N° RG 21/08501 – N° Portalis DBVX-V-B7F-N6XU

Décision du

Tribunal de Commerce de LYON

Au fond

du 16 novembre 2021

RG :

ch n°

S.C.I. SCI DE L’INDUSTRIE

S.A.S. DURUSSEL

S.A.S.U. HMA

C/

S.A. CRÉDIT LYONNAIS

RÉPUBLIQUE FRANÇAISE

AU NOM DU PEUPLE FRANÇAIS

COUR D’APPEL DE LYON

3ème chambre A

ARRET DU 24 Juillet 2025

APPELANTES :

La SCI DE L’INDUSTRIE,

Société Civile Immobilière au capital de 200 euros, immatriculée au RCS de LYON sous le numéro 448 708 867, prise en la personne de ses représentants légaux domiciliés en cette qualité audit siège,

Sis [Adresse 4]

[Localité 2]

Représentée par M^e Jacques AGUIRAUD de la SCP JACQUES AGUIRAUD ET PHILIPPE NOUVELLET, avocat au barreau de LYON, toque : 475

Et

La société DURUSSEL,

Société par Actions Simplifiée au capital de 40 000 euros, immatriculée au RCS de LYON sous le numéro 401 489 737, prise en la personne de ses représentants légaux domiciliés en cette qualité audit siège,

Sis [Adresse 4]

[Localité 2]

Représentée par M^e Jacques AGUIRAUD de la SCP JACQUES AGUIRAUD ET PHILIPPE NOUVELLET, avocat au barreau de LYON, toque : 475

Et

La société HMA,

Société par Actions Simplifiée Unipersonnelle, au capital de 50 000 euros, immatriculée au RCS de LYON sous le numéro 539 642 595, prise en la personne de ses représentants légaux domiciliés en cette qualité audit siège.

Sis [Adresse 4],

[Localité 2]

Représentée par M^e Jacques AGUIRAUD de la SCP JACQUES AGUIRAUD ET PHILIPPE NOUVELLET, avocat au barreau de LYON, toque : 475

INTIMEE :

La société anonyme CRÉDIT LYONNAIS,

représentée par son directeur général en exercice

Sis [Adresse 3]

[Localité 1]

Représentée par M^e Pierre BUISSON, avocat au barreau de LYON, toque : 140

* * * * * *

Date de clôture de l’instruction : 22 Novembre 2022

Date des plaidoiries tenues en audience publique : 21 Mai 2025

Date de mise à disposition : 24 Juillet 2025

Composition de la Cour lors des débats et du délibéré :

— Sophie DUMURGIER, présidente

— Aurore JULLIEN, conseillère

— Viviane LE GALL, conseillère

assistées pendant les débats de Céline DESPLANCHES, greffière

A l’audience, un membre de la cour a fait le rapport,

Arrêt Contradictoire rendu publiquement par mise à disposition au greffe de la cour d’appel, les parties en ayant été préalablement avisées dans les conditions prévues à l’article 450 alinéa 2 du code de procédure civile,

Signé par Sophie DUMURGIER, présidente, et par Céline DESPLANCHES, greffiere, auquel la minute a été remise par le magistrat signataire.

* * * *

EXPOSÉ DU LITIGE

La SASU HMA est une société holding qui dirige et détient la SAS Durussel, société qui exerce une activité de métallerie-serrurerie dans des locaux appartenant à la SCI de l’Industrie, dirigée par M. [D].

Les sociétés SCI de l’Industrie, Duressel et HMA ont souscrit auprès de la société LCL-Crédit Lyonnais une convention de services de banque en ligne prévoyant une signature électronique avec authentification forte et plafond quotidien des opérations et virements en Europe sur l’ensemble des comptes bancaires des sociétés du groupe.

À ce titre, la société LCL – Crédit Lyonnais a remis à Mme [W], qui préside la société HMA, un instrument de paiement appelé « LCL identité » ou « token » émettant un code d’identification unique pour chaque opération réalisée à distance.

Les conventions de comptes ont prévu, par avenant du 12 avril 2019, un plafond quotidien de paiement de 180.000 euros pour les trois sociétés, les deux personnes habilitées étant Mme [W] et M. [D].

Par avenant du 25 septembre 2019, seule Mme [W] a conservé son habilitation.

