Cour d'appel de Paris, Pôle 5 chambre 6, 24 mai 2023, n° 21/14074

Copies exécutoires REPUBLIQUE FRANCAISE

délivrées aux parties le : AU NOM DU PEUPLE FRANCAIS

COUR D’APPEL DE PARIS

Pôle 5 – Chambre 6

ARRET DU 24 MAI 2023

(n° , 18 pages)

Numéro d’inscription au répertoire général : N° RG 21/14074 – N° Portalis 35L7-V-B7F-CEEUT

Décision déférée à la Cour : Jugement du 08 Juillet 2021 -TJ hors JAF, JEX, JLD, J. EXPRO, JCP de PARIS – RG n° 17/06209

APPELANTE

S.A. SOCIETE GENERALE

Société anonyme, au capital de 1.066.714.367,50 euros, immatriculée au RCS de Paris sous le numéro B 552 120 222, prise en la personne de ses représentants légaux en exercice domiciliés en cette qualité audit siège

[Adresse 1]

[Localité 3]

Représentée par M^e Stéphane WOOG de la SELARL WOOG & ASSOCIES, avocat au barreau de PARIS, toque : P0283

ayant pour avocat plaidant M^e Julien FISZLEIBER

INTIMEE

Société AGENCE UNIVERSITAIRE DE LA FRANCOPHONIE

agissant en la personne de son représentant légal domicilié en cette qualité audit sièg

[Adresse 2]

[Localité 4] (Canada)

Représentée par M^e Xavier DESNOS de l’AARPI MERIDIAN, avocat au barreau de PARIS, toque : R120

COMPOSITION DE LA COUR :

En application des dispositions des articles 805 et 907 du code de procédure civile, l’affaire a été débattue le 28 Mars 2023, en audience publique, les avocats ne s’y étant pas opposés, devant M. Vincent BRAUD, Président et M. Marc BAILLY, Président de chambre, entendu en son rapport, .

Ces magistrats ont rendu compte des plaidoiries dans le délibéré de la Cour, composée de :

M. Marc BAILLY, Président de chambre,chargé du rapport

M. Vincent BRAUD, Président,

MME Pascale SAPPEY-GUESDON, Conseillère,

Greffier, lors des débats : Madame Anaïs DECEBAL

ARRET :

— CONTRADICTOIRE

— par mise à disposition de l’arrêt au greffe de la Cour, les parties en ayant été préalablement avisées dans les conditions prévues au deuxième alinéa de l’article 450 du code de procédure civile.

— signé par Marc BAILLY, Président de chambre,et par M^me Anaïs DECEBAL, Greffier, présent lors de la mise à disposition.

*

* *

L’agence universitaire de la francophonie (ci-après AUF) est une association de droit québécois subventionnée par l’Etat français, établie au Canada et en France où elle a centralisé ses fonds, qu’elle redistribue dans le monde. Son budget en 2016 était de 33,4 millions d’euros.

Dans les livres de la société anonyme SOCIETE GENERALE, elle détient 9 comptes dont 2 sur livrets. En mai 2005, elle a souscrit une prestation de services de virement à distance autorisant diverses opérations à l’aide d’un identifiant et d’un mot de passe sans certificat d’authentification faute de compatibilité des systèmes.

Cette convention prévoit en son article 5.4 « valeur probante de l’utilisation de l’identifiant, du code secret et du certificat » que l’usage de l’identifiant, du code secret et, s’il est requis, du certificat valent entre les parties signature électronique du souscripteur et que cette signature « permettant ainsi son identification et prouvant son consentement aux opérations effectuées dans le cadre de ce service (') autorise leur imputation au souscripteur. »

L’article 13 de ses conditions générales, dans sa rédaction modifiée le 23 avril 2015, stipule que « le souscripteur est entièrement responsable de l’usage et de la conservation des différents codes (identifiant, code secret) et des certificats électroniques de l’administrateur(') ainsi que des conséquences y compris pécuniaires résultant ' d’une divulgation des codes secrets à quiconque (') ' d’un défaut de sécurité (matériel ou logiciel) du terminal de connexion (') utilisé pour se connecter à Sogecash.net. »

Au mois de juin 2016, le trésorier de l’association déposait plainte pour 7 virements frauduleux d’un montant total de 2.759.600 euros et 1.100.000 dollars canadiens à destination de banques en Lettonie, aux Emirats arabes unis, au Kazakhstan et au Kirghizstan, faits du 3 au 20 juin 2016, et une enquête préliminaire était ouverte.

L’association en informait la SOCIETE GENERALE le 22 juin, lui demandant de récupérer les fonds ou de les lui rembourser.

800.000 dollars canadiens virés aux Emirats arabes unis furent récupérés, 415.000 euros et 1.200 euros en Lettonie étaient bloqués au niveau des établissements réceptionnaires.

Le 31 août 2016, l’agence universitaire de la francophonie réclamait remboursement des sommes perdues à la SOCIETE GENERALE, qui s’y opposait au motif d’un défaut de surveillance suffisante interne à l’agence.

Elle lui proposait néanmoins, le 31 janvier 2017, paiement de 550.000 euros « dans un esprit de conciliation ».

Le 26 avril 2017, l’AUF faisait assigner la SOCIETE GENERALE devant le tribunal judiciaire de Paris.

Par jugement en date du 8 juillet 2021, le Tribunal judiciaire de Paris a :

CONDAMNE la société anonyme SOCIETE GENERALE à payer à l’agence universitaire de la francophonie les sommes de :

—  1,95 millions d’euros au titre des virements faits de son compte sur livret,

—  844.600 euros au titre des virements faits sur son compte à vue,

—  300.000 dollars canadiens, au titre du virement fait sur son compte à vue,

— Augmentés des intérêts au taux légal dès le 31 août 2016,

—  5.000 euros sur le fondement de l’article 700 du Code de procédure civile ;

ORDONNE la capitalisation des intérêts dans les conditions de l’article 1343-2 du Code civil ;

REJETTE le surplus des demandes ; -

PRONONCE l’exécution provisoire ;

CONDAMNE la société anonyme SOCIETE GENERALE aux dépens.

***

Par déclaration en date du 20 juillet 2021, la SOCIETE GENERALE a interjeté appel du jugement.

