LA COUR DE CASSATION, CHAMBRE COMMERCIALE, a rendu l'arrêt suivant :
COMM.
DB
COUR DE CASSATION
______________________
Audience publique du 9 mars 2022
Cassation
M. MOLLARD, conseiller doyen
faisant fonction de président
Arrêt n° 175 F-D
Pourvoi n° R 20-12.376
R É P U B L I Q U E F R A N Ç A I S E
_________________________
AU NOM DU PEUPLE FRANÇAIS
_________________________
ARRÊT DE LA COUR DE CASSATION, CHAMBRE COMMERCIALE, FINANCIÈRE ET ÉCONOMIQUE, DU 9 MARS 2022
La société Carrosserie [M] et Fils, société à responsabilité limitée, dont le siège est [Adresse 2], a formé le pourvoi n° R 20-12.376 contre l'arrêt rendu le 5 décembre 2019 par la cour d'appel de Dijon (2e chambre civile), dans le litige l'opposant :
1°/ à la société Caisse de crédit mutuel du Creusot, dont le siège est [Adresse 3],
2°/ à la société Caisse d'épargne et de prévoyance de Bourgogne Franche-Comté, société anonyme, dont le siège est [Adresse 1],
défenderesses à la cassation.
La demanderesse invoque, à l'appui de son pourvoi, les deux moyens de cassation annexés au présent arrêt.
Le dossier a été communiqué au procureur général.
Sur le rapport de M. Boutié, conseiller référendaire, les observations de la SCP Bauer-Violas, Feschotte-Desbois et Sebagh, avocat de la société Carrosserie [M] et Fils, de la SARL Le Prado - Gilbert, avocat de la société Caisse de crédit mutuel du Creusot et de la société Caisse d'épargne et de prévoyance de Bourgogne Franche-Comté, après débats en l'audience publique du 18 janvier 2022 où étaient présents M. Mollard, conseiller doyen faisant fonction de président, M. Boutié, conseiller référendaire rapporteur, M. Ponsot, conseiller, et Mme Fornarelli, greffier de chambre,
la chambre commerciale, financière et économique de la Cour de cassation, composée des président et conseillers précités, après en avoir délibéré conformément à la loi, a rendu le présent arrêt.
Faits et procédure
1. Selon l'arrêt attaqué (Dijon, 5 décembre 2019), la société Carrosserie [M] et fils (la société), titulaire de comptes professionnels auprès de la société Caisse d'épargne et de prévoyance de Bourgogne Franche-Comté (la Caisse d'épargne) et de la société Caisse de crédit mutuel du Creusot (le Crédit mutuel), a souscrit auprès de cette dernière une convention dénommée « formule clé » afin de sécuriser et de faciliter ses opérations bancaires sur internet réalisées à partir de l'ensemble de ses comptes bancaires.
2. Ayant été victime le 16 juillet 2015 d'un piratage informatique et d'un virement frauduleux de 64 850 euros à partir d'un des comptes ouverts à la Caisse d'épargne, la société a assigné cette dernière et le Crédit mutuel en responsabilité.