Le 8 juin 2020, Mme [W] a reçu un appel téléphonique d’une personne se présentant comme un technicien de la société LCL – Crédit Lyonnais, lui demandant de se connecter à son espace pro et d’utiliser des codes à usage unique.

Entre le 10 et le 15 juin 2020, des virements ont été réalisés à partir des comptes des trois sociétés vers des comptes à l’étranger notamment en Allemagne et au Royaume-Uni pour un montant total de 576.650,99 euros, faisant suite à des appels réitérés sur les journées en question.

Mme [W] a déposé plainte le 15 juin 2020.

Les sociétés Duressel et HMA, et la SCI de l’Industrie ont contesté les opérations effectuées auprès de la société LCL ' Crédit Lyonnais par courrier du 16 mai 2020, lui indiquant qu’elles étaient frauduleuses et demandaient le remboursement des sommes perdues.

Des demandes de rappel de fonds ont été émises par la banque permettant le recouvrement de certaines sommes.

Par courrier du 17 juillet 2020, la société LCL – Crédit Lyonnais a refusé de prendre en charge le remboursement des sommes soustraites frauduleusement.

Par acte introductif d’instance en date du 2 octobre 2020, les sociétés SCI de l’Industrie, Duressel et HMA ont fait assigner la société LCL-Crédit Lyonnais devant le tribunal de commerce de Lyon.

Par jugement contradictoire du 16 novembre 2021, le tribunal de commerce de Lyon a :

jugé la société LCL ' Crédit Lyonnais non responsable des opérations frauduleuses effectuées sur les comptes bancaires des sociétés SCI de l’Industrie, Durussel et HMA,

débouté les sociétés SCI de l’Industrie, Durussel et HMA de toutes leurs demandes, fins et prétentions,

dit qu’il n’y a pas lieu à condamnation en application de l’article 700 du code de procédure civile,

condamné solidairement les sociétés SCI de l’Industrie, Durussel et HMA aux entiers dépens de l’instance.

Par déclaration reçue au greffe le 26 novembre 2021, les sociétés SCI de l’Industrie, Durussel et HMA ont interjeté appel de ce jugement portant sur l’ensemble des chefs de la décision expressément critiqués.

***

Par conclusions notifiées par voie dématérialisée le 20 février 2025, les sociétés appelantes demandent à la cour, au visa des articles L. 133-18, L. 133-19 et L. 133-24 du code monétaire et financier, de :

A titre liminaire,

— ordonner la révocation de l’ordonnance de clôture en date du 22 novembre 2022,

Sur le fond,

juger les sociétés SCI de l’Industrie, Durussel et HMA recevables et bien fondées en leurs demandes, fins et conclusions,

infirmer le jugement dont appel en toutes ses dispositions et notamment en ce qu’il a :

jugé la société LCL ' Crédit Lyonnais non responsable des opérations frauduleuses effectuées sur les comptes bancaires des sociétés SCI de l’Industrie, Durussel et HMA,

débouté les sociétés SCI de l’Industrie, Durussel et HMA de toutes leurs demandes, fins et prétentions,

Et statuant à nouveau :

juger la société LCL ' Crédit Lyonnais responsable des opérations frauduleuses effectuées sur les comptes bancaires des sociétés SCI de l’Industrie, Durussel et HMA,

condamner, la société LCL ' Crédit Lyonnais à verser les sommes suivantes au titre des virements frauduleux :

256 370,63 euros au profit de la société HMA,

293 189,83 euros au profit de la société Durussel

27 090,53 euros au profit de la société SCI de l’Industrie,

condamner la société LCL ' Crédit Lyonnais au paiement des sommes suivantes au titre des frais bancaires :

564,36 euros au profit de la société Durussel,

95,00 euros au profit de la société HMA,

19,20 euros au profit de la société SCI de l’Industrie

condamner la société LCL ' Crédit Lyonnais à verser aux sociétés SCI de l’Industrie, Durussel et HMA la somme de 5.000 euros chacune à titre de dommages et intérêts en réparation de leur préjudice,

En toutes hypothèses,

débouter la société LCL ' Crédit Lyonnais de l’intégralité de ses demandes, fins et conclusions,

condamner la société LCL ' Crédit Lyonnais à verser aux sociétés SCI de l’Industrie, Durussel et HMA la somme de 5 000 euros chacune au titre de l’article 700 du code de procédure civile,

condamner la société LCL ' Crédit Lyonnais aux entiers dépens, de première instance et d’appel, dont distraction au profit de M^e Philippe Nouvellet, de la SCP Aguiraud-Nouvellet, avocat au Barreau de Lyon, sur son affirmation de droit.

