Cour d'appel de Dijon, 2e chambre civile, 26 juin 2025, n° 22/00654

Autour de la décision
- Arguments
  Nouveau
- Doctrine IA
- Commentaires
  0

Texte intégral
- COUR D'APPEL DE DIJON
- Parties
- Composition de la Cour
- Faits
- Motifs de la décision
- Sur les circonstances entourant l'exécution des virements litigieux
- Sur le droit applicable
- Sur les demandes des sociétés [U] à l'encontre du Crédit Mutuel
- Sur la nécessité d'une authentification forte
- Sur la négligence grave des sociétés [U]
- Sur les manquements reprochés au Crédit Mutuel
- Sur les demandes des sociétés [U] à l'encontre des banques des bénéficiaires
- Sur les frais de procès
- Dispositif

Décisions similaires
- Citées dans les mêmes commentaires
- Citant les mêmes articles de loi
- De référence sur les mêmes thèmes
- Sur les mêmes thèmes

TCOM Dijon 21 avril 2022

CA Dijon
Confirmation 26 juin 2025

Arguments

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Signaler une erreur.

Rejeté
Application des dispositions du code monétaire et financier
La cour a estimé que les virements litigieux ne constituaient pas des opérations de paiement autorisées, et que les sociétés avaient commis des négligences graves, ce qui les empêche de bénéficier du remboursement.
Rejeté
Responsabilité civile contractuelle et délictuelle
La cour a jugé que les demandes de dommages et intérêts ne pouvaient prospérer en raison de l'application exclusive du régime de responsabilité prévu par le code monétaire et financier.
Rejeté
Dépens de la procédure
La cour a confirmé que les sociétés devaient supporter les dépens de la procédure d'appel.

Résumé par Doctrine IA

Dans cette décision, la SCEA Domaine [U] et la SARL [U] ont fait appel d'un jugement du tribunal de commerce de Dijon qui les avait déboutées de leurs demandes de remboursement de virements frauduleux auprès de la Caisse de Crédit Mutuel, Orange Bank et Carrefour Banque. La cour d'appel a confirmé le jugement de première instance, considérant que les virements litigieux étaient non autorisés, car initiés par un fraudeur ayant usurpé les données de sécurité des sociétés. La cour a également retenu que les appelantes avaient commis une négligence grave en ne protégeant pas adéquatement leurs informations, ce qui les rendait responsables des pertes. En conséquence, la cour a rejeté toutes les demandes des sociétés [U] et a condamné celles-ci aux dépens.

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Commentaire • 0

Augmentez la visibilité de votre blog juridique : vos commentaires d’arrêts peuvent très simplement apparaitre sur toutes les décisions concernées.

Sur la décision

Référence :	CA Dijon, 2e ch. civ., 26 juin 2025, n° 22/00654
Juridiction :	Cour d'appel de Dijon
Numéro(s) :	22/00654
Importance :	Inédit
Décision précédente :	Tribunal de commerce / TAE de Dijon, 21 avril 2022, N° 2020003752
Dispositif :	Autre
Date de dernière mise à jour :	10 juillet 2025
Lire la décision sur le site de la juridiction

Sur les parties

Avocat(s) :	Simon LAMBERTCatherine BATAILLARDLaurent CHARLOPINAnne-Line CUNIN
Cabinet(s) :	LANCELIN & LAMBERTDU PARC - MONNET - BOURGOGNE
Parties :	CARREFOUR BANQUE, S.A.R.L. [ Adresse 9 ] c/ S.C.O.P. CAISSE DE CREDIT MUTUEL DE [ Localité 11 ], S.A., S.A. ORANGE BANK

Texte intégral

S.C.E.A. [Adresse 9]

S.A.R.L. [Adresse 9]

S.C.O.P. S.A.R.L. CAISSE DE CREDIT MUTUEL DE [Localité 11]

S.A. ORANGE BANK

S.A. CARREFOUR BANQUE

expédition et copie exécutoire

délivrées aux avocats le

COUR D’APPEL DE DIJON

2 e chambre civile

ARRÊT DU 26 JUIN 2025

N° RG 22/00654 – N° Portalis DBVF-V-B7G-F6QU

MINUTE N°

Décision déférée à la Cour : au fond du 21 avril 2022,

rendue par le tribunal de commerce de Dijon – RG : 2020003752

APPELANTES :

