Cour d'appel de Rennes, 3ème chambre commerciale, 23 février 2021, n° 19/04976

CA Rennes
Confirmation 23 février 2021

Arguments

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Signaler une erreur.

Rejeté
Obligation de remboursement en cas d'opération non autorisée
La cour a estimé que la banque avait respecté les procédures d'authentification et que la SARL avait fait preuve de négligence grave en ne réagissant pas aux alertes de la banque concernant les virements suspects.
Rejeté
Responsabilité de la banque pour les virements non autorisés
La cour a jugé que la banque n'était pas responsable des virements effectués, car la SARL n'a pas prouvé une défaillance de la banque et a fait preuve de négligence dans la gestion de ses identifiants de connexion.
Rejeté
Droit au remboursement des frais de justice
La cour a confirmé que la SARL, partie perdante, devait supporter les frais de la procédure, y compris ceux de l'intimée.

Résumé par Doctrine IA

La Cour d'Appel de Rennes a confirmé l'ordonnance de référé du Tribunal de Commerce de Brest qui avait débouté la SARL A B de sa demande de remboursement de 12.460,40 €, correspondant au solde de trois virements frauduleux effectués depuis son compte bancaire auprès de la Caisse Régionale de Crédit Agricole Mutuel du Finistère. La question juridique centrale résidait dans la détermination de la responsabilité de la banque dans le remboursement des fonds détournés, au regard des articles L 133-18 et L 133-23 du code monétaire et financier, et notamment si l'obligation de remboursement n'était pas sérieusement contestable. La Cour a jugé que la banque avait mis en place une procédure d'authentification forte et que la SARL, par l'intermédiaire de son gérant, avait fait preuve de négligence grave en ne réagissant pas aux avertissements de la banque concernant l'ajout d'un nouveau bénéficiaire, ce qui a permis les virements frauduleux. En conséquence, la Cour a estimé que la banque n'était pas tenue de rembourser les sommes en question et a confirmé la décision de première instance, condamnant en outre la SARL A B à payer 1.000 € au titre des frais irrépétibles en cause d'appel, ainsi qu'aux dépens de la procédure d'appel.

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Commentaire • 0

Augmentez la visibilité de votre blog juridique : vos commentaires d’arrêts peuvent très simplement apparaitre sur toutes les décisions concernées.

Sur la décision

Référence :	CA Rennes, 3e ch. com., 23 févr. 2021, n° 19/04976
Juridiction :	Cour d'appel de Rennes
Numéro(s) :	19/04976
Dispositif :	Confirme la décision déférée dans toutes ses dispositions, à l'égard de toutes les parties au recours

Sur les parties

Président :	Alexis CONTAMINE, président
Avocat(s) :	Nathalie TROMEUROlivier BOULOUARD
Cabinet(s) :	MAGELLANLARMIER - TROMEUR - DUSSUD
Parties :	SARL SOCIETE LOISIRS NAUTIQUES c/ Société CAISSE REGIONALE DE CREDIT AGRICOLE MUTUEL DU FINI STERE

Texte intégral

3^e Chambre Commerciale

ARRÊT N°115

N° RG 19/04976 – N° Portalis DBVL-V-B7D-P7CC

SARL SOCIETE A B

Société CAISSE REGIONALE DE CREDIT AGRICOLE MUTUEL DU FINI STERE

Copie exécutoire délivrée

le :

à :

M^e TROMEUR

M^e BOULOUARD

RÉPUBLIQUE FRANÇAISE

AU NOM DU PEUPLE FRANÇAIS

COUR D’APPEL DE RENNES

ARRÊT DU 23 FEVRIER 2021

COMPOSITION DE LA COUR LORS DU DÉLIBÉRÉ :

Président : Monsieur Alexis CONTAMINE, Président de chambre,

Assesseur : Madame Olivia JEORGER-LE GAC, Conseillère,

Assesseur : Monsieur Dominique GARET, Conseiller, rapporteur,

GREFFIER :

M^me Y Z, lors des débats et lors du prononcé

DÉBATS :

A l’audience publique du 18 Janvier 2021 devant Monsieur Dominique GARET, magistrat rapporteur, tenant seul l’audience, sans opposition des représentants des parties, et qui a rendu compte au délibéré collégial