Par conclusions notifiées par voie dématérialisée le 8 novembre 2022, la société LCL ' Crédit Lyonnais demande à la cour, au visa des articles L. 133-16, L. 133-19, IV du code monétaire et financier, de :

confirmer le jugement attaqué,

y ajoutant, condamner in solidum les sociétés Durussel, HMA et SCI de l’Industrie à payer au Crédit Lyonnais 6 000 euros au titre de l’article 700 du code de procédure civile et les dépens d’appel avec application de l’article 699 du même code au bénéfice de M^e Buisson, avocat.

Sur demande du conseil de la société HMA, de la société Durussel et de la SCI de l’Industrie, le conseiller de la mise en état, par décision du 4 mars 2025, a ordonné la révocation de l’ordonnance de clôture rendue le 22 novembre 2022.

La procédure a été clôturée par ordonnance du 6 mai 2025, les débats étant fixés au 21 mai 2025.

Pour un plus ample exposé des moyens des parties, renvoi sera effectué à leurs dernières écritures conformément aux dispositions de l’article 455 du code de procédure civile.

MOTIFS DE LA DÉCISION

Sur la demande de révocation de l’ordonnance de clôture du 22 novembre 2022

Cette demande ayant été traitée par le conseiller de la mise en état par ordonnance du 4 mars 2025 régulièrement notifiée aux parties, il convient de la déclarer sans objet.

Sur les demandes en paiement formées par la société HMA, la société Durussel et la SCI de l’Industrie

La société HMA, la société Durussel et la SCI de l’Industrie font valoir que :

les opérations frauduleuses ont été réalisées suite à un contact téléphonique frauduleux d’une personne se présentant comme un employé de l’assistance technique de l’intimée, l’informant que le site internet de la banque présentait des problèmes techniques nécessitant son intervention et lui demandant ses codes,

Mme [W] a tenté de se connecter à son espace pro sur internet en se munissant de son « token », les tentatives de connexion se soldant toutefois par un échec,

l’espace professionnel en ligne de la société LCL – Crédit Lyonnais a fait l’objet d’une fraude massive le 8 juin 2020, ce qu’a reconnu l’intimée dans un courriel du 15 juin 2020 établissant le lien entre celle-ci et les opérations frauduleuses sur le compte des appelantes,

ce courriel relève d’un aveu,

la présidente des appelantes a fait l’objet de man’uvres frauduleuses la plongeant dans un stress particulier en raison de l’impossibilité de se connecter et des éléments qui lui étaient donnés par le technicien qui lui donnait un état exact des opérations en cours ainsi que du solde des comptes, ce qui a amoindri sa vigilance,

les opérations frauduleuses ont pour origine une fraude d’ampleur et non une négligence grave du client qui a été victime d’une arnaque au faux conseiller bancaire,

les éléments financiers donnés à Mme [W] par le faux technicien démontrent que ce dernier avait déjà accès aux comptes des trois sociétés avant de la contacter,

Mme [W] n’a jamais communiqué son identifiant à l’auteur de la fraude puisqu’il avait déjà accès aux comptes,

les appelantes n’ont jamais pu avoir accès à leur compte sur toute la période puisque lors des connexions, un message d’erreur apparaissait leur demande de contacter le service technique,

elles ont fait réaliser un audit de leur système informatique par la société RAIC qui n’a retenu ni difficulté ni menace sur leurs serveurs,

en l’absence de communication des identifiants, les appelantes ne peuvent être considérées comme responsable des fraudes commises,

la responsabilité de la banque est engagée, d’autant plus qu’elle n’a pas informé ses clients du piratage subi alors qu’elle doit leur garantir un accès sécurisé aux comptes ouverts dans ses livres,

l’intimée n’est pas intervenue en dépit du nombre conséquent de mouvements sur les comptes bancaires des appelantes, contrairement à leur fonctionnement habituel avec un nombre de virements réduit,

la conseillère bancaire en charge des comptes a indiqué dans un courriel du 15 juin 2020 qu’elle avait constaté le nombre important de virements passés sur le compte de la société HMA alors que cette structure n’en enregistre jamais,

les virements ont été réalisés en dépassement des plafonds convenus entre les parties pour les trois sociétés soit 90.000 euros par jour, alors que les libellés étaient dépourvus de sens et n’ont pas alerté la banque,

le manque de diligences de la banque a conduit à l’impossibilité de mettre un terme à la fraude subie,

elle a manqué à ses obligations de vigilance et de sécurité ce qui engage sa responsabilité contractuelle.

