| France, Cour d'appel de Colmar, Chambre 1 a, 14 septembre 2022, 19/01677

MINUTE N° 419/22

Copie exécutoire à

- Me Nadine HEICHELBECH

- Me Guillaume HARTER

Le 14.09.2022

Le Greffier

REPUBLIQUE FRANCAISE

AU NOM DU PEUPLE FRANCAIS

COUR D'APPEL DE COLMAR

PREMIERE CHAMBRE CIVILE - SECTION A

ARRET DU 14 Septembre 2022

Numéro d'inscription au répertoire général : 1 A N° RG 19/01677 - N° Portalis DBVW-V-B7D-HBV7

Décision déférée à la Cour : 15 Mars 2019 par la Chambre commerciale du Tribunal de grande instance de STRASBOURG

APPELANTE :

SA BANQUE CIC EST

prise en la personne de son représentant légal

[Adresse 2]

[Localité 3]

Représentée par Me Nadine HEICHELBECH, avocat à la Cour

Avocat plaidant : Me LUTZ, avocat au barreau de STRASBOURG

INTIMEE :

SAS HOLWEG GROUP

prise en la personne de son représentant légal

[Adresse 1]

[Localité 4]

Représentée par Me Guillaume HARTER, avocat à la Cour

Avocat plaidant : Me FORBIN, avocat au barreau de PARIS

COMPOSITION DE LA COUR :

L'affaire a été débattue le 08 Novembre 2021, en audience publique, un rapport ayant été présenté, devant la Cour composée de :

Mme PANETTA, Présidente de chambre

M. ROUBLOT, Conseiller

Mme ROBERT-NICOUD, Conseillère

qui en ont délibéré.

Greffier, lors des débats : Mme VELLAINE

ARRET :

- Contradictoire

- rendu par mise à disposition de l'arrêt au greffe de la Cour, les parties en ayant été préalablement avisées dans les conditions prévues au deuxième alinéa de l'article 450 du Code de Procédure Civile.

- signé par Mme Corinne PANETTA, présidente et Mme Régine VELLAINE, greffière, à laquelle la minute de la décision a été remise par le magistrat signataire.

Vu l'assignation délivrée le 22 mars 2017 par laquelle la SAS Holweg Group, ci-après également dénommée 'société Holweg', a fait citer la SA Banque CIC Est, ci-après également 'le CIC' ou 'la banque', devant le tribunal de grande instance de Strasbourg, chambre commerciale,

Vu le jugement rendu le 15 mars 2019, auquel il sera renvoyé pour le surplus de l'exposé des faits, ainsi que des prétentions et moyens des parties en première instance, et par lequel le tribunal de grande instance de Strasbourg a :

- déclaré l'irrecevabilité des conclusions adressées à la juridiction le 12 décembre 2018 par la SA Banque CIC Est ;

- condamné la SA Banque CIC Est à payer à la SAS Holweg Group la somme de 846 328 euros avec intérêts au taux légal à compter du 28 septembre 2016,

- condamné la SA Banque CIC Est à payer à la SAS Holweg Group la contre-valeur en Euros au jour du jugement de la somme de 946 976,30 US Dollar, avec intérêts au taux légal à compter du 28 septembre 2016,

- débouté la SAS Holweg Group du surplus de ses demandes au fond,

- condamné la SA Banque CIC Est à payer à la SAS Holweg Group la somme de 4 000 euros au titre de l'article 700 du code de procédure civile ;

- rejeté la demande faite par [sic] au titre de l'article 700 du code de procédure civile,

- condamné la SA Banque CIC Est aux dépens,

- dit n'y avoir lieu à ordonner l'exécution provisoire.