Examen des moyens
Sur le premier moyen, pris en ses première et deuxième branches, et le second moyen, pris en ses première et deuxième branches, réunis
Enoncé du moyen
3. Par son premier moyen, pris en ses première et deuxième branches, la société fait grief à l'arrêt de rejeter ses demandes dirigées contre le Crédit mutuel, alors :
« 1°/ que s'il appartient à l'utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d'informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l'instrument de paiement ou des données qui lui sont liées, c'est à ce prestataire qu'il incombe, par application des articles L. 133-19, IV, et L. 133-23 du code monétaire et financier, de rapporter la preuve que l'utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n'a pas satisfait intentionnellement ou par négligence grave à ses obligations ; que cette preuve ne peut se déduire du seul fait que l'instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés ; qu'en écartant toute responsabilité du Crédit mutuel aux motifs ‘‘qu'il est évident, ainsi que l'a admis le tribunal de commerce, que le virement frauduleux n'a pu se produire que parce que la clé de sécurité était introduite dans l'ordinateur à partir duquel il a été ordonné" et que ‘‘la prise en main à distance de l'ordinateur ne peut avoir lieu que parce que l'opérateur n'était pas à son poste, car sinon, il l'aurait constatée", la cour d'appel a déduit la prétendue négligence de l'utilisateur du seul fait que l'instrument de paiement avait été utilisé, en violation des articles L. 133-16, L. 133-19 et L. 133-23 du code monétaire et financier et, ensemble, des anciens articles 1147 et 1315 du code civil, dans leur rédaction applicable en la cause ;
2°/ que s'il appartient à l'utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d'informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l'instrument de paiement ou des données qui lui sont liées, c'est à ce prestataire qu'il incombe, par application des articles L. 133-19, IV, et L 133-23 du code monétaire et financier, de rapporter la preuve que l'utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n'a pas satisfait intentionnellement ou par négligence grave à ses obligations ; qu'en énonçant que le tribunal avait renversé la charge de la preuve en reprochant au Crédit mutuel de ne prouver ni l'absence de mise à jour de l'antivirus, ni l'absence d'opérateur sur le poste sur lequel était présente la clé USB lors de l'opération frauduleuse, ni que la présence d'un opérateur aurait pu rendre transaction impossible, la cour d'appel a elle-même renversé la charge de la preuve et violé l'article 1315 devenu 1353 du code civil. »
4. Par son second moyen, pris en ses première et deuxième branches, la société fait grief à l'arrêt de rejeter ses demandes dirigées contre la société Caisse d'épargne, alors :
« 1°/ que s'il appartient à l'utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d'informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l'instrument de paiement ou des données qui lui sont liées, c'est à ce prestataire qu'il incombe, par application des articles L. 133-19, IV, et L. 133-23 du code monétaire et financier, de rapporter la preuve que l'utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n'a pas satisfait intentionnellement ou par négligence grave à ses obligations ; que cette preuve ne peut se déduire du seul fait que l'instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés ; qu'en imputant une négligence à la société aux motifs "qu'il est évident, ainsi que l'a admis le tribunal de commerce, que le virement frauduleux n'a pu se produire que parce que la clé de sécurité était introduite dans l'ordinateur à partir duquel il a été ordonné" et que "la prise en main à distance de l'ordinateur ne peut avoir lieu que parce que l'opérateur n'était pas à son poste, car sinon, il l'aurait constatée", la cour d'appel a déduit la prétendue négligence de l'utilisateur du seul fait que l'instrument de paiement avait été utilisé, en violation des articles L. 133-16, L. 133-18, L. 133-19 et L. 133-23 du code monétaire et financier ;
2°/ que s'il appartient à l'utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d'informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l'instrument de paiement ou des données qui lui sont liées, c'est à ce prestataire qu'il incombe, par application des articles L. 133-19, IV, et L 133-23 du code monétaire et financier, de rapporter la preuve que l'utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n'a pas satisfait intentionnellement ou par négligence grave à ses obligations ; qu'en énonçant que le tribunal avait renversé la charge de la preuve en reprochant au Crédit mutuel de ne prouver ni l'absence de mise à jour de l'antivirus, ni l'absence d'opérateur sur le poste sur lequel était présente la clé USB lors de l'opération frauduleuse, ni que la présence d'un opérateur aurait pu rendre transaction impossible, la cour d'appel a renversé la charge de la preuve et violé les articles L. 133-16, L. 133-18, L. 133-19 et L. 133-23 du code monétaire et financier. »
Réponse de la Cour
Vu les articles L. 133-19, IV, et L. 133-23 du code monétaire et financier, dans leur rédaction antérieure à celle issue de l'ordonnance n° 2017-1252 du 9 août 2017 :
5. Il résulte de ces textes que c'est au prestataire de services de paiement qu'il incombe de rapporter la preuve que l'utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n'a pas satisfait intentionnellement ou par négligence grave à ses obligations. Cette preuve ne peut se déduire du seul fait que l'instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés.
