| France, Cour d'appel de Rennes, 3ème chambre commerciale, 03 mai 2022, 19/06673

3ème Chambre Commerciale

ARRÊT N°270

N° RG 19/06673 - N° Portalis DBVL-V-B7D-QFAM

SA ARKEA BANQUE ENTREPRISES ET INSTITUTIONNELS

C/

SA BREVALEX

SAS BREVALEX INTERNATIONALE

Copie exécutoire délivrée

le :

à : Me LE COULS

Me RENAUDIN

RÉPUBLIQUE FRANÇAISE

AU NOM DU PEUPLE FRANÇAIS

COUR D'APPEL DE RENNES

ARRÊT DU 03 MAI 2022

COMPOSITION DE LA COUR LORS DES DÉBATS ET DU DÉLIBÉRÉ :

Président : Monsieur Alexis CONTAMINE, Président de chambre, Rapporteur

Assesseur : Madame Olivia JEORGER-LE GAC, Conseillère,

Assesseur : Monsieur Dominique GARET, Conseiller,

GREFFIER :

Madame Frédérique HABARE, lors des débats et lors du prononcé

DÉBATS :

A l'audience publique du 15 Mars 2022

ARRÊT :

Contradictoire , prononcé publiquement le 03 Mai 2022 par mise à disposition au greffe comme indiqué à l'issue des débats

****

APPELANTE :

SA ARKEA BANQUE ENTREPRISES ET INSTITUTIONNELS, Société

anonyme à directoire et conseil de surveillance immatriculée au registre du

commerce et des sociétés de Brest sous le n° 378 398 911, prise en la personne de son représentant légal domicilié en cette qualité au siège,

[Adresse 1]

[Adresse 1]

Représentée par Me Dominique LE COULS-BOUVET de la SCP PHILIPPE COLLEU, DOMINIQUE LE COULS-BOUVET, Postulant, avocat au barreau de RENNES

Représentée par Me François HONNORAT de la SELARL MONTPENSIER, Plaidant, avocat au barreau de PARIS

INTIMÉES :

SA BREVALEX , immatriculée au Registre du Commerce et des Sociétés de Paris sous le numéro 582 120 671, prise en la personne de son representant légal

[Adresse 3]

[Adresse 3]

Représentée par Me Jean-Paul RENAUDIN de la SCP GUILLOU-RENAUDIN, Postulant, avocat au barreau de RENNES

Représentée par Me Emmanuelle BOURETZ de l'AARPI VIVIEN & Associés, Plaidant, avocat au barreau de PARIS

SAS BREVALEX INTERNATIONALE, immatriculée au Registre du Commerce et de Sociétés de Paris sous le numéro 501 161 889, prise en la personne de son représentant légal

[Adresse 3]

[Adresse 3]

Représentée par Me Jean-Paul RENAUDIN de la SCP GUILLOU-RENAUDIN, Postulant, avocat au barreau de RENNES

Représentée par Me Emmanuelle BOURETZ de l'AARPI VIVIEN & Associés, Plaidant, avocat au barreau de PARIS

******

FAITS ET PROCÉDURE :

La société Brevalex détenait un compte dans le livres de la société Arkea Banque entreprises et institutionnels (la société Arkea).

Le process pour réaliser des virements internationaux via une plateforme sécurisée a fait l'objet d'une convention signée le 22 novembre 2004 et d'un contrat d'utilisation des services de banque à distance en date du 30 novembre 2004.

Le 8 septembre 2015, un homme, se faisant appeler M. [G] et prétendant travailler pour la société Arkea, a appelé le service comptable de la société Brevalex afin soit disant de faire évoluer la plateforme internet de paiement sécurisé.

Une vingtaine d'entretiens téléphoniques sous couvert de l'évolution de la plateforme internet ont eu lieu et M. [D], comptable de la société Brevalex, a été amené à faire les manipulations demandées.

Le 2 novembre 2015, M. [G] a demandé à M. [D] de faire une manipulation de virement de la somme de 500.000 euros depuis le compte détenu par la société Brevalex dans les livres de la société Bnp Paris sur le compte que la société détenait auprès de la société Arkea. Face à ce montant, M [D] a refusé de faire cette opération. Le jour même, il s'est connecté à la plateforme du compte bancaire et a découvert 7 virements frauduleux vers des destinataires inconnus :

Destinataire « Nassauische Sparkasse ''

- 101.478 euros le 10 septembre 2015,

- 101.578 euros le 18 septembre 2015,

- 101.149 euros le 29 septembre 2015,

Destinataire « Centre de Negocis roses SL ''

- 199.195 euros le 30 septembre 2015,

- 195.176 euros le 13 septembre 2015,

Destinataire « Médical Standard TSL GMBH ''

- 103.197 euros le 23 octobre 2015,

- 243.752 euros le 28 octobre 2015,

Soit un total de 1.045.525 euros.