Vu la déclaration d'appel formée par la SA Banque CIC Est contre ce jugement, et déposée le 28 mars 2019,

Vu la constitution d'intimée de la SAS Holweg Group en date du 30 avril 2019,

Vu les dernières conclusions en date du 7 octobre 2021, auquel est joint un bordereau de pièces récapitulatif qui n'a fait l'objet d'aucune contestation des parties, et par lesquelles la SA Banque CIC Est demande à la cour d'infirmer le jugement entrepris en toutes ses dispositions, et statuant à nouveau, de débouter l'intimée de l'intégralité de ses demandes, ainsi que de la condamner à lui payer la somme de 20 000 euros à titre de dommages-intérêts, ainsi qu'une indemnité de 20 000 euros en application de l'article 700 du code de procédure civile, outre de la condamner aux dépens,

et ce, en invoquant, notamment :

- l'absence d'obligation de remboursement immédiat du montant des opérations, dont elle conteste le caractère non autorisé, ainsi que la négligence grave de la partie adverse,

- l'absence de manquement de sa part à son obligation de vigilance ;

Vu les dernières conclusions en date du 23 septembre 2021, auquel est joint un bordereau de pièces récapitulatif qui n'a fait l'objet d'aucune contestation des parties, et par lesquelles la SAS Holweg Group demande à la cour de :

'- Dire et juger que le CIC est, en sa qualité de prestataire de service de paiement et de dépositaire, tenu de rembourser à Holweg l'intégralité de sommes objets des 10 opérations de paiement exécutées à l'insu de la société Holweg par le détournement de son instrument de paiement et des données liées, et auxquelles elle n'a jamais consenti ;

- Dire et juger qu'au surplus, le CIC a gravement manqué à son devoir de vigilance qui lui incombe en sa qualité d'établissement bancaire teneur de compte, en exécutant, sans la moindre vérification, de manière quasi successive 10 ordres de virement totalement anormaux et entachés de nombreuses anomalies, au regard du fonctionnement habituel des comptes que Holweg détient les livres de la banque ;

- Constater que sur la somme de 910 191 € détournées, une somme de 63 863 € a été recréditée sur le compte en Euros d'Holweg ;

- Constater que sur la somme de 2 132 200 USD détournée, une somme de 1 185 223,70 USD a été recréditée sur le compte en Dollars d'Holweg.

En conséquence,

- Confirmer le jugement du Tribunal de grande instance du 15 mars 2019 en ce qu'il a condamné le CIC à payer à la société Holweg une somme de 846 328 € (à parfaire) et la contre-valeur en Euros au jour du jugement de la somme de 946 976,30 USD (à parfaire), ces sommes étant assorties des intérêts au taux légal à compter du 28 septembre 2016, date à laquelle la société Holweg a signalé au CIC le caractère frauduleux de ces opérations ;

- Condamner le CIC à payer à la société Holweg une somme de 50 000 € au titre de l'article 700 du Code de procédure civile ;

- Donner acte à Holweg de ce qu'elle se réserve le droit de solliciter ultérieurement le remboursement des sommes importantes qu'elle a engagées pour obtenir le retour d'une partie des fonds dont le CIC s'est indûment libéré et des frais qui lui ont été facturés par le CIC à la suite de l'exécution de ces opérations frauduleuses

- Condamner le CIC aux entiers dépens.'

et ce, en invoquant, notamment :

- l'obligation de remboursement de plein droit des sommes dont le banquier s'est dessaisi indûment, à défaut de tout consentement, qui n'est pas présumé, ou de négligence grave de la concluante,

- le manquement du CIC Est à son devoir de vigilance en exécutant des opérations anormales au regard de leur montant et de leur répétition,

Vu l'ordonnance de clôture en date du 13 octobre 2021,

Vu les débats à l'audience du 8 novembre 2021,

Vu le dossier de la procédure, les pièces versées aux débats et les conclusions des parties auxquelles il est référé, en application de l'article 455 du code de procédure civile, pour l'exposé de leurs moyens et prétentions.