6. Pour rejeter les demandes de la société et lui faire supporter les pertes occasionnées par le virement frauduleux, l'arrêt, après avoir relevé que la société a été victime d'un virus de type « malware » ayant permis, aux termes de manoeuvres sophistiquées, la prise en main à distance par le pirate informatique de l'ordinateur à partir duquel le virement a été ordonné, retient que le virement n'a pu avoir lieu que parce que, à la fois, la clé de sécurité était introduite dans l'ordinateur et l'opérateur n'était pas à son poste, car sinon il aurait constaté la prise en main à distance. Il ajoute qu'il n'appartient pas au Crédit mutuel de rapporter la preuve de l'absence de l'opérateur à son poste au moment du virement, ni de démontrer que la présence de l'opérateur aurait pu rendre ce virement impossible, ni d'établir que l'anti-virus de la société n'était pas à jour ou qu'un autre système de protection aurait pu détecter et neutraliser plus efficacement le virus. Il en déduit que les conditions générales de la convention « formule clé », lesquelles prévoient notamment qu'à la fin de chaque utilisation ou service, le souscripteur doit veiller à se déconnecter systématiquement et correctement du service, sont opposables à la société et qu'il n'est pas établi que le virement frauduleux a pu être réalisé en raison d'une insuffisance du système de sécurisation des transactions que le Crédit mutuel a fourni à la société.
7. En statuant ainsi, la cour d'appel a violé les textes susvisés.
PAR CES MOTIFS, et sans qu'il y ait lieu de statuer sur les autres griefs, la Cour :
CASSE ET ANNULE, en toutes ses dispositions, l'arrêt rendu le 5 décembre 2019, entre les parties, par la cour d'appel de Dijon ;
Remet l'affaire et les parties dans l'état où elles se trouvaient avant cet arrêt et les renvoie devant la cour d'appel de Besançon ;
Condamne les sociétés Caisse d'épargne et de prévoyance de Bourgogne-Franche-Comté et Caisse de crédit mutuel du Creusot aux dépens ;
En application de l'article 700 du code de procédure civile, rejette les demandes formées par les sociétés Caisse d'épargne et de prévoyance de Bourgogne-Franche-Comté et Caisse de crédit mutuel du Creusot aux dépens et les condamne à payer à la société Carrosserie [M] et fils la somme globale de 3 000 euros ;
Dit que sur les diligences du procureur général près la Cour de cassation, le présent arrêt sera transmis pour être transcrit en marge ou à la suite de l'arrêt cassé ;
Ainsi fait et jugé par la Cour de cassation, chambre commerciale, financière et économique, et prononcé par le président en son audience publique du neuf mars deux mille vingt-deux.
MOYENS ANNEXES au présent arrêt :
Moyens produits par la SCP Bauer-Violas, Feschotte-Desbois et Sebagh, avocat aux Conseils, pour la société Carrosserie [M] et Fils.
PREMIER MOYEN DE CASSATION :
Le moyen reproche à l'arrêt infirmatif attaqué d'avoir débouté la société Carrosserie [M] de ses demandes dirigées contre la Caisse de Crédit Mutuel du Creusot ;
AUX MOTIFS QUE
« - Sur la responsabilité de la Caisse de Crédit Mutuel du Creusot
Il ressort des pièces versées que la SARL carrosserie [M] et fils était titulaire d'un compte bancaire auprès de la Caisse de Crédit Mutuel le Creusot Euro-compte Pro Sérénité n°29525345 après transformation et qu'elle a conclu en 2014 une convention dénommée « Formule Clé » qui lui permet d'accéder à ses comptes auprès des autres établissements et de faire des opérations interbancaires, de consultation de compte, de rapprochement bancaire et de virements. Les parties versent deux contrat «formule clé», l'un du 14janvier 2014, l'autre du 19 décembre 2014 sans qu'elles s'expliquent clairement sur l'existence de ces deux conventions. Cependant, il ressort de ces deux contrats qu'elle y convenait avec le Crédit Mutuel d'une souscription « au produit CMUT DIRECT PRO SERENITE », contrat n°8AD0256500000261 7 offrant l'ouverture d'un certain nombre de services et visant les conditions générales CG.03/07-1 0113.