S.C.E.A. [Adresse 9], représentée par son gérant en exercice, domicilié de droit audit siège :

[Adresse 4]

[Localité 3]

S.A.R.L. [Adresse 9], représentée par son gérant en exercice, domicilié de droit audit siège :

[Adresse 4]

[Localité 3]

Représentées par M^e Laurent CHARLOPIN, avocat au barreau de DIJON, vestiaire : 113

INTIMÉES :

S.C.O.P. CAISSE DE CREDIT MUTUEL DE [Localité 11], représentée par le président du conseil d’administration

[Adresse 1]

[Localité 11]

Représentée par M^e Simon LAMBERT de la SELAS LANCELIN & LAMBERT, avocat au barreau de DIJON, vestiaire : 62

S.A. ORANGE BANK, prise en la personne de son représentant légal en exercice domicilié de droit au siège social :

[Adresse 5]

[Localité 7]

Représentée par M^e Catherine BATAILLARD, avocat au barreau de DIJON, vestiaire : 12

S.A. CARREFOUR BANQUE prise en la personne de ses représentants légaux en exercice domiciliés en cette qualité au siège social

[Adresse 2]

[Localité 6]

Représentée par M^e Anne-line CUNIN de la SELAS DU PARC – MONNET BOURGOGNE, avocat au barreau de DIJON, vestiaire : 91

COMPOSITION DE LA COUR :

En application des dispositions des articles 805 et 907 du code de procédure civile, l’affaire a été débattue le 27 juin 2024 en audience publique, les parties ne s’y étant pas opposées, devant Marie-Pascale BLANCHARD, Présidente de chambre, et Bénédicte KUENTZ, Conseiller. Ces magistrats ont rendu compte des plaidoiries lors du délibéré, la cour étant alors composée de :

Marie-Pascale BLANCHARD, Présidente de chambre,

Leslie CHARBONNIER, Conseiller,

Bénédicte KUENTZ, Conseiller,

qui en ont délibéré.

GREFFIER LORS DES DÉBATS : Maud DETANG, Greffier

DÉBATS : l’affaire a été mise en délibéré au 24 Octobre 2024 pour être prorogée au 16 Janvier 2025, au 20 Mars 2025, au 24 Avril 2025, au 22 Mai 2025, au 12 Juin 2025, au 19 Juin 2025 puis au 26 Juin 2025,

ARRÊT : rendu contradictoirement,

PRONONCÉ : publiquement par mise à disposition de l’arrêt au greffe de la cour, les parties en ayant été préalablement avisées dans les conditions prévues au deuxième alinéa de l’article 450 du code de procédure civile,

SIGNÉ : par Marie-Pascale BLANCHARD, Présidente de chambre, et par Maud DETANG, greffier auquel la minute de la décision a été remise par le magistrat signataire.

FAITS, PROCÉDURE ET PRÉTENTIONS DES PARTIES

La SCEA Domaine [U] et la SARL [U] (ci-après les sociétés [U]), spécialisées respectivement dans l’exploitation d’un domaine vinicole et dans le négoce de vins, disposent chacune d’un compte courant ouvert auprès de la Caisse de Crédit Mutuel de [Localité 11] (le Crédit Mutuel).

Le 27 novembre 2019, Mme [J] [U], gérante des deux sociétés, a constaté que le compte courant de la SARL [U] avait été débité d’une somme de 13 700 euros correspondant à trois virements successifs, et que le compte courant du Domaine [U] avait été débité d’une somme de 21 800 euros correspondant également à trois virements successifs, virements dont elle n’était pas l’auteure.

Le 28 novembre 2019, elle a déposé plainte auprès de la gendarmerie de [Localité 11] pour escroquerie selon la méthode dite du 'phishing', indiquant avoir été abusée par un courriel qu’elle croyait en provenance du Crédit Mutuel et qui lui demandait ses identifiants et mots de passe pour la validation des nouvelles conditions générales de la banque.

Par courrier du 13 janvier 2020, contestant les débits sur les comptes, les sociétés [U] ont demandé au Crédit Mutuel des justificatifs sur la validation de ces virements et l’identité précise des bénéficiaires desdits virements ainsi que le nom de leur banque.

Le 4 février 2020, le Crédit Mutuel a répondu ne disposer que des IBAN des comptes crédités et n’a pas fourni les justificatifs demandés.