MOTIFS :

Au préalable, la cour rappelle que :

- aux termes de l'article 954 du code de procédure civile alinéa 3, elle ne statue que sur les prétentions énoncées au dispositif et n'examine les moyens au soutien de ces prétentions que s'ils sont invoqués dans la discussion,

- ne constituent pas des prétentions au sens de l'article 4 du code de procédure civile les demandes des parties tendant à 'dire et juger' ou 'constater', en ce que, hors les cas prévus par la loi, elles ne sont pas susceptibles d'emporter de conséquences juridiques, mais constituent en réalité des moyens ou arguments, de sorte que la cour n'y répondra qu'à la condition qu'ils viennent au soutien de la prétention formulée dans le dispositif des conclusions et, en tout état de cause, pas dans son dispositif mais dans ses motifs.

Sur la demande principale en paiement de la SAS Holweg Group à l'encontre de la SA Banque CIC Est :

Sur l'obligation de restitution de la banque :

La SAS Holweg Group invoque, en confirmation du jugement entrepris, le bénéfice des dispositions des articles L. 133-1 et suivants du code monétaire et financier (CMF), et plus particulièrement l'obligation de remboursement de plein droit des sommes dont le banquier se serait indûment dessaisi.

La cour rappelle, à cet égard, qu'aux termes de l'article L. 133-18 du CMF, dans sa version applicable à la cause, s'agissant de faits datés du mois d'avril 2016, en cas d'opération de paiement non autorisée signalée par l'utilisateur dans les conditions prévues à l'article L. 133-24, le prestataire de services de paiement du payeur rembourse immédiatement au payeur le montant de l'opération non autorisée et, le cas échéant, rétablit le compte débité dans l'état où il se serait trouvé si l'opération de paiement non autorisée n'avait pas eu lieu.

Le payeur et son prestataire de services de paiement peuvent décider contractuellement d'une indemnité complémentaire.

L'article L. 133-24 précité du CMF dispose, pour sa part, que l'utilisateur de services de paiement signale, sans tarder, à son prestataire de services de paiement, une opération de paiement non autorisée ou mal exécutée et au plus tard dans les treize mois suivant la date de débit sous peine de forclusion à moins que le prestataire de services de paiement ne lui ait pas fourni ou n'ait pas mis à sa disposition les informations relatives à cette opération de paiement conformément au chapitre IV du titre 1er du livre III.

Sauf dans les cas où l'utilisateur est une personne physique agissant pour des besoins non professionnels, les parties peuvent convenir d'un délai distinct de celui prévu au présent article.

Selon l'article L. 133-19 du même code :

I. ' En cas d'opération de paiement non autorisée consécutive à la perte ou au vol de l'instrument de paiement, le payeur supporte, avant l'information prévue à l'article L. 133-17, les pertes liées à l'utilisation de cet instrument, dans la limite d'un plafond de 150 euros.

Toutefois, la responsabilité du payeur n'est pas engagée en cas d'opération de paiement non autorisée effectuée sans utilisation du dispositif de sécurité personnalisé.

II. ' La responsabilité du payeur n'est pas engagée si l'opération de paiement non autorisée a été effectuée en détournant, à l'insu du payeur, l'instrument de paiement ou les données qui lui sont liées.

Elle n'est pas engagée non plus en cas de contrefaçon de l'instrument de paiement si, au moment de l'opération de paiement non autorisée, le payeur était en possession de son instrument.

III. ' Sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si le prestataire de services de paiement ne fournit pas de moyens appropriés permettant l'information aux fins de blocage de l'instrument de paiement prévue à l'article L. 133-17.

IV. ' Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d'un agissement frauduleux de sa part ou s'il n'a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17.

L'article L. 133-16 du CMF prévoit ainsi que dès qu'il reçoit un instrument de paiement, l'utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés.

Il utilise l'instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation.

Quant à l'article L. 133-17 du CMF, il dispose que :

I. ' Lorsqu'il a connaissance de la perte, du vol, du détournement ou de toute utilisation non autorisée de son instrument de paiement ou des données qui lui sont liées, l'utilisateur de services de paiement en informe sans tarder, aux fins de blocage de l'instrument, son prestataire ou l'entité désignée par celui-ci.

