoir de surveillance, contrôle et de vigilance en s’abstenant de demander la confirmation pour l’ordre de virement frauduleux alors qu’elle disposait de faisceaux d’indices suffisants à constituer des anomalies intellectuelles apparentes imposant à tout le moins à la Caisse d’Epargne et de Prévoyance de D E Comté de procéder à un contrôle de la régularité formelle, que ces manquements ont rendu possible la réalisation du dommage subi par la carrosserie A et fils, causé par l’escroquerie dont elle a été victime, et que, au delà de sa responsabilité sans faute de dépositaire, la responsabilité pour faute de la Caisse d’Epargne et de Prévoyance de D E Comté est engagée,

— dit qu’en ce qui concerne le traitement de la demande de rapatriement des fonds de la carrosserie A et fils, la caisse d’épargne et de Prévoyance de D E Comté n’est pas fautive,

— dit qu’il ne peut être recherché la responsabilité du Crédit Mutuel, en ce que son système d’authentification serait défaillant du fait de l’absence de confirmation des virements via un support extérieur

— dit que le Crédit Mutuel a commis une faute engageant sa responsabilité, en ne procurant pas à la carrosserie A et fils un système qui ne procure pas la sécurité attendue (sic),

— dit qu’il ne peut être recherché la responsabilité du Crédit Mutuel pour absence d’information et de formation ayant rendu l’escroquerie possible,

— dit qu’il n’y a pas lieu d’appliquer au Crédit Mutuel la jurisprudence sur le faux parfait en matière de chèque dans la présente affaire,

— dit la carrosserie A et fils mal fondée en sa demande de dommages intérêts et l’en a débouté,

— condamné solidairement la Caisse d’Epargne et de Prévoyance de D E Comté et le Crédit Mutuel à rembourser la carrosserie A et fils la somme de 64 850 euros qui a été frauduleusement soustraite de son compte bancaire,

— condamné solidairement la Caisse d’Epargne et de Prévoyance de D E Comté et le Crédit

Mutuel à payer à la carrosserie A et fils la somme de 2 000 euros au titre de l’article 700 du code de procédure civile,

— débouté la Caisse d’Epargne et de Prévoyance de D E Comté et le Crédit Mutuel de toutes leurs demandes à l’encontre de la société carrosserie A et fils.

La caisse de Crédit Mutuel du Creusot a formé appel de ce jugement par déclaration du 27 septembre 2017 enregistrée le 29 septembre 2017.

PRÉTENTIONS ET MOYENS DES PARTIES

Aux termes de ses dernières conclusions transmises par voie électronique le 16 septembre 2019, la Caisse de Crédit Mutuel du Creusot demande à la cour au visa des articles 1134 et 1147 du code civil, L.133-22 du code monétaire et financier de :

«'- juger la demande de dommages et intérêts de 15 000 euros présentée par la société carrosserie A irrecevable et en conséquence la rejeter,

— juger que les conditions générales CMUT H I-CMUT DIRECTION ASSOCIATION version CG.03.07 10/13 sont opposables à la société carrosserie A en ce qu’elles sont inclues dans le fascicule des « CONDITIONS GÉNÉRALES PROFESSIONNELS ASSOCIATIONS AGRICULTEURS » références 82.02.64. car la société carrosserie A a signé le 14 janvier 2014, et reconnu accepter l’ensemble des conditions générales énumérées notamment par la remise du fascicule qu’il reconnaît avoir reçu,

— juger que le fait d’avoir maintenu la clé USB support physique de sécurité à demeure sur le poste informatif constitue une faute de la société carrosserie A,

— juger que la présence d’un opérateur de la société carrosserie A sur le poste sur lequel était présente la clé USB lorsque le pirate a effectué sa transaction frauduleuse aurait rendu la transaction frauduleuse impossible,

— juger que la société carrosserie A a fautivement exécuté ses obligations contractuelles en ce qu’elle ne s’est pas déconnectée du service après chaque utilisation et n’a pas assuré la sécurité de son informatique,

— juger en tout état de cause que le Crédit Mutuel ne peut être tenu responsable que pour faute prouvée et qu’aucune faute n’est démontrée à son encontre,

— juger qu’aucun préjudice n’est démontré,

— en conséquence réformer la décision dont appel et débouter la société carrosserie A de l’intégralité de ses demandes,

— condamner la SARL carrosserie A et fils à verser à la Caisse de Crédit Mutuel Le Creusot une somme de 4 000 euros en application des dispositions de l’article 700 du Code de Procédure Civile, ainsi qu’aux entiers dépens d’instance et d’appel'».