Le 26 février 2020, une nouvelle demande a été adressée au Crédit Mutuel pour disposer des justificatifs de la saisie et de la validation des ordres de virement et des coordonnées des banques des bénéficiaires de ces virements.

Le 5 mai 2020, le Crédit Mutuel a répondu que ces virements n’ont pas été initiés ou validés par ses guichets mais via le service de banque à distance Cmut Direct Pro à partir d’un mail frauduleux sur la boîte mail [Courriel 10] qui a permis de récupérer l’identifiant et le mot de passe d’accès au service du client, et que par conséquent il ne pouvait donner suite à une demande d’indemnisation.

L’enquête de police a permis de découvrir que les six virements avaient été crédités sur des comptes ouverts sous les identités usurpées de M. [Y] [P] auprès d’Orange Bank, et de M. [O] [B] auprès de Carrefour Banque.

Par actes des 1er et 3 septembre 2020, les sociétés [U] ont fait attraire les sociétés Caisse de Crédit Mutuel de Gevrey-Chambertin, Orange Bank et Carrefour Banque devant le tribunal de commerce de Dijon aux fins de les voir condamner in solidum au remboursement des virements frauduleux.

Par jugement du 21 avril 2022, le tribunal de commerce de Dijon a :

— débouté la société Domaine [U] et la SARL [U] de l’intégralité de leurs demandes formées auprès du Crédit Mutuel de [Localité 11],

— débouté la société [Adresse 9] et la SARL [U] de l’intégralité de leurs demandes formées auprès d’Orange Bank et de Carrefour Banque,

— condamné in solidum la société Domaine [U] et la SARL [U] aux entiers dépens de l’instance,

— dit ne pas appliquer les demandes formées sur les dispositions de l’article 700 du code de procédure civile,

— dit ne pas écarter l’exécution provisoire du jugement,

— dit toutes les autres demandes, fins et conclusions des parties injustifiées et en tout cas mal fondées, et les a rejetées.

La SCEA [Adresse 9] et la SARL [U] ont relevé appel de ce jugement le 24 mai 2022.

Par des conclusions notifiées le 23 août 2022, la SCEA [Adresse 9] et la SARL [U] demandent à la cour, au visa du code monétaire et financier ainsi que de l’article 1231-1 du code civil à l’égard du Crédit Mutuel et de l’article 1240 du code civil à l’égard des sociétés Orange Bank et Carrefour Banque, de :

— infirmer le jugement du tribunal de commerce de Dijon du 21 avril 2022 en ce qu’il :

les a déboutées de l’intégralité de leurs demandes formées auprès du Crédit Mutuel de [Localité 11],

les a déboutées de l’intégralité de leurs demandes formées auprès d’Orange Bank et de Carrefour Banque,

les a condamnées in solidum aux entiers dépens de l’instance,

a rejeté leurs demandes plus amples ou contraires,

Statuant à nouveau,

— condamner in solidum la Caisse de Crédit Mutuel de [Localité 11] et la société Carrefour Banque à payer à la SARL [U] la somme de 13 700 euros avec intérêts au taux légal à compter du 27 novembre 2019,

— condamner in solidum la Caisse de Crédit Mutuel de [Localité 11] et la société Orange Bank à payer à la SCEA [Adresse 9] la somme de 21 800 euros avec intérêts au taux légal à compter du 27 novembre 2019,

— condamner in solidum la Caisse de Crédit Mutuel de [Localité 11] et la société Carrefour Banque à payer à la SARL [U] la somme de 8 000 euros au titre de l’article 700 du code de procédure civile, ainsi qu’aux entiers dépens,

— condamner in solidum la Caisse de Crédit Mutuel de [Localité 11] et la société Orange Bank à payer à la SCEA [Adresse 9] la somme de 8 000 euros au titre de l’article 700 du code de procédure civile, ainsi qu’aux entiers dépens.

Aux termes de conclusions notifiées le 16 novembre 2022, la Caisse de Crédit Mutuel de [Localité 11] demande à la cour, au visa de l’article L. 133-19 du code monétaire et financier, de :

— confirmer le jugement du tribunal de commerce de Dijon du 21 avril 2022 en toutes ses dispositions,

— condamner solidairement la société civile du [Adresse 9] et la SARL [U] à lui verser une somme de 3 000 euros en application des dispositions de l’article 700 du code de procédure civile, ainsi qu’aux entiers dépens tant de première instance que d’appel.