La société LCL – Crédit Lyonnais fait valoir que :

elle a mis à disposition des appelantes un token qui constitue un instrument de paiement doté de données de sécurité personnalisées, dont le code PIN, et un moyen d’identification forte par la connaissance de ce code et la possession de l’appareil le générant,

Mme [W] a communiqué à un tiers inconnu les codes générés par son token, dont elle n’indique pas l’identité ou qui ne lui a pas donné son nom, ce qui démontre sa négligence,

Mme [W] a reçu un appel d’un numéro de téléphone masqué ce qui est un signal d’alerte majeur qui permettait de se convaincre que l’appelant n’était pas la banque,

le même appel a été répété une fois par jour pendant cinq jours, obtenant à chaque fois un code,

la dirigeante a manqué de vigilance en ne demandant pas pourquoi elle devait intervenir en raison d’un problème sur la plate-forme informatique sur le site professionnel de la banque,

elle ne peut prétendre ne pas être informée puisque le site internet de la banque rappelle que les codes confidentiels ne doivent être communiqués à personne, pas même à un employé de la banque sachant qu’un collaborateur du Crédit Lyonnais ne le demandera jamais,

aucune mise en scène ou persuasion de l’escroc ne permettait de négliger les signes multiples de fraude et d’enfreindre la règle de confidentialité absolue prévue concernant la remise des identifiants et codes,

la lecture de la plainte de Mme [W] démontre qu’aucun montage sophistiqué n’a été mis en 'uvre et qu’aucune situation de stress n’a été créée puisque l’individu ne lui a jamais dit qu’une fraude était en cours mais a seulement indiqué que le site internet du Crédit Lyonnais rencontrait des problèmes et qu’il devait intervenir,

aucune preuve n’est rapportée que, pendant la période litigieuse, les appelantes n’ont pu accéder à leurs comptes,

le fait que l’individu ait indiqué à Mme [W] l’état des comptes et des opérations antérieures, alors qu’il appelait d’un numéro masqué et demandait la communication de codes à usage unique et confidentiels était un motif d’alerte supplémentaire,

le spoofing allégué par les appelantes n’est pas caractérisé en l’espèce et ne permet pas de faire application des arrêts rendus par la chambre commerciale de la cour de cassation le 23 octobre 2024, outre le fait que Mme [W] est dirigeante d’entreprise et non un simple consommateur,

le régime de la responsabilité contractuelle de droit commun ne peut être appliqué en la présente espèce puisqu’il existe un régime de responsabilité spécifique, tiré du code monétaire et financier,

les virements réalisés n’ont jamais dépassé les plafonds autorisés,

la banque, en tant que prestataire de service de paiement a un devoir de vigilance qui porte sur la régularité des opérations ordonnées et non sur le nombre de virements ou leur intitulé au motif du devoir de non-ingérence, sans compter que les ordres de virement reçus étaient authentifiés par les codes spécifiques de Mme [W],

concernant la fraude massive alléguée par les appelantes, elle n’existe pas et la salariée qui a écrit à Mme [W] a seulement fait état d’une information reçue quelques jours plus tôt au sujet d’une fraude ayant visé un accès professionnel en ligne,

une alerte aux clients ne se justifie que dans la circonstance, non prouvée en l’état, où une fraude ou une tentative de fraude est systémique et de nature à nuire à tous les clients de l’établissement bancaire et non un seul,

les appelantes ont récupéré une partie des sommes à savoir 78.596,67 euros pour la société Durussel et 61.026,83 euros pour la société HMA,

les virements étant intervenus suite à la remise d’un code à usage unique, il n’y a pas lieu de rembourser de quelconques frais, sans compter que les appelantes n’établissent pas de lien entre ces frais et les virements.