La banque explique qu’elle a vendu dans le cadre de sa convention de compte professionnel un système d’authentification qui, lorsqu’il est utilisé conformément au but recherché, est d’une très haute technicité et d’une très haute sécurité, puisqu’il associe tout à la fois un moyen physique de sécurité (une clé USB) et différents codes complexes, minimisant grandement la possibilité de piratage par rapport à un clavier virtuel.

Elle soutient qu’en laissant son poste informatique allumé alors que l’utilisateur n’était plus devant et surtout, en laissant en place la clé de sécurité, la carrosserie A et fils, n’a pas respecté les règles d’utilisation indiquées à l’article 5 des conditions générales d’utilisation des certificats de signature et d’authentification K. Sign de Keynectis (V1.1 du 23 Mars 2012).

Selon elle, le piratage dont la carrosserie A et fils a été victime n’est que le résultat de négligences de sa part, dont un système antivirus et un pare-feu de mauvaise qualité et sans doute non à jour, l’ouverture d’un mail reçu d’un émetteur inconnu dont le nom est à consonance anglaise, l’ouverture de la pièce jointe annexée à ce mail, et du maintien à demeure sur le poste informatique de la clé d’authentification.

Enfin, le Crédit Mutuel rejette toute responsabilité concernant le virement frauduleux du 16 juillet 2015 en s’appuyant sur l’article 7 des conditions générales CMUT H I / CMUT H ASSOCIATION 03.07 10/13.

Par ses dernières conclusions transmises par voie électronique le 12 septembre 2019, la Caisse d’Epargne et de Prévoyance de D E-Comté demande à la cour au visa des articles 1134 et 1147 du code civil, 564 du code de procédure civile de :

«'- confirmer le jugement rendu le 04 septembre 2017 par le Tribunal de commerce de Chalon sur Saône en ce qu’il a dit la SARL carrosserie A et fils mal fondée en sa demande de dommages et intérêts et l’en a déboutée,

— réformer le jugement rendu le 04 septembre 2017 par le Tribunal de commerce de Chalon sur Saône en toutes ses autres dispositions et

— juger irrecevable la demande de dommages et intérêts à hauteur de 100 000 euros présentée par la SARL carrosserie A et fils,

à tout le moins, de la juger infondée et la rejeter,

— de débouter la SARL carrosserie A et fils de l’intégralité de ses demandes,

— de condamner la SARL carrosserie A et fils au paiement de la somme de 4 000 euros sur le fondement de l’article 700 du CPC au profit de la Caisse d’Epargne et de Prévoyance de D E-Comté,

— de condamner la SARL carrosserie A et fils en tous les dépens, en réservant à la SCP Y et Associés le bénéfice de l’article 699 CPC'».

La Caisse d’Epargne et Prévoyance de D E-Comté rappelle qu’en tant que dépositaire de fonds, elle n’a pas à s’immiscer dans la gestion des affaires de ses clients, sous peine de commettre un manquement à son obligation de non-ingérence, qu’elle n’a pas à vérifier le bien-fondé ou la régularité d’une opération dès lors que les instructions qu’elle a reçues ont l’apparence de la régularité, et qu’elle doit uniquement refuser de prêter son concours à toute opération qui lui parait suspecte ou irrégulière.

En l’espèce, elle considère que la réalité d’une anomalie apparente au jour où a été exécuté l’ordre virement n’est pas démontrée, et qu’au contraire la validation du virement via la clé de certification positionnée sur le poste du dirigeant ne lui donnait aucune raison de s’opposer à l’exécution de cet ordre.

Elle fait état des dispositions des conditions générales de la convention DATALIS d’échanges de données informatisées à laquelle la carrosserie A et fils a adhéré le 16 mai 2013, ainsi que de la nouvelle version de ces conditions générales applicables depuis janvier 2015, qui ne prévoient pas de confirmation pour s’assurer de l’authenticité de l’ordre de virement, et excluent toute obligation de contrôle ou de vigilance particulière.

Enfin, la Caisse d’Epargne et de Prévoyance de D E-Comté fait valoir qu’elle a fait preuve de professionnalisme et a mis tout en oeuvre pour limiter les conséquences de la fraude subie par la carrosserie A et fils.