II. ' Lorsque le paiement est effectué par une carte de paiement émise par un établissement de crédit, une institution ou un service mentionné à l'article L. 518-1 et permettant à son titulaire de retirer ou de transférer des fonds, il peut être fait opposition au paiement en cas de procédure de redressement ou de liquidation judiciaires du bénéficiaire.

Par ailleurs, il convient de rappeler que l'article L. 133-6 du code précité dispose que :

I. ' Une opération de paiement est autorisée si le payeur a donné son consentement à son exécution.

Toutefois, le payeur et son prestataire de services de paiement peuvent convenir que le payeur pourra donner son consentement à l'opération de paiement après l'exécution de cette dernière.

II. ' Une série d'opérations de paiement est autorisée si le payeur a donné son consentement à l'exécution de la série d'opérations.

À cet égard l'article L. 133-7 du même code précise que le consentement est donné sous la forme convenue entre le payeur et son prestataire de services de paiement, et qu'en l'absence d'un tel consentement, l'opération ou la série d'opérations de paiement est réputée non autorisée.

Et l'article L. 133-23 du CMF dispose que lorsqu'un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l'opération de paiement n'a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l'opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu'elle n'a pas été affectée par une déficience technique ou autre.

L'utilisation de l'instrument de paiement telle qu'enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l'opération a été autorisée par le payeur ou que celui-ci n'a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière.

À l'appui de son appel, la SA Banque CIC Est entend, notamment et en substance, faire valoir que :

- les textes applicables à l'espèce, d'origine communautaire, devraient recevoir une application stricte et indépendante des définitions nationales,

- la société Holweg, tenue par les termes de la loi, à l'exclusion des dispositions supplétives de l'article L. 133-23 du CMF, mais aussi par les conditions générales du contrat FilBanque, incompatibles avec la distinction entre donneur d'ordre et auteur véritable retenue par les premiers juges, aurait, en l'absence de dysfonctionnement technique allégué du système de paiement, et en présence d'un mécanisme de fraude ayant requis le concours actif de l'intimée, tel que cela résulterait des éléments matériels et des déclarations de la société et de ses préposés, donné son consentement à l'exécution des ordres litigieux, en s'identifiant par une procédure d'accès à la sécurité renforcée, sans qu'elle ne puisse opposer, en invoquant une présomption irréfragable, l'absence de consentement subjectif aux versements, étrangère au système légal applicable, tel que résultant de la transposition du droit communautaire, ni évoquer, pour nier avoir communiqué ses codes et identifiants, le recours à un 'logiciel espion' qui ne serait pas avéré, alors qu'il lui revenait, de surcroît, d'assurer la sécurité de son système informatique et de son accès,

- en toute hypothèse, la société Holweg aurait commis une négligence grave au sens de l'article L. 133-19 du CMF, sans qu'il n'appartienne à la concluante de démontrer l'insuffisance des mesures de prévention prises par l'intimée, seule gardienne des codes et clé, compte tenu de l'ouverture de l'accès aux comptes et des virements tests effectués sur instructions téléphoniques des escrocs, sans vérification d'identité comme pourtant prévu aux conditions générales FilBanque, leur permettant ainsi de disposer de tous les identifiants, par la comptable qui aurait eu accès à la position effective des comptes, lui permettant de contrôler les inscriptions frauduleuses, réalisées en 'mode production' et non en 'mode test', et de les valider, sans pouvoir invoquer une insuffisance du système proposé par la banque, respectueux de l'autonomie de gestion des entreprises et excluant toute validation individuelle, ni des considérations de sécurité informatique relevant de sa propre responsabilité, et ce alors que le protocole de validation des virements interne à la société, et qui ne distinguerait pas les virements informatiques des virements papier, n'aurait pas été respecté,