Sur ce,

L’article L.133-4 du code monétaire et financier dispose notamment que : « les données de sécurité personnalisées s’entendent des données personnalisées fournies à un utilisateur de services de paiement par le prestataire de services de paiement à des fins d’authentification et une authentification forte du client s’entend d’une authentification reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories « connaissance » (quelque chose que seul l’utilisateur connaît), « possession » (quelque chose que seul l’utilisateur possède) et « inhérence » (quelque chose que l’utilisateur est) et indépendants en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d’authentification. »

L’article L.133-6 alinéa 1er du code monétaire et financier dispose qu’une opération de paiement a été autorisée si le payeur a donné son consentement à son exécution, et qu’aux termes de l’article L.133-7 alinéa 1er, ce consentement est donné sous la forme convenue entre le payeur et son prestataire de services de paiement.

Il résulte de ces textes qu’une opération de paiement initiée par le payeur est réputée autorisée si celui-ci a consenti à son montant et à son bénéficiaire.

L’article L.133-16 du même code dispose que : « Dès qu’il reçoit un instrument de paiement, l’utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées.

Il utilise l’instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation qui doivent être objectives, non discriminatoires et proportionnées. »

Enfin, l’article L.133-19 IV du code monétaire et financier dispose que : « Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17. »

Enfin, il est rappelé que, de manière impérative, le banquier est tenu d’une obligation de surveillance dans le fonctionnement des comptes de ses clients mais que cette responsabilité est limitée par un principe de non-ingérence qui peut se définir comme une interdiction faite au banquier de s’immiscer dans les affaires de ses clients.

Ainsi, le banquier est tenu, lors d’opérations auxquelles il prête son concours, de détecter les seules anomalies apparentes, matérielles, lorsqu’elles apparaissent à la lecture des documents communiqués par les clients, ou intellectuelles lorsqu’elles portent sur des éléments extrinsèques, notamment la nature des opérations effectuées ou leur contexte.

Il est constant que la société HMA, la société Durussel et la SCI de l’Industrie, dans le cadre de l’ouverture de leurs comptes dans les livres de la société LCL – Crédit Lyonnais, ont signé une convention de services LCL Espace Pro avec des conditions particulières, prévoyant notamment la remise d’un moyen d’identification forte, via un appareil, décernant pour toute opération nécessitant l’usage des données confidentielles des clients un code spécifique, utilisable pour une opération unique, assurant identification de l’utilisateur qui s’est engagé auprès de la banque à respecter les règles de confidentialité. En l’espèce, Mme [W] était, lors de l’émission des virements querellés, la seule personne désignée comme pouvant faire usage de cet appareil, et habilitée à réaliser des opérations de paiement à partir des espaces personnels en ligne des différentes sociétés appelantes.

Il est précisé que le code donné aux fins d’authentification est dit « token ».

Les appelantes prétendent avoir été victimes d’une escroquerie de type « spoofing » c’est-à-dire d’une opération visant à induire en erreur l’interlocuteur de la banque au sein de l’entreprise, pour se faire communiquer des codes générés spécifiquement aux fins de réaliser des opérations de paiement, soit des virements en la présente espèce.

Dans son dépôt de plainte du 15 juin 2020, Mme [W] a indiqué avoir été contactée, cinq jours de suite, par une personne faisant usage d’un numéro de téléphone masqué, sur la ligne fixe de l’entreprise, qui se présentait comme un personnel de l’assistance technique Espace Pro de la société LCL – Crédit Lyonnais. Elle précisait ne plus se souvenir de son nom ou si celui-ci lui avait été donné, et que son interlocuteur lui disait intervenir car le site internet LCL rencontrait des problèmes qui nécessitaient son intervention.

Elle précisait qu’ayant plusieurs virements en attente, elle avait tenté de se connecter sur ses différents espaces en faisant usage de son identifiant et de ses token, sans succès, un message lui demandant de contacter l’assistance technique apparaissant.

Elle reconnaissait, qu’après chaque échec, elle communiquait à la personne qu’elle avait au téléphone le token qui lui avait été délivré ainsi que ses identifiants.

Elle précisait avoir pu se connecter à une reprise ce jour-là et avoir constaté que tous les virements étaient signés.

La plaignante précisait avoir été contactée par la même personne, sur le même sujet les 10 juin, 11 juin, 12 juin et 15 juin 2020, donnant à chaque fois le code différent de validation et disant avoir été mise en confiance car la personne lui donnait un historique de ses comptes.