Par ses dernières conclusions transmises par voie électronique le 12 septembre 2019, la SARL carrosserie A et fils demande à la Cour, au visa des articles L133-18 et L133-24 du code monétaire et financier, les

articles 1134, 1135, 1147 et 1937 du code civil, de :

«'- confirmer le jugement rendu par le Tribunal de commerce de Chalon sur Saône le 4 septembre 2017 (RG 2016/002124) en ce qu’il a condamné solidairement la Caisse d’Epargne D E-Comté et le Crédit Mutuel du Creusot à rembourser à la société carrosserie A et fils la somme de 64 850 euros frauduleusement soustrait de son compte bancaire,

Y ajoutant,

— déclarer recevable et bien fondée la demande reconventionnelle de la société carrosserie A et fils,

— condamner solidairement la Caisse d’Epargne D E-Comté et la Caisse du Crédit Mutuel du Creusot à payer la société carrosserie A et fils la somme de 100 000 euros à titre de dommages et intérêts en réparation du préjudice financier et économique subi,

— débouter la Caisse de Crédit Mutuel du Creusot et la Caisse d’Epargne D E-Comté de l’ensemble de leurs demandes,

Au besoin,

— juger qu’en sa qualité de dépositaire, la Caisse d’Epargne D E-Comté avait l’obligation de restituer à la société carrosserie A et fils l’intégralité des sommes déposées sur son compte bancaire,

— juger que le virement frauduleux du 16 juillet 2015 d’un montant de 64 850 euros sur un compte inconnu au Royaume Uni n’avait pas été autorisé par la société carrosserie A et fils,

— juger que le compte « carrosserie » n°0877 484 225 91 de la société carrosserie A et fils ouvert dans les livres de la Caisse d’Epargne D E-Comté n’enregistre que des opérations de faibles montant et jamais des opérations de virement à l’international,

— juger que par son caractère international, par son montant et en raison de la recrudescence en été 2015 des fraudes sur Internet des comptes bancaires, le virement frauduleux de 64 850 euros du 16 juillet 2015 aurait nécessairement dû alerter l’attention de la Caisse d’Epargne et l’obliger à interroger la carrosserie A et fils avant de valider cette opération de virement,

— juger qu’en ne prenant aucune précaution, la Caisse d’Epargne D E-Comté a manqué à son obligation de vigilance et commis une faute engageant ainsi sa responsabilité à l’égard de la société carrosserie A et fils,

— en conséquence, condamner solidairement la Caisse d’Epargne D E-Comté et le Crédit Mutuel du Creusot à rembourser à la société carrosserie A et fils la somme de 64 850 euros frauduleusement soustrait de son compte bancaire le 16 juillet 2015,

— juger que la Caisse de Crédit Mutuel du Creusot a vendu à la Société carrosserie A et fils une formule clé censée sécuriser ses opérations sur Internet et la mettre à l’abri des opérations frauduleuses,

— juger que la clé d’authentification sensée sécurisée les opérations financières de la société carrosserie A et fils sur internet n’assurait pas en réalité cette fonction,

— juger que la Caisse de Crédit Mutuel du Creusot n’a pas satisfait à ses obligations contractuelles et a manqué à son devoir d’information et de conseil engageant ainsi sa responsabilité à l’égard de la société et fils,

— en conséquence, condamner solidairement la Caisse d’Epargne D E-Comté et le Crédit Mutuel du Creusot à rembourser à la société carrosserie A et fils la somme de 64 850 euros

frauduleusement soustrait de son compte bancaire le 16 juillet 2015,

— condamner solidairement la Caisse d’Epargne D E-Comté et le Crédit Mutuel du Creusot à payer à la société A et fils la somme de 100 000 euros à titre de dommages et intérêts en réparation du préjudice financier subi,

— en toute hypothèse, condamner solidairement la Caisse d’Epargne D E-Comté et le Crédit Mutuel du Creusot à payer à la société carrosserie A et fils la somme de 8.000 euros au titre de l’article 700 du Code de procédure civile ainsi qu’aux entiers dépens.'»

Contre la Caisse d’épargne et de prévoyance de D E-Comté, la carrosserie A et fils soutient :

— que dès lors que l’ordre de virement contesté du 16 juillet traité par la Caisse d’épargne et de prévoyance de D E-Comté était un virement frauduleux, créé dès l’origine comme tel, la responsabilité de plein droit de la Caisse d’épargne et de prévoyance de D E-Comté peut être retenue sans qu’elle soit subordonnée à l’existence d’une faute au sens de l’article 1382 du Code Civil, avec obligation d’un remboursement immédiat, sur le fondement de l’article 1937 du code civil et de l’article L133-18 du code monétaire et financier ;

— qu’en sa qualité de dépositaire des fonds qui lui ont été confiés, la banque a l’obligation de ne les restituer qu’au déposant ou au destinataire indiqué, sauf à prouver une faute grave du titulaire du compte, constitutive d’une négligence grave qui aurait rendue possible le faux ordre de virement ;