ARRÊT :

Contradictoire, prononcé publiquement le 23 Février 2021 par mise à disposition au greffe comme indiqué à l’issue des débats

****

APPELANTE :

Société A B, prise en la personne de son représentant légal domicilié en cette qualité au siège

Port de Plaisance

[…]

Représentée par M^e Nathalie TROMEUR de la SCP LARMIER – TROMEUR-DUSSUD, Plaidant/Postulant, avocat au barreau de QUIMPER

INTIMÉE :

Caisse régionale de Crédit Agricole Mutuel du FINI STERE, inscrite au RCS de Quimper sous le N° 778.134.601 prise en la personne de son représentant légal domicilié en cette qualité au siège social

[…]

Représentée par M^e Olivier BOULOUARD de la SELARL MAGELLAN, Plaidant/Postulant, avocat au barreau de BREST

FAITS ET PROCEDURE

Titulaire d’un compte bancaire ouvert auprès de l’agence morlaisienne du Crédit Agricole, la SARL A B se voyait débiter, le 20 mars 2019, trois virements électroniques au profit d’un compte intitulé 'Libos Jaison Crédit Cofidis', ce pour un montant total de 37.978,65 € (17.988,88 € + 17.989,99 € + 1.999,78 €).

Ayant repéré le caractère 'atypique’ de ces trois virements, la banque en informait le jour même la SARL qui, affirmant qu’elle n’était pas à l’origine de ces paiements et qu’elle n’en connaissait pas même le bénéficiaire, déposait une plainte pénale pour utilisation frauduleuse d’un moyen de paiement contrefait.

Finalement, la banque parvenait à récupérer une partie des fonds et à recréditer sa cliente des sommes de 5.528,48 €, 1.999,78 € et 17.989,99 €.

Reprochant à la banque d’être seule responsable de ces détournements, la SARL, après mise en demeure restée infructueuse, faisait assigner la SA Crédit Agricole devant le juge des référés du tribunal de commerce de Brest aux fins de la voir condamner, par provision, au remboursement de la somme de 12.460,40 € correspondant au solde des virements non restitués.

Par ordonnance du 17 juillet 2019, le magistrat :

— décernait acte à la société Caisse Régionale de Crédit Agricole Mutuel du Finistère de son intervention volontaire à l’instance à la place de la SA Crédit Agricole;

— déboutait la SARL de l’ensemble de ses demandes;

— condamnait la SARL au paiement d’une somme de 1.000 € au titre de l’article 700 du code de procédure civile ainsi qu’aux entiers dépens.

Par déclaration reçue au greffe de la cour le 24 juillet 2019, la SARL interjetait appel de cette décision.

La SARL notifiait ses dernières conclusions le 18 octobre 2019, la société Caisse Régionale de Crédit Agricole Mutuel du Finistère les siennes le 25 septembre 2019.

La clôture de la mise en état intervenait par ordonnance du 7 janvier 2021.

MOYENS ET PRETENTIONS DES PARTIES

La SARL A B demande à la cour de :

Vu les articles L 133-7 et suivants du code monétaire et financier,

Vu l’article 873 du code de procédure civile,

Recevant la SARL en son appel et l’y déclarant bien fondée,

— réformer la décision entreprise en ses dispositions critiquées ;

Statuant à nouveau,

— condamner la société Caisse Régionale de Crédit Agricole Mutuel du Finistère à payer à la SARL, à titre provisionnel, la somme de 12.460,40 € avec intérêts aux taux légal à compter du 20 mars 2019, date à laquelle cette somme a été indument prélevée;

— condamner la société Caisse Régionale de Crédit Agricole Mutuel du Finistère à payer à la SARL la somme de 1.000 € à titre de dommages et intérêts, en application de l’article L 133-18 du code monétaire et financier;

— condamner la société Caisse Régionale de Crédit Agricole Mutuel du Finistère à payer à la SARL la somme de 4.000 € au titre des frais irrépétibles ainsi qu’aux entiers dépens de première instance et d’appel.