Le 3 novembre 2015, la société Brevalex a alerté la société Arkea et lui a demandé de rapatrier les virements frauduleux. Le lendemain, le 4 novembre 2015, une plainte est déposée.

Le 5 novembre, la société Arkea a informé la société Brevalex de la nécessité de transmettre aux banques destinatrices des virements l'intégralité de la plainte et non seulement son récépissé.

La société Brevalex a refusé de communiquer l'intégralité de la plainte au motif que ce document n'était pas nécessaire au rapatriement des fonds.

Le 26 novembre 2015, la société Brevalex a été informée que la somme de 33.755.62 euros en provenance de la société Médical Standard TSL GMBH avait été rapatríée sur ses comptes.

Le 1er décembre 2015, les sociétés Brevalex et Brevalex international ont constaté la rupture des relations commerciales avec la société Arkea. Après mise en demeure du 17 décembre 2015, elles l'ont assignée en remboursement des fonds détournés et paiement de dommages-intérêts.

Le 16 décembre 2016, le tribunal de commerce de Brest a ordonné un sursis à statuer dans l'attente de l'aboutissement de l'enquête pénale en cours.

Des sommes ayant été versées suite à un jugement de la juridiction pénale de Nuremberg, la demande de la société Brevalex a été ramenée au montant principal de 698.576 euros.

Par jugement du 20 septembre 2019 le tribunal de commerce de Brest a :

- Condamné la société Arkea à payer à la société Brevalex la somme de 698.576 euros, augmentée des intérêts de droit à compter du 9 novembre 2015, date de la mise en demeure,

- Ordonné la capitalisation des intérêts,

- Débouté les sociétés Brevalex de leur demande de dommages et intérêts,

- Débouté la société Arkea de l'ensemble de ses demandes, fins et conclusions,

- Condamné la société Arkea à payer à la société Brevalex la somme de 12.219.17 euros au titre des frais engagés dans le cadre de la procédure allemande,

- Condamné la société Arkea à payer aux sociétés Brevalex et Brevalex International la somme de 15.000 euros, chacune, sur le fondement de Particle 700 du code de procédure civile,

- L'a condamnée à supporter les entiers dépens de linstance,

- Ordonné l'exécution provisoire.

La société Arkea a interjeté appel le 7 octobre 2019.

Les dernières conclusions de la société Arkea sont en date du 25 janvier2022. Les dernières conclusions des sociétés Brevalex sont en date du 9 février 2022.

L'ordonnance de clôture a été rendue le 24 février 2022.

PRÉTENTIONS ET MOYENS :

La société Arkea demande à la cour de :

- Déclarer la société Arkea recevable en son appel et l'y déclarer bien fondée,

- Infirmer les dispositions du jugement en ce qu'i1 a :

- Condamné la société Arkea à payer à la société Brevalex la somme de 698.576,00 euros, augmentée des intérêts de droit compter du 9 novembre 2015, date de la mise en demeure,

- Ordonné la capitalisation des intérêts,

- Débouté la société Arkea de l'ensemble de ses demandes, fins et conclusions,

- Condamné la société Arkea à payer à la société Brevalex la somme de 12.219,17 euros au titre des frais engagés dans le cadre la procédure allemande,

- Condamné la société Arkea à payer aux sociétés Brevalex et Brevalex International la somme de 15.000 euros, chacune, sur le fondement de l'article 700 du code de procédure civile et aux dépens,

- Ordonné l'exécution provisoire du jugement,

Et, statuant à nouveau, juger ce qui suit :

- Juger la société Brevalex International irrecevable en ses demandes,

Et en tout état de cause :

- Juger les sociétés Brevalex et Brevalex International mal fondées en toutes leurs demandes, fins et conclusions et les en débouter,

- Condamner solidairement les sociétés Brevalex et Brevalex International à verser à la société Arkea une somme de 30.000 euros sur le fondement de l'article 700 du code de procédure civile,

- Condamner les sociétés Brevalex et Brevalex International aux entiers dépens de première instance et d'appel.

Les sociétés Brevalex demandent à la cour de :

- Débouter la société Arkea de toutes ses demandes, fins et conclusions,

- Dire et juger la société Brevalex International recevable en ses demandes,

- Dire et juger que la société Arkea a manqué à ses obligations de surveillance, de contrôle et de vigilance à l'origine des sept virements frauduleux des 10, 18, 29 et 30 septembre 2015 et des 13, 23 et 28 octobre 2015, au préjudice des sociétés Brevalex et Brevalex International,

- En tout état de cause, dire et juger que la société Arkea est responsable de plein droit en sa qualité de dépositaire,

- Constater la résistance abusive de la société Arkea qui n'a pas restitué les fonds sur le compte de la société Brevalex en dépit des nombreuses demandes en ce sens de cette dernière,

- Dire et juger que cette attitude est abusive et génératrice d'un préjudice distinct,

En conséquence :

- Confirmer le jugement en ce qu'il a débouté les sociétés Brevalex et Brevalex International de leur demande de dommages et intérêts pour résistance abusive,