Elle indiquait avoir cessé suite à un appel de sa conseillère bancaire qui lui faisait part d’un virement en attente de 35.900 euros sur le compte de la société HMA, conseillère qui, sur sa demande, consultait les deux comptes bancaires et constatait les nombreuses opérations réalisées et enclenchait les procédures de rappel de fonds.

Ces éléments établissent que les appelantes n’ont pas consenti aux paiements faisant objet du litige tout en les ayant techniquement autorisés dès lors que Mme [W] a communiqué les codes nécessaires aux escrocs.

Les cas de spoofing dont les appelantes entendent se prévaloir renvoient à des modes opératoires particuliers en ce que la victime ne peut, à aucun moment, se rendre compte de l’escroquerie en cours, les arrêts produits par les appelantes renvoyant à des espèces dans lesquelles les interlocuteurs usurpaient la ligne du conseiller bancaire habituel des clients, ce qui n’est pas le cas dans la présente instance.

Il est constant que Mme [W] n’indique à aucun moment avoir été pressée ou placée en situation d’urgence par la personne en ligne, et a répondu plusieurs jours de suite aux différents appels qui provenaient d’un numéro masqué sans pour autant retenir le nom de la personne qui l’appelait.

Par ailleurs, elle reconnaît avoir donné les codes volontairement alors qu’aucun élément relatif à l’urgence ou à un blocage de ses paiements ne lui était notifié, et que la personne au téléphone lui disait agir pour le rétablissement du site internet LCL, et non pas intervenir sur les espaces personnels internet des sociétés appelantes.

Ces éléments n’étaient pas de nature à mettre Mme [W] en confiance ni à amoindrir sa vigilance, et la répétition dans le temps de ces appels ne pouvait, au contraire, qu’attirer son attention alors même qu’elle avait connaissance des conditions particulières d’usage des token, qui ne pouvaient servir qu’à valider les paiements des sociétés appelantes ou accéder à leur espace internet personnel. La connaissance des mouvements des comptes ne suffisait pas à elle seule à mettre en confiance l’intéressée.

Les pièces versées aux débats démontrent que les appelantes, et notamment Mme [W], étaient informées qu’en aucun cas les codes confidentiels d’accès à l’espace personnel des sociétés et ses données d’authentification ne devaient être transmis, même à une personne se présentant comme personnel de la banque.

Là encore, les appelantes ont manqué de vigilance en ne respectant pas les avertissements donnés par la banque de manière habituelle mais aussi leurs engagements contractuels quant à l’usage du dispositif du token.

Enfin, les appelantes qui prétendent ne pas avoir été en mesure d’accéder à leur espace pro personnel sur internet n’en rapportent pas la preuve.

Il convient donc de retenir la négligence grave de la société HMA, de la société Durussel et de la SCI de l’Industrie comme l’ont fait les premiers juges.

Concernant le défaut de vigilance de la banque, il apparaît que les opérations passées ont été réalisées en faisant usage d’une authentification forte mais aussi dans les limites de plafond de paiements journaliers octroyés dans le cadre des conventions d’ouverture de compte qui restaient en vigueur pour 180.000 euros même si Mme [W] demeurait la seule personne à disposer des codes, aucun avenant n’ayant ramené ce plafond à 90.000 euros.

La réalisation des virements avec une validation par le biais d’un code d’identification unique n’avait pas vocation à alerter la banque, par contre cette dernière a réagi lorsqu’elle a constaté les soldes débiteurs des appelantes et les a averties, faisant également le nécessaire pour obtenir le retour des fonds auprès des banques sollicitées, ce qui a pu être fait pour une partie des sommes.

Les appelantes ne démontrent pas que les ordres de virement, dûment autorisés par la personne habilitée et selon le procédé sécurisé, présentaient des anomalies apparentes qui auraient dû conduire la banque à intervenir en raison de son devoir de vigilance et à vérifier leur régularité pour en obtenir la confirmation.

Les appelantes ne peuvent par ailleurs se fonder sur le droit commun des contrats et la responsabilité contractuelle puisque dans le présent cas, seul le droit spécifique c’est-à-dire monétaire et financier peut s’appliquer conformément aux arrêts du 2 septembre 2021 rendue par la cour de justice de l’Union Européenne suivant les articles 59,59 et 60 de la directive 2007/64/CE.

