COUR D'APPEL D'AIX-EN-PROVENCE
8e Chambre C
ARRÊT AU FOND
DU 15 DECEMBRE 2016
No 2016/747
Rôle No 14/12661
SARL SODIMED
C/
SA HSBC FRANCE
Grosse délivrée
le :
à : Me SIDER
Me CABAYE
Décision déférée à la Cour :
Jugement du Tribunal de Commerce de SALON-DE-PROVENCE en date du 06 Juin 2014 enregistré au répertoire général sous le no 14/000929.
APPELANTE
SARL SODIMED prise en la personne de son représentant légal,
dont le siège social est sis 187 Rue Jean Dausset - Immeuble le Seraphin - 84140 AVIGNON
représentée par Me Philippe- laurent SIDER, avocat au barreau d'AIX-EN-PROVENCE
assistée de Me Emmanuelle BRET avocat au barreau de LYON, substituant Me Gérard LEGRAND de la SCP LAMY, VERON, RIBEYRE & ASSOCIES, avocat au barreau de LYON
INTIMEE
SA HSBC FRANCE, prise en la personne de son Directeur Général,
dont le siège social est sis 103 Avenue des Champs Elysées - 75008 PARIS/FRANCE
représentée par Me Louis CABAYE de l'ASSOCIATION CABINET ROUSSEL-CABAYE, avocat au barreau de MARSEILLE,
assistée de Me Anne-Gaëlle LE MERLUS, avocat au barreau de PARIS, substituant Me Emmanuelle ORENGO, avocat au barreau de PARIS
*-*-*-*-*
COMPOSITION DE LA COUR
L'affaire a été débattue le 08 Novembre 2016 en audience publique. Conformément à l'article 785 du Code de Procédure Civile, Mr PONSOT, président, a fait un rapport oral de l'affaire à l'audience avant les plaidoiries.
La Cour était composée de :
Monsieur Dominique PONSOT, Président
Mme Françoise DEMORY-PETEL, Conseiller
Madame Cathy CESARO-PAUTROT, Conseiller
qui en ont délibéré.
Greffier lors des débats : Madame Laure METGE.
Les parties ont été avisées que le prononcé de la décision aurait lieu par mise à disposition au greffe le 15 Décembre 2016
ARRÊT
Contradictoire,
Prononcé par mise à disposition au greffe le 15 Décembre 2016,
Signé par Monsieur Dominique PONSOT, Président et Madame Laure METGE, greffier auquel la minute de la décision a été remise par le magistrat signataire.
***
Vu le jugement du tribunal de commerce de Salon-de-Provence du 6 juin 2014 ayant, notamment :
- dit que le consentement de la SARL Sodimed aux virements litigieux a été formalisé conformément aux stipulations contractuelles,
- débouté la SARL Sodimed de toutes ses demandes, fins et conclusions,
- condamné la SARL Sodimed à verser à la SA HSBC France la somme de 1.000 euros au titre de l'article 700 du code de procédure civile,
- condamné la SARL Sodimed aux entiers dépens ;
Vu la déclaration du 25 juin 2014, par laquelle la SARL Sodimed a relevé appel de cette décision ;
Vu les dernières conclusions notifiées le 10 octobre 2016, aux termes desquelles la SARL Sodimed demande à la cour de :
- déclarer son appel recevable et bien fondé,
En conséquence,
- réformer le jugement entrepris en toutes ses dispositions,
Statuant à nouveau,
- constater qu'il a été procédé à l'exécution de virements non autorisés par elle,
- dire et juger que la société HSBC France n'a pas satisfait à ses obligations,
- déclarer recevable et bien fondée sa demande,
- déclarer irrecevables et mal fondées les prétentions et exceptions émises par la société HSBC France,
Y faisant droit,
- condamner la société HSBC France à lui payer une somme de 197.267,50 euros outre intérêts au taux légal à compter du 2 décembre 2013,
- la condamner à lui payer la somme de 10.000 euros au titre de l'article 700 du code de procédure civile, ainsi qu'aux dépens de l'instance, dont distraction ;
Vu les dernières conclusions notifiées le 26 octobre 2016, aux termes desquelles la SA HSBC France demande à la cour de :
- confirmer le jugement entrepris en l'ensemble de ses dispositions,
En conséquence,
- débouter la société Sodimed de l'intégralité de ses prétentions, fins, moyens et conclusions,
A titre subsidiaire,
- ordonner à tout le moins un partage de responsabilité, dont une part prépondérante à la charge de la société Sodimed,
- condamner la société Sodimed à lui verser la somme de 5.000 euros au titre de l'article 700 du code de procédure civile,
- la condamner aux entiers dépens ;
SUR CE, LA COUR
Attendu que la société Sodimed exerce une activité de distribution d'alliages et d'attachement dentaires ainsi que, à titre accessoire, une activité de négoce de métaux précieux ;
Qu'elle est titulaire d'un compte ouvert dans les livres de la banque HSBC France, agence d'Aix-Marseille Ouest, sous le numéro 300056 00969 09690001 439 82 ;
Que le 28 mars 2013, elle a conclu avec son banquier un contrat "Elys PC Package Intégral", puis souscrit au service Transfert de Fichiers, permettant de transférer en temps réel vers la banque, via Internet, des fichiers de remise de virements domestiques et de virements internationaux ;