Ce faisant :

- Condamner la société Arkea à payer à la société Brevalex la somme de 698.576 euros, augmentée des intérêts de droit à compter du 9 novembre 2015, date de la mise en demeure,

- Ordonner la capitalisation des intérêts,

- Condamner la société Arkea à payer aux sociétés Brevalex et Brevalex International la somme de 50.000 euros, chacune, à titre de dommages et intérêts,

- Condamner la société Arkea à payer à la société Brevalex la somme de 12.219,17 euros au titre des frais qu'elle a engagés dans le cadre de la procédure allemande,

- Confirmer le jugement en ce qu'il a condamné la société Arkea à payer aux sociétés Brevalex et Brevalex International la somme de 15.000 euros, chacune, au titre de l'article 700 du code de procédure civile,

- Condamner la société Arkea à payer aux sociétés Brevalex et Brevalex International la somme de 100.000 euros, chacune, sur le fondement de l'article 700 du code de procédure civile,

- Condamner la société Arkea aux entiers dépens de première instance et d'appel.

Pour un plus ample exposé des prétentions et moyens des parties il est renvoyé à leurs dernières conclusions visées supra.

DISCUSSION :

Sur l'obligation de restitution des fonds déposés :

La société Brevalex fait valoir que les virements litigieux constitueraient des opérations de paiement non autorisées et qu'en conséquence la société Arkea serait tenue de rembourser les sommes ainsi détournées.

La société Arkea fait valoir, comme elle l'avait fait devant le tribunal, que la société Brevalex aurait manqué à ses obligations contractuelles rendant inopérante l'application de l'obligation de restitution.

Une opération de paiement est réputée autorisée lorsque le consentement du payeur est donné sous la forme convenue avec le prestataire de service de paiement :

Article L133-4 du code monétaire et financier (rédaction en vigueur du 1er novembre 2009 au 13 janvier 2018) :

Pour l'application du présent chapitre :

a) Un dispositif de sécurité personnalisé s'entend de tout moyen technique affecté par un prestataire de services de paiement à un utilisateur donné pour l'utilisation d'un instrument de paiement. Ce dispositif, propre à l'utilisateur de services de paiement et placé sous sa garde, vise à l'authentifier ;

b) Un identifiant unique s'entend d'une combinaison de lettres, de chiffres ou de symboles indiquée à l'utilisateur de services de paiement par le prestataire de services de paiement, que l'utilisateur de services de paiement doit fournir pour permettre alternativement ou cumulativement l'identification certaine de l'autre utilisateur de services de paiement et de son compte de paiement pour l'opération de paiement ;

c) Un instrument de paiement s'entend, alternativement ou cumulativement, de tout dispositif personnalisé et de l'ensemble de procédures convenu entre l'utilisateur de services de paiement et le prestataire de services de paiement et auquel l'utilisateur de services de paiement a recours pour donner un ordre de paiement ;

d) Un jour ouvrable est un jour au cours duquel le prestataire de services de paiement du payeur ou celui du bénéficiaire exerce une activité permettant d'exécuter des opérations de paiement

Article L133-6 du code monétaire et financier ( rédaction en vigueur du 1er novembre 2009 au 13 janvier 2018) :

I. ' Une opération de paiement est autorisée si le payeur a donné son consentement à son exécution.

Toutefois, le payeur et son prestataire de services de paiement peuvent convenir que le payeur pourra donner son consentement à l'opération de paiement après l'exécution de cette dernière.

II. ' Une série d'opérations de paiement est autorisée si le payeur a donné son consentement à l'exécution de la série d'opérations.

Article L133-7 du code monétaire et financier :

Le consentement est donné sous la forme convenue entre le payeur et son prestataire de services de paiement.

En l'absence d'un tel consentement, l'opération ou la série d'opérations de paiement est réputée non autorisée.

Le consentement peut être retiré par le payeur tant que l'ordre de paiement n'a pas acquis un caractère d'irrévocabilité conformément aux dispositions de l'article L. 133-8.

Le consentement à l'exécution d'une série d'opérations de paiement peut être retiré, avec pour effet que toute opération postérieure est réputée non autorisée.

En cas d'opération non autorisée, l'établissement bancaire est tenu à une obligation de restitution. Cependant, le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées s'il n'a pas satisfait par négligence grave, exclusive de toute appréciation de sa bonne foi, à l'obligation, imposée à l'utilisateur de services de paiement par le second de ces textes, de prendre toute mesure raisonnable pour préserver la sécurité du dispositif de sécurité personnalisé mis à sa disposition :

Article L133-16 (rédaction en vigueur du 1er novembre 2009 au 13 janvier 2018) :

Dès qu'il reçoit un instrument de paiement, l'utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés.

Il utilise l'instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation.