Suivant conclusions notifiées le 22 novembre 2022, la société Orange Bank demande à la cour de :

— dire l’appel des sociétés SCEA [Adresse 9] et SARL [U] recevable mais mal fondé,

— confirmer le jugement du 21 avril 2022, sauf en ce qu’il l’a déboutée de sa demande au titre de ses frais irrépétibles,

— condamner la SCEA [Adresse 9] et la SARL [U] à lui payer la somme de 3 000 euros par application de l’article 700 du code de procédure civile,

— condamner la SCEA [Adresse 9] et la SARL [U] aux entiers dépens de première instance et d’appel.

Aux termes de ses conclusions notifiées le 22 novembre 2022, la société Carrefour Banque demande à la cour, au visa des articles L.133-4 et L.133-21 du code monétaire et financier, de :

— déclarer l’appel de la SCEA Domaine [U] et la SARL [U] mal fondé et les débouter de l’intégralité de leurs fins et prétentions,

— réformer les dispositions du jugement rendu par le tribunal de commerce de Dijon le 21 avril 2022 en ce qu’il a rejeté sa demande de condamnation de la SCEA [Adresse 9] et de la SARL [U] à lui verser la somme de 1 000 euros au titre de l’article 700 du code de procédure civile,

— confirmer le jugement pour le surplus,

En conséquence,

— condamner la SCEA [Adresse 9] et la SARL [U] à lui verser la somme de 1 000 euros au titre de l’article 700 du code de procédure civile pour la première instance,

Y ajoutant,

— condamner la SCEA [Adresse 9] et la SARL [U] à lui payer la somme de 2 000 euros au titre de l’article 700 du code de procédure civile pour la présente instance,

— condamner la SCEA [Adresse 9] et la SARL [U] aux entiers dépens.

Conformément aux dispositions de l’article 455 du code de procédure civile, il est renvoyé aux écritures susvisées pour un exposé complet des moyens des parties.

La clôture a été prononcée par une ordonnance du 28 mai 2024.

MOTIFS

Sur les circonstances entourant l’exécution des virements litigieux

Il est constant que le 27 novembre 2019 à 17h01, Mme [J] [U], abusée par un courriel frauduleux à l’entête du Crédit Mutuel, a saisi les identifiants, mot de passe et clés d’accès de sa banque sur le site ayant servi à l’escroquerie, auquel elle avait accédé via un lien présent dans le courriel.

Disposant des codes pour se connecter aux comptes des sociétés [U], l’escroc a accédé à la liste blanche des prélèvements, et modifié les IBAN (identifiants uniques) des sociétés [T] et [N] au profit des comptes usurpés de M. [L] [P] auprès d’Orange Bank et de M. [O] [B] auprès de Carrefour Banque.

Il est établi, malgré les dénégations des appelantes, que Mme [U] a reçu un peu plus tard les demandes de validation de ces deux IBAN sur son smartphone, et qu’elle a procédé à leur validation, à respectivement 18h25 et 18h26.

La copie écran des notifications de validation de modification de bénéficiaire produite par le Crédit Mutuel est en effet corroborée par les déclarations de Mme [U] dans son dépôt de plainte : 'Puis une fenêtre s’est ouverte avec le nom de deux de mes bénéficiaires ; à savoir [N] et [T]. Etant les deux premiers noms dans la liste de mes bénéficiaires, je ne me suis pas méfiée et j’ai cliqué sur valider'.

L’escroc a par la suite procédé aux six virements litigieux, sans qu’une double authentification soit demandée. Ces virements ont été crédités sur des comptes ouverts sous les identités usurpées de M. [Y] et de M. [O] [B].

Sur le droit applicable

Les sociétés [U] invoquent au soutien de leurs prétentions l’application des dispositions des articles L. 133-1 et suivants du code monétaire et financier, ainsi que celles de l’article 1231-1 du code civil à l’encontre du Crédit Mutuel, et celles de l’article 1240 du même code à l’encontre d’Orange Bank et de Carrefour Banque.