Par ses dernières conclusions en date du 26 décembre 2022, la SOCIETE GENERALE fait valoir :

A titre liminaire, sur l’exclusion de responsabilité dont bénéficie SOCIETE GENERALE :

Que l’article 1134 ancien du Code civil dispose que les conventions légalement formées tiennent lieu de loi à ceux qui les ont faites et que l’article 13 des conditions générales du service Sogecash.net stipule que le souscripteur est entièrement responsable de l’usage et de la conservation des différents codes,

Que dans le cas d’espèce, c’est du fait de l’ouverture d’une pièce jointe par M. [D] qu’un virus de type Dridex a contaminé son ordinateur, permettant de maîtriser les identifiants et codes bancaires, lesquels ont été utilisés pour chaque virement frauduleux et que l’AUF, seule responsable de ses codes ne peut réclamer d’indemnisation en raison de leur divulgation à des tiers,

Que c’est à tort que le Tribunal judiciaire a écarté l’article 13 des conditions générales :

— D’abord car les conditions générales stipulent que l’AUF est responsable, peu importe le caractère suspect d’un courriel,

— Ensuite car l’article 13 stipule que l’AUF est responsable en cas de divulgation, peu importe si celle-ci est volontaire ou non,

— Car l’article 13 est dénué de toute ambiguïté,

— Car l’installation du virus Dridex est dû à un défaut de sécurité de l’ordinateur et a permis aux fraudeurs de récupérer son identifiant et son mot de passe afin d’ordonner les virements litigieux et que ces derniers ont donc été effectués par une personne apparemment habilitée.

Sur l’application des articles L. 133-1 et suivants du Code monétaire et financier :

— Que les articles L. 133-1 et suivants du Code monétaire et financier s’appliquent de manière exclusive dès lors que le virement relève du champ d’application matériel de ces articles c’est-à-dire si le prestataire de services de paiement du bénéficiaire et celui du payeur sont situés sur le territoire français ou dans un état membre de l’Union européenne ou partie à l’accord sur l’espace économique européen et que l’opération est réalisée en euros ou dans la devise de l’état membre ou partie à l’accord sur l’espace économique européen,

— Que dans le cas d’espèce, les virements des 3 et 9 juin 2016, les prestataires de services de paiement des bénéficiaires sont situés au Kazakhstan et au Kirghizstan, et que le virement du 15 juin 2016 a été effectué à destination d’une banque aux Emirats arabes unis, ils ne sont donc pas situés dans un Etat membre de l’Union européenne ou partie à l’accord sur l’espace économique européen, ce qui rend les articles L. 133-1 et suivants du CMF inapplicables pour ces virements,

— Que les virements à destination de la Lettonie les 16 et 21 juin 2016 rentrent dans le champ d’application matériel des articles L. 133-1 et suivants du CMF et que toute demande de remboursement doit être fondée sur ces articles,

— Que les articles L. 133-2 et L. 133-23 du CMF prévoient la possibilité de déroger au principe selon lequel la banque doit établir le caractère autorisé d’une opération de paiement, ce qui a été fait en l’espèce à l’article 5.4 des conditions générales du service Sogecash Net qui stipule que le caractère autorisé résulte de la seule saisie de l’identifiant et du mot de passe, lesquels ont été utilisés pour les virements litigieux, entraînant l’absence d’obligation de remboursement.

Sur les virements effectués depuis le compte n°03690421291 :

— Que c’est à tort que l’AUF soutient que la SOCIETE GENERALE doit lui restituer la somme de 1.915.000 euros pour les virements du 16 juin 2016 et du 21 juin 2016 sur le fondement de la décision à caractère général n°69-02 du 8 mai 1969 du conseil national du crédit,

— Que la décision à caractère général n°69-02 du 8 mai 1969 sur laquelle se fonde l’AUF ne prévoit en aucun car qu’une banque doive rembourser au titulaire du compte sur livret le montant d’un virement exécuté au profit d’un tiers et qu’une telle obligation ne ressort pas non plus du Code monétaire et financier,

— Que par ailleurs, selon le principe de non-immixtion, la banque n’a pas à intervenir pour empêcher son client d’effectuer un acte irrégulier, inopportun ou dangereux.

Sur l’absence de faute de SOCIETE GENERALE :

Sur les principes applicables :

— Que dans le cadre d’une action en responsabilité civile, doit être démontrée l’existence d’une faute, d’un préjudice et d’un lien de causalité,

— Qu’en vertu du secret bancaire et de la vie privée, une banque ne peut s’immiscer dans la gestion des affaires de ses clients et doit exécuter rapidement leurs instructions à peine de responsabilité et il ressort de ce principe de non-immixtion qu’une banque n’a pas à vérifier l’opportunité ou la régularité des opérations faites par ses clients et que ce principe ne cède qu’en présence d’une anomalie matérielle ou intellectuelle manifeste,

— Que l’article 1937 du Code civil dispose que le dépositaire ne doit restituer la chose déposée qu’à celui qui la lui a confiée mais cette obligation n’est pas une obligation de résultat de sorte qu’il convient au déposant de démontrer la faute du dépositaire pour engager sa responsabilité et qu’en l’espèce, la SOCIETE GENERALE a reçu des ordres de virements régulièrement transmis via Sogecash Net et étaient donc dûment authentifiés et que l’exécution des virements frauduleux ne résulte que d’une négligence grave et fautive de l’AUF.

Sur la prétendue responsabilité de SOCIETE GENERALE :

— Que l’AUF ne peut se prévaloir du devoir de vigilance de la SOCIETE GENERALE ou de ses obligations de dépositaire qu’au titre des trois virements du 3, 9 et 15 juin 2016 et qu’il lui appartient de démonter en quoi la SOCIETE GENERALE aurait manqué à son devoir de vigilance et que cela lui aurait causé un préjudice, ce que l’AUF échoue à faire,

— Que si l’AUF fait valoir qu’elle n’avait jamais émis de virements à destination des Emirats Arabes Unis, du Kazakhstan, du Kirghizstan et de la Lettonie, c’est à l’aide d’un tableau imprécis réalisé par ses soins qui est dépourvu de valeur probante, nul ne pouvant se constituer de preuve à soi-même et que la SOCIETE GENERALE ne pouvant rapporter la preuve du fonctionnement habituel des comptes en raison du secret bancaire, l’AUF échoue à démontrer le fonctionnement des comptes,