Article L133-18 du code monétaire et financier (rédaction en vigueur du 3 juillet 2010 au 13 janvier 2018) :

En cas d'opération de paiement non autorisée signalée par l'utilisateur dans les conditions prévues à l'article L. 133-24, le prestataire de services de paiement du payeur rembourse immédiatement au payeur le montant de l'opération non autorisée et, le cas échéant, rétablit le compte débité dans l'état où il se serait trouvé si l'opération de paiement non autorisée n'avait pas eu lieu.

Article L133-19 (rédaction en vigueur du 1er novembre 2009 au 13 janvier 2018) :

I. ' En cas d'opération de paiement non autorisée consécutive à la perte ou au vol de l'instrument de paiement, le payeur supporte, avant l'information prévue à l'article L. 133-17, les pertes liées à l'utilisation de cet instrument, dans la limite d'un plafond de 150 euros.

Toutefois, la responsabilité du payeur n'est pas engagée en cas d'opération de paiement non autorisée effectuée sans utilisation du dispositif de sécurité personnalisé.

II. ' La responsabilité du payeur n'est pas engagée si l'opération de paiement non autorisée a été effectuée en détournant, à l'insu du payeur, l'instrument de paiement ou les données qui lui sont liées.

Elle n'est pas engagée non plus en cas de contrefaçon de l'instrument de paiement si, au moment de l'opération de paiement non autorisée, le payeur était en possession de son instrument.

III. ' Sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si le prestataire de services de paiement ne fournit pas de moyens appropriés permettant l'information aux fins de blocage de l'instrument de paiement prévue à l'article L. 133-17.

IV. ' Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d'un agissement frauduleux de sa part ou s'il n'a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17.

Le payeur et son prestataire de services de paiement peuvent décider contractuellement d'une indemnité complémentaire.

La société Brevalex détenait également un compte dans les livres de la société Bnp Paribas qu'elle utilisait pour encaisser ses recettes et régler ses dépenses.

La société Brevalex détenait un compte courant dans les comptes de la société Arkea. Elle utilisait ce compte comme compte de transit pour virer certaines sommes sur des comptes à l'étranger. Ainsi, pour payer un fournisseur à l'étranger, la société Brevalex virait la somme en question de son compte Bnp Paribas sur le compte Arkea puis virait cette somme depuis le compte Arkea vers le compte du fournisseur étranger concerné.

Les parties étaient liées par un contrat d'utilisation des services de banque à distance, conditions particulières, en date du 30 novembre 2004.

Ce contrat prévoit notamment que seules les personnes habilités par le client, et dont la liste était communiquée à la société Arkea, pouvaient utiliser le mode de virement à distance :

1. L'accès aux services de Banque à Distance suppose :

- L'accès du client, à ses frais, à au moins l'un des canaux de télécommunication sur lesquels sont proposés les services Banque à Distance, au moyen d'un terminal adapté (téléphone, minitel ou modem relié à un micro ordinateur) agréé par le fournisseur d'accès ou l'opérateur concerné.

- La désignation ci-après par le client de la ou les personnes qu'il habilite à utiliser ces télé-services en qualité de mandataire.

- La souscription d'un ou plusieurs mandats écrits indiquant à la Banque le ou les comptes, tenus dans les livres de celle-ci, auxquels l'accès est exclusivement autorisé pour chaque personne ci-après habilitée; sous réserve d'agrément et tout mandataire par la Banque.

- L'attribution par la Banque d'un code confidentiel à chaque personne habilitée, expédié à l'adresse du Client.

2. Engagements particuliers du Client :

- Le Client, s'engage pour lui-même et les personnes qu'il habilite, à respecter les procédures d'identification communiquées soit sur le dernier courrier d'expédition du code adressé soit, le cas échéant, par les moyens propres à chaque canal;

- Il s'engage aussi à maintenir la plus stricte confidentialité des codes d'accès et mots de passe, et à n'en permettre l'utilisation à quiconque d'autre ; se portant fort à cet effet pour les personnes qu'il habilite.

- Le Client s'engage en cas de perte ou de vol des codes à en faire part immédiatement à la Banque par écrit, sa responsabilité ne pouvant être dégagée avant cette notification.

- Le Client s'engage, en outre, à notifier immédiatement à la Banque toute modification de la liste des personnes habilitées ; l 'attention du Client étant attirée sur le fait que la solidarité entre le Client et son ou chacun des mandataires ne cessera qu'après une telle notification, après le délai technique visé ci-dessous.

(')

6. Personne(s) habilitée(s) par le Client à utiliser les services de Banque à Distance en son nom :

Identifiant Personne habilité

[Localité 2]

Par convention de Conditions particulières d'utilisation des services de banque à distance du 3 juillet 2005, la liste des personnes habilitées a été modifiée.

M. [R] [U] et M. [Z] [P] ont ainsi été habilités chacun pour des virements en France pour 250.000 euros par mois et pour des virements internationaux pour 700.000 euros par mois. M. [T] [S] a également été habilité, sans que les montant d'habilitation soient précisés.