Dans un arrêt du 16 mars 2023 (C-351/21, Beobank), la Cour de justice de l’Union européenne a interprété en ces termes les articles 58, 59 et 60 de la directive n°2007/64/CE du Parlement européen et du Conseil du 13 novembre 2007 concernant les services de paiement dans le marché intérieur :

'37. […] le régime de responsabilité des prestataires de services de paiement prévu à l’article 60, paragraphe 1, de la directive 2007/64 ainsi qu’aux articles 58 et 59 de cette directive a fait l’objet d’une harmonisation totale. Cela a pour conséquence que sont incompatibles avec ladite directive tant un régime de responsabilité parallèle au titre d’un même fait générateur qu’un régime de responsabilité concurrent qui permettrait à l’utilisateur de services de paiement d’engager cette responsabilité sur le fondement d’autres faits générateurs (voir, en ce sens, arrêt du 2 septembre 2021, C-337/20, CRCAM, […] points 42 et 46).

38. En effet, le régime harmonisé de responsabilité pour les opérations non autorisées ou mal exécutées établi dans la directive 2007/64 ne saurait être concurrencé par un régime alternatif de responsabilité prévu dans le droit national reposant sur les mêmes faits et le même fondement qu’à condition de ne pas porter préjudice au régime ainsi harmonisé et de ne pas porter atteinte aux objectifs et à l’effet utile de cette directive (arrêt du 2'septembre 2021, C-337/20, CRCAM, […] point 45).'

Il s’ensuit que, dès lors que la responsabilité d’un prestataire de services de paiement est recherchée en raison d’une opération de paiement non autorisée ou mal exécutée, seul est applicable le régime de responsabilité défini aux articles L. 133-18 à L. 133-24 du code monétaire et financier, qui transposent les articles 58, 59 et 60, paragraphe premier, de la directive du 13 novembre 2007, à l’exclusion de tout autre régime de responsabilité résultant du droit national (Cass. Com., 27 mars 2024, n°22-21.200).

En l’espèce, il est établi que les virements litigieux ne constituent pas des opérations de paiement autorisées au sens des articles L. 133-6 et L. 133-7 du code monétaire et financier, dès lors qu’ils ont été initiés non par Mme [U], en sa qualité de représentante des sociétés [U], mais par le fraudeur après qu’il a été en possession des données personnelles de sécurité des victimes.

Or, les sociétés [U] concluent à la condamnation des sociétés Crédit Mutuel, Orange Bank et Carrefour Banque à leur payer des sommes correspondant au montant des virements frauduleusement réalisés depuis leurs comptes.

Ces prétentions s’analysent :

— en une demande de remboursement des opérations de paiement non autorisées, lorsqu’elles sont fondées sur l’application des dispositions du code monétaire et financier,

— en une demande de dommages et intérêts d’un montant équivalent à celui des virements frauduleusement opérés depuis leurs comptes bancaires, lorsqu’elles sont fondées sur la responsabilité civile contractuelle (à l’égard du Crédit Mutuel) ou délictuelle (à l’égard d’Orange Bank et Carrefour Banque) de droit commun.

Ainsi, dès lors que l’action en responsabilité s’appuie sur des faits identiques à ceux sur lesquels s’appuie l’action en remboursement (la réalisation de virements frauduleux), et tend aux même fins (le remboursement des sommes détournées), elle ne pourra prospérer, en vertu du principe d’application exclusive du régime spécial prévu aux articles L. 133-18 et suivants du code monétaire et financier.

Il convient donc d’examiner le bien fondé des demandes des sociétés [U] au regard de la seule application des dites dispositions.

Sur les demandes des sociétés [U] à l’encontre du Crédit Mutuel

L’article L. 133-18 du code monétaire et financier pose le principe du remboursement, par le prestataire de services de paiement au payeur, de l’opération non autorisée :

'En cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L. 133-24, le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement et s’il communique ces raisons par écrit à la Banque de France. Le cas échéant, le prestataire de services de paiement du payeur rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu […]'.

Par dérogation à ce principe, l’article L.133-19 prévoit en son paragraphe IV que :

'IV. – Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L.133-16 et L.133-17', lesquels lui font obligation notamment de préserver la sécurité de ses données.

Toutefois, même dans cette hypothèse, il résulte du paragraphe V que :

'V. ' Sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si l’opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement du payeur n’exige une authentification forte du payeur prévue à l’article L. 133-44.'

L’article L. 133-23 du code monétaire fixe ainsi les règles de preuve applicables lorsque l’utilisateur conteste avoir donné son autorisation au paiement :

'Lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre.

