RÉPUBLIQUE FRAN’AISE

AU NOM DU PEUPLE FRAN’AIS

COUR D’APPEL DE PARIS

Pôle 5 – Chambre 6

ARRÊT DU 19 MARS 2025

(n° , 7 pages)

Numéro d’inscription au répertoire général : N° RG 23/02495 – N° Portalis 35L7-V-B7H-CHCEG

Décision déférée à la Cour : Jugement du 01 Décembre 2022 – tribunal de commerce de Paris 6ème chambre – RG n° 2021027738

APPELANTE

S.A. BNP PARIBAS

[Adresse 1]

[Localité 3]

N° SIREN : 662 042 449

agissant poursuites et diligences de ses représentants légaux domiciliés en cette qualité audit siège

Représentée par M^e Nicolas BAUCH-LABESSE de l’AARPI TARDIEU GALTIER LAURENT DARMON associés, avocat au barreau de Paris, toque : E0022, avocat plaidant

INTIMÉE

S.A.S. DATATEGY

[Adresse 2]

[Localité 4]

N° SIREN : B 820 919 348

agissant poursuites et diligences de ses représentants légaux domiciliés en cette qualité audit siège

Représentée par M^e Géraldine HANNEDOUCHE de la SELARL D & H Société d’Avocats, avocat au barreau de Paris, toque : K0031, substituée à l’audience par M^e Cyprien de MASSOL, avocat au barreau de Paris, du même cabinet

COMPOSITION DE LA COUR :

L’affaire a été débattue le 21 Janvier 2025, en audience publique, devant la Cour composée de :

M. Marc BAILLY, président de chambre

M^me Pascale SAPPEY-GUESDON, conseillère

M^me Laurence CHAINTRON, conseillère

qui en ont délibéré, un rapport a été présenté à l’audience par M. Marc BAILLY dans les conditions prévues par l’article 804 du code de procédure civile.

Greffier, lors des débats : M^me Mélanie THOMAS

ARRÊT :

— contradictoire

— par mise à disposition de l’arrêt au greffe de la Cour, les parties en ayant été préalablement avisées dans les conditions prévues au deuxième alinéa de l’article 450 du code de procédure civile.

— signé par Marc BAILLY, président de chambre et par Mélanie THOMAS, greffier, présent lors de la mise à disposition.

* * * * *

FAITS, PROCÉDURE ET PRÉTENTIONS DES PARTIES

La société Datategy, présidée par M. [J] [E], spécialisée dans le conseil et les prestations en matière technologiques détenait ses comptes dans les livres de la société Bnp PARIBAS.

Entre le 2 et le 6 novembre 2020, six virements ont été effectués à partir de ce compte pour un montant total de 441 239,58 euros.

La société Datategy exposant avoir été victime d’une fraude dite 'au président’ suivant des ordres de virements effectués par M. [N] [M], qui exerçait alors l’intérim de la direction administrative et financière, a vainement mis en demeure la banque d’avoir à lui restituer les fonds virés.

Par acte en date du 21 mai 2012, la société Datategy a assigné la société Bnp PARIBAS devant le tribunal de commerce de Paris et par jugement en date du 1er décembre 2022, ce dernier, considérant essentiellement que des manquements ont été commis par la banque concernant quatre virements à raison de contre appels mal dirigés contre le seul M. [M] et par la cliente Datategy concernant deux autres virements à raison de la communication non prévu au contrat des instruments sécurisés à M. [M] alors que seul M. [E] était habilité, a ainsi statué :

'- dit que la SA BNP PARIBAS a manqué à son devoir de vigilance et a commis une faute en ne contactant pas Monsieur [E] entraînant ainsi sa responsabilité ;

— dit que la SAS DATATEGY a commis une faute entrainant ainsi sa responsabilité ;

— condamné la SAS BNP PARIBAS à rembourser à la SAS DATATEGY la somme de 247 702,82 euros ;

— dit qu’il n’y a pas lieu à application des dispositions de l’article 700 du code de procédure civile ;

— débouté BNP PARIBAS de ses demandes autres, plus amples ou contraires '.

La société Bnp PARIBAS a interjeté appel par déclaration au greffe en date du 26 janvier 2023.