Au contraire, la société Caisse Régionale de Crédit Agricole Mutuel du Finistère demande à la cour de :

Vu les articles L 133-19, L 133-16 et L 133-17 du code monétaire et financier,

— confirmer en toutes ses dispositions l’ordonnance déférée;

— débouter la SARL de l’intégralité de ses demandes;

— y ajoutant, condamner la SARL au paiement d’une somme de 2.000 € sur le fondement de l’article 700 du code de procédure civile;

— condamner la SARL aux entiers dépens d’appel.

Il est renvoyé à la lecture des conclusions précitées pour un plus ample exposé des demandes et moyens développés par les parties.

MOTIFS DE LA DECISION

Sur la mise hors de cause de la SA Crédit Agricole et l’intervention volontaire à l’instance de la société Caisse Régionale de Crédit Agricole Mutuel du Finistère :

L’agence Crédit Agricole de Morlaix relevant de la seule responsabilité de la société Caisse Régionale de Crédit Agricole Mutuel du Finistère, c’est à bon droit que le premier juge a pris acte de l’intervention volontaire de celle-ci à l’instance à la place de la SA Crédit Agricole qui est elle-même étrangère au litige.

La décision sera confirmée en ce sens.

Sur la demande de provision :

L’article 873 du code de procédure civile dispose :

'Le président [du tribunal de commerce] peut, dans les mêmes limites, et même en présence d’une contestation sérieuse, prescrire en référé les mesures conservatoires ou de remise en état qui s’imposent, soit pour prévenir un dommage imminent, soit pour faire cesser un trouble manifestement illicite.

Dans les cas où l’existence de l’obligation n’est pas sérieusement contestable, il peut accorder une provision au créancier, ou ordonner l’exécution de l’obligation même s’il s’agit d’une obligation de faire.'

C’est donc à la SARL, demanderesse au référé-provision, qu’il appartient d’établir l’existence d’une obligation non sérieusement contestable du Crédit Agricole à lui rembourser les fonds qu’elle dit avoir été frauduleusement détournés.

Pour tenter d’en justifier, la SARL se prévaut de l’article L 133-18 du code monétaire et financier qui dispose :

' En cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L 133-24, le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement et s’il communique ces raisons par écrit à la Banque de France. Le cas échéant, le prestataire de services de paiement du payeur rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu.

Lorsque l’opération de paiement non autorisée est initiée par l’intermédiaire d’un prestataire de services de paiement fournissant un service d’initiation de paiement, le prestataire de services de paiement gestionnaire du compte rembourse immédiatement, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, au payeur le montant de l’opération non autorisée et, le cas échéant, rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu. La date de valeur à laquelle le compte de paiement du payeur est crédité n’est pas postérieure à la date à laquelle il avait été débité.

Si le prestataire de services de paiement qui a fourni le service d’initiation de paiement est responsable de l’opération de paiement non autorisée, il indemnise immédiatement le prestataire de services de paiement gestionnaire du compte, à sa demande, pour les pertes subies ou les sommes payées en raison du remboursement du payeur, y compris le montant de l’opération de paiement non autorisée.

Le payeur et son prestataire de services de paiement peuvent décider contractuellement d’une indemnité complémentaire. '

La SARL se prévaut également de l’article L 133-23 du même code qui dispose quant à lui :

'Lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre.

L’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière. Le prestataire de services de paiement, y compris, le cas échéant, le prestataire de services de paiement fournissant un service d’initiation de paiement, fournit des éléments afin de prouver la fraude ou la négligence grave commise par l’utilisateur de services de paiement.'

Ainsi la SARL fait-elle valoir que les trois virements litigieux ont été opérés à son insu et sans qu’elle ait jamais fourni à quiconque ni l’identifiant ni le code confidentiel permettant d’accéder à son compte en ligne, ce dont il résulte, selon elle, que les connexions à l’origine de ces détournements sont nécessairement liées à une défaillance du système informatique de la banque.

Cependant, ce raisonnement ne résiste pas à l’analyse des textes applicables ni des circonstances du détournement allégué.

En effet, les articles L 133-18 et L 133-23 ne valent que sous réserve de l’application des dispositions particulières insérées dans une sous-section intitulée ' Cas particulier des instruments de paiement dotés de données de sécurité personnalisées', et notamment de l’article L 133-19 selon lequel :

'IV – Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L 133-16 et L 133-17.'

V – Sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si l’opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement du payeur n’exige une authentification forte du payeur prévue à l’article L 133-44.'

Il résulte des dispositions qui précèdent que la banque dégage sa responsabilité pour tout paiement réalisé au moyen de 'données de sécurité personnalisées’ dès lors, d’une part qu’elle a mis en place une procédure dite d’authentification forte, d’autre part qu’elle est en mesure d’établir, sinon une fraude du payeur, à tout le moins que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations qui lui incombaient conformément aux articles L 133-16 et L 133-17, c’est-à-dire :

— 'prendre toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées’ (L 133-16),

et/ou – ' lorsqu’il a connaissance de la perte, du vol, du détournement ou de toute utilisation non autorisée de son instrument de paiement ou des données qui lui sont liées, en informer sans tarder la banque, aux fins de blocage de l’instrument de paiement’ (L 133-17).

C’est d’ailleurs ce que stipule, en substance bien qu’en d’autres termes, l’article 6-1 de la convention 'Crédit Agricole en Ligne’ à laquelle la SARL a adhéré, qui prévoit en effet :

' Garde des identifiants :

L’utilisateur s’engage à maintenir la plus stricte confidentialité de ses identifiants d’accès et s’interdit de les communiquer à quiconque, sous aucun prétexte. Pour des raisons de sécurité, l’utilisateur s’oblige à modifier périodiquement son code personnel qui ne devra être communiqué à quiconque.

La conservation et l’utilisation de code sont placées sous la responsabilité exclusive de l’utilisateur. Toute opération réalisée au moyen de ce code est présumée émaner de l’utilisateur, sauf preuve contraire, et elle engage, à ce titre, le titulaire.

En cas de perte de la confidentialité, il appartient à l’utilisateur :

— de modifier sans délai son code personnel (ou code d’accès),

— soit de l’invalider par 3 tentatives d’accès successives avec un code quelconque,

— et d’en informer, sans délai, la Caisse Régionale qui lui attribuera un nouveau code.

Le titulaire reconnaît qu’il est engagé par toutes les opérations effectuées par l’utilisateur à l’aide de ses identifiants, même si ces opérations, réalisées à la suite d’une divulgation ou d’une perte de ceux-ci, ont été initiées par des personnes non autorisées, à charge pour lui de recourir, le cas échéant, contre l’utilisateur.

La responsabilité de la Caisse Régionale ne pourra être recherchée de ce fait.'

Or, en l’espèce, il est établi :

— d’une part que la banque justifie avoir mis en place une procédure d’authentification forte, au sens de celle définie à l’article L 133-44, de telle sorte que l’utilisation des données personnalisées de la SARL à l’origine des paiements litigieux est présumée émaner de ladite société ;

— d’autre part que la SARL, prise en la personne de son gérant, a fait preuve d’une négligence grave, au sens de l’article L 133-19.IV, en s’abstenant de donner aucune suite aux avertissements que la banque lui avait adressés à la suite de ce qui aurait dû apparaître au gérant comme une intrusion frauduleuse dans son espace personnel sécurisé.

En effet, il résulte des pièces du dossier :

— que dans la mesure où le nouveau compte à créditer était inconnu de la banque, il a fallu que l’opérateur l’ajoute dans la liste des bénéficiaires autorisés par la SARL à recevoir des virements, ce qui a impliqué qu’il en saisisse les coordonnées bancaires ('IBAN') sur l’espace personnel réservé à M. X, gérant de la société;

— qu’afin de pouvoir accéder à cet espace, l’opérateur devait en connaître le numéro d’identifiant ainsi que le code confidentiel choisi par M. X lui-même, seule personne censée avoir connaissance de ces informations privilégiées;

— qu’il a fallu en outre, afin que soit validé définitivement l’ajout des coordonnées du compte à créditer, que l’opérateur reçoive de la banque un code confidentiel ponctuel adressé par SMS au numéro de téléphone mobile attribué à M. X, ce qui a encore nécessité que l’opérateur soit en possession dudit téléphone au moment de cet envoi ;