— que la Caisse d’épargne et de Prévoyance de D E-Comté prétend vainement que la carrosserie A et fils a été négligente dans la sécurité informatique de son propre matériel ;

— que la Caisse d’épargne et de prévoyance de D E-Comté tente à tort de s’appuyer sur les dispositions des conditions générales de la convention DATALIS d’échanges de données informatisées à laquelle la carrosserie A et fils a adhéré le 16 mai 2013, qui ne sont pas applicables à l’hypothèse de l’intrusion d’un tiers dans le système informatique du client ;

— que la Caisse d’épargne et de Prévoyance de D E-Comté n’apporte pas la preuve que la carrosserie A et fils en ait eu connaissance de la version révisée de conditions applicables depuis janvier 2015, et qu’ainsi elle est mal fondée à s’y reporter ;

— que la Caisse d’épargne et de Prévoyance de D E-Comté a manqué à son devoir de vigilance qui repose sur la banque à qui les fonds ont été confiés, et a commis une faute qui engage sa responsabilité pour ne pas avoir préalablement demandé confirmation du virement frauduleux du 16 juillet 2015, alors que celui-ci présentait un caractère inhabituel – tant dans son montant, que dans sa nature – et tandis que dans le même temps, elle ne pouvait pas ignorer que les attaques et les escroqueries sur les comptes bancaires commis à l’aide de malware auraient commencé dès le début du mois de juin 2015 ;

— que la Caisse d’épargne et de Prévoyance de D E-Comté a commis un défaut de diligence dans le rapatriement des fonds.

Contre la Caisse de Crédit Mutuel, la carrosserie A et fils soutient :

— que le système d’authentification dématérialisée souscrit auprès de la banque et censé sécuriser ses opérations bancaires sur internet était affecté d’une anomalie majeure et que l’absence de confirmation des virements via un support extérieur et la saisie de la même façon des mêmes codes d’authentification fragilisait le système et exposait l’utilisateur aux milliers de malware qui circulent sur internet ;

— qu’aucune formation spécifique n’a été donnée à ses dirigeants, quant à l’usage optimal du produit, sur ses

limites et au danger auquel la société restait exposée ;

— qu’elle même n’a pas commis de négligence, ni dans l’utilisation de la clé USB qui sert – d’authentification aux opérations bancaires, ni dans la sécurisation de son matériel informatique ;

— qu’ainsi en lui proposant un système qui ne procure la sécurité attendue et en ne fournissant pas le conseil et la formation adaptés, le Crédit Mutuel a manqué à ses obligations contractuelles, commis une faute qui lui a causé un préjudice dont elle entend obtenir réparation, outre le remboursement des sommes frauduleusement soustraites.

En application de l’article 455 du code de procédure civile, il convient de se référer pour l’exposé des moyens des parties à leurs conclusions récapitulatives visées ci-dessus.

MOTIFS DE LA DÉCISION

- Sur la responsabilité de la Caisse du Crédit Mutuel du Creusot

Il ressort des pièces versées que la SARL carrosserie A et fils était titulaire d’un compte bancaire auprès de la Caisse de Crédit Mutuel le Creusot Euro-compte I J n°29525345 après transformation et qu’elle a conclu en 2014 une convention dénommée «'Formule Clé'» qui lui permet d’accéder à ses comptes auprès des autres établissements et de faire des opérations interbancaires, de consultation de compte, de rapprochement bancaire et de virements. Les parties versent deux contrat «'formule clé'», l’un du 14 janvier 2014, l’autre du 19 décembre 2014 sans qu’elles s’expliquent clairement sur l’existence de ces deux conventions. Cependant, il ressort de ces deux contrats qu’elle y convenait avec le Crédit Mutuel d’une souscription «'au produit CMUT H I J, contrat n°BADO2565000002617 offrant l’ouverture d’un certain nombre de services et visant les conditions générales CG.03/07-10/13.

Elle disposait ainsi d’un système d’authentification du signataire ou donneur d’ordre de manière électronique et dans le cadre de communications dématérialisées par une clé USB devant être connectée à un ordinateur, l’utilisateur habilité devait ensuite composer un code pin à 4 chiffres, un identifiant à 13 chiffres et un mot de passe de 6 chiffres. Il existe un régime extrêmement strict de certification des personnes habilitées, notamment par un contrôle du recueil des signatures et de l’ensemble des éléments d’identification des titulaires.

Ces certificats électronique KSIGN RGS** (signature et authentification) qui ont fait l’objet d’une demande pour Monsieur X et Monsieur Z A ont des règles d’utilisation qui sont contenues dans les conditions générales et dans la politique de certification.