- la société intimée aurait, de surcroît, manqué à ses obligations contractuelles par lesquelles elle s'engageait, notamment, à consulter attentivement les documentations l'alertant des risques de fraude, en l'absence de toute mise en garde incombant à la concluante, mais qui aurait été faite, et aurait eu un délai de réaction anormal alors que sa salariée avait, tout comme l'autre comptable, accès aux véritables comptes en temps réel, sans pouvoir invoquer dans la durée les instructions prétendument reçues des escrocs, ce qui constituerait, comme l'absence de suivi et de réaction du directeur financier, une négligence grave manifeste,

- la concluante n'avait pas d'obligation de vigilance, s'agissant d'un système de virement instantané, où les virements sont authentifiés par le client, et un contrôle a posteriori de la banque, tenue d'un devoir de non-ingérance en l'absence de seuil d'alerte déclenché, faute de montants inhabituels au regard de l'activité de l'entreprise, d'anormalité quant à leur destination à l'étranger mais pas de 'pays sensibles', ou encore s'agissant du fonctionnement du compte en dollars, à défaut de connaissance du fonctionnement du groupe, dont elle n'est pas la banque, et au regard de la portée du devoir de vigilance qui ne porterait pas sur une vérification individuelle des destinataires,

- elle aurait fait preuve de diligences particulières dès qu'elle aurait été informée de la fraude, et aurait subi un trouble de gestion généré par cette affaire.

Quant à la société Holweg Group, elle entend, notamment et en substance, invoquer :

- l'obligation de plein droit, pour la banque, en sa qualité de dépositaire, de rembourser immédiatement les sommes dont elle se serait indûment libérée en exécution d'opérations non autorisées, réalisées à l'insu de sa cliente, peu important que cette dernière n'ait pas décelé la fraude ou les anomalies entourant l'opération, et sans incidence de la nature électronique du virement, toute autorisation des virements étant contestée, en l'absence de consentement effectif et subjectif, compte tenu du détournement de son instrument de paiement à son insu, résultant de l'usage d'un « logiciel espion », démontré tant par l'analyse des connexions que par les déclarations faites durant l'enquête de police, peu important l'ouverture préalable de l'accès sécurisé aux comptes par la comptable, qui n'est pas l'auteur de ces virements, et à défaut de présomption irréfragable de consentement pouvant légalement résulter des dispositions contractuelles du seul fait que les virements auraient été passés conformément au protocole conclu entre les parties, à savoir par l'utilisation de l'espace personnel,

- l'absence de négligence grave commise par la concluante, qui ne peut résulter de la seule commission d'une fraude à son préjudice, notamment du seul fait d'avoir entré ses identifiants sans les communiquer, cette négligence devant, en outre, entrer dans le champ des prévisions de l'article L. 133-19 IV du CMF, au titre desquelles la concluante n'aurait commis aucun manquement :

* en prenant toutes les mesures raisonnables pour préserver la sécurité de ses dispositifs de sécurité personnalisés, faute de communication des identifiants aux escrocs, l'ouverture d'un lien ou d'une pièce jointe ne pouvant constituer une négligence grave, alors que la comptable n'aurait jamais quitté son poste en laissant la clé de sécurité connectée et que les virements résulteraient de la seule utilisation du logiciel espion, sans incidence de la réalisation d'un virement test, et s'agissant de man'uvres élaborées et tout à fait crédibles des escrocs, toute connaissance en temps réel de la réalisation des virements étant contestée, et non prouvée,

* en utilisant l'instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation, la banque invoquant vainement une mise en garde sur les risques de fraude pour s'exonérer de son obligation, alors qu'elle a cru nécessaire de renforcer cette mise en garde postérieurement à la fraude subie par la concluante, et aucune disposition ne prohibant l'ouverture d'une pièce jointe ou la mise en 'uvre de moyens spécifiques de sécurisation, le protocole interne à la société concluante ayant, par ailleurs, été respecté dans le cadre de l'utilisation d'un moyen de paiement dématérialisé permettant à la comptable de procéder seule aux virements,

