Le client piraté et la banque négligente
ATF 146 III 326 | TF, 09.07.2020, 4A_9/2020*
Les clauses bancaires de transfert de risque ne sont valables que dans les limites des art. 100 et art. 101 CO (convention exclusive de la responsabilité) appliqués par analogie. En matière d’ordres frauduleux, il n’y a faute grave que s’il saute aux yeux de toute personne raisonnable que l’ordre transmis, de par son adresse, son texte, son contenu ou un lieu de virement exotique, et compte tenu de la situation du client, ne peut émaner de celui-ci.
Faits
En novembre 2014, un ressortissant turc et homme d’affaires retraité dépose environ EUR 850’000 auprès d’une société de négoce en valeurs mobilières. Parmi la documentation contractuelle signée, se trouve notamment une clause de décharge pour les ordres transmis par e-mail:
le client autorise expressément la société à accepter des instructions données notamment par e-mail et à les exécuter immédiatement, en n’importe quelles circonstances, même si elles ne sont pas suivies d’une confirmation écrite. Le client déclare assumer tous les risques, même en cas d’erreur de la part de la société quant à son identité et dégage celle-ci de toute responsabilité de ce chef pour tous dommages qu’il pourrait encourir.
Les conditions générales prévoient également que le dommage résultant de défauts de légitimation ou de faux non décelés est à la charge du client, sauf en cas de faute grave de la société de négoce.
Entre l’ouverture du compte et novembre 2015, le client ne donne que deux ordres de virement, lesquels sont transmis par e-mail. Puis dès décembre 2015, la société de négoce reçoit en l’espace d’un mois huit ordres de virement par e-mail pour un total d’environ GBP 380’000. Le 7 janvier 2016, après avoir exécuté ces ordres, la société de négoce reçoit des ordres semblant provenir du client, mais depuis une adresse e-mail légèrement différente. La société de négoce bloque alors les ordres et contacte le client par téléphone. Ce dernier conteste tous les ordres exécutés depuis le mois de décembre, lesquels auraient en réalité été envoyés par des pirates.
Après avoir déposé une plainte pénale, le client se retourne contre la société de négoce afin de se voir rembourser les divers montants indûment débités de son compte.
Le Tribunal de première instance du canton de Genève rejette la demande, considérant que la société n’a pas commis une faute grave en exécutant les ordres frauduleux. Sur appel, la Cour de justice réforme le jugement et considère que la société a commis une faute grave. En effet, les ordres seraient insolites. La société aurait donc dû demander leur confirmation auprès du client (ACJC/1603/2019).
Saisi par la société de négoce, le Tribunal fédéral est amené à préciser dans quel contexte une société commet une faute grave lorsqu’elle exécute des ordres frauduleux.
Droit
Le Tribunal fédéral commence par rappeler sa récente jurisprudence dans laquelle il a clarifié les étapes du raisonnement à suivre lorsqu’un client allègue que la banque a exécuté des virements frauduleux (cf. 4A_504/2018*, résumé in LawInside.ch/947/). Afin de déterminer qui doit supporter le dommage qui en résulte, le tribunal doit procéder en trois étapes.
- Dans la première étape, le tribunal doit clarifier si les virements ont été effectués sur mandat ou sans mandat.
- Dans la deuxième étape, qui s’applique lorsque les virements ont été effectués sans instructions, le tribunal examine s’il existe une clause de transfert de risque et, le cas échéant, sa validité (au regard des art. 100 s. CO).
- Dans la troisième et dernière étape, le tribunal se penche sur la possible action en compensation qu’aurait la banque à l’égard du client si ce dernier a violé ses obligations contractuelles (par exemple en ne consultant pas les communications reçues de la banque, lesquelles auraient permis de déceler l’existence de virements frauduleux).
Concernant la première étape, il est établi que les ordres frauduleux émanaient de tiers inconnus. Ils ont donc été exécutés sans mandat du client.
Dans la deuxième étape, il convient d’examiner la validité de la clause de transfert de risque. Pour rappel, cette clause permet à la banque de faire supporter au client l’exécution d’ordres frauduleux. De jurisprudence constante, la validité d’une telle clause est examinée par application analogique des art. 100 et 101 CO bien que la clause de transfert de risque ne relève pas de l’inexécution contractuelle au sens des art. 97 ss CO. Partant, cette clause n’est pas applicable en cas de faute grave (art. 100 al. 1 CO).
En matière d’ordres bancaires, il n’y a faute grave que s’il saute aux yeux de toute personne raisonnable que l’ordre transmis, de par son adresse, son texte, son contenu ou un lieu de virement exotique, et compte tenu de la situation du client, ne peut émaner de celui-ci. Tel est par exemple le cas lorsque des ordres transmis par e-mail contiennent des erreurs de syntaxe, des fautes d’orthographe et un vocabulaire approximatif alors que le client est un avocat de langue anglaise, qui s’est toujours exprimé en bon anglais, avec une syntaxe correcte et une variété de termes adéquats et précis, et que ces ordres portaient sur des montants importants à destination de deux bénéficiaires dans des banques à Hong Kong et à Singapour (cf. 4A_386/2016).
En l’espèce, le ressortissant turc n’était client de la banque que depuis une année environ au moment des ordres frauduleux. Il avait toujours communiqué par e-mail avec la banque. Les fautes d’anglais contenus dans les e-mails des pirates correspondaient aux fautes que le client avait déjà faites. Ils utilisaient d’ailleurs les mêmes formules de politesse. Les ordres étaient exécutés à destination d’une banque connue du Royaume-Uni et non à destination d’un pays lointain ou exotique. Le seul fait que les ordres ont été envoyés en l’espace d’un mois pour un montant important ne suffit pas à retenir une faute grave de la banque.
Le Tribunal fédéral souligne également que le client a spécialement signé une convention de décharge pour les ordres transmis notamment par e-mail afin et que la société de négoce devait les exécuter immédiatement sans confirmation écrite. Les éléments qui auraient permis de suspecter un piratage n’atteignent néanmoins pas le degré de gravité équivalant à un manquement absolument inexcusable.
Dès lors que la société de négoce n’a pas commis de faute grave, la clause de transfert de risque est valable. Partant, le dommage est à la charge du client.
Le Tribunal fédéral admet ainsi le recours et déboute le client de toutes ses prétentions.
Note
Cet arrêt a le mérite de rappeler que les tribunaux ne peuvent pas admettre une faute grave de la banque trop facilement. Il appartient ainsi au client d’être attentif lors de la signature des documents bancaires, en particulier lorsqu’il signe une telle décharge.
Néanmoins, l’arrêt reste muet sur la problématique de la faute légère. Or l’art. 100 al. 2 CO (applicable aux banques puisque leur responsabilité « résulte de l’exercice d’une industrie concédée par l’autorité ») prévoit expressément que le juge peut, en vertu de son pouvoir d’appréciation, tenir pour nulle une clause d’exclusion de responsabilité en cas de faute légère (cf. néanmoins l’art. 100 al. 3 CO en cas de faute de l’auxiliaire). A notre avis, cette disposition doit également trouver application par analogie aux clauses de transfert de risque. Ainsi, le Tribunal fédéral aurait tout de même pu considérer que la société avait commis une faute légère et rejeter son recours, par substitution de motifs.
Proposition de citation : Célian Hirsch, Le client piraté et la banque négligente, in: https://lawinside.ch/973/
Les commentaires sont désactivés.