Les conditions d’utilisation générales du 23 mars 2012 version 1.1. de ce service ont été paraphées et signées par Monsieur Z A et Monsieur X A le 21 janvier 2014, ainsi que l’a relevé le tribunal de commerce qui les a déclarées opposables.

Elles disposent notamment : « Il est rappelé que l’utilisation par le porteur de la clé privée et du certificat K.SIGN associé doit rester strictement limitée au service de signature de documents tout format et avec tout type d’outil de signature compatible avec le service d’horodatage et d’OSCP de KEYNECTIS et au service de contrôles d’accès (authentification). Le porteur doit prendre toutes mesures nécessaires afin de protéger sa clé privée. » (article 5 des conditions générales). Elles disposent également que : « Le porteur doit prendre toutes les mesures nécessaires pour assurer la sécurité et l’intégrité des données ainsi que celles des postes informatiques sur lesquels il utilise les certificats et les supports [']. Le porteur s’engage à prendre toutes les mesures propres à assurer la sécurité physique et logique de sa clé privée et du certificat associé. En outre, il est seul responsable de la protection de sa (ou ses) clé(s) privée(s) conservée(s) sur son matériel (navigateur, carte à puce, autres) contre la violation, la perte, la divulgation, la modification et l’usage abusif. »

Le 14 janvier 2014 et le 19 décembre 2014, en signant un «'contrat formule clé'» de souscription au produit

CMUT H I J, Monsieur G A puis Monsieur X A ont reconnu que la convention était «'composée par :

les conditions particulières ci-dessus,

le fascicule intitulé «'conditions générales professionnels associations agriculteurs'» référencé n°82.02.64 07/13 contenant les conditions générales de Banque et les conditions Générales de produits et Services,

les conditions générales des produits et services contractées par le souscripteur non comprises dans le fascicule précité'».

Il a également reconnu «'avoir reçu en temps utile le fascicule intitulé « Conditions Générales Professionnels Associations Agriculteurs référencé n° 82.02.64 07/13, et s’il y a lieu les Conditions Générales des Produits et Services non reprises dans le fascicule précité », « en’avoir pris connaissance et approuvé ces documents entièrement au même titre que les conditions particulières'».

Ainsi, les conditions générales du produit CMUT H I ' CMUT H ASSOCIATION annexées au contrat du 10 janvier 2014 ne sont pas paraphées mais le signataire de la convention a bien reconnu en avoir connaissance et elles sont bien contenues dans le fascicule «'conditions générales professionnels associations agriculteurs'» références 82.02.64 versées au débats par la Caisse du Crédit Mutuel du Creusot.

A la lumière de ces contrats signés le 14 janvier 2014 et le 19 décembre 2019, il est clair que la SARL A et fils a reconnu avoir eu communication du fascicule et accepter les conditions générales professionnels associations agriculteurs ref : 82.02.64 juillet 2013 lesquelles comprennent les conditions générales CMUT H I ' CMUT H ASSOCIATION (CG 03.07 07/13) (et non CG 03.07 10/13 qui est la version juste postérieure annexée par erreur au contrat «'formule clé'» du 14 janvier 2014'» selon la Caisse de Crédit Mutuel).

Ces conditions générales sont dès lors opposables à la SARL carrosserie A et fils, contrairement à ce qu’a estimé le tribunal de commerce, notamment les articles 6 et 7 précités dont l’examen des versions des conditions générales 03.07 07/13 et 03.07 10/13 versées permet de vérifier qu’il y sont rédigés identiquement.

OR, l’article 7 de ces conditions générales de banque d’accès à distance (CMUT H I ' CMUT H ASSOCIATION CG 03.07) prévoit que : « La banque ne saurait être tenue pour responsable des risques liés aux caractéristiques mêmes du média internet ou inhérents aux échanges d’informations par le biais dudit média, risque que le souscripteur déclare accepter. Le souscripteur fait son affaire personnelle de l’acquisition, de l’installation, de la maintenance de son système informatique et de son raccordement au réseau internet, ainsi que de sa protection au moyen d’un « pare-feu » (firewall) et d’un antivirus à jour ou de tout autre moyen de protection. Il s’engage à prendre toutes les mesures nécessaires afin de garantir le niveau requis de protection de son ordinateur, micro-ordinateur ou de tout appareil électronique ayant accès à internet contre tous les risques de virus ou de logiciels espions quels qu’ils soient. La banque ne saurait dès lors être tenue responsable d’une défectuosité du système et/ou du service dû à une telle altération, ce que le souscripteur accepte ».