— Qu’il n’apparaît pas que les sept virements étaient suspects dans la mesure où l’AUF a une vocation internationale, rendant crédibles les virements réalisés à destination de pays tels que la Lettonie,

— Que les relevés de compte de l’AUF font apparaître de nombreux débits au profit de tiers ainsi que des virements d’un montant très importants et à destination de l’étranger sur les différents comptes de sorte que les débits et virements frauduleux d’un montant de 532.000 euros, de 312.600 euros, de 300.000 et 800.000 dollars canadiens et enfin de 400.000, 1.100.000 et 415.000 euros ne caractérisaient pas une disproportion manifeste avec ceux habituellement constatés et n’avaient rien d’inhabituels, ce qui entraîne que la SOCIETE GENERALE n’avait pas à enquêter sur la conformité et l’opportunité des opérations ordonnées par l’AUF,

— Que le plafond de virements pouvant être réalisés par l’AUF via Sogecash Net était fixé à 2.000.000 euros par jour, ce qui démontre que l’AUF avait pour habitude d’effectuer des paiements d’un montant conséquent et que les montants des virements étant inférieurs, ils ne pouvaient être considérés comme anormaux d’autant que les comptes étaient suffisamment crédités,

— Que le virus Dridex a permis aux fraudeurs de récupérer identifiant et mot de passe de M. [D] de sorte que les ordres reçus par la SOCIETE GENERALE via Sogecash Net l’étaient par une liaison authentifiée,

— Que les fraudes se sont déroulées entre le 3 juin et le 21 juin 2016 de sorte que l’AUF aurait pu les détecter plus tôt,

— Que si l’AUF avant le manquement de SOCIETE GENERALE à ses obligations contre le blanchiment de capitaux et le financement du terrorisme, cette réglementation n’a pas pour finalité la protection d’intérêts individuels et ne peut être source de responsabilité civile,

— Que contrairement à ce que soulève l’AUF, la SOCIETE GENERALE a tout mis en 'uvre pour récupérer les fonds débités en prenant attache par écrit et téléphone avec les banques et en répondant à la réquisition judiciaire,

Sur la faute commise par l’AUF :

Que si l’article L. 133-18 du CMF dispose que le prestataire de services de paiement du payeur doit rembourser immédiatement au payeur le montant de l’opération non autorisée, l’article L. 133-19-IV du même code prévoit que le payeur supportera les pertes si elles résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations des articles L. 133-16 et L. 133-17, lesquelles prévoient les mesures raisonnables que doit prendre l’utilisateur pour préserver la sécurité de ses dispositifs,

Qu’en l’espèce, les articles L. 133-1 et suivants du CMF ne sont applicables qu’aux virements des 16 et 21 juin 2016 mais que pour l’ensemble des virements litigieux, leur exécution résulte uniquement de la faute grave commise par l’AUF qui doit en assumer seule la responsabilité dans la mesure où le virus Dridex ne s’est installé sur le poste du trésorier que du fait de l’ouverture d’une pièce jointe d’un courrier objectivement suspect, ce qui caractérise une violation des règles de sécurité informatique les plus élémentaires,

Que ce courriel était suspect dans la mesure où l’adresse électronique ne correspondait pas à celles habituelles du groupe, que le numéro figurant dans le pavé de signature n’est pas attribué, et que M. [D] en qualité de trésorier n’était pas en principe chargé des relations fournisseurs et que ce dernier n’a pas pu ouvrir la pièce jointe, ce qui caractérise une négligence grave de l’AUF,

Que l’AUF ne peut invoquer une décision du tribunal de commerce de Paris qui juge que le comptable d’une société ayant cliqué sur un lien dans un courriel frauduleux n’a pas fait preuve de négligence dans la mesure où dans cette espèce, la banque avait fait preuve d’une légèreté blâmable dans ses vérifications,

Que l’AUF ne peut prétendre qu’elle ignorait que l’utilisation d’internet expose à des risques de piratage et qu’un courriel, même dénué de fautes d’orthographe peut être suspect et que la simple « apparence professionnelle » ne suffit pas à lui ôter ce caractère,

Que le logiciel Sogecash Net fonctionne en principe sur un dispositif offrant une protection accrue qui repose sur l’utilisation d’une clé USB mais que l’AUF a refusé de s’en équiper car incompatible avec les ordinateurs Mac de sorte que les virements se faisaient uniquement grâce à un identifiant et un mot de passe et qu’elle a continué a refusé de s’en équiper après que ce dispositif soit devenu compatible,

Que les circonstances des virements sont suspectes dans la mesure où l’identité des personnes à l’origine des virements reste inconnue, qu’il est ignoré comment l’expéditeur du courriel frauduleux connaissait les fonctions et le mail de M. [D], que la fraude est intervenue au moment où l’AUF était la plus fructueuse, que l’AUF n’a pas constaté les virements frauduleux alors que son personnel s’est rendu sur Sogecash Net, que l’AUF reconnait que les circonstances de la fraude sont suspectes et qu’en tout état de cause, les virements résultent d’une négligence grave de l’AUF qui en est donc seule responsable.

Sur le préjudice invoqué par l’AUF :

— Que si l’AUF réclame à la SOCIETE GENERALE le montant intégral des sept virements frauduleux, il a été indiqué que SOCIETE GENERALE n’avait pas commis la moindre faute et que l’AUF était seule responsable et l’AUF ne peut réclamer sur le terrain de la perte de chance une indemnisation égale à l’intégralité des fonds débités,

— Qu’il n’est pas établi que l’AUF ne pourra pas récupérer tout ou partie des fonds dont elle réclame le remboursement, cette dernière ayant entamé de multiples procédures à l’étranger, lesquelles pourront aboutir à des résultats favorables sans pour autant communiquer l’intégralité des documents relatifs à ces procédures et la SOCIETE GENERALE fait à nouveau sommation à l’AUF de communiquer en cause d’appel leur intégralité,

— Que si l’AUF réclame une indemnisation de 220.000 euros en raison des sommes dépensées pour récupérer les fonds débités frauduleusement et de l’impact de cette fraude, il ressort de l’article 13 des conditions générales du service Sogecash Net que la responsabilité de SOCIETE GENERALE est limitée aux seules pertes en capital et en trésorerie,

— Qu’enfin si l’AUF soutient que les virements ont perturbé son fonctionnement et l’ont empêchée de remplir ses objectifs, elle ne justifie pas de la perturbation alléguée ou que les objectifs fixés n’ont pas été atteints,

Qu’au surplus, le tribunal judiciaire a commis une erreur de plume en condamnant SOCIETE GENERALE à verser 1.950.000 euros au lieu de 1.915.000 euros et demande à la cour de :

« Infirmer le jugement entrepris en ce qu’il a :

— Condamné SOCIETE GENERALE à payer à l’AGENCE UNIVERSITAIRE DE LA FRANCOPHONIE les sommes (i) de 1.950.000 euros au titre des virements effectués depuis son compte sur livret n°03690431291, de 844.600 euros au titre des virements effectués depuis ses comptes à vue n°37261613 et 50022015, de 300.000 dollars canadiens au titre du virement effectué depuis son compte à vue n°77290018, augmentés des intérêts au taux légal dès le 31 août 2016 (ii) de 5.000 euros sur le fondement de l’article 700 du code de procédure civile.