Par ses dernières conclusions en date du 6 janvier 2025, la société Bnp PARIBAS sollicite l’infirmation du jugement, le débouté de toutes les prétentions de la société Datategy et sa condamnation à lui verser la somme de 10 000 euros au titre des frais irrépétibles en faisant valoir :

— que M. [N] [M] a été depuis lors licencié par la société Datategy pour avoir fautivement manqué de vigilance et que cette dernière a reconnu qu’alors que seul son président était habilité à faire usage des éléments de sécurité personnalisés prévus dans le cadre du contrat BnpNet professionnel que constitue la carte de transfert sécurisé, sa carte avait été confiée, par commodité mais fautivement, à M. [N] [M] qui a effectué lesdits virements,

— à titre principal, que le jugement doit être infirmé en ce qu’il a omis de statuer sur la clause limitative de responsabilité qu’elle invoque figurant dans les conditions générales du contrat liant les parties, dans les conditions générales de fonctionnement de la carte de transfert sécurisée qui constitue un système d’authentification forte et dans celles relative à l’utilisation de l’interface internet de la banque alors qu’il en résulte qu’elle ne peut être tenue à responsabilité puisque les virements ont été faits par une personne non habilitée qui a, au demeurant, été licenciée à ce motif,

— que, contrairement à ce que soutient la société Datategy, ces clauses ne sauraient être écartées comme étant abusives, d’abord, en ce que la société Datategy ne saurait être qualifiée de non professionnelle dès lors qu’elle a bien contracté avec la banque dans le cadre de son activité professionnelle et ensuite en ce qu’elles ne recèlent pas de déséquilibre manifeste en ce qu’il est normal que l’utilisation de la carte sécurisée confiée au seul M. [E] et des codes afférents réputent l’opération imputable à ce dernier et que ces clauses ne concernent que les seuls faits relevant du titulaire du compte et non un manquement de Bnp PARIBAS au devoir de vigilance,

— que la Cour de cassation a précisé qu’une clause limitative de responsabilité portant sur l’une des obligations essentielles ne porte pas nécessairement atteinte aux droits de la partie, sa validité devant être appréciée en fonction des circonstances de l’espèce et plus particulièrement l’existence de contreparties suffisantes et qu’en l’espèce il était parfaitement légitime de stipuler que la responsabilité de la fraude incombe exclusivement au client professionnel lorsqu’il est bien à l’origine des paiements litigieux,

— subsidiairement, que le jugement doit être infirmé en ce que les virements ordonnés sont autorisés, que la société Datategy ne peut invoquer les articles L 561-2 et suivants du code monétaire et financier et que le régime exclusivement applicable des articles L 133-1 et suivants ne prévoit pas de responsabilité de la banque qui effectue un virement autorisé et qu’elle n’est pas tenue d’un devoir de vigilance à ce titre, qu’elle est tenue d’un devoir de non immixtion dans le fonctionnement du compte et que les opérations de ce dernier montrent que les virements litigieux n’ont pas constitué des anomalies apparentes,

— que la société Datategy reconnaît le caractère réputé autorisé des virements à raison de l’utilisation des éléments de sécurité confiés à M. [E] ce qui rend tout contre appel inutile et que, contrairement à ce qu’elle soutient, les virements ne revêtent pas de caractère inhabituel, de sorte qu’elle n’avait aucune obligation de s’enquérir de leur nature auprès de sa cliente, le contrôle des opérations sous-jacentes ne lui incombant pas,

— que les appels non pas reçus mais émis à partir du téléphone professionnel de M. [N] [M] ne démontrent pas qu’elle aurait procédé à des contre appels après les virements litigieux,

— à titre très subsidiaire, que les graves négligences de la société Datategy qu’elle avait dûment alerté des risques de fraude de cette nature dite 'fraude au président’ et la divulgation à M. [N] [M] des éléments de sécurité personnalisés en dépit des stipulations conventionnelles contraires sans ambiguïté l’exonère de toute obligation de remboursement d’autant que la cliente doit répondre des fautes de son préposé,

— à titre infiniment subsidiaire, que le principe et le quantum du préjudice ne sont pas démontrés et la demande de dommages-intérêts non justifiée.