En application de l’article 6 : «'à la fin de chaque utilisation ou service, le souscripteur doit veiller à se déconnecter systématiquement et correctement du service'».

Malgré le système mis en place par le Crédit Mutuel, la SARL carrosserie A et fils a été victime d’un virement frauduleux de son compte à la Caisse d’Epargne et de Prévoyance de D E-Comté effectué à partir d’un de ses postes informatiques affecté d’un malware. Il faut d’ailleurs relever que ce système ne procure pas un antivirus ou un antimalware, mais une procédure sécurisée d’authentification et de signature électronique,

Ainsi que l’a justement estimé le tribunal de commerce, il ne suffit pas à la SARL carrosserie A et fils d’affirmer qu’il existerait d’autres systèmes plus sécurisés parce qu’ils permettent la validation des mouvements via une application mobile, sécurisée par un code pin pour démontrer l’insuffisante sécurité procurée par le système d’identification du Crédit Mutuel. En particulier, aucun rapport technique sérieux en matière de sécurité informatique n’est produit à l’appui de l’affirmation selon laquelle le système est défaillant du fait de l’absence de confirmation des virements via un support extérieur.

Le malware dont a été victime la SARL carrosserie A a été identifié a postériori par son informaticien qui a pu examiner ses postes informatiques.

Il décrit le processus d’installation de ce virus de type «drixed'», malgré un antivirus sur la machine.

Une pièce jointe de type «document word'» a été envoyé par mail sur un poste informatique, et ouvert, exécutant un script visual basic et installant le virus, qui n’est pas détecté et neutralisé. Le malware met en place un programme permettant d’observer à d’instance le fonctionnement et de prendre la main sur le poste. L’observateur a pu ainsi observer les opérations et prendre connaissance du code d’utilisation de la clé, a pu prendre la main à distance pour effectuer, alors que la clé était introduite, et avec le code observé, le virement.

Certes l’informaticien indique aussi que le pirate a pu détecter une saisie toujours identique d’un couple login et mot de passe et que l’antivirus installé dans l’entreprise était un antivirus assez couramment utilisé.

Cependant, il est évident, ainsi que l’a admis le tribunal de commerce, que le virement n’a pu avoir lieu que parce que la clé de sécurité était introduite dans l’ordinateur à partir duquel il a été ordonné.

De même la prise de main à distance de l’ordinateur ne peut avoir eu lieu que parce que l’opérateur n’était pas à son poste, car sinon, il l’aurait constatée.

Le tribunal de commerce à renversé la charge de la preuve en reprochant au Crédit Mutuel de ne prouver ni l’absence d’opérateur sur le poste sur lequel était présente la clé USB lors de l’opération frauduleuse, ni que la présence d’un opérateur aurait pu rendre la transaction impossible.

De même lorsque le tribunal de commerce estime que le Crédit Mutuel doute que l’antivirus ait été à jour mais n’en apporte pas la preuve, ni celle de ce qu’un autre système de protection aurait pu détecter et neutraliser plus efficacement le virus qui a infecté l’ordinateur de la SARL carrosserie A et fils.

Dans ces conditions, les conditions générales invoquées par la Caisse de Crédit Mutuel, dont il résulte certaines obligations en matière de sécurité informatique et de précaution d’utilisation de la clé en cause pesant sur la SARL carrosserie A et fils lui sont opposables, et il n’est pas établi que le virement frauduleux a pu être réalisé en raison d’une insuffisance du système de sécurisation des transactions que lui a fourni la Caisse du Crédit Mutuel.

Le jugement dont appel doit être infirmé en ce qu’il a dit que la Caisse de Crédit Mutuel a commis une faute engageant sa responsabilité en procurant à la SARL Carroserie A et fils un système qui ne procure pas la sécurité attendue.

La SARL carrosserie A et fils reproche enfin au Crédit Mutuel de ne lui avoir donné aucune formation quant à l’usage optimal du produit, et n’avoir jamais attiré son attention sur la nécessité d’un système antivirus particulièrement efficient.

Cependant, il convient de confirmer le jugement du tribunal de commerce qui a justement relevé que rien n’indique que l’utilisation de la clé supposait des connaissances ou une formation particulière, et que la SARL carrosserie A l’a utilisée pendant plusieurs mois, sans avoir requis de soutient technique de la banque.

La responsabilité contractuelle de la Caisse de Crédit Mutuel ne sera pas engagée sur ce point.