Elle disposait ainsi d'un système d'authentification du signataire ou donneur d'ordre de manière électronique et dans le cadre de communications dématérialisées par une clé USB devant être connectée à un ordinateur, l'utilisateur habilité devait ensuite composer un code pin â 4 chiffres, un identifiant à 13 chiffres et un mot de passe de 6 chiffres. II existe un régime extrêmement strict de certification des personnes habilitées, notamment par un contrôle du recueil des signatures et de l'ensemble des éléments d'identification des titulaires.
Ces certificats électronique KSIGN RGS (signature et authentification) qui ont fait l'objet d'une demande pour Monsieur [K] et Monsieur [P] [M] ont des règles d'utilisation qui sont contenues dans les conditions générales et dans la politique de certification.
Les conditions d'utilisation générales du 23 mars 2012 version 1.1. de ce service ont été paraphées et signées par Monsieur [P] [M] et Monsieur [K] [M] le 21janvier2014, ainsi que l'a relevé le tribunal de commerce qui les s déclarées opposables.
Elles disposent notamment : « Il est rappelé que l'utilisation par le porteur de la clé privée et du certificat K.SIGN associé doit rester strictement limitée au service de signature de documents tout format et avec tout type d'outil de signature compatible avec le service d'horodatage et d'OSCP de KEYNECTIS et au service de contrôles d'accès (authentification). Le porteur doit prendre toutes mesures nécessaires afin de protéger sa clé privée. » (article 5 des conditions générales). Elles disposent également que: « Le porteur doit prendre toutes les mesures nécessaires pour assurer la sécurité et l'intégrité des données ainsi que celles des postes informatiques sur lesquels il utilise les certificats et les supports [.. .1 Le porteur s'engage à prendre toutes les mesures propres à assurer la sécurité physique et logique de sa clé privée et du certificat associé. En outre, il est seul responsable de la protection de sa (ou ses) clé(s) privée(s) conservée(s) sur son matériel (navigateur, carte à puce, autres) contre la violation, la perte, la divulgation, la modification et l'usage abusif. »
Le 14 janvier 2014 et le 19 décembre 2014, en signant un « contrat formule clé » de souscription au produit CMUT DIRECT PRO SERENITE, Monsieur [C] [M] puis Monsieur [K] [M] ont reconnu que la convention était « composée par: les conditions particulières ci?dessus, le fascicule intitulé « conditions générales professionnels associations agriculteurs » référencé n°82.0.164 07113 contenant les conditions générales de Banque et les conditions Générales de produits et Services, les conditions générales des produits et services contractées par le souscripteur non comprises dans le fascicule précité ».
Il a également reconnu « avoir reçu en temps utile le fascicule intitulé « Conditions Générales Professionnels Associations Agriculteurs référencé n° 82.02.64 07/13, et s'il y a lieu les Conditions Générales des Produits et Services non reprises dans le fascicule précité », «en avoir pris connaissance et approuvé ces documents entièrement au même titre que les conditions particulières ».
Ainsi, les conditions générales du produit CMUT DIRECT PRO ? CMUT DIRECT ASSOCIATION annexées au contrat du 10 janvier 2014 ne sont pas paraphées mais le signataire de la convention a bien reconnu en avoir connaissance et elles sont bien contenues dans le fascicule «conditions générales professionnels associations agriculteurs» références 82.02.64 versées au débats par la Caisse du Crédit Mutuel du Creusot.
A la lumière de ces contrats signés le 14 janvier2014 et le 19 décembre 2019, il est clair que la SARL [M] et fils a reconnu avoir eu communication du fascicule et accepter les conditions générales professionnels associations agriculteurs ref: 82.02.64 juillet 2013 lesquelles comprennent les conditions générales CMUT DIRECT PRO ? CMUT DIRECT ASSOCIATION (CG 03.07 07/13) (et non CG 03.07 10/13 qui est la version juste postérieure annexée par erreur au contrat « formule clé » du 14 janvier 2014 » selon la Caisse de Crédit Mutuel).