* en informant, sans tarder, la banque de l'existence de la fraude, à savoir le jour même où elle en aurait eu connaissance, en l'absence de caractère inhabituel ou anormal de l'opération de mise à jour et de paramétrage dans le cadre de laquelle aucun 'fichier type virement' où aucune communication de données personnelles n'a eu lieu, et l'analyse des connexions ne permettant pas d'établir que la fraude pouvait être décelée auparavant, tout défaut de vigilance ou de suivi étant contesté,

- le manquement du CIC à son obligation de vigilance au regard du nombre de virements frauduleux dans un laps de temps inhabituellement réduit, de leur montant sans commune mesure avec la moyenne habituelle des virements, sous réserve de certaines opérations de trésorerie, et de leur répétition, du nombre de nouveaux bénéficiaires créés, s'agissant de sociétés avec lesquelles la concluante n'avait eu aucun courant d'affaires, et de la destination des virements vers l'étranger, s'agissant notamment du compte dollar qui avait une utilisation exclusivement interne au groupe dont fait partie la concluante, constituant une anomalie intellectuelle ou contextuelle par rapport au fonctionnement habituel du compte, qui aurait dû conduire la banque, débitrice d'une obligation de vigilance y compris pour les virements dématérialisés, à surseoir à l'exécution des opérations en cause, quand bien même les comptes concernés seraient restés créditeurs.

Sur ce, la cour observe, s'agissant tout d'abord de la question du consentement de la société Holweg Group aux opérations litigieuses, qu'il n'est pas contesté que cette dernière a été l'objet d'agissements frauduleux, lesquels se trouvent à l'origine des opérations de virement litigieuses, les parties divergeant, en revanche, quant au mode opératoire employé et à l'implication de la société Holweg Group dans la réalisation du dommage, s'agissant notamment de l'utilisation éventuelle d'un 'logiciel espion', ainsi que quant à l'étendue des obligations légales et contractuelles de la société Holweg Group.

Ainsi se pose la question de savoir si les opérations litigieuses ont été autorisées, au sens de l'article L. 133-18 précité du CMF, ou si la société Holweg Group a donné son consentement à ces opérations, et ce sous la forme convenue entre le payeur et son prestataire de services de paiement, comme prévu aux articles L. 133-6 et L. 133-7 précités de ce code, les parties divergeant également quant à l'application de l'article L. 133-23 régissant l'administration de la preuve en cas de dénégation de son consentement par le payeur, en l'espèce la société Holweg Group.

À cet égard, la partie appelante invoque le caractère supplétif de l'article L. 133-23, par application de l'article L. 133-2 du CMF, lequel dispose que 'sauf dans les cas où l'utilisateur est une personne physique agissant pour des besoins non professionnels, il peut être dérogé par contrat aux dispositions de l'article (...) L. 133-23 (...)', et se réfère, par conséquent à l'article 5 des conditions générales du contrat FilBanque, et plus précisément de l'article 5.3 qui édicte que 'de convention expresse, en raison de l'obligation de modification du mot de passe lors de la première connexion ou de l'attribution de la CAB, toute interrogation ou opération concernant le ou les comptes du souscripteur, précédée de la saisie de l'identifiant et du mot de passe ou de l'utilisation de la CAB sera réputée émaner, quelle qu'en soit l'origine, du souscripteur lui-même, ce que le souscripteur accepte.

Le souscripteur est responsable vis-à-vis de la banque du contrôle de l'utilisation du service par ses mandataires ou collaborateurs et s'interdit en conséquence de contester les opérations effectuées par l'intermédiaire du service.'

En l'espèce, les opérations en cause ont bien été réalisées par l'intermédiaire du service dont il est question, à savoir l'espace sécurisé dont disposait la société Holweg Group, dont l'accès était verrouillé par un identifiant et un mot de passe, ainsi que, dans le cadre d'une sécurisation renforcée, par une clé de sécurité mise à la disposition de la société, et plus particulièrement de plusieurs de ses salariés habilités, dont Mme [V], chef comptable.