Par ses dernières conclusions en date du 27 décembre 2024, la société Datategy expose que :

— c’est parce que M. [M], auquel incombait le poste de directeur administratif et financier par interim, était en charge de certains paiements des salaires, notes de frais et fournisseurs que, par commodité, M. [E] lui avait transmis sa carte de transfert sécurisé,

— qu’il a été manipulé par des escrocs selon la méthode de la fraude dite 'au président’ puisqu’ils se sont fait passer pour le dirigeant et qu’une plainte pénale a été déposée,

— que le jugement doit être confirmé en ce qu’il n’a pas appliqué les clauses excluant la responsabilité de la banque puisqu’elles doivent être écartées comme constituant des clauses abusives au sens de l’article L212-1 du code de la consommation, qu’elle n’était pas un professionnel comme n’ayant pas agi dans le cadre de sa spécialité d’éditeur français de logiciel telle qu’elle ressort de son objet social, que les clauses ont pour effet de limiter drastiquement les obligations et la responsabilité de la banque en cas de saisie des codes par le client, ce qui est abusif, que si la cour ne le reconnaît pas sur le fondement des clauses abusives, elle constatera qu’elles créent un déséquilibre significatif entre les droits et obligations des parties au sens de l’article 1171 du code civil puisqu’elles restreignent son droit à réparation,

— que l’application de ces clauses – insérées dans un contrat d’adhésion et non négociables – doit également être écartée dès lors qu’elles privent de sa substance l’obligation de vigilance de la banque en excluant toute responsabilité de la banque dans le cadre de son service Bnp netprofessionnels au titre de son devoir de vigilance,

— que le jugement doit être confirmé en ce qu’il a retenu un manquement de la société Bnp PARIBAS à son devoir de vigilance dès lors que connaissant la société depuis longtemps, elle ne pouvait ignorer les risques de fraude dite 'au président', que la circonstance que ce soit M. [M] qui a autorisé les virements avec la carte de transfert sécurisée ne conditionne pas une présomption d’autorisation par la personne habilitée alors que les opérations litigieuses revêtaient les caractéristiques d’une fraude,

— que même si le dispositif des articles L561-2 et suivants du code monétaire et financier ne s’applique pas, il n’en reste pas moins que la banque est tenue à un devoir général de vigilance qui lui impose de mettre en garde son client en cas d’anomalie apparente et qu’en l’espèce, le montant, la soudaine fréquence et la destination des virements étaient de nature suspecte puisqu’elle n’entretenait aucune relation commerciale avec l’Italie ou la Hongrie et que ses virements habituels étaient tous destinés à la France à l’exception de ceux à destination des Emirats Arabes Unis où la banque sait parfaitement qu’elle détient une filiale, que la banque aurait dû en l’espèce procéder à un contre appel à son président,

— que le jugement doit être confirmé en ce qu’il a qualifié cette abstention de fautive puisqu’en tout état de cause la banque a tenté de joindre sa cliente pour la confirmation des virements mais auprès de M. [M] qui n’était pas habilité à les faire, ce qui est également fautif mais aussi le signe de ce que sa vigilance devait s’exercer ce qu’elle a d’ailleurs fait mais au moyen d’appels masqués à l’intention de M. [E] sans laisser de messages et alors qu’en pleine période de crise sanitaire, elle n’ignorait pas que les risques de fraudes étaient accrus,

— qu’en revanche le jugement doit être infirmé ne ce qu’il a retenu sa propre faute puisque la simple politique préventive de la banque à l’égard de ses clients sur la fraude au président ne suffit pas à l’établir, que la banque devait exercer son devoir de surveillance, que M. [E] n’a jamais donné son accord aux dits virements,

— que le manquement de la banque à ses obligations entraîne sa responsabilité, que la faute lourde ou dolosive commise l’empêche de se prévaloir de clauses limitatives de responsabilité en vertu de l’article 1231-3 du code civil, que le jugement doit donc être infirmé sur le quantum des condamnations prononcées, par application des articles 1937 et 1231-1 du code civil, et qu’elle est responsable d’un préjudice constituées des difficultés de ses relations commerciales avec ses fournisseurs qu’elle n’a du payer que partiellement de même qu’elle a du souscrire un prêt garanti par l’Etat, de sorte qu’elle demande à la cour de :

— confirmer le jugement sauf en ce qu’il a jugé qu’elle avait commis une faute et, statuant à nouveau, de :

— condamner la société Bnp PARIBAS à lui payer la somme de 500 000 euros à titre de dommages-intérêts sur le fondement de l’article 1231-1 du code civil,

— condamner la société Bnp PARIBAS à lui payer la somme de 5 000 euros en application de l’article 700 du code de procédure civile.