Ces conditions générales sont dès tors opposables à la SARL carrosserie [M] et fils, contrairement à ce qu'a estimé le tribunal de commerce, notamment les articles 6 et 7 précités dont l'examen des versions des conditions générales 03.07 07/13 et 03.07 10/13 versées permet de vérifier qu'ils y sont rédigés identiquement.
OR, l'article 7 de ces conditions générales de banque d'accès à distance (CMUT DIRECT PRO ? CMUT DIRECT ASSOCIATION CG 03.07) prévoit que: «La banque ne saurait être tenue pour responsable des risques liés aux caractéristiques mêmes du média Internet ou inhérents aux échanges d'informations par le biais dudit média, risque que le souscripteur déclare accepter. Le souscripteur fait son affaire personnelle de l'acquisition, de l'installation, de la maintenance de son système informatique et de son raccordement au réseau internet, ainsi que de sa protection au moyen d'un « pare-feu) » (firewall) et d'un antivirus è jour ou de tout autre moyen de protection. Il s'engage à prendre toutes les mesures nécessaires afin de garantir le niveau requis de protection de son ordinateur; micro-ordinateur ou de tout appareil électronique ayant accès à internet contre tous les risques de virus ou de logiciels espions quels qu'ils soient. La banque ne saurait dès lors être tenue responsable d'une défectuosité du système et/ou du service dû à une telle altération, ce que le souscripteur accepte ».
En application de l'article 6: « à la fin de chaque utilisation ou service, le souscripteur doit veiller à se déconnecter systématiquement et correctement du service».
Malgré le système mis en place par te Crédit Mutuel, la SARL carrosserie [M] et fils a été victime d'un virement frauduleux de son compte à la Caisse d'Epargne et de Prévoyance de Bourgogne Franche-Comté effectué à partir d'un de ses postes informatiques affecté d'un malware. Il faut d'ailleurs relever que ce système ne procure pas un antivirus ou un antimalware, mais une procédure sécurisée d'authentification et de signature électronique,
Ainsi que l'a justement estimé le tribunal de commerce, il ne suffit pas à la SARL carrosserie [M] et fils d'affirmer qu'il existerait d'autres systèmes plus sécurisés parce qu'ils permettent la validation des mouvements via une application mobile, sécurisée par un code pin pour démontrer l'insuffisante sécurité procurée par le système d'identification du Crédit Mutuel. En particulier, aucun rapport technique sérieux en matière de sécurité informatique n'est produit à l'appui de l'affirmation selon laquelle le système est défaillant du fait de l'absence de confirmation des virements via un support extérieur,
Le malware dont a été victime la SARL carrosserie [M] a été identifié a posteriori par son informaticien qui a pu examiner ses postes informatiques.
Il décrit le processus d'installation de ce virus de type «drixed », malgré un antivirus sur la machine.
Une pièce jointe de type «document word » a été envoyé par mail sur un poste informatique, et ouvert, exécutant un script visual basic et installant le virus, qui n'est pas détecté et neutralisé. Le malware met en place un programme permettant d'observer à d'instance le fonctionnement et de prendre la main sur le poste. L'observateur a pu ainsi observer les opérations et prendre connaissance du code d'utilisation de la clé, a pu prendre la main à distance pour effectuer, alors que la clé était introduite, et avec le code observé, le virement.
Certes l'informaticien indique aussi que le pirate a pu détecter une saisie toujours identique d'un couple login et mot de passe et que l'antivirus installé dans l'entreprise était un antivirus assez couramment utilisé.
Cependant, il est évident, ainsi que l'a admis le tribunal de commerce, que le virement n'a pu avoir lieu que parce que la clé de sécurité était introduite dans l'ordinateur à partir duquel il a été ordonné.
De même la prise de main à distance de l'ordinateur ne peut avoir eu lieu que parce que l'opérateur n'était pas à son poste, car sinon, il l'aurait constatée.
Le tribunal de commerce a renversé la charge de la preuve en reprochant au Crédit Mutuel de ne prouver ni l'absence d'opérateur sur le poste sur lequel était présente la clé USB lors de l'opération frauduleuse, ni que la présence d'un opérateur aurait pu rendre transaction impossible.