— Ordonné la capitalisation des intérêts dans les conditions de l’article 1343-2 du code civil.

— Rejeté le surplus des demandes.

— Prononcé l’exécution provisoire.

— Condamné SOCIETE GENERALE aux dépens.

Et statuant à nouveau,

Débouter l’AGENCE UNIVERSITAIRE DE LA FRANCOPHONIE de l’intégralité de ses demandes.

En tout état de cause, Condamner l’AGENCE UNIVERSITAIRE DE LA FRANCOPHONIE à verser à SOCIETE GENERALE la somme de 12.000 euros au titre des frais irrépétibles de première instance et d’appel, ainsi qu’aux dépens de première instance et d’appel, dont distraction au profit de la SELARL WOOG & ASSOCIES en application de l’article 699 du code de procédure civile. »

Dans ses dernières conclusions en date du 6 janvier 2023, l’Agence Universitaire de la Francophonie fait valoir :

Sur la prétendue exclusion de responsabilité invoquée par la SOCIETE GENERALE :

Qu’à titre liminaire, il convient de rappeler que l’article 13 des conditions générales du service Sogecash Net stipule que la SOCIETE GENERALE n’est pas responsable lorsque l’inexécution de ses obligations résulte d’un cas de force majeure ou d’un dysfonctionnement lié au transport des informations ou au système informatique du souscripteur,

Que dans le cas d’espèce, aucun cas de force majeure n’est intervenu ni n’est allégué par la SOCIETE GENERALE,

Que la SOCIETE GENERALE ne justifie pas non plus d’un quelconque dysfonctionnement lié au transport des informations ou au système informatique de l’AUF dans la mesure où la preuve d’un défaut de sécurité n’est pas rapportée, celui-ci ne pouvant être déduit de l’installation du virus Dridex et que les failles techniques sont à rechercher du côté de la banque, les virements ayant pu être initiés directement du compte sur livret vers un compte tiers alors que cela est impossible pour le client détenteur du compte,

Que si la SOCIETE GENERALE prétend que l’AUF serait responsable de la divulgation des codes, elle ne démontre pas cette divulgation, qu’elle soit ou non volontaire ou encore que les virements frauduleux auraient été effectués au moyen de l’identifiant et du code secret.

Sur le remboursement des virements effectués vers la Lettonie à partir du compte sur livret de l’AUF (compte livre n°03690431291) :

Qu’il convient de rappeler que la SOCIETE GENERALE a autorisé l’exécution de trois virements frauduleux effectués vers des comptes tiers situés en Lettonie, à partir de l’un des comptes sur livret de l’AUF et pour un montant total de 1.915.000 euros.

Que les virements réalisés à partir du compte sur livret de l’AUF n’ont aucunement été autorisés par cette dernière :

Qu’à titre liminaire, il convient de rappeler sur les dispositions légales applicables qu’il ressort de l’arrêt du 2 septembre 2021 de la CJUE qu’un utilisateur ne peut fonder sa demande de remboursement sur un régime alternatif de responsabilité prévu par le droit national lorsque cet utilisateur a manqué à son obligation de notification de l’opération non autorisée dans un délai de 13 mois à compter de son exécution,

Qu’en l’espèce, l’AUF a notifié la SOCIETE GENERALE dès le 21 juin 2016 l’existence des opérations litigieuses, soit dans le délai de 13 mois.

Que les virements litigieux réalisés à partir du compte sur livret de l’AUF sont des opérations non autorisées dans la mesure où, contrairement à ce que prétend la SOCIETE GENERALE, la présomption prévue par l’article 5.4 des conditions générales implique que l’opération ait été initiée par l’Administrateur, un Administrateur délégué ou un autre utilisateur délégué, ce qui n’est pas le cas en l’espèce, entraînant, sur le fondement des articles L. 133-18 et L. 133-19 II du CMF une obligation de remboursement immédiat.

Sur la décision de caractère général n°69-02 du Conseil national du crédit du 8 mai 1969 :

Que juridiquement, au visa de cette décision, un virement ne peut être initié à partir d’un compte sur livret vers un compte tiers car ils doivent être exclusivement réalisés « de ou à son compte à vue » et interdit donc à la banque d’exécuter de tels ordres, ce qui n’a pas été le cas les 16 et 20 juin 2016 où la SOCIETE GENERALE a autorisé l’exécution de trois virements frauduleux à partir d’un des comptes sur livret vers des comptes tiers situés en Lettonie,

Que les demandes de virement ayant été initiées en violation de cette législation, la SOCIETE GENERALE aurait dû refuser leur exécution et que si la banque prétend que la décision ne prévoit aucune obligation de remboursement, la jurisprudence a imposé aux banques une obligation de rembourser de tels virements, ce que la SOCIETE GENERALE devra faire pour un montant total de 1.915.000 euros,

Que la faute de la SOCIETE GENERALE est d’autant plus grave que la fraude met en lumière une défaillance technique de la plateforme Sogecash dans la mesure où un virement direct du compte sur livret vers un compte tiers est techniquement impossible en temps normal.

Sur le remboursement des virements effectués à partir des comptes courants et du compte sur livret de l’AUF, au titre du contrat de dépôt conclu entre les parties :

— Qu’à titre liminaire, il convient de rappeler que concernant l’exécution des virements à destination des comptes tiers domiciliés au Kazakhstan, au Kirghizstan et Emirats Arabes Unis, ce sont bien les dispositions de l’article 1937 du Code civil qui est applicable au cas d’espèce.