L’ordonnance de clôture a été rendue le 7 janvier 2025.

MOTIFS

Il ressort avec constance des pièces et des déclarations des parties que les virements suivants ont été effectués, à distance et à la demande de M. [M], au moyen de l’instrument de sécurité personnalisé que constitue la 'carte Ts’ prévu dans les conventions entre les parties :

— le 2 novembre 2020 virement de la somme de 95 250,21 euros à destination d’un compte d’une société Novamilano 18 srl dans les livres d’une banque italienne Novamilano,

— le 3 novembre 2020 virement de la somme de 54 248,00 euros à destination d’un compte d’une société Novamilano 18 srl dans les livres d’une banque italienne Novamilano,

— le 4 novembre 2020 virement de la somme de 98 444,55 euros à destination d’un compte d’une société Marco Trend Europa Kft dans les livres d’une banque hongroise,

— le 5 novembre 2020 virement de la somme de 47 447,16 euros à destination d’un compte d’une société Novamilano 18 srl dans les livres d’une banque italienne,

— le 5 novembre 2020 virement de la somme de 48 647,16 euros à destination d’un compte d’une société Marco Trend Europa Kft dans les livres d’une banque hongroise,

— le 6 novembre 2020 virement de la somme de 97 360,50 euros à destination d’un compte dans les livres d’une banque italienne.

Le dirigeant de la société Datategy a exposé dans la plainte pénale du 7 novembre 2020 que M. [M] a été l’objet de demandes de virements de la part d’escrocs, 'qu’il ne s’est pas méfié, et ne m’a pas demandé confirmation pour ces virements', 'qu’il n’a pas été en mesure de nous expliquer pourquoi il n’a pas demandé confirmation des virements alors que j’étais présent dans la société et que nous avons eu plusieurs réunions et occasions de constater l’escroquerie'.

La lettre de notification du licenciement de M. [M] est motivée par le fait qu’il n’a pas respecté le plafond de virement qui lui avait été communiqué, qu’il a manqué de vigilance sur les demandes de virements n’émanant pas de fournisseurs habituels et qu’il n’a procédé à aucune vérification auprès de ses supérieurs hiérarchiques malgré les réunions tenues dans l’intervalle.

Il est constant que les conventions liant la banque à la société Datategy c’est à dire les conditions générales 'BNP Net professionnels’ et les conditions particulières signées le 24 juin 2019 n’ont prévu que le seul M. [J] [E], dirigeant, en qualité d’utilisateur du 'forfait essentiel flux’ comprenant cette seule personne comme 'utilisateur’ du mode d’authentification constitué du mot de passe et de la carte de transfert sécurisé dite 'TS'.

La société Datategy reconnaît toutefois que, compte tenu des tâches confiées à M. [M] qui exigeait le paiement de certains fournisseurs et autres dépenses et par commodité, les instruments de sécurité personnalisés constitués par le système carte 'TS’ dont la banque expose qu’ils forment une authentification forte, ont été communiquées à celui-ci, ce qui explique qu’il a pu en faire usage pour ordonner les virements litigieux.

La Bnp Paribas invoque notamment les stipulations suivantes du contrat BNP net professionnels dans les liens duquel elle se trouve avec la société Datategy :

'La saisie par le Client de ses Codes de reconnaissance et/ou l’utilisation par lui d’un Dispositif de sécurité personnalisé vaut authentification du Client, et permet à la Banque de s’assurer de son identité',

— 'Les Codes de reconnaissance ainsi que tous les Dispositifs de sécurité personnalisés propres au Client sont strictement confidentiels. Ils sont utilisés et conservés sous la responsabilité du Client qui ne peut en aucun cas les communiquer, de quelque manière que ce soit (par oral, courrier, courriel, etc.) à un tiers (y compris à un proche) [']».

« Le Client ['] est responsable de l’utilisation, de la conservation et de la confidentialité de ses codes d’activation ou de sa Clé Digitale dans les mêmes conditions que celles relatives à ses Codes de reconnaissance ».

« Toute inscription de compte bénéficiaire et/ou validation de son numéro de téléphone, faite en utilisant le code d’activation afférent ou la Clé digitale, est réputée faite sous la responsabilité du Client.