De même lorsque le tribunal de commerce estime que le Crédit Mutuel doute que l'antivirus ait été à jour mais n'en apporte pas la preuve, ni celle de ce qu'un autre système de protection aurait pu détecter et neutraliser plus efficacement le virus qui a infecté l'ordinateur de la SARL carrosserie [M] et fils.
Dans ces conditions, les conditions générales invoquées par la Caisse de Crédit Mutuel, dont il résulte certaines obligations en matière de sécurité informatique et de précaution d'utilisation de la clé en cause pesant sur la SARL carrosserie [M] et fils lui sont opposables, et il n'est pas établi que le virement frauduleux a pu être réalisé en raison d'une insuffisance du système de sécurisation des transactions que lui a fourni la Caisse du Crédit Mutuel.
Le jugement dont appel doit être infirmé en ce qu'il a dit que la Caisse de Crédit Mutuel a commis une faute engageant sa responsabilité en procurant à Ta SARL Carrosserie [M] et fils un système qui ne procure pas la sécurité attendue.
La SARL carrosserie [M] et fils reproche enfin au Crédit Mutuel de ne lui avoir donné aucune formation quant à l'usage optimal du produit, et n'avoir jamais attiré son attention sur la nécessité d'un système antivirus particulièrement efficient.
Cependant, il convient de confirmer le jugement du tribunal de commerce qui a justement relevé que rien n'indique que l'utilisation de la clé supposait des connaissances ou une formation particulière, et que la SARL carrosserie Lacet l'a utilisée pendant plusieurs mois, sans avoir requis de soutien technique de la banque.
La responsabilité contractuelle de la Caisse de Crédit Mutuel ne sera pas engagée sur ce point.
1°/ ALORS QUE s'il appartient à l'utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d'informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l'instrument de paiement ou des données qui lui sont liées, c'est à ce prestataire qu'il incombe, par application des articles L. 133-19, IV, et L. 133-23 du code monétaire et financier de rapporter la preuve que l'utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n'a pas satisfait intentionnellement ou par négligence grave à ses obligations ; que cette preuve ne peut se déduire du seul fait que l'instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés ; qu'en écartant toute responsabilité du Crédit Mutuel aux motifs « qu'il est évident, ainsi que l'a admis le tribunal de commerce, que le virement frauduleux n'a pu se produire que parce que la clé de sécurité était introduite dans l'ordinateur à partir duquel il a été ordonné » et que « la prise en main à distance de l'ordinateur ne peut avoir lieu que parce que l'opérateur n'était pas à son poste, car sinon, il l'aurait constatée », la cour d'appel a déduit la prétendue négligence de l'utilisateur du seul fait que l'instrument de paiement avait été utilisé, en violation des articles L. 133-16, L. 133-19 et L. 133-23 du code monétaire et financier et, ensemble, des anciens articles 1147 et 1315 du code civil, dans leur rédaction applicable en la cause ;
2°/ ALORS QUE s'il appartient à l'utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d'informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l'instrument de paiement ou des données qui lui sont liées, c'est à ce prestataire qu'il incombe, par application des articles L. 133-19, IV, et L. 133-23 du code monétaire et financier de rapporter la preuve que l'utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n'a pas satisfait intentionnellement ou par négligence grave à ses obligations ; qu'en énonçant que le tribunal avait renversé la charge de la preuve en reprochant au Crédit Mutuel de ne prouver ni l'absence de mise à jour de l'antivirus, ni l'absence d'opérateur sur le poste sur lequel était présente la clé USB lors de l'opération frauduleuse, ni que la présence d'un opérateur aurait pu rendre transaction impossible, la cour d'appel a elle-même renversé la charge de la preuve et violé l'article 1315 devenu 1353 du code civil ;