Sur la responsabilité sans faute de la SOCIETE GENERALE :

Que la SOCIETE GENERALE est tenue d’une obligation de résultat permettant d’engager sa responsabilité sans faute en présence d’opérations non autorisées, conformément à l’article 1937 du Code civil et réside dans la restitution des fonds,

Que la preuve de la restitution des fonds appartient au dépositaire et que même en l’absence de faute, la banque a une obligation de remboursement immédiat et que dans le cas d’espèce, il est avéré et non contesté que les virements ont été créés par les fraudeurs et qu’ils n’ont jamais été autorisés par l’AUF, la SOCIETE GENERALE ne peut invoquer l’article 5.4 des conditions générales pour s’exonérer de sa responsabilité.

Que si la SOCIETE GENERALE, afin de dénier sa responsabilité prétend que l’AUF a commis une faute, celle-ci n’est pas démontré et ce à plusieurs égards :

— Que la SOCIETE GENERALE ne rapporte pas la preuve d’une transmission d’informations bancaires sensibles par l’AUF, ce qui a été confirmé en première instance,

— Que l’ouverture d’un courrier ayant permis l’attaque du virus Dridex ne constitue pas en soi une faute imputable à l’AUF, du fait de la complexité de ce virus et que la jurisprudence retient de manière constante l’absence de toute faute ou négligence des sociétés victimes de ce type d’attaques,

— Que la SOCIETE GENERALE n’a jamais communiqué d’information en vue d’éviter une attaque du virus « Dridex » alors qu’elle était informée de l’ampleur des attaques de ce virus depuis 2015,

— Que si un dispositif plus sécurisé n’a pas été installé, c’est du fait de son incompatibilité avec le système informatique de l’AUF, que la SOCIETE GENERALE n’a jamais proposé à l’AUF une autre solution et a laissé perdurer ce système dérogatoire de paiement non-sécurisé et ce, alors qu’elle avait connaissance des risques et de l’existence du virus sans en informer l’AUF, ce qui a été reconnu comme fautif par la jurisprudence,

— Que la SOCIETE GENERALE ne rapporte pas la preuve d’une quelconque faute résultant prétendument des services de l’AUF et que ces arguments doivent être écartés.

Sur le défaut de vigilance de la SOCIETE GENERALE :

— Que la SOCIETE GENERALE a failli à son devoir de vigilance qui impose au banquier de détecter les anomalies apparentes et d’éviter un préjudice à leur client et que bien que soumis à une obligation de non-ingérence, la banque doit respecter un devoir de vigilance sous peine d’engager sa responsabilité,

— Que dans le cas d’espèce, la SOCIETE GENERALE a failli à son devoir en exécutant des opérations présentant une anomalie apparente compte tenu des habitudes du titulaire du compte dans la mesure où l’AUF n’a jamais émis de virements à destination des Emirats Arabes Unis, du Kazakhstan, du Kirghizistan ou encore de la Lettonie mais aussi du fait des montant des virements qui étaient inhabituels, l’ensemble des virements ayant un fort montant ayant toujours été à destination de pays européen,

— Que la SOCIETE GENERALE a exécuté sans contrôle préalable plusieurs virements frauduleux d’un montant élevé à destination des Emirats Arabes Unis, du Kazakhstan, du Kirghizistan ou encore de la Lettonie et que la SOCIETE GENERALE, informée des habitudes bancaires de l’AUF, aurait dû être alertée par le montant exorbitant ainsi que par les pays destinataires,

— Que ce manque de vigilance démontre par ailleurs que la SOCIETE GENERALE ne respecte pas les obligations qui lui incombent en matière de lutte contre le blanchiment d’argent.

Sur les préjudices subis par L’AUF :

Que compte tenu de sa défaillance dans l’exécution de ses obligations, la SOCIETE GENERALE engage sa responsabilité et est tenue de rembourser immédiatement l’AUF des sommes détournées,

Que l’AUF a dû déployer des efforts importants pour limiter le montant de son préjudice en diligentant des procédures aux Emirats Arabes Unis, au Kazakhstan, au Kirghizistan et en Lettonie afin de solliciter la restitution des fonds aux banques bénéficiaires et a ainsi engagé plus de 193.386,29 euros et produit l’ensemble des justificatifs afférents,

Que le fonctionnement de l’AUF a été très perturbé, a empêché l’AUF de remplir ses objectifs et que les virements frauduleux affectent durablement le niveau du fonds de roulement de l’AUF,

Que la situation a eu des répercussions auprès des Etats avec lesquels l’AUF collabore et qui lui allouent annuellement des subventions sans lesquelles elle ne peut fonctionner,

Que c’est à tort que les juges de première instance ont débouté l’AUF de sa demande de dommages et intérêts en application de l’article 13 des conditions générales de la convention d’abonnement au service Sogecash Net dans la mesure où ce dernier ne peut s’appliquer en raison de la défaillance de la SOCIETE GENERALE dans l’exécution de ses obligations contractuelles et demande à la cour de :

« Recevoir l’Agence Universitaire de la Francophonie en ses écritures, les disant bien fondées ;

Confirmer le jugement entrepris en ce qu’il a :

— condamné la Société Générale à rembourser à l’Agence Universitaire de la Francophonie la somme de 1.915.000 € (1.498.800 € depuis le 2 juillet 2021), augmentée des intérêts au taux légal à compter de la mise en demeure du 31 août 2016, au titre des virements frauduleux effectués à partir du compte sur livret détenu par l’Agence Universitaire de la Francophonie ;

— condamné la Société Générale à rembourser à l’Agence Universitaire de la Francophonie les sommes de 844.600 € et 300.000 Dollars Canadiens, augmentées des intérêts au taux légal à compter de la mise en demeure du 31 août 2016, au titre des virements frauduleux effectués à partir des comptes de paiement détenus par l’Agence Universitaire de la Francophonie ;

— ordonné que les intérêts de la condamnation prononcée emporteront eux-mêmes, intérêts au taux légal par périodes annuelles, conformément à l’article 1343-2 du Code civil ;

— condamné la Société Générale aux entiers dépens ;

Réformer le jugement entrepris en ce qu’il a :

— débouté l’Agence Universitaire de la Francophonie de sa demande de dommages et intérêts ;