De plus, la société LCL – Crédit Lyonnais avait respecté son obligation de conseil en dotant les sociétés appelantes des moyens de sécurité nécessaires pour se prémunir dans le cadre d’opérations sensibles.

Enfin, les société HMA, société Durussel et la SCI de l’Industrie prétendent que, sur la période litigieuse, la société LCL – Crédit Lyonnais a été victime d’une fraude massive qui a conduit des tiers à s’introduire dans sa banque de données et à disposer d’éléments confidentiels ayant permis la réalisation de la fraude dont elles ont été victimes, et se réfèrent en cela à un courriel reçu de leur conseillère habituelle.

Or, les appelantes ne démontrent pas l’existence de cette fraude dite « massive », le seul document versé aux débats, provenant de la conseillère bancaire de ces dernières, faisant état uniquement d’un cas de fraude et non de plusieurs fraudes ou d’une « fraude massive ».

Au regard de ces éléments, aucune faute ne saurait être mise à la charge de la société LCL – Crédit Lyonnais qui a respecté ses obligations envers les appelantes, et n’est pas à l’origine des virements qui ont été réalisés suivant usage d’un moyen d’authentification forte par le titulaire du compte. Les seuls négligence et manque de vigilance en l’espèce relèvent des appelantes et notamment de Mme [W].

Par conséquent, il convient de de confirmer la décision déférée en ce qu’elle a rejeté les demandes de remboursement formées par la société HMA, la société Durussel et la SCI de l’Industrie.

Sur la demande d’indemnisation formée au titre du préjudice moral par la société HMA, la société Durussel et la SCI de l’Industrie

La société HMA, la société Durussel et la SCI de l’Industrie font valoir que :

suite aux virements frauduleux et à la perte de trésorerie subie, elles ont été contraintes de contracter un PGE pour régler les charges courantes et notamment les salaires des employés,

elles ont subi la fraude lors de la période de sortie de crise sanitaire qui était un événement économique complexe à gérer,

les difficultés rencontrées ont eu des conséquences néfastes sur l’image des sociétés dans la mesure où elles ont été dans l’impossibilité de régler leurs propres cocontractants et sous-traitants dans les délais prévus.

La société LCL – Crédit Lyonnais fait valoir que :

les appelantes ne démontrent pas avoir subi des difficultés de trésorerie en raison des virements litigieux,

les virements ont été réalisés en raison de la grave négligence de Mme [W] qui a remis à une personne non identifiée, des codes d’identification à usage unique.

Sur ce,

L’article 1231-1 du code civil dispose que le débiteur est condamné, s’il y a lieu, au paiement de dommages et intérêts soit à raison de l’inexécution de l’obligation, soit à raison du retard dans l’exécution, s’il ne justifie pas que l’exécution a été empêchée par la force majeure.

Aucune faute n’étant retenue à l’encontre de la société LCL – Crédit Lyonnais, les société HMA, société Durussel et la SCI de l’Industrie ne peuvent prétendre à aucune indemnisation.

Dès lors, il convient de confirmer la décision déférée en ce qu’elle a rejeté les demandes en ce sens.

Sur les demandes accessoires

La société HMA, la société Durussel et la SCI de l’Industrie échouant en leurs prétentions, elles seront condamnées à supporter les dépens de la procédure d’appel.

L’équité commande d’accorder à la société LCL – Crédit Lyonnais une indemnisation sur le fondement de l’article 700 du code de procédure civile.

La société HMA, la société Durussel et la SCI de l’Industrie seront condamnées in solidum à lui payer la somme de 4.000 euros à ce titre.

PAR CES MOTIFS

La Cour, statuant publiquement, par arrêt contradictoire, dans les limites de l’appel,

Déclare sans objet la demande de rabat de l’ordonnance de clôture,

Confirme la décision déférée dans son intégralité,

Y ajoutant,

Condamne la SASU HMA, la SAS Durussel et la SCI de l’Industrie à supporter les entiers dépens de la procédure d’appel,

Condamne in solidum la SASU HMA, la SAS Durussel et la SCI de l’Industrie à payer à la SA Crédit Lyonnais la somme de 4.000 euros à titre d’indemnisation sur le fondement de l’article 700 du code de procédure civile.

La greffière La présidente