3°/ ALORS SUBSIDIAIREMENT QUE s'il appartient à l'utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d'informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l'instrument de paiement ou des données qui lui sont liées, c'est à ce prestataire qu'il incombe, par application des articles L. 133-19, IV, et L. 133-23 du code monétaire et financier de rapporter la preuve que l'utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n'a pas satisfait intentionnellement ou par négligence grave à ses obligations ; qu'en s'abstenant de caractériser la négligence grave dont l'utilisateur aurait fait preuve à l'ouverture d'un courriel infecté d'un virus de type « cheval de troie », et ce alors même qu'elle avait constaté que ses postes informatiques étaient équipés d'un anti-virus, la cour d'appel a privé sa décision de base légale au regard des articles L. 133-16, L. 133-19 et L. 133-23 du code monétaire et financier ;
4°) ALORS QUE, même en faisant abstraction des articles L. 133-19, IV, et L. 133-23 du code monétaire et financier, et par simple application des règles de la responsabilité contractuelle de droit commun, en énonçant que le tribunal avait renversé la charge de la preuve en reprochant au Crédit Mutuel de ne prouver ni l'absence de mise à jour de l'antivirus, ni l'absence d'opérateur sur le poste sur lequel était présente la clé USB lors de l'opération frauduleuse, ni que la présence d'un opérateur aurait pu rendre transaction impossible, la cour d'appel a elle-même renversé la charge de la preuve et violé l'article 1315 devenu 1353 du code civil.
SECOND MOYEN DE CASSATION :
Le moyen reproche à l'arrêt infirmatif attaqué d'avoir débouté la société Carrosserie [M] de ses demandes dirigées contre la Caisse d'Epargne et de Prévoyance de Franche-Comté ;
AUX MOTIFS QUE
«Sur l'obligation de remboursement du déositaire
En application de l'article 1937 du code civil « le dépositaire ne doit restituer la chose déposée qu'à celui qui la lui a confiée, ou à celui au nom duquel le dépôt e été fait, ou à celui qui a été indiqué pour le recevoir».
L'article L133-18 du Code monétaire et financier précise que : « En cas d'opération de paiement non autorisée signalée par l'utilisateur dans les conditions prévues à l'article L133-24, le prestataire de services de paiement du payeur rembourse immédiatement au payeur le montant de l'opération non autorisée et, le cas échéant, rétablit le compte débité dans l'état où il se serait trouvé si l'opération de paiement non autorisée n'avait pas eu lieu. Le payeur et son prestataire de services de paiement peuvent décider contractuellement d'une indemnité complémentaire ».
L'article L133-23 du même Code ajoute: « Lorsqu'un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l'opération de paiement n'a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l'opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu'elle n'a pas été affectée par une déficience technique ou autre.
L'utilisation de l'instrument de paiement telle qu'enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l'opération e été autorisée par le payeur ou que celui-ci n'a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière ».
Enfin, en application de l'article L33-24 : « L'utilisateur de services de paiement signale, sans tarder, à son prestataire de services de paiement une opération de paiement non autorisée ou mal exécutée et au plus tard dans les treize mois suivant la date de débit sous peine de forclusion.... »
Il n'est pas contesté que les fonds soustraits à la SARL carrosserie [M] et fils l'ont été grâce à un virement frauduleux dès l'origine, puisque l'ordre n'en avait pas été donné par la carrosserie [M] et fils et qu'elle l'a signalé dès le lendemain de l'opération.
S'agissant d'un faux ordre de virement, la responsabilité du banquier peut être engagée et il est tenu à remboursement sans que le déposant ait à démontrer l'existence d'une faute au sens de l'article 1382 du code civil. Il ne peut en être déchargé lui-même qu'en démontrant que la faute du déposant a permis la création des faux ordres de virement qu'il a exécutés.
Comme déjà relevé plus haut, la SARL carrosserie [M] et fils était soumise à certaines obligations en matière de sécurité informatique et de précautions d'utilisation de sa clé d'authentification, et c'est à tout le moins une négligence dans leur respect qui a permis le virement litigieux aux termes des manoeuvres sophistiquées grâce auxquelles les fraudeurs sont entrés en possession des données personnelles de la SARL carrosserie [M] et fils déjà décrites.