— limité la condamnation de la Société Générale à la somme de 5.000 € au titre de l’article 700 du CPC ;

Et, statuant à nouveau,

— Condamner la Société Générale à verser à l’Agence Universitaire de la Francophonie la somme de 220.000 €, à parfaire, au titre du préjudice subi ;

— Condamner la Société Générale à verser à l’Agence Universitaire de la Francophonie la somme de 80.285,54 € par application de l’article 700 du CPC au titre de la première instance ;

En tout état de cause,

— Débouter la Société Générale de ses demandes, fins et conclusions ;

— Condamner la Société Générale à verser à l’Agence Universitaire de la Francophonie la somme de 30.000 € par application de l’article 700 du CPC au titre de la procédure d’appel ;

— Condamner la Société Générale aux entiers dépens lesquels pourront être directement recouvrés par Maître Xavier Desnos, avocat, conformément aux dispositions de l’article 699 du Code de procédure civile. »

L’ordonnance de clôture a été rendue le 10 janvier 2023.

MOTIFS

Il est contant que les virements suivants ont été effectués à partir des comptes de l’AUF détenus dans les livres de la Société Générale :

— à partir de compte courant ou à vue :

— le 3 juin 2016, de la somme de 312 600 euros à destination du bénéficiaire d’un compte ouvert dans une banque kazakh, la banque Atfbank JSC,

— le 9 juin 2016, de la somme de 532 000 euros à destination du bénéficiaire d’un compte ouvert dans une banque kirghize, la banque OJSC Commercial Bank,

— le 15 juin 2016, de la somme de 300 000 dollars canadiens à destination du bénéficiaire d’un compte ouvert dans une banque des Emirats arabes Unis, la banque Emirates Islamic Bank,

— le 16 juin 2016, de la somme de 800 000 dollars canadiens à destination du bénéficiaire d’un compte ouvert dans une banque des Emirats arabes Unis, la banque Mashreqbank, étant précisé que la somme a été restitué à l’AUF

— à partir d’un compte livret :

— le 16 juin 2016, de la somme de 400 000 euros à destination du bénéficiaire d’un compte ouvert dans une banque lettonne, la banque Regionale Incestioju Banka,

— le 21 juin 2016, de la somme de 1 100 000 euros à destination du bénéficiaire d’un compte ouvert dans une banque lettonne, la banque Regionale Incestioju Banka, étant précisé q’une somme de 1 200 euros a été gelée par le parquet letton,

— le 21 juin 2016, de la somme de 415 000 euros à destination du bénéficiaire d’un compte ouvert dans une banque lettonne, la banque Rigensis Bank, étant précisé que cette somme a été gelée par le parquet letton.

L’AUF expose que M. [X] [D], trésorier de l’association, s’est aperçu des virements frauduleux en date du 21 juin, son attention étant attirée par le solde très inférieur à ce qu’il aurait dû être de l’un des comptes livrets.

L’AUF a porté plainte le 21 juin 2016 auprès de la brigade des fraudes aux moyens de paiement et a sollicité la Société Générale le 22 juin 2016.

Il résulte d’une étude qu’a fait réaliser l’AUF par la société Lexsi le 30 juin 2016 que la fraude dont elle a été victime – dont la réalité n’est pas contestée par la Société Générale – a été rendue possible par l’introduction d’un cheval de Troie – ou 'malware’ de type 'Dridex’ lors de l’ouverture par M. [D] d’un courriel daté du 31 mai 2016 adressé par '[E] [T]' dont l’adresse électronique est '[Courriel 5]' ayant pour objet 'Copie facture + Justificatifs’ ainsi rédigé :

'Bonjour Ci-joint la copie de notre facture 2640F29693 du 31.05.2016 de 1445 Euros avec ses justificatifs; Dans l’attente de son règlement. Je vous remercie Cordiales salutations Godliev Lecrlercq

Comptable chargé de recouvrement 'confrères'

Mountfiled Group PLC’ avec indication de numéros de téléphone.

Contrairement à ce qu’ a retenu le tribunal et à ce que soutient l’AUF, il n’est pas loisible à cette dernière de choisir le fondement de son action relativement aux trois derniers virements frauduleux à destination d’une banque sise en Lettonie et opérés en euros

En effet, vertu de l’article L133-1 alinéa 2 du code monétaire et financier de tels virements sont nécessairement soumis aux dispositions des articles L 133-6 et suivants puisqu’ils entrent dans le champ d’application ainsi défini.

Il en est d’autant plus ainsi que ces dispositions ont été adoptées pour la transposition de la directive 2007/64 du 13 novembre 2007 concernant les services de paiement dans le marché intérieur, qui s’inscrit, comme l’a énoncé la CJUE dans son arrêt du 2 septembre 2021, à l’exception de dispositions non en cause en l’espèce ou faisant précisément l’objet d’une reprise, par l’article L133-2 du dit code.

En conséquence, les quatre premiers virements, à destination de pays tiers et dont deux ne sont pas en euros, d’une part, et les trois derniers virements, en euros et à destination d’un pays de l’Union Européenne, ne sont pas soumis au même régime, les quatre premiers répondant aux articles L 133-6 et suivants du code monétaire et financier sous réserve de son article L133-2 et les autres dépendant de l’application des articles 1937 et suivants ancien du code civil relatifs aux obligations du dépositaire.

Mais, préalablement et comme le permet l’article 1147 du code civil pour les premiers virements et l’article L133-2 du code monétaire et financier – qui dispose qu’il peut être dérogé par contrat à certaines dispositions lorsque les parties sont liées à contrat de prestation de services de paiement sans être des personnes physiques agissant pour des besoins non professionnels – pour les suivants, il y a lieu d’examiner l’exclusion de responsabilité invoquée par la Société Générale puisqu’il peut être dérogé notamment aux articles L133-19 et L133-23 du code monétaire et financier.

L’AUF et la Société Générale étaient notamment dans les liens d’un contrat d’abonnement nommé Sogecash.net depuis le 30 mai 2005, dont les conditions particulières paraphées sont produites, prévoyant la possibilité de virements vers la zone euro ou vers l’international en faisant usage, par le biais du site de la banque d’un identifiant et d’un code secret mais sans certificat d’authentification, les parties ayant contradictoirement constaté, le 3 septembre 2010, l’incompatibilité des système informatiques de la banque et du client empêchant l’usage, auquel la banque subordonne en principe, ses services, d’un certificat électronique sur support physique, de type clé USB, qui n’était donc pas utilisé dans leurs relations.