L’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière. Le prestataire de services de paiement, y compris, le cas échéant, le prestataire de services de paiement fournissant un service d’initiation de paiement, fournit des éléments afin de prouver la fraude ou la négligence grave commise par l’utilisateur de services de paiement.'

En l’espèce, les virements litigieux, non autorisés par les sociétés [U] et relevant de ce fait des dispositions susvisées, ont bien été enregistrés et comptabilisés par le Crédit Mutuel, après utilisation des données d’authentification de l’utilisateur, et n’ont par ailleurs pas été affectés par une déficience technique, leur passation résultant d’une escroquerie dont ont été victimes les appelantes.

Il convient donc, pour apprécier le bien fondé des prétentions des sociétés [U], de vérifier :

— d’une part, si les virements litigieux requéraient une authentification forte, qui n’aurait pas été exigée par le Crédit Mutuel,

— d’autre part, dans l’hypothèse où l’authentification forte n’aurait pas été nécessaire, si les sociétés appelantes peuvent se voir reprocher une négligence grave à leurs obligations.

Sur la nécessité d’une authentification forte

L’article L. 133-4 f) du code monétaire et financier définit l’authentification forte comme

'une authentification reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories 'connaissance’ (quelque chose que seul l’utilisateur connaît), 'possession’ (quelque chose que seul l’utilisateur possède) et 'inhérence’ (quelque chose que l’utilisateur est) et indépendants en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d’authentification.'

En l’espèce, si les opérations de modification des IBAN des sociétés [T] et [N] ont bien fait l’objet d’une authentification forte, puisque notifiées sur le smartphone enregistré comme étant celui de l’EARL [Adresse 9] (élément de possession) et validées par un code renseigné par Mme [U] (élément de connaissance), tel n’a pas été le cas des six virements frauduleux, dont les bénéficiaires relevaient de la liste blanche des virements des appelantes.

Or, l’article L. 133-44 du code monétaire et financier (entré en vigueur le 14 septembre 2019) dispose en son paragraphe I que :

'I. ' Le prestataire de services de paiement applique l’authentification forte du client définie au f de l’article L. 133-4 lorsque le payeur :

1° Accède à son compte de paiement en ligne ;

2° Initie une opération de paiement électronique ;

3° Exécute une opération par le biais d’un moyen de communication à distance, susceptible de comporter un risque de fraude en matière de paiement ou de toute autre utilisation frauduleuse.'

Toutefois, cette exigence d’authentification forte connaît des tempéraments, prévus par les articles 10 à 21 du règlement délégué (UE) 2018/389 du 27 novembre 2017.

En particulier, l’article 13, 2, dudit règlement prévoit que 'les prestataires de services de paiement sont autorisés à ne pas appliquer l’authentification forte du client, sous réserve du respect des exigences générales en matière d’authentification, lorsque le payeur initie une opération de paiement et que le bénéficiaire figure dans une liste de bénéficiaires de confiance préalablement créée par le payeur.'

Tel est précisément le cas en l’espèce, les virements ayant été réalisés vers les comptes de bénéficiaires de confiance (les sociétés [T] et [N]) créés par le représentant des sociétés [U].

Ainsi, l’authentification forte n’étant pas requise, le Crédit Mutuel est fondé à invoquer la négligence grave des sociétés [U] pour s’opposer au remboursement des virements litigieux, à charge pour lui d’en apporter la preuve.

Sur la négligence grave des sociétés [U]

Selon l’article L.133-16 du code monétaire et financier, 'dès qu’il reçoit un instrument de paiement, l’utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées. Il utilise l’instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation qui doivent être objectives, non discriminatoires et proportionnées.'

En l’espèce, comme justement relevé par les premiers juges, le courriel frauduleux adressé à la SARL [Adresse 9] comportait des indices susceptibles d’amener leur gérante à douter de sa provenance, tels que l’adresse d’envoi ('[Courriel 8]'), la faute de conjugaison et le caractère impératif de l’objet ('dernier rappel !'). Il en est de même du contenu peu clair du message, l’invitant notamment à se connecter à son compte Crédit Mutuel pour confirmer et/ou mettre à jour ses informations personnelles, tout en lui demandant d’accéder au service en ligne via un lien affiché dans le message, cette pratique ' inhabituelle dans ce contexte pour un établissement bancaire ' ayant permis à l’escroc de rediriger Mme [U] vers son faux site.