Le contrat prévoyait que toute demande de résiliation d'une habilitation devait être adressée par écrit à la Banque et ne pourrait être prise en compte par celle-ci qu'à l'issue d'un délai d'un jour ouvré après réception.

Le système d'authentification mis en place par la société Arkea comportait la mise à disposition du client d'un appareil électronique, lecteur Domipass, dans lequel le client devait introduire sa carte électronique d'identification. Outre cette carte et le lecteur associé, chaque personne habilitée disposait d'un code PIN d'identification propre.

La société Brevalex fait valoir que la carte électronique n'aurait pas été délivrée nominativement. Elle produit en ce sens une copie de la carte utilisée par M. [D].

Il apparaît cependant que la copie produite ne présente qu'une des deux faces de la carte en question et il n'est pas possible d'en déduire que cette carte ne comportait aucun élément d'identification quant à la personne habilitée correspondante.

En tout état de cause, l'utilisation d'une carte devait être accompagnée du code PIN propre à chaque personne habilitée.

Les virements litigieux ont été effectués au nom de [R] [U], numéro d'identification 42570116. Il en résulte que ce sont bien les codes et identifiants de M. [U] qui ont été utilisés par M. [D] pour obtenir le code à 8 chiffres nécessaire pour finaliser la connexion.

Le système d'authentification avait en pratique évolué. A compter du 6 mai 2015, pour opérer un virement, la personne habilitée devant se rendre sur le site internet de la société Arkea, saisir son identifiant et demander l'obtention d'un code, appelé défi. Le serveur de la banque vérifiait alors que la demande avait été formulée depuis son site internet, générait un code à quatre caractères et l'envoyait au client. Le code en question s'affichait alors sur l'écran du site internet ouvert par la personne habilitée.

Le client allumait le lecteur de carte, y introduisait sa carte, allait dans la fonction Code et s'authentifiait grâce à son code PIN habituel. Il rentrait sur le lecteur le code défi reçu par le serveur de la banque et le lecteur de carte générait alors une clé d'authentification. La personne habilitée saisissait sur l'écran de son ordinateur cette clé d'authentification. Le serveur vérifiait alors que la clé d'authentification était valide.

Ce système était prévu pour éviter que le client ne soit victime d'un « phishing ». En effet, le pirate récupérant un code défi ne disposait que de 10 minutes pour procéder aux manipulations lui permettant de poursuivre la procédure d'authentification. Passé ce délai, il devait refaire toute la procédure pour qu'un nouveau code défi soit généré à nouveau. Or, sans l'authentification en direct à l'aide du lecteur de carte et de la carte du client, deux éléments physiques que seul ce dernier pouvait posséder, cette authentification n'était pas possible.

Les escrocs ont bien compris le mécanisme et la nécéssité, pour le contourner, d'obtenir l'intervention d'une personne ayant accès au boitier électronique, à la carte et au code PIN correspondant. C'est pour cela que la personne se faisant appeler M. [G] a fait procéder à M. [D] à des opérations qu'il lui demandait au téléphone de réaliser en direct, sans que M. [D] se rende lui même sur le site internet de la société Arkea. En effet, M. [G] lui indiquait que s'agissant d'une opération de maintenance, il était impératif que M. [D] n'utilise pas ce site, pendant plusieurs jours, tant que l'opération n'était pas achevée.

Il résulte du dépôt de plainte de la société Brevalex en date du 4 novembre 2015 que M. [G] a communiqué à chaque fois à M. [D] un défi à 5 chiffres à inscrire sur le boitier indépendant, un code à 8 chiffres étant alors généré que M. [D], à la demande de M. [G], renseignait à l'écran sur la plateforme d'Arkea.

Dans ce dépôt de plainte, la société Brevalex fait valoir que M. [D] ne communiquait jamais le moindre code ou identifiant à M. [G], puisque c'est au contraire ce dernier qui lui donnait un défi à renseigner sur le boitier, lequel générait un identifiant.

Cette plainte ajoute cependant, comme cela résulte d'autres éléments du dossier, que M. [G] demandait à M. [D] de ne surtout pas se connecter sur le site de la banque car ceci entrainerait des blocages de sorte qu'il faudrait tout recommencer.

Il apparaît d'ailleurs que M. [D] ne s'est résolu à accéder par lui même au site de la banque que lorsqu'un dernier virement de 500.000 euros lui a été demandé depuis le compte de la société Brevalex dans les livres de la société Bnp Paribas.

Or, pour pouvoir renseigner lui même le code à 8 chiffres sur la plateforme d'Arkea, M. [D] aurait du y accéder, ce qu'il réfute avoir fait avant d'avoir eu des soupçons. En outre, il est difficile de comprendre quel aurait été l'intérêt de l'escroc de faire générer le code à 8 chiffre par M. [D] sur la boitier Domipass si cela n'avait pas été pour qu'il lui soit communiqué afin que lui même puisse renseigner la plateforme de la société Arkea et avoir accès aux comptes.