« La Banque ne saurait être tenue responsable en cas d’utilisation du code d’activation ou de la Clé Digitale par un tiers non habilité ».

Les conditions générales de fonctionnement de la carte TS réitèrent ces dispositions, de même que les autres stipulations dont l’application n’est pas nécessaire à la solution du litige.

Il en résulte une présomption selon laquelle l’utilisation du dispositif de sécurité personnalisé répute l’opération valablement faite sous la responsabilité du client, que ce dernier est responsable de la conservation de ces données et que dans l’hypothèse où elles sont confiées à des tiers non habilités, la responsabilité de la banque ne saurait être retenue.

C’est vainement que la société Datategy invoque les dispositions protectrices du code de la consommation sur les clauses abusives dès lors qu’en contractant avec la banque elle a agi à des fins qui entrent dans le cadre de son activité commerciale de sorte qu’elle ne peut être qualifiée de non professionnelle.

C’est vainement que la société Datategy fait valoir le caractère abusif de ces clauses sur le fondement de l’article 1171 du code civil ou encore qu’elles videraient de toute substance l’obligation de la banque au sens de son article 1170 alors qu’instaurant cette présomption simple que l’utilisation des dispositifs de sécurité personnalisés répute l’opération autorisée et qu’il incombe au client, auquel ils sont confiés, une obligation de préservation des instruments de paiement, le contrat ne fait que décliner les obligations incombant au payeur prévues aux articles L133-19 et L133-16 qui disposent, notamment et respectivement, que 'IV. ' Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17" et que 'Dès qu’il reçoit un instrument de paiement, l’utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées. Il utilise l’instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation qui doivent être objectives, non discriminatoires et proportionnées'.

Aucune des clauses évoquées par la banque n’est une clause élusive de responsabilité en cas de défaillance de la procédure de sécurité du prestataire de services de payement dès lors qu’il s’agit soit de clauses relatives à l’aménagement de la preuve (identification et consentement de l’utilisateur du service de payement), soit de clauses relatives à la responsabilité du client pour les seuls faits qui relèvent de lui (conservation et utilisation de ses modes d’authentification et de ses mots de passe, utilisation abusive ou inappropriée du service).

Il n’en ressort donc pas un déséquilibre significatif entre les droits et obligations des parties et elles ne privent pas de sa substance l’obligation essentielle de la banque, prestataire de services de payement.

Dès lors qu’il est constant qu’en dehors des prévisions contractuelles, la société Datategy a confié à M. [M] les éléments de sécurité personnalisés dont seul M. [E] pouvait faire usage et qui ont servis aux virements litigieux et par application desdites clauses, la banque ne saurait être tenu à remboursement, de sorte que le jugement doit être informé en ce sens et la société Datatagey déboutée de toutes ses prétentions.

Il doit être ajouté :

— qu’à considérer mêmes les virements non autorisés – alors qu’il n’est pas contesté qu’ils ont été dûment enregistrés, authentifiés et non affectés d’une déficience technique ou autre au sens de l’article L133-18 du code monétaire et financier – la banque caractérise des négligences graves imputables à la société Datategy – constituée de la libre disposition des éléments de sécurité personnalisée à une personne non habilitée et des propres négligences de ce préposé qui lui ont été reprochées dans la cadre de son licenciement, de sorte que c’est vainement que celle-ci invoque un manquement de la banque à une obligation de vigilance, (Com, 15 janvier 2015, pourvoi N°23-15.43).

— qu’en tout état de cause en l’espèce, ni les montants des virements, ni leur fréquence ni leur destination vers des comptes ouverts dans les livres de banques européennes ne constituaient des anomalies que le simple caractère inhabituel des opérations ne suffit pas à établir.

En conséquence de ce qui précède, il y a lieu d’infirmer le jugement entrepris, l’équité commandant de ne pas prononcer de condamnation en application de l’article 700 du code de procédure civile.

PAR CES MOTIFS

INFIRME le jugement entrepris en toutes ses dispositions ;

Et statuant à nouveau et y ajoutant,

DÉBOUTE la société Datategy de toutes ses demandes ;

DIT n’y avoir lieu au prononcé d’une condamnation au titre de l’article 700 du code de procédure civile ;

CONDAMNE la société Datategy aux entiers dépens.

* * * * *

LE GREFFIER LE PRÉSIDENT