Pour autant, ainsi que le rappelle la partie intimée, si les contrats sur la preuve sont valables lorsqu'ils portent sur des droits dont les parties ont la libre disposition, ils ne peuvent établir au profit de l'une des parties une présomption irréfragable (Com., 6 décembre 2017, pourvoi n° 16-19.615, Bull. 2017, IV, n° 159), ce dont il résulte, en l'espèce, s'agissant d'une stipulation contractuelle portant sur la preuve, comme étant insérée sous le point 5. 'preuve des opérations', qu'elle ne peut priver la société Holweg Group de renverser la présomption résultant de l'application de cet article, et ce, sans préjudice, par ailleurs de l'application des dispositions légales propres à l'utilisation des services de paiement, et notamment de l'article L. 133-7 du CMF, qui, telles qu'elles ont été rappelées ci-dessus, si elles ménagent aux parties la possibilité d'aménager voire de déterminer pour la forme les conditions dans lesquelles le consentement aux opérations peut être exprimé, n'ont pas pour effet de priver celles-ci, et en particulier le payeur, de l'application de la règle générale qui vient également d'être rappelée.

Dans ces conditions, il convient de relever que la société Holweg Group a été la cible d'une opération d'escroquerie d'ampleur internationale, faisant intervenir de multiples acteurs dans différents pays et des sociétés fictives ou écran. Les investigations menées par la juridiction d'instruction interrégionale spécialisée de [Localité 5] mettent également à jour l'utilisation par les escrocs de méthodes particulièrement élaborées pour circonvenir leurs victimes, passant, notamment, par l'intrusion dans le système bancaire des sociétés, l'utilisation de numéros de téléphone fictifs imitant ceux des services d'assistance des banques et reprenant jusqu'à leur indicatif musical ou encore l'adoption d'un langage commercial et technique adapté à leur cible et l'expression dans un français sans accent marqué. Il doit ainsi être observé que les interlocuteurs de Mme [V] connaissaient son nom et que cette dernière a pu, en substance, déclarer ne pas avoir aperçu de différence notable par rapport à une opération de maintenance habituelle, sous réserve, avec le recul, de l'identification de tâches visiblement destinées à la distraire de son poste pour en prendre le contrôle.

Dès lors, s'il apparaît que les opérations litigieuses ont pu être réalisées en présence de Mme [V], alors que celle-ci était connectée et en ligne au téléphone, il n'en résulte pas pour autant, compte tenu du stratagème déployé par ses interlocuteurs qui lui ont adressé un lien la redirigeant vers de faux relevés de compte, tout en masquant la réalité des opérations en l'empêchant de consulter les véritables relevés au prétexte d'interférences avec la prétendue opération de maintenance qu'ils prétextaient réaliser, que Mme [V], non seulement ait été l'auteur de ces virements, mais encore ait été mise à même d'en avoir connaissance en temps réel. À cet égard, le recours à un logiciel espion, qui aurait été introduit en cliquant sur le lien précité, apparaît accrédité par la juridiction d'instruction, étant, de surcroît relevé que, au-delà des opérations réalisées, au moins une connexion a été identifiée sur le poste de Mme [V] en-dehors de ses horaires de présence tels qu'ils résultent des relevés de pointage de la société Holweg Group.

Au regard de ces circonstances, le seul fait que les opérations litigieuses aient pu être réalisées durant une période de connexion sécurisée au site FilBanque ne saurait suffire à établir le consentement de l'opérateur, et partant de la société, à leur réalisation.

À cela s'ajoute encore que le non-respect, allégué par la banque, du protocole d'exécution des virements de la société Holweg Group, tel qu'il a pu être décrit par M. [F], directeur financier du groupe, pour les opérations 'importantes', même si la société entend désormais, sans toutefois l'établir, distinguer le sort des virements papiers de celui des virements automatisés, est en tout état de cause sans incidence, la réalisation des virements sans respect de cette procédure apparaissant au contraire comme un indice supplémentaire de ce qu'ils seraient intervenus à l'insu de la société et de sa préposée.