Il apparaît ainsi que, malgré les dénégations de M. [D] rapportées par la société Brevalex, il a bien transmis le code à 8 chiffres à son interlocuteur, que ce soit directement ou indirectement, permettant ainsi à l'escroquerie d'aboutir.

La plainte déposée par la société Brevalex le 4 novembre 2015 invoque d'ailleurs l'article 313-1 du code pénale et la remise d'un bien quelconque, élément constitutif de l'escroquerie. Elle ajoute qu' 'En l'espèce, le bien quelconque remis par M. [D] à la suite des man'uvres de M. [G] est évidemment constitué par le mot de passe à 8 chiffres que M. [G] n'aurait jamais pu obtenir s'il n'avait invité le comptable à inscrire le « défi » dans le boitier [X] '.

Il résulte en ce sens également du jugement de la juridiction pénale de Nuremberg que M. [D] a été trompé par M. [G]. Grâce à cette man'uvre frauduleuse, M. [G] a incité M. [D] à lui octroyer par erreur l'accès à la plate-forme de virement de la société Brevalex. Ce jugement ajoute que M. [D] a notamment cliqué sur un lien que lui avait envoyé M. [G] et a laissé ce dernier accéder aux données login et autres données nécessaires pour l'exécution de transferts à partir du compte de la société Brevalex.

Il n'est pas établi avec certitude comment M. [G] a bénéficié du code d'identification de la société Brevalex, premier code nécessaire pour entamer le processus d'identification sur la plateforme. En tout état de cause, seul M. [D] disposait du boitier Domipass, de la carte associée et du code PIN correspondant. Seul M. [D] pouvait transmettre le code à 8 chiffres d'authentification. En l'absence de l'intervention de M. [D], aucun virement n'aurait été possible.

Chacune des personnes habilitées par la société Brevalex avait reçu une carte électronique d'authentification à insérer dans le lecteur Domipass. En l'absence de cette carte ou en l'absence d'utilisation du lecteur, aucune opération de virement n'était possible. Aucune interposition d'un tiers ne pouvait aboutir à une opération frauduleuse sans que le boitier électronique n'émette un code.

Seule la transmission à l'escroc par M. [D] du code généré par ce boitier a pu permettre la réalisation des virements litigieux.

Comme il a été vu supra, à supposer qu'une seule carte ait été délivrée par la société Arkea à la société Brevalex, seule l'identification nominative à l'aide du code PIN propre à chacune des personnes habilitées a pu permettre l'obtention par le boitier du code d'identification à 8 chiffres.

La société Brevalex fait valoir que le virement litigieux du 30 septembre 2019 à 16h07 n'aurait pas pu avoir été effectué avec l'intervention de M. [D], ce dernier ayant quitté les locaux de l'entreprise à cette heure.

Il résulte du constat d'huissier produit par la société Brevalex que ce jour en question M. [D] a déclenché son badge personnel comme quittant l'entreprise à 16h57. Il n'en demeure pas moins qu'il était présent à l'heure du virement litigieux de ce jour là et qu'il ne peut donc être utilement soutenu qu'il ne pouvait pas matériellement avoir participé à la connexion à l'origine du virement.

La société Brevalex fait également valoir que l'escroc aurait utilisé la technique de l'homme au milieu, consistant à créer une page d'accueil factice que M. [D] aurait rempli sous les indications de M. [G]. Ce dernier ayant parallèlement accès aux inscriptions ainsi réalises sur la fausse page d'accueil, recevait ainsi le code d'authentification à 8 chiffres sans que M. [D] ait eu besoin de lui communiquer au téléphone.

L'utilisation de cette technique par l'escroc est plausible et n'est pas manifestement contredite par d'autres éléments du dossier.

On peut noter en ce sens que la juridiction pénale de Nuremberg a retenu que M. [D] avait notamment cliqué, à la demande de M. [G], sur un lien qui lui avait été envoyé par celui-ci et avait ainsi laissé M. [G] accéder aux données de login et autres données nécessaires pour l'exécution de transferts à partir du compte de la société Brevalex.

Il n'en demeure pas moins que M. [D] a transmis le code que le boitier Domipass en sa possession lui avait généré. La transmission de ce code, qu'elle ait été directe par téléphone ou indirecte par une fausse page internet de connexion, a été effectuée par une personne qui n'était habilitée à utiliser ni la carte, ni le boitier électronique, ni le code PIN associé.

La société Brevalex fait valoir que la société Arkea savait que le boitier et la carte associés étaient utilisés par M. [D], quoique n'étant pas habilité.

Il résulte d'un courriel de M. [D] en date du 13 août 2015 qu'il a indiqué à la société Arkea que la carte et le boitier Domipass ne fonctionnaient plus très bien.

Par courriel en date du même jour, la société Arkea lui a indiqué qu'il allait recevoir très prochainement un nouveau boitier. Contrairement à ce que fait valoir la société Brevalex, il n'a pas été question dans cette réponse d'envoyer une nouvelle carte.