Il faut également rappeler que l'article 4-1 des conditions générales du contrat d'échange de données informatisées (convention DATALIS) auxquelles la SARL carrosserie [M] et fils a souscrit le 16 mai 2013 et qu'elle a paraphées prévoit que « le client fait son affaire personnelle de l'installation et de la connexion, de l'entretien et plus généralement de la garde de son matériel et de tous ses moyens techniques ou logiciels ainsi que de leur protection au moyen d'un pare-feu et d'un antivirus à jours. Il en dispose sous son exclusive responsabilité ».
En conséquence, le jugement du tribunal de commerce doit être infirmé en ce qu'il a dit qu'aucun manquement particulier, pas même d'imprudence, antérieur à la création du faux virement et l'ayant permis n'est établi, et que la Caisse d'Epargne ne démontrait pas la faute de la SARL carrosserie [M] et fils et ne pouvait être exonérée, même partiellement, de sa responsabilité de plein droit de dépositaire ».
1°/ ALORS QUE s'il appartient à l'utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d'informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l'instrument de paiement ou des données qui lui sont liées, c'est à ce prestataire qu'il incombe, par application des articles L. 133-19, IV, et L. 133-23 du code monétaire et financier de rapporter la preuve que l'utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n'a pas satisfait intentionnellement ou par négligence grave à ses obligations ; que cette preuve ne peut se déduire du seul fait que l'instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés ; qu'en imputant une négligence à la Carrosserie [M] aux motifs « qu'il est évident, ainsi que l'a admis le tribunal de commerce, que le virement frauduleux n'a pu se produire que parce que la clé de sécurité était introduite dans l'ordinateur à partir duquel il a été ordonné » et que « la prise en main à distance de l'ordinateur ne peut avoir lieu que parce que l'opérateur n'était pas à son poste, car sinon, il l'aurait constatée », la cour d'appel a déduit la prétendue négligence de l'utilisateur du seul fait que l'instrument de paiement avait été utilisé, en violation des articles L. 133-16, L. 133-18, L. 133-19 et L. 133-23 du code monétaire et financier;
2°/ ALORS QUE s'il appartient à l'utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d'informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l'instrument de paiement ou des données qui lui sont liées, c'est à ce prestataire qu'il incombe, par application des articles L. 133-19, IV, et L. 133-23 du code monétaire et financier de rapporter la preuve que l'utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n'a pas satisfait intentionnellement ou par négligence grave à ses obligations ; qu'en énonçant que le tribunal avait renversé la charge de la preuve en reprochant au Crédit Mutuel de ne prouver ni l'absence de mise à jour de l'antivirus, ni l'absence d'opérateur sur le poste sur lequel était présente la clé USB lors de l'opération frauduleuse, ni que la présence d'un opérateur aurait pu rendre transaction impossible, la cour d'appel a renversé la charge de la preuve et violé les articles L. 133-16, L. 133-18, L. 133-19 et L. 133-23 du code monétaire et financier ;
3°/ ALORS QUE s'il appartient à l'utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d'informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l'instrument de paiement ou des données qui lui sont liées, c'est à ce prestataire qu'il incombe, par application des articles L. 133-19, IV, et L. 133-23 du code monétaire et financier de rapporter la preuve que l'utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n'a pas satisfait intentionnellement ou par négligence grave à ses obligations ; qu'en imputant éventuellement à la Carrosserie [M] un manquement à son obligation d'équiper ses postes informatiques d'un système antivirus régulièrement mis à jour, sans constater concrètement le manquement que l'utilisateur aurait commis à cet égard, la cour d'appel a privé sa décision de base légale au regard des articles L. 133-16, L. 133-18, L. 133-19 et L. 133-23 du code monétaire et financier ;
4°/ ALORS QU'en s'abstenant de répondre aux conclusions de la Carosserie [M] (p. 25, §§ 6 à 9), étayées d'offres de preuve, suivant lesquelles ses postes informatiques faisaient l'objet d'un contrat de maintenance incluant un système antivirus régulièrement mis à jour, la cour d'appel a violé l'article 455 du code de procédure civile.