- Sur la responsabilité de la Caisse d’Epargne et de Prévoyance de D-E Comté

Sur l’obligation de remboursement du dépositaire

En application de l’article 1937 du code civil : « le dépositaire ne doit restituer la chose déposée qu’à celui qui la lui a confiée, ou à celui au nom duquel le dépôt a été fait, ou à celui qui a été indiqué pour le recevoir'».

L’article L133-18 du Code monétaire et financier précise que : « En cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L133-24, le prestataire de services de paiement du payeur rembourse immédiatement au payeur le montant de l’opération non autorisée et, le cas échéant, rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu. Le payeur et son prestataire de services de paiement peuvent décider contractuellement d’une indemnité complémentaire ».

L’article L133-23 du même Code ajoute : « Lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre.

L’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière ».

Enfin, en application de l’article L33-24 : « L’utilisateur de services de paiement signale, sans tarder, à son prestataire de services de paiement une opération de paiement non autorisée ou mal exécutée et au plus tard dans les treize mois suivant la date de débit sous peine de forclusion'. »

Il n’est pas contesté que les fonds soustraits à la SARL carrosserie A et fils l’ont été grâce à un virement frauduleux dès l’origine, puisque l’ordre n’en avait pas été donné par la carrosserie A et fils, et qu’elle l’a signalé dès le lendemain de l’opération.

S’agissant d’un faux ordre de virement, la responsabilité du banquier peut être engagée et il est tenu à remboursement sans que le déposant ait à démontrer l’existence d’une faute au sens de l’article 1382 du code civil. Il ne peut en être déchargé lui même qu’en démontrant que la faute du déposant a permis la création des faux ordres de virement qu’il a exécutés.

Comme déjà relevé plus haut, la SARL carrosserie A et fils était soumise à certaines obligations en matière de sécurité informatique et de précautions d’utilisation de sa clé d’authentification, et c’est à tout le moins une négligence dans leur respect qui a permis le virement litigieux aux termes des manoeuvres sophistiquées grâce auxquelles les fraudeurs sont entrés en possession des données personnelles de la SARL carrosserie A et fils déjà décrites.

Il faut également rappeler que l’article 4-1 des conditions générales du contrat d’échange de données informatisées (convention DATALIS) auxquelles la SARL carrosserie A et fils a souscrit le 16 mai 2013 et qu’elle a paraphées prévoit que : «'le client fait son affaire personnelle de l’installation et de la connexion, de l’entretien et plus généralement de la garde de son matériel et de tous ses moyens techniques ou logiciels ainsi que de leur protection au moyen d’un pare-feu et d’un antivirus à jours. Il en dispose sous son exclusive responsabilité'».

En conséquence, le jugement du tribunal de commerce doit être infirmé en ce qu’il a dit qu’aucun manquement particulier, pas même d’imprudence, antérieur à la création du faux virement et l’ayant permis n’est établi, et que la Caisse d’Epargne ne démontrait pas la faute de la SARL carrosserie A et fils et ne pouvait être exonérée, même partiellement, de sa responsabilité de plein droit de dépositaire.

— Sur le devoir de vigilance du banquier

La SARL carrosserie A et fils soutient que la Caisse d’Epargne et de Prévoyance de D E-Comté a commis un manquement à son devoir de vigilance et ainsi une faute engageant sa responsabilité en ne demandant pas confirmation du virement dont le montant élevé, le destinataire étranger ainsi que le compte sur lequel il était ordonné lui donnaient un caractère inhabituel et auraient dû l’alerter sur une possible fraude, d’autant qu’elle ne pouvait ignorer la recrudescence de tentatives d’escroqueries aux comptes bancaire via internet.

Ainsi que l’a relevé le tribunal de commerce, le banquier n’ayant pas à s’immiscer dans les affaires de son client, la seule circonstance qu’un ordre de virement présente un caractère inhabituel n’impose pas au banquier de requérir de son client qu’il confirme personnellement cet ordre, dès lors que l’ordre ne présente pas d’anomalie apparente pour un employé de banque diligent.

Sauf anomalie matérielle ou intellectuelle apparente, la Banque doit exécuter les instructions reçues de son client et n’a pas à vérifier le bien fondé ou la régularité des opérations faites par le client sur son compte, dès lors que les instructions qu’elle reçoit ont l’apparence de la régularité.

Le tribunal a estimé que la banque s’était trouvée face à un faisceau d’indices qui imposaient à tout le moins à la Caisse d’Epargne et de Prévoyance de D E-Compté de procéder à un contrôle de la régularité formelle de l’ordre de virement frauduleux, d’en demander la confirmation à la SARL carrosserie A et fils, et qu’en ne le faisant pas elle avait failli dans son devoir de vigilance et de surveillance.