Que la mise en œuvre de ce service était accompagnée d'un dispositif de sécurité reposant, pour ce qui est notamment de la création d'un nouveau bénéficiaire, sur une triple sécurité, à savoir la saisie, par l'utilisateur, de son identifiant, de sa réponse mémorable et du mot de passe à usage unique généré par un terminal dédié, le boîtier Digipass ;
Que par lettre du 17 décembre 2013, la société Sodimed a contesté 12 virements effectués le 22 novembre 2013 pour un montant total de 243.951 euros, effectués, selon elle, sans son consentement préalable ;
Que par lettre du même jour, la banque HSBC a répondu qu'elle ne pouvait être tenue pour responsable d'une fraude totalement indépendante des systèmes de sécurité de l'application Elys PC ;
Qu'après avoir vainement mis en demeure, le 18 décembre 2013, la banque de l'indemniser à hauteur des virements litigieux, la société Sodimed a, par acte du 4 février 2012, fait assigner à bref délai la banque HSBC devant le tribunal de commerce de Salon-de-Provence, qui a rendu le jugement entrepris ;
Que le tribunal a constaté que la société Sodimed reconnaissait avoir reçu le 21 novembre 2013 un courrier électronique paraissant provenir de la banque HSBC, comportant une pièce jointe intitulée "avis de paiement" que la comptable de la société avait ouverte ;
Que le tribunal a également constaté au vu d'un tableau établi par la banque et communiqué à sa cliente le 16 décembre 2013, que les virements avaient été effectués au profit de 4 bénéficiaires, que 4 codes à usage unique avaient été utilisés par la société Sodimed pour créer ces bénéficiaires, et donc que les actions de validation destinées à protéger l'accès à la réalisation de virements avaient été réalisés par la société Sodimed ;
Qu'il en a déduit que l'opération avait été autorisée au sens des dispositions de l'article L 133-6 et L 133-7 du code monétaire et financier, et qu'il avait été fait usage d'un moyen technique affecté à un utilisateur donné pour l'utilisation d'un moyen de paiement, propre à l'utilisateur et placé sous sa garde, visant à l'identifier, au sens de l'article L 133-4 dudit code, en l'occurrence, un boîtier Digipass ;
Que le tribunal a par ailleurs considéré que la société HSBC n'avait pas manqué à son devoir de sécurité et à son obligation de conseil ;
Attendu que la société Sodimed, appelante, fait valoir que tant au regard de l'article 1937 du code civil, régissant le dépôt, qu'au regard des dispositions du code monétaire et financier et notamment de son article L 133-6, le banquier qui exécute un virement sans avoir reçu l'ordre provenant de son client est tenu de lui restituer les fonds ;
Qu'elle note qu'en application de l'article L 133-23, alinéa 2, du code monétaire et financier, l'utilisation du dispositif de sécurité mis en place ne suffit pas à prouver que les virements ont été autorisés ou qu'elle a manqué intentionnellement ou par négligence grave à ses obligations ;
Qu'elle réaffirme qu'elle n'a jamais consenti à l'exécution des virements litigieux, qui ne correspondent pas, eu égard à leur montant et à leurs destinataires, à sa pratique, qu'elle n'a commis aucune faute ou négligence grave, ayant, en particulier, averti la banque dès qu'elle a constaté une anomalie, et qu'en conséquence, la banque était tenue de les lui rembourser sans délai, en application de l'article L 133-18 du code monétaire et financier ;
Qu'elle estime par ailleurs que la banque aurait commis une faute, en ne lui recommandant pas de prévoir un plafond journalier d'autorisation de virements, et en n'empêchant pas l'exécution de ces douze virements, effectués dans un laps de temps très court d'une quarantaine de minutes au profit de comptes ouverts auprès de banques domiciliées en Chine, en Autriche et en Hongrie ;
Qu'elle sollicite, en conséquence la condamnation de la banque HSBC à lui verser la somme de 197.267,50 euros correspondant au montant des virement effectués, déduction faite d'une somme totale de 49.683,50 euros dont la banque HSBC a pu obtenir le retour auprès des banques bénéficiaires et qui a été re-créditée sur son compte ;
Qu'en réponse, la banque HSBC soutient que le consentement de la société Sodimed aux virements litigieux a été formalisé conformément aux stipulations contractuelles, ainsi que le tribunal l'a retenu ;