En outre, les circonstances dans lesquelles les demandes de validation de la modification de l’IBAN de deux fournisseurs des sociétés [U] ont été présentées auraient dû alerter la gérante. En effet, ces demandes sont intervenues peu de temps (1 heure et 22 minutes) après l’opération de phishing, à l’occasion de laquelle Mme [U] a communiqué ses informations et codes personnels, et ont surtout fait l’objet d’une validation alors même que Mme [U] n’était pas à l’initiative de ces modifications.

C’est par conséquent par une juste appréciation des faits de la cause que le tribunal de commerce a considéré que les appelantes n’avaient pas pris les mesures raisonnables pour assurer la confidentialité des données de sécurité qu’elles détenaient pour la gestion de leur comptes, et qu’elles avaient commis des négligences graves au sens de l’article L. 133-19 V du code monétaire et financier, ayant permis la réalisation de l’escroquerie.

Sur les manquements reprochés au Crédit Mutuel

Aux termes des dispositions de l’article L. 133 -21, alinéas 1 à 3, du code monétaire et financier :

'Un ordre de paiement exécuté conformément à l’identifiant unique fourni par l’utilisateur du service de paiement est réputé dûment exécuté pour ce qui concerne le bénéficiaire désigné par l’identifiant unique.

Si l’identifiant unique fourni par l’utilisateur du service de paiement est inexact, le prestataire de services de paiement n’est pas responsable de la mauvaise exécution ou de la non-exécution de l’opération de paiement.

Toutefois, le prestataire de services de paiement du payeur s’efforce de récupérer les fonds engagés dans l’opération de paiement. Le prestataire de services de paiement du bénéficiaire communique au prestataire de services de paiement du payeur toutes les informations utiles pour récupérer les fonds. Si le prestataire de services de paiement du payeur ne parvient pas à récupérer les fonds engagés dans l’opération de paiement, il met à disposition du payeur, à sa demande, les informations qu’il détient pouvant documenter le recours en justice du payeur en vue de récupérer les fonds.'

Les sociétés [U] reprochent au Crédit Mutuel de ne pas avoir réalisé les démarches prescrites à l’alinéa 3 pour récupérer les fonds ou leur permettre d’exercer un recours en justice à cette fin, ce que ce dernier conteste.

Il convient toutefois de rappeler que les virements litigieux constituent, comme expliqué ci-dessus, des opérations de paiement non autorisées, puisque indûment déclenchées par une personne autre que le payeur à l’aide d’un instrument de paiement appartenant à ce dernier.

Or, les dispositions de l’article L. 133-21 du code monétaire et financier concernent l’hypothèse, distincte, des opérations de paiement mal exécutées, c’est-à-dire celles qui résultent d’un manquement aux obligations qui incombent aux prestataires de services de paiement dans l’exécution des ordres de paiement.

Autrement dit, seuls les virements autorisés, mais le cas échéant mal exécutés, sont soumis au régime spécial de l’article’L.'133-21 du code monétaire et financier ; à défaut, ce sont les règles des articles’L.'133-18 et suivants du code monétaire et financier qui s’imposent.

En conséquence, le moyen invoqué par les appelantes, tiré du non respect par le Crédit Mutuel de ses obligations résultant de l’article L. 133-21 du code monétaire et financier, est inopérant.

La société [Adresse 9] reproche enfin au Crédit Mutuel d’avoir 'laissé passer’ les virements litigieux, à la suite desquels son compte bancaire s’est retrouvé débiteur à hauteur de plus de 25 000 euros, sans justifier d’une autorisation de découvert pour ce montant. Elle invoque ainsi un manquement de la banque à son obligation de vigilance ou de surveillance du fonctionnement de son compte, qui justifierait l’engagement de la responsabilité contractuelle de cette dernière.

La responsabilité civile de droit commun résultant de l’article 1231-1 du code civil n’étant pas applicable en présence du régime de responsabilité exclusif consacré par les articles L. 311-18 et suivants du code monétaire et financier, ce moyen ne pourra toutefois prospérer.

En considération de la discussion qui précède, le jugement entrepris mérite confirmation en ce qu’il a débouté les sociétés [U] de leurs demandes à l’encontre du Crédit Mutuel, compte tenu de la commission par ces dernières de négligences graves au sens de l’article L. 133-19 V du code monétaire et financier.