Néanmoins, il convient de retenir qu’en l’espèce, la Banque a eu à traiter un virement qui avait toute l’apparence de la régularité puisqu’il avait été validé via la clé de certification dont disposait la SARL carrosserie A et fils positionnée sur un de ses ordinateurs, ce qui permet de considérer qu’elle n’a pas manqué à son devoir de vigilance.

De plus, la banque invoque l’article 18 des conditions générales de la convention DATALIS d’échanges de données informatisées d’octobre 2010 annexées au contrat conclu le 16 mai 2013 et dont la SARL carrosserie A et fils a eu connaissance, ce qu’elle ne conteste pas, puisqu’elles ont été paraphées par Monsieur X A aux termes duquel : « Les ordres saisis ou déposés sur e-remises le sont sous la responsabilité exclusive du client. La Caisse d’Epargne n’est tenue à cet égard à aucun contrôle ou vigilance particuliers. A ce titre, la Caisse d’Epargne de D E-Comté n’est pas tenue des conséquences financières qui résulteraient d’une mauvaise indication des montants et/ou des comptes de destinataires des ordres.

[']

La Caisse d’Epargne est dégagée de toute responsabilité en cas d’utilisation non conforme, abusive ou frauduleuse des services mis à la disposition du client notamment l’utilisation par un tiers de l’authentification fournie par la Caisse d’Epargne. La responsabilité de la Caisse d’Epargne de D E-Comté ne peut être engagée que pour les faits relevant de sa responsabilité, et hors les cas de force majeure. »

La SARL carrosserie A et fils estimait évident que ces dispositions n’étaient pas applicables à l’hypothèse de l’intrusion d’un tiers dans le système informatique et le tribunal de commerce a considéré qu’elles n’exonéraient pas la Banque de sa responsabilité, dès lors qu’il lui était reproché un manque de contrôle et de vigilance, non pas suite à une erreur matérielle de la carrosserie A et fils par exemple sur le montant du virement, mais face à une anomalie inhabituelle évidente pouvant révéler un faux ordre de virement en période critique de cyber attaque. Le jugement sera infirmé sur ce point également, la restriction à l’application de ces dispositions au cas présent n’étant pas justifiée par le fait qu’à défaut le contrat serait vidé de son obligation essentielle.

Dans ces conditions, il importe peu que la version des conditions générales de la convention DATALIS échanges de données informatisées de janvier 2015 auxquelles se réfère également la banque, et dont elle

affirme, sans le prouver, qu’elles ont été remise à la SARL carrosserie A et fils, ce que celle-ci conteste, ne soient pas paraphées par un de ses gérants et ne lui soient pas opposables.

Enfin, les premiers juges ont justement apprécié que la Caisse d’Epargne n’avait commis aucune faute et n’avait pas manqué de diligence dans le traitement de la réclamation de la SARL carrosserie A et fils et la demande de rapatriement de fonds du 17 juillet 2015 puisqu’elle a transmis un rapport à la banque anglaise créditée une demi-heure seulement après avoir été alertée de l’opération litigieuse. Elle a donc fait le nécessaire pour limiter les conséquences de la fraude subie par la SARL A et fils.

- Sur les demandes accessoires

Le jugement étant infirmé en toutes ses dispositions, la SARL carrosserie A et fils conservera la charge des dépens de première instance et d’appel qui pourront être recouvrés directement conformément aux dispositions de l’article 699 du code de procédure civile.

Il serait inéquitable de laisser à la charge de la Caisse d’Epargne et de Prévoyance de D E-Comté et de la Caisse de Crédit Mutuel du Creusot l’intégralité de leurs frais irrépétibles. La SARL carrosserie A et fils sera condamnée à leur verser à chacune la somme de 1 500 euros sur le fondement de l’article 700 du code de procédure civile.

PAR CES MOTIFS

La cour,

Infirme le jugement du tribunal de commerce dont appel en toutes ses dispositions,

Statuant à nouveau,

Déboute la SARL carrosserie A et fils de toutes ses demandes, fins et prétentions,

Condamne la SARL carrosserie A et fils aux entiers dépens de première instance et d’appel, avec faculté de recouvrement H conformément aux dispositions de l’article 699 du code de procédure civile,

Condamne la SARL carrosserie A et fils à verser à la Caisse d’Epargne et de Prévoyance de D E-Comté et à la Caisse de Crédit Mutuel du Crédit respectivement une somme de 1 500 euros sur le fondement de l’article 700 du code de procédure civile.

Le Greffier, Le Président,