La Société Générale fait valoir que l’article 13 des conditions générales exclurait sa responsabilité dans la présente hypothèse de l’introduction d’un virus par le biais du système informatique de l’utilisateur.

Cette stipulation est ainsi rédigée :

— « Société Générale n’étant ni le fournisseur de l’accès à Internet, des matériels et logiciels, ni le transporteur des informations, sa responsabilité ne pourra être recherchée à ce titre. Elle n’est pas responsable lorsque l’inexécution de ses obligations résulte : ['] d’un dysfonctionnement lié au transport des informations ou au système informatique du Souscripteur. [']

Le souscripteur est entièrement responsable de l’usage et de la conservation des différents codes (identifiant, code secret) et des certificats électroniques de l’Administrateur, des Administrateurs Délégués et des Utilisateurs habilités ainsi que des conséquences, y compris pécuniaires, résultant :

— d’une divulgation des codes secrets à quiconque ou de l’utilisation d’un certificat n’ayant fait l’objet d’aucune révocation ou suspension,

— d’une erreur de transmission ou de manipulation de sa part,

— d’un défaut de sécurité (matériel ou logiciel) du terminal de connexion (ordinateur, téléphone mobile, tablette) utilisé pour se connecter à Sogecash Net »

Il en résulte qu’il est rappelé au souscripteur, utilisateur de services de paiement, que la banque ne saurait être tenue pour 'responsable’ – étant observé que les deux régimes légaux applicables à ses obligations ne sont pas fondés sur une responsabilité mais sur une obligation de remboursement des sommes sous certaines conditions – d’un dysfonctionnement du système informatique et que c’est le souscripteur qui le demeure dans l’hypothèse de sa négligence dans l’utilisation ou dans la conservation de ses données personnelles, d’une erreur de sa part ou d’un défaut de sécurité des matériels ou systèmes informatiques.

Il ne peut donc en être déduit que la banque aurait recueilli, par une adhésion sans ambiguïté de sa cocontractante, son consentement à une exonération totale de responsabilité ou d’obligation de remboursement dans l’hypothèse litigieuse de l’introduction frauduleuse d’un virus dans les relations entre l’utilisateur et le prestataire de services de paiement, ce qui ne ressort pas, avec la clarté suffisante et le caractère non équivoque nécessaire à une telle clause exclusive de responsabilité, de sa rédaction qui s’insère dans le rappel des obligations de prudence faite à l’utilisateur.

Son interprétation nécessaire conduit à retenir, comme l’a fait le tribunal, que la divulgation dont il est question est celle, volontaire ou à tout le moins par négligence, d’un élément de sécurité, ce qui n’est pas survenu en l’espèce comme il sera vu plus loin.

En outre, c’est à juste titre que l’AUF, suivie par le tribunal, soutient que la Société Générale ne démontre pas que l’introduction d’un virus du type Dridex n’aurait été permise que par la déficience de l’antivirus en vigueur au sein du système de l’ AUF, qui n’est pas démontré non plus que la faculté d’un autre logiciel usuel à obvier utilement au cheval de Troie de ce type.

Enfin, c’est encore à bon droit que le tribunal n’a pas suivi la Société Générale lorsqu’elle expose que l’ouverture de la pièce jointe au courriel ci-dessus rapporté aurait revêtu un caractère fautif dès lors qu’il avait une présentation anodine, dépourvue de spécificité attirant l’attention ou d’anomalie – ce que ne suffisent pas à établir la prétendue non attribution des coordonnées téléphoniques dont M. [D] n’avait pas à faire usage ou la discordance alléguée entre l’adresse électronique et la raison sociale de la société d’envoi- d’autant qu’est à considérer la multiplicité des correspondants de M. [D] en sa qualité de trésorier de l’AUF et en particulier des fournisseurs alors que le courriel avait pour objet, banal, une demande de paiement d’un facture modique de 1 445 euros.

Le tribunal doit donc être confirmé en ce qu’il n’a pas retenu que la clause invoquée de la convention Sogecash exonérerait la banque de ses obligations.

S’agissant des trois premiers virements, il résulte de l’article 1937 du code civil qu’en l’absence de faute du déposant et même s’il n’a lui-même commis aucune faute, le banquier n’est pas libéré envers le client qui lui a confié les fonds quand il se défait de ces derniers sur présentation d’un faux ordre de virement dès l’origine mais qu’en revanche, si l’établissement de ce faux ordre de paiement a été rendu possible à la suite d’une faute du titulaire du compte, le banquier n’est tenu envers lui que s’il a lui-même commis une négligence, et ce seulement pour la part de responsabilité en découlant.

En l’espèce, il est établi que tous les ordres de virement litigieux sont des faux puisqu’ils proviennent de l’appréhension frauduleuse de l’identifiant et du code secret de l’AUF, à l’insu de cette dernière, de sorte qu’en principe, la banque est tenue à restitution, sauf à ce qu’elle démontre la faute de l’AUF.

S’agissant des trois virements suivants, il résulte des articles L133-18 alinéa 1er , -23 alinéa 1er et 2ème et -24 alinéas 1ers que la banque, en qualité de prestataire de services de paiements à laquelle le caractère non autorisé d’un virement a été régulièrement dénoncé par son client est tenue, de plein droit, de rembourser ce dernier, sous réserve de démontrer ou que l’opération était en réalité dûment autorisée ou encore que son caractère non autorisé résulte de ce que l’utilisateur n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant, sauf à ce dernier à faire valoir, au-delà de l’obligation de remboursement, un manquement du prestataire à ses propres obligations distinctes.

Les virements n’ayant pas été autorisés au sens de l’article L133-6 en ce qu’ils n’ont pas été consentis, la Société Générale est, en principe, tenue de rembourser les sommes, sauf à démontre une faute de l’AUF.

Il résulte d’ores et déjà de ce qui précède que c’est vainement que la Société Générale impute à faute à l’AUF l’ouverture par son trésorier du courriel du 31 mai 2016 et que celle-ci n’étaye pas plus ses affirmations sur le caractère suspect de la fraude à raison de la connaissance par les fraudeurs du fonctionnement de l’AUF, l’implication quelconque de cette dernière ou de l’un de ses préposés ou même seulement sa négligence, n’étant pas établies.