Qu'elle fait valoir que l'article IV du contrat prévoit que "L'utilisateur assure seul la conservation de l'identifiant, de la réponse mémorable et de son digipass. Le client accepte donc expressément que la banque soit dégagée de toute responsabilité en cas d'usage frauduleux de ceux-ci avant demande de blocage" ; qu'elle en déduit que le contrat déroge expressément aux dispositions des articles L 133-19, L 133-20 et L 133-23, alinéa 2, du code monétaire et financier ;
Qu'elle considère que le dispositif qu'elle a mis en place est particulièrement sécurisé, puisqu'il nécessite la saisie de trois informations différentes, dont un code à usage unique généré par un terminal se trouvant physiquement chez le client, de sorte que l'obligation prévue à l'article L 133-15 du code monétaire et financier est parfaitement respectée ;
Qu'elle fait valoir qu'en application de l'article L 133-16, alinéa 2, du code monétaire et financier, le payeur utilise l'instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation ; qu'elle note qu'en application de l'article III du contrat Elys PC, la société Sodimed s'est notamment engagée à installer les outils de sécurité informatique requis, qui comprennent un anti-virus mis à jour et un firewall exploité ; qu'elle soutient que la société Sodimed n'établirait aucunement avoir installé sur son système informatique les outils de sécurité prévus contractuellement, caractérisant ainsi une négligence grave et manifeste ; qu'elle ajoute avoir régulièrement alerté la société Sodimed sur la possibilité et l'opportunité d'installer le logiciel Trusteer, ce que cette dernière n'a pas cru devoir faire, n'y ayant pourvu que postérieurement aux virements litigieux ;
Qu'elle estime qu'une seconde négligence a été commise par la Sodimed en ouvrant une pièce jointe intitulée "avis de paiement", jointe à un courriel ne correspondant à aucune pratique habituelle de la banque, alors par ailleurs qu'elle indique alerter régulièrement l'ensemble de ses clients sur de faux courriels en circulation ; qu'à tout le moins, la société Sodimed aurait dû réagir après avoir constaté qu'elle ne pouvait pas ouvrir la pièce jointe ;
*
Attendu, selon l'article L 133-23 du code monétaire et financier, que lorsqu'un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l'opération de paiement n'a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l'opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu'elle n'a pas été affectée par une déficience technique ou autre ;
Que l'utilisation de l'instrument de paiement telle qu'enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l'opération a été autorisée par le payeur ou que celui-ci n'a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière ;
Attendu qu'il est constant que le dispositif Elys PC auquel a souscrit la société Sodimed et au moyen duquel ont été réalisées les opérations litigieuses, constitue un instrument de paiement au sens de l'article L 133-4, c, du code monétaire et financier, et que celui-ci était doté d'un dispositif de sécurité personnalisé au sens de l'article L 133-4, a, dudit code ;
Qu'il n'est pas sérieusement contesté que la société Sodimed a été victime d'une fraude consistant dans l'envoi d'un courrier électronique paraissant provenir de la banque HSBC, auquel était attachée une pièce jointe sur laquelle sa comptable a cliqué , permettant ainsi aux fraudeurs de prendre la maîtrise du système et de déjouer le système de sécurité mis en place ;
Que c'est, dès lors, de manière inopérante que la banque HSBC prétend que le consentement aux opérations aurait été donné en conformité avec les stipulations du contrat, et que la société Sodimed devrait en assumer les conséquences pour avoir contractuellement accepté que la banque soit dégagée de toute responsabilité en cas d'usage frauduleux de l'identifiant, de la réponse mémorable et du digipass de ceux-ci avant demande de blocage, ces éléments n'apparaissant pas avoir été utilisés et la banque n'en rapportant pas la preuve ;
Attendu que la société Sodimed contestant avoir autorisé les 12 virements litigieux exécutés le 22 novembre 2013 pour un montant total de 243.951 euros, il incombe à la banque HSBC de prouver que la société Sodimed n'aurait pas satisfait par négligence grave aux obligations lui incombant en la matière, étant observé qu'il n'est pas soutenu que la société aurait agi intentionnellement ;
Que c'est, tout d'abord, en vain que la banque HSBC soutient que la société Sodimed aurait commis une négligence grave en ne se dotant prétendument pas d'un anti-virus ou d'une firewall propres à éviter les intrusions frauduleuses à l'intérieur du système, et en n'installant pas le logiciel Trusteer ;