Il résulte par ailleurs des nombreux échanges de courriels entre M. [D] et la société Arkea qu'il avait un rôle important dans la mise en place des virements sur des comptes situés à l'étranger. Il ne résulte cependant pas de ces courriels que M. [D] ait indiqué qu'il utilisait lui même le boitier, la carte et le code PIN propres à M. [U].

Il peut être noté que M. [U] avait quitté la société en août 2015, mais que la société Brevalex, contrairement à ses obligations contractuelles, n'en a pas formellement informé la société Arkea ni n'a demandé la résiliation de l'habilitation dont M. [U] bénéficiait.

A supposer même que la société Arkea ait été informée de cette pratique de l'utilisation de l'instrument sécurisé par M. [D], elle était contraire à l'engagement contractuel de la société Brevalex de ne pas permettre une telle utilisation par une personne non habilitée. La société Brevalex ne peut utilement se retrancher derrière ses propres manquements passés à ses obligations contractuelles pour en justifier d'autres.

Il n'en demeure pas moins que, vis à vis de la société Arkea et de sa plateforme de connexion, le virement était censé émaner de M. [U], personne habilitée à le faire, en suivant le protocole de sécurité prévu par les parties.

La société Brevalex fait valoir qu'elle n'aurait pas pu elle-même entrer en informatique les coordonnées bancaires des destinataires des virements. Elle produit en ce sens une série d'échange de courriels dans lesquels elle demandait régulièrement à la société Arkea de modifier les coordonnées bancaires des destinataires de virements internationaux.

Le fait que la société Bretalex ait demandé à la société Arkea de procéder à ces saisies, et que la société Arkea ait accepté d'y procéder, n'implique pas que la société Bretalex ne pouvait pas techniquement le faire elle-même.

La société Arkea fait au contraire valoir que s'agissant de virements en zone euro, virements SEPA, le client pouvait lui même saisir les coordonnées bancaires de son destinataire. Il résulte en effet du courriel de Mme [Y], salariée de la société Arkea, en date du 19 décembre 2012 par lequel, qu'elle avait indiqué avoir procédé à l'enregistrement de coordonnées bancaires comme demandé par la société Brevalex et qu'elle avait ajouté que pour information il était possible pour la société Brevalex d'enregistrer elle-même dans le système les RIB de ses bénéficiaires sur la zone SEPA. Il résulte également du dépôt de plainte par la société Brevalex en date du 4 novembre 2015 qu'elle savait que la création d'un compte fournisseur pouvait se faire directement sur la plateforme internet de la société Arkea. Le fait que des comptes de destinataires aient été créés directement sur la plateforme sans intervention d'une personne physique de la société Arkea n'était pas de nature à alerter cette dernière et ne constituait pas une anomalie de fonctionnement.

Il en résulte que, s'agissant de virements en zone SEPA, comme tous les virements litigieux en cause ici, l'enregistrement de RIB de bénéficiaire par le client était possible et que la société Brevalex en avait été informée. Ainsi, en laissant l'escroc accéder au compte de la société Brevalex, M. [D] lui a également permis de saisir les RIB des destinataires, tous situés en zone SEPA.

Il apparaît ainsi que les ordres de virements ont été donnés sous la forme convenue entre le payeur et son prestataire de services de paiement.

En s'affranchissant des règles de transmission des ordres de virement qu'elle avait elle-même acceptées, la société Brevalex a permis la transmission à la société Arkea d'ordres de virement respectant, sans anomalie apparente pour la société Arkea, le strict protocole de sécurité qu'elle avait mis en place.

Ayant reçu les ordres de paiement au moyen des moyens de paiement sécurisés qu'elle avait mis à la disposition de la société Brevalex, la société Arkea avait reçu un consentement présumé du titulaire du compte et se devait d'effectuer les opérations demandées. En présence de ce constement présumé, il s'agissait d'opérations autorisées au sens des dispositions L. 133-6 et L.133-7 du code monétaire et financier et la société Arkea n'est donc pas tenue à restitution.

A supposer même qu'il faille retenir que les virements en cause doivent être considérés comme des opérations non autorisées, il apparait que la société Brevalex a commis des négligences graves dans ses obligations, notamment de préserver la sécurité du dispositif de sécurité personnalisé mis à sa disposition.

La société Brevalex a ainsi permis l'utilisation par une personne non habilitée du dispositif de sécurité pour lequel elle avait choisi elle-même les personnes habilitées. Elle a manqué à son obligation de prendre toute mesure raisonnable pour préserver la sécurité du dispositif. En l'absence d'une telle utilisation par M. [D], les virements frauduleux n'auraient pas pu être réalisés.

Il apparait que les opérations en cause ont été authentifiées, dûment enregistrées et comptabilisées, sans déficience technique. Seule le manquement de la société Brevalex à ses obligations a permis aux virements d'être réalisés et la société Arkea ne pouvait pas détecter la fraude.