Il apparaît donc, au vu de ce qui précède, que les virements litigieux relèvent d'opérations non consenties, de nature à ouvrir droit à un remboursement de la banque.

Quant à l'existence d'une négligence grave de nature à exonérer l'établissement bancaire de ses obligations à ce titre, s'il apparaît que la préposée de la société Holweg Group s'est abstenue de vérifier l'identité de ses interlocuteurs et la réalité de leur intervention auprès des services de la banque et si elle a pu les laisser intervenir plusieurs jours avant de signaler la fraude à la banque, aucun élément ne permettant cependant de retenir, au vu des conclusions auxquelles est parvenue la cour sous l'angle de l'examen de la question du consentement, que Mme [V] ou quiconque au sein de la société, aurait pu avoir conscience de la réalisation des virements frauduleux, cette abstention, à la supposer même blâmable, ne saurait suffire à caractériser une négligence grave, au vu de l'efficacité du mode opératoire tel qu'il a été décrit ci-dessus, et ce, de surcroît, alors qu'à aucun moment Mme [V] n'a entendu volontairement permettre un accès libre des intéressés au système, s'abstenant de divulguer toute information quant aux moyens d'accès au système. Au demeurant, les recommandations de sécurité, sur lesquelles l'attention du cocontractant est appelée dans les conditions générales du contrat FilBanque, en l'état des éléments produits par la banque ou du courriel versé aux débats par l'intimée, apparaîssaient à ce titre, viser pour l'essentiel à prévenir la communication d'informations de sécurité.

En conséquence, et, sans qu'il ne soit nécessaire d'examiner le moyen soulevé à titre subsidiaire au titre de l'obligation de vigilance du CIC, il convient de confirmer le jugement entrepris en ce qu'il a retenu que la société Holweg Group était en droit de réclamer à la banque la restitution des sommes détournées à son détriment et non restituées, et a condamné le CIC à lui verser la somme de 846 328 euros avec intérêts au taux légal à compter du 28 septembre 2016,et la contre-valeur en euros au jour du jugement de la somme de 946 976,30 US Dollar, avec intérêts au taux légal à compter du 28 septembre 2016, sans faire droit pour le surplus aux demandes de la société qui mentionne par erreur, dans le dispositif de ses écritures, que ces sommes auraient été indiquées à parfaire, alors que le premier juge a rejeté cette demande qui n'apparaît pas davantage justifiée à hauteur de cour.

Sur la demande en dommages-intérêts de la SA Banque CIC Est à l'encontre de la SAS Holweg Group :

Compte tenu des conclusions auxquelles est parvenue la cour sous l'angle de l'examen de la demande principale, aucun préjudice imputable à la société Holweg Group n'apparaît caractérisé.

Il convient donc de rejeter la demande formée de ce chef par le CIC.

Sur les dépens et les frais irrépétibles :

La Banque CIC Est succombant pour l'essentiel sera tenue des dépens de l'appel, par application de l'article 696 du code de procédure civile, outre confirmation du jugement déféré sur cette question.

L'équité commande, en outre, de mettre à la charge du CIC une indemnité de procédure pour frais irrépétibles de 5 000 euros au profit de la société Holweg Group, tout en disant n'y avoir lieu à application de l'article 700 du code de procédure civile à l'encontre de cette dernière et en confirmant les dispositions du jugement déféré de ce chef.

P A R C E S M O T I F S

La Cour,

Confirme en toutes ses dispositions le jugement rendu le 15 mars 2019 par le tribunal de grande instance de Strasbourg,

Y ajoutant,

Déboute la SA Banque CIC Est de sa demande en dommages-intérêts,

Condamne la SA Banque CIC Est aux dépens de l'appel,

Condamne la SA Banque CIC Est à payer à la SAS Holweg Group la somme de 5.000 euros au titre de l'article 700 du code de procédure civile,

Dit n'y avoir lieu à application de l'article 700 du code de procédure civile au bénéfice de la SA Banque CIC Est.

La Greffière :la Présidente :