Que, d'une part, la société Sodimed justifie avoir installé un firewall (Nesdaq) et un anti-virus (Kaspersky), étant observé que les dispositions contractuelles invoquées par la banque, formulées en termes généraux, ne définissaient aucun seuil d'exigence particulier en la matière ;
Que, d'autre part, la banque, qui était consciente d'une faille possible des sécurités dont bénéficiait le dispositif Elys PC, puisqu'elle préconisait la mise en place d'une sécurité complémentaire avec l'installation du logiciel Trusteer, ne pouvait se contenter d'une telle recommandation, ayant la maîtrise du système et étant seule à même d'apprécier sa vulnérabilité et la nécessité que des correctifs soient mis en œuvre ; qu'au regard de l'article L 133-15 du code monétaire et financier, le prestataire qui délivre un instrument de paiement, doit en effet s'assurer que les dispositifs personnalisés de cet instrument ne sont pas accessibles à d'autres personnes que l'utilisateur autorisé ; qu'il incombait donc à la banque, si véritablement l'installation de ce logiciel conditionnait l'inviolabilité du système, d'en suspendre l'utilisation aussi longtemps que ce correctif n'avait pas été apporté ; que par suite, en ne déférant pas aux simples recommandations formulées par la banque à cet égard, la société Sodimed n'a pas commis de négligence grave au sens de l'article L 133-19 du code monétaire et financier ;
Qu'en second lieu, le fait, pour la comptable de la société, d'avoir cliqué sur une pièce jointe accompagnant un courriel paraissant provenir de la banque, même s'il constitue un acte volontaire qu'un utilisateur alerté sur les risques de fraude aurait pu éviter de commettre, ne constitue pas pour autant une négligence grave au sens du texte susvisé, la banque n'alléguant ni ne démontrant que la comptable aurait, en particulier, communiqué des informations à cette occasion ou validé quelque requête que ce soit ;
Que si, le message litigieux ayant été détruit, il est difficile d'apprécier l'apparence d'authenticité que ce courriel pouvait présenter et le risque de confusion qu'il présentait, le fait que ce message ait été détruit ne présente en soi aucun caractère fautif, ce qu'au demeurant la banque ne soutient pas ;
Que, pareillement, en n'alertant pas la banque au moment de la réception du message litigieux, alors qu'il n'est pas allégué ni démontré qu'un indice d'une intrusion malveillante aurait été décelable immédiatement, la société Sodimed ne s'est pas rendue l'auteur d'une négligence grave ;
Qu'il y a lieu, au contraire, de constater que la société Sodimed a alerté la banque dès le lendemain, après avoir constaté qu'il lui était impossible d'accéder à ses comptes sur le site HSBC, ce qui, au demeurant, a permis à la banque de récupérer une partie des fonds transférés auprès de certaines des banques bénéficiaires ; que, ce faisant, la société Sodimed s'est conformée tant à l'article XV du contrat qu'à l'article L 133-24 du code monétaire et financier ;
Qu'en conséquence, et sans qu'il soit nécessaire d'établir à l'encontre de la banque une quelconque faute ni de statuer sur le partage de responsabilité qu'elle sollicite à titre subsidiaire, il convient, en application de l'article L 133-18 du code monétaire et financier, de condamner la banque à rembourser la totalité des virements non autorisés litigieux, sous déduction de ceux ayant déjà donné lieu à restitution ;
Que la condamnation sera assortie des intérêts au taux légal à compter de la mise en demeure, étant rappelé que la banque était, en application des dispositions susvisées, tenue de rembourser immédiatement le montant des opérations non autorisées ;
Attendu que la banque HSBC, succombant dans ses prétentions, doit supporter les dépens de première instance et d'appel ;
Attendu que l'équité commande d'allouer en cause d'appel à la société Sodimed une indemnité au titre de l'article 700 du code de procédure civile ;
PAR CES MOTIFS
Statuant publiquement et contradictoirement,
INFIRME le jugement rendu le 6 juin 2014 par le tribunal de commerce de Salon-de-Provence ;
STATUANT à nouveau,
- CONDAMNE la société HSBC France à payer à la société Sodimed la somme de 197.267,50 euros outre intérêts au taux légal à compter du 18 décembre 2013, date de la mise en demeure ;
- CONDAMNE la société HSBC France à payer à la société Sodimed une somme de 3.000 euros au titre de l'article 700 du code de procédure civile ;
REJETTE toute autre demande des parties,
CONDAMNE la société HSBC France aux dépens de première instance et d'appel, qui pourront être recouvrés conformément à l'article 699 du code de procédure civile ;
LE GREFFIER LE PRESIDENT