L’AUF, quant à elle, ne peut utilement reprocher à faute à la Société Générale de n’avoir pas respecté ses obligation de vigilance et de déclaration imposées aux organismes financiers en application des articles L 561-5 à L 561-22 du code monétaire et financier dès lors qu’elles ont pour seule finalité la lutte contre le blanchiment de capitaux et le financement du terrorisme et que les victimes d’escroquerie ne peuvent s’en prévaloir pour réclamer des dommages-intérêts à l’organisme financier, étant ajouté qu’en l’espèce aucun soupçon de cette nature n’est étayé quant aux opération réalisées dès lors que les fonds provenaient des comptes de l’AUF, approvisionnés par des subventions publiques et des recettes non suspectes.

De même la vocation intrinsèquement internationale de l’AUF ne saurait faire regarder les virements tant dans l’espace économique européen que vers les pays tiers comme suspecte et devant attirer la vigilance de la Société Générale, l’importance des sommes considérées ou leur destination ne constituant pas, compte tenu des circonstances de l’espèce et de la qualité de l’AUF, des anomalies apparentes.

En revanche, c’est à juste titre que l’AUF fait valoir que c’est en violation des dispositions de la décision à caractère général du Conseil national du crédit du 8 mai 1969, toujours en vigueur et applicable aux comptes sur livret ouvert pour des personnes physiques ou, comme en l’espèce, pour des personnes morales à but non lucratif, qui prévoit que 'les opérations enregistrées sur des comptes sur livret sont limitées à des versements ou des retraits au profit du titulaire ou à des virements de ou à son compte à vue’ que les trois derniers virements ont été effectués à parti du compte sur livret par la Société Générale dont les propres explications sur le fonctionnement du compte elles-mêmes rappellent pourtant cette particularité.

Or, la demande spécifique nécessaire à la réalisation des virements, qui exigeait préalablement un virement du compte sur livret de l’AUF vers son compte à vue était de nature à attirer l’attention des parties sur lesdits virements, étant observé, toutefois, que ce ne sont qu les trois derniers, datés des 16 puis 21 juin, qui sont concernés, le dernier du 21juin de 415 000 euros ayant donné lieu à un gel sur le compte destinataire par les autorités judiciaires lettones.

Il résulte de tout ce qui précède que la Société Générale est tenue, en principe et soit en vertu de ses obligations de dépositaire des fonds soit en vertu de son obligation de remboursement d’opérations non autorisées, de restituer les fonds litigieux, distraits au terme d’opérations non autorisées, à sa cliente sauf à prouver une faute de celle-ci.

A cet égard, s’il résulte de ce qui précède que l’ouverture du courriel contenant le cheval de Troie ne peut être retenu à faute, c’est en revanche à juste titre que la Société Générale fait valoir que la chronologie des virements, exposée ci-dessus, s’étant étalés – pour des sommes non négligeables vers des destinations inhabituelles selon l’AUF elle-même – du 3 juin au 21 juin selon les modalités rapportées ci-dessus montrent des négligences interne à l’AUF dans la surveillance de ses propres opérations comptables puisqu’elle n’a réagi que tardivement et après que des virements de 2 759 600 euros et 1 100 000 dollars ont été effectués, progressivement sans qu’aucune alerte interne ne soit activée alors que la consultation fréquente d ela situation de ses comptes sur le site internet de la banque est établi.

En conséquence de ce qui précède, la Société Générale, à laquelle il peut être utilement reproché d’avoir opéré les trois derniers virements à partir du compte sur livret tout en n’observant que l’AUF persistait à ne pas réagir à la réalisation des opérations grevant ses comptes, doit être condamnée à restituer l’entièreté des deux premiers virements à l’AUF soit la somme de 844 600 euros mais, pour les suivants et considérant que la négligence fautive de l’AUF relevée ci-dessus a participé à la réalisation du dommage, il y a lieu de ne la condamner qu’au paiement de la moitié des sommes virées et non récupérées soit celles de 150 000 dollars et celle de ( 1 500 000 euros /2 – 1200)= 748 800 euros, l’AUF étant déboutée du surplus de ses prétentions, étant observé qu’elle ne justifie pas avoir été privée de la somme de 415 000 euros, gelée à sa demande par les autorités judiciaires de Lettonie et qu’il en est de même de la somme de 1 200 euros, gelée à la suite du virement de la somme de 1 100 000 euros.

Il résulte de ce qui précède et notamment de la circonstance que les trois derniers virements, opérés à partir des comptes sur livret sans demande spécifique, sont postérieurs de treize jours au premier virement frauduleux, et ce, sans réaction de l’AUF que cette dernière ne démontre pas l’existence d’un préjudice distinct en lien de causalité avec les virements réalisés à partir de livret et le manquement de la Société Générale, de sorte qu’elle doit être débouté de ses demandes indemnitaires.

Il y a lieu de condamner la Société Générale, qui succombe en ses demandes tendant à l’infirmation totale du jugement de condamnation à son encontre, aux entiers dépens, ainsi qu’à payer à l’AUF, en cause d’appel, la somme de 8 000 euros en application de l’article 700 du code de procédure civile.

PAR CES MOTIFS

La cour,

Statuant publiquement et contradictoirement,

RÉFORME le jugement entrepris en toutes ses dispositions, sauf du chef de la capitalisation ordonnée des intérêts, des dépens et frais irrépétibles ;

Et, statuant à nouveau,

CONDAMNE la Société Générale à payer à l’Agence Universitaire de la Francophonie, avec intérêts au taux légal à compter du 31 août 2016, les sommes de :

—  844 600 euros,

— l’équivalent de la somme de 150 000 dollars canadiens au 31 août 2016,

—  748 800 euros ;

DÉBOUTE l’Agence Universitaire de la Francophonie du surplus de ses demandes de restitution ;

DÉBOUTE l’Agence Universitaire de la Francophonie de ses demandes de dommages-intérêts ;

Y ajoutant,

CONDAMNE la Société Générale à payer à l’Agence Universitaire de la Francophonie la somme de 8 000 euros en application de l’article 700 du code de procédure civile ;

CONDAMNE la Société Générale aux dépens de la présente instance qui seront recouvrés par Maître Xavier Desnos, comme il est disposé à l’article 699 du code de procédure civile.

LE GREFFIER LE PRÉSIDENT