Sur les demandes des sociétés [U] à l’encontre des banques des bénéficiaires

Les sociétés [U] reprochent aux sociétés Orange Bank et Carrefour Banque des manquements à leurs obligations à l’occasion tant de l’ouverture des comptes courants que de leur fonctionnement.

Elles font particulièrement grief aux banques des bénéficiaires des virements :

— d’avoir manqué à leur obligation de vigilance lors de l’ouverture 'à distance’ des comptes bancaires au moyen de justificatifs d’identité usurpés,

— de n’avoir pas détecté les anomalies et incohérences affectant le fonctionnement des comptes ouverts au nom de M. [P] et de M. [B], en termes de mouvements financiers ainsi que de discordance entre le nom du 'bénéficiaire à créditer’ mentionné (celui des fournisseurs des appelantes) et celui des bénéficiaires effectifs.

Elles reprochent en outre aux établissements bancaires de ne pas justifier de leurs diligences pour bloquer les fonds, après avoir été informés de l’escroquerie, conformément aux prescriptions de l’article L. 133-21 alinéa 3 du code monétaire et financier.

Les sociétés Orange Bank et Carrefour Banque font valoir en réplique qu’elles se sont conformées aux exigences prescrites par les articles L. 561-5, L. 561-10 et R. 561-20 du code monétaire et financier s’agissant des vérifications à effectuer lors de l’ouverture à distance des comptes.

Elles contestent en outre les prétendues anomalies dans le fonctionnement des comptes, et ajoutent avoir mis en oeuvre la procédure de 'recall’ pour tenter de récupérer les fonds lorsqu’elles ont été avisées par le Crédit Mutuel de l’escroquerie, mais en vain.

Enfin, s’agissant de la divergence entre le nom du bénéficiaire tel qu’il est communiqué pour réaliser le virement et le nom présent sur l’IBAN, elles invoquent l’exonération de responsabilité résultant de l’application de l’article L. 133-21 alinéa 2 du code monétaire et financier lorsque l’identifiant unique fourni par l’utilisateur du service de paiement est inexact.

Il convient tout d’abord de relever que la plupart des reproches adressés par les sociétés [U] à Orange Bank et à Carrefour Bank ne reposent pas sur des manquements allégués de ces dernières à des obligations qui leur seraient imposées par les articles L. 311-1 et suivants du code monétaire et financier.

Ils tendent ainsi à l’engagement de la responsabilité délictuelle des intimées.

En conséquence, et sans qu’il soit nécessaire d’examiner la réalité de ces griefs, la cour ne pourra que rappeler qu’ils ne sauraient donner lieu à condamnation des banques, en vertu du caractère exclusif du régime spécial applicable aux opérations de paiement.

L’invocation par les appelantes des dispositions de l’article L. 133-21 alinéa 3 du code monétaire financier, qui prévoit notamment que 'le prestataire de services de paiement du bénéficiaire communique au prestataire de services de paiement du payeur toutes les informations utiles pour récupérer les fonds', n’est pas plus opérante, dès lors que les virements litigieux constituent des opérations non autorisées, relevant des seuls articles L. 133-18 et suivants, et non des opérations mal exécutées, ainsi qu’envisagé par l’article L. 133-21.

Le jugement entrepris sera en conséquence confirmé en ce qu’il a débouté les sociétés [U] de leurs demandes présentées à l’encontre d’Orange Bank et de Carrefour Banque.

Sur les frais de procès

Conformément à l’article 696 du code de procédure civile, les dépens de première instance et d’appel doivent être supportés par les sociétés [U].

Les conditions d’application de l’article 700 du code de procédure civile ne sont réunies qu’en faveur des sociétés Crédit Mutuel, Orange Bank et Carrefour Banque. Mais dans les circonstances particulières de l’espèce, l’équité conduit la cour à laisser à leur charge l’intégralité des frais non compris dans les dépens qu’elles ont exposés tant en première instance qu’en cause d’appel.

PAR CES MOTIFS

La cour,

Confirme le jugement entrepris en toutes ses dispositions,

Y ajoutant,

Condamne in solidum la SCEA Domaine [U] et la SARL [U] aux dépens de la procédure d’appel,

Déboute les parties de leurs demandes présentées en application des dispositions de l’article 700 du code de procédure civile.

Le greffier, Le président,