En outre, M. [D], comptable professionnel, a manqué, par négligence grave, à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés en répondant à des sollicitations d'une personne se présentant comme salariée de la société Arkea, sans procéder à aucune vérification de cette affirmation, en acceptant de transmettre des codes confidentiels sur une application ouverte par un lien informatique non vérifié ni authentifié, en acceptant de faire virer des sommes depuis un autre compte bancaire pour permettre la poursuite des opérations qu'un interlocuteur non indentifié lui demandait de réaliser, d'accepter ne ne pas se connecter par lui même sur le site de la société Arkea au pretexte pour le moins surprenant que la plateforme était, pendant un période de plusieurs semaines, en cours de mise à jour. Un utilisateur normalement attentif, et a fortiori un professionnel du chiffre, ne pouvait que détecter les indices permettant de douter de l'authenticité des requêtes présentées par M. [G].

Il résulte de chacun de ces manquements, pris ensemble ou même isolément, que la société Brevalex doit supporter les pertes occasionnées par les opérations de paiement non autorisées rendue possibles par les graves manquements de la société Brevalex, directement par son manque de rigueur dans l'utilisation des moyens de paiement sécurisés ou indirectement du fait des manquement de son salarié M. [D].

Il y a lieu d'infirmer le jugement et de rejeter la demande de la société Brevalex de paiement de la somme de 698.576 euros.

Sur l'obligation de surveillance :

Le devoir de non-ingérence interdit à la banque de s'immiscer dans les affaires de son client, comme de procéder à des investigations notamment sur la nature et la cause des encaissements, sauf anomalie manifeste qu'il lui appartient de signaler à son client conformément à l'obligation de surveillance qui lui incombe.

La société Arkea justifie que la société Brevalex procédait trés régulièrement à des virements sur des comptes situés à l'étranger. Le compte ouvert dans les livres de la société Arkea avait d'ailleurs pour but de permettre de tels transferts. Ainsi, la société Brevalex indique elle même avoir procédé au cours de l'année 2015 arrêtée à fin octobre 2015, à 510 virements pour un total de 4,7 millions d'euros, dont 7 portant sur des montants supérieurs à 100.000 euros.

Il apparait ainsi que les virements vers des comptes à l'étrangers, y compris pour des montants conséquents, n'étaient pas inhabituels. Ce n'est d'ailleurs que lorsqu'a été en cause un virement de 500.000 euros que M. [D] a réagi et s'est décidé à aller lui même vérifier l'état du compte en se connectant par lui même sur la plateforme internet de la société Arkea.

La société Arkena justifie ainsi que les virements pratiqués n'étaient pas inhabituels quant à leurs montants et destinataires. Ils ne présentaient en outre aucune d'anomalie manifeste. Ils ont été passés par le biais d'un système sécurisé, en respectant les procédures prévues contractuellement, et, du moins en apparence pour ce qui concerne la société Arkena, par une personne habilitée à le faire.

En outre, concomitament, la société Brevalex a opéré des virements depuis son compte détenu à la société Bnp Paribas sur son compte auprès de la société Arkena afin d'alimenter les virements ordonnés.

13

Le fonctionement du compte était donc habituel par rapport à ce que la société Bretalex pratiquait. Aucune anomalie ne pouvait être détectée sur ce point par la société Arkena.

La société Arkea n'avait pas à interroger la société Brevalex sur les raisons pour lesquelles elle souhaitait effectuer les virements litigieux.

Aucun manquement de sa part à son obligation de vigilance n'est établie à son encontre.

Il y a donc lieu de rejeter les demandes de paiement de dommages-intérêts formées par la société Brevalex.

Sur la recevabilité des demandes de la société Brevalex International :

La société Brevalex international est la société Holding que la société Brevalex. Elle fait valoir que du fait de la perte par sa filiale d'une somme de près de 700.000 euros, elle aurait subi un préjudice résultant pour elle de l'impossibilité de se faire attribuer les dividendes attendus.

Ce préjudice allégué n'est que le corrolaire de celui invoqué par la société Brevalex elle-même. La demande de paiement de dommages-intérêts formée par la société Brevalex International est donc irrecevable.

Le jugement sera infirmé sur ce point.

Sur les frais et dépens :

Il y a lieu de condamner les sociétés Brevalex et Brevalex international aux dépens de première instance et d'appel ainsi qu'à payer à la société Arkea la somme globale de 5.000 euros au titre des dispositions de l'article 700 du code de procédure civile.

PAR CES MOTIFS :

La cour :

- Infirme le jugement,

Statuant de nouveau et y ajoutant :

- Déclare irrecevable la demande de paiement de dommages-intérêts formée par la société Brevalex international,

- Rejette les autres demandes des parties,

- Condamne les sociétés Brevalex et Brevalex international à payer à la société la somme globale de 5.000 euros au titre des dispositions de l'article 700 du code de procédure civile,

- Condamne les sociétés Brevalex et Brevalex international aux dépens de première instance et d'appel.

Le Greffier, Le Président,