— qu’il a fallu enfin que l’opérateur attende plus de 36 heures entre le moment où le compte à créditer a été ajouté à la liste des bénéficiaires et celui où le premier virement a pu être effectué (la banque justifiant en effet que l’ajout du compte litigieux a été accepté le 18 mars 2019 à 16 heures 52 alors que le premier virement n’est intervenu que le 20 mars 2019 à 0 heures 35, les deux autres virements

étant intervenus quelques minutes plus tard, soit à 0 heure 41 puis à 0 heure 42, ce qui a d’ailleurs déclenché la procédure d’alerte de la banque compte tenu du caractère suspect de ces trois opérations);

— qu’à cet égard, aucun manquement ne saurait être reproché à la banque pour avoir permis qu’intervienne ce premier virement avant l’expiration d’un délai de 48 heures à compter de la saisie du nouveau compte à créditer, aucune disposition légale ou contractuelle ne lui imposant en effet de respecter un tel délai, la banque devant seulement s’assurer d’un délai suffisant pour vérifier la régularité du compte à créditer, et surtout pour informer son client de l’ajout de ce compte afin que celui-ci puisse s’y opposer le cas échéant;

— que c’est ce qu’a fait le Crédit Agricole qui, par deux SMS au numéro de téléphone mobile de M. X dès le 18 mars 2019 à 16 heures 53, puis par un autre message expédié au même moment à la messagerie électronique personnelle de celui-ci, l’a informé de l’ajout d’un nouveau compte bénéficiaire à son espace personnel internet;

— que M. X n’a réagi à aucun de ces messages, ayant ainsi permis que puisse prospérer la validation définitive de cet ajout d’un nouveau compte susceptible d’être crédité, permettant par là même, par sa négligence grave, que les trois virements litigieux soient effectués le surlendemain, au demeurant toujours au moyen du numéro d’identifiant et du code confidentiel de M. X qui était censé en préserver la confidentialité;

— que c’est sans convaincre que la SARL affirme que M. X n’a jamais reçu les messages de la banque, la cour constatant d’ailleurs que l’appelante s’abstient de produire la liste des SMS reçus par l’intéressé au cours de la journée du 18 mars 2019 ni aucune pièce émanant de son opérateur téléphonique attestant que celui-ci ne les aurait pas reçus.

En conséquence, et dès lors d’abord que la banque a parfaitement respecté la procédure applicable en la matière, ensuite que la SARL ne démontre nullement une défaillance du système informatique de la banque, enfin qu’il est établi que le gérant de la SARL a quant à lui fait preuve de négligences graves, à tout le moins en s’abstenant de réagir à l’information que la banque lui avait transmise à l’occasion de l’instrusion supposée d’un étranger sur son espace personnel sécurisé, il en résulte que le Crédit Agricole ne saurait être tenu à rembourser les sommes ainsi débitées du compte de la SARL.

A cet égard, la circonstance que la banque soit parvenue à récupérer une partie desdites sommes auprès de son homologue avant qu’elles aient pu être dissipées et à en recréditer le compte de la SARL, ne saurait être interprétée comme valant reconnaissance d’une quelconque responsabilité de la part de la banque.

En toute hypothèse, la demande de remboursement effectuée par voie de référé se heurte à une contestation des plus sérieuses de la part du Crédit Agricole, laquelle justifie que la SARL soit déboutée de sa demande de provision, l’ordonnance devant être confirmée en ce sens.

Partie perdante, la SARL sera condamnée au paiement d’une somme de 1.000€ au titre des frais irrépétibles exposés par son adversaire en cause d’appel, en sus de celle de même montant déjà accordée par le tribunal au titre des frais irrépétibles de première instance, la décision déférée devant également être confirmée sur ce point.

Enfin, la SARL supportera les entiers dépens de première instance et d’appel.

PAR CES MOTIFS,

La cour :

— confirme l’ordonnance en toutes ses dispositions;

— y ajoutant :

* déboute la SARL A B du surplus de ses demandes;

* condamne la SARL A B à payer à la société Caisse Régionale de Crédit Agricole Mutuel du Finistère une somme de 1.000 € au titre de l’article 700 du code de procédure civile en cause d’appel;

* condamne la SARL A B aux dépens de la procédure d’appel.

Le greffier Le président