Adresse de messagerie piratée
Le défaut de légitimation doit sauter aux yeux
Célian Hirsch
Lorsqu’un client se fait pirater son adresse e-mail, qui de la banque ou du client doit supporter le dommage résultant des transactions frauduleuses ? Dans son arrêt 4A_9/2020 (destiné à la publication), le Tribunal fédéral nous rappelle la méthode à suivre afin de trancher cette question et précise quel degré de négligence constitue une faute grave lors de l’examen d’ordres bancaires transmis par e-mail.
Un homme d’affaires retraité dépose en 2014 environ EUR 850’000.- auprès d’une société de négoce en valeurs mobilières. Dans la documentation contractuelle se trouvent une clause de banque restante, une clause de réclamation, une clause de « décharge pour ordres transmis par téléphone, fax & e-mail », ainsi qu’une clause précisant que le dommage résultant de défauts de légitimation ou de faux non décelés est à la charge du client, sauf en cas de faute grave de la société de négoce.
De novembre 2014 jusqu’en décembre 2015, le client donne deux ordres de virement, uniquement par e-mail. L’un « urgent » de USD 10’000.- en faveur de sa fille aux États-Unis, l’autre de EUR 44’000.- en sa propre faveur. Entre le 1er décembre 2015 et 4 janvier 2016, la société de négoce exécute huit ordres, reçus depuis la même adresse e-mail, en faveur de trois sociétés différentes qui disposent d’un compte auprès d’une banque sise au Royaume-Uni, pour un total d’environ GBP 380’000.-.
Le 7 janvier 2016, la société de négoce reçoit un e-mail d’une adresse e-mail légèrement différente de celle du client, lequel demande de parler d’urgence à quelqu’un et de suspendre tout paiement. Ne réussissant pas à atteindre directement le client par téléphone, la société interrompt toute exécution de nouveaux ordres. Quelques jours plus tard, la société arrive finalement à joindre le client par téléphone, lequel indique que ces huit ordres n’émanaient pas de lui. Il se rend compte que son adresse e-mail a été piratée et dépose plainte pénale à Genève.
Le client actionne la société en janvier 2017 devant le Tribunal de première instance du canton de Genève. Le Tribunal le déboute, considérant que les pirates se sont montrés astucieux. En effet, ils avaient repris les chaînes d’e-mails précédant leur piratage et ils avaient même demandé un entretien téléphonique ainsi qu’un rendez-vous physique. La société n’avait ainsi commis aucune faute grave.
Sur recours du client, la Cour de justice annule le jugement. Elle souligne que, à l’exception des deux premiers e-mails, les messages suivants étaient suspects à plusieurs égards. En effet, non seulement les montants étaient plus importants, mais en plus le bénéficiaire n’était pas le client ou un membre de sa famille. Enfin, certains virements avaient été annulés en raison du fait que les informations transmises par les pirates sur le bénéficiaire étaient inadéquates. Partant, selon la Cour, l’ensemble de ces éléments inusuels aurait dû conduire la société à suspecter l’existence d’une fraude et à procéder à une confirmation téléphonique des virements auprès du client. La Cour en conclut que l’absence de tels doutes sur la légitimité des ordres constitue une faute grave, qui rend la clause de décharge inapplicable.
Saisi par la société, le Tribunal fédéral rappelle tout d’abord la méthode à suivre afin de déterminer qui doit supporter le dommage résultant d’ordres frauduleux (cf. 4A_504/2018* commenté in Fabien Liégeois, cdbf.ch/1135).
Dans la première étape, le tribunal doit déterminer si les ordres ont été exécutés avec ou « sans mandat » (c’est-à-dire avec ou sans instruction du client). Tel est le cas en l’espèce, les ordres de virement ayant été envoyés par des pirates.
Dans la deuxième étape, le tribunal doit examiner s’il existe une clause valable de transfert de risque. En effet, lorsque la banque vire de l’argent depuis le compte du client sans instruction de sa part, elle n’acquiert pas de créance en remboursement (art. 402 CO) et supporte ainsi le dommage résultant de l’exécution de l’ordre frauduleux. La clause de transfert de risque permet à la banque de mettre à la charge du client le dommage causé par l’exécution de ces ordres. Cette clause étend la responsabilité du client même aux cas fortuits.
De jurisprudence constante, la validité de la clause de transfert de risque doit être examinée par application analogique des art. 100 et 101 CO. Une telle clause n’est ainsi pas valable lorsque la banque commet une faute grave. En matière d’ordres frauduleux, le Tribunal fédéral précise qu’il y a faute grave lorsqu’il saute aux yeux de toute personne raisonnable que l’ordre transmis ne puisse émaner du client, en particulier en raison de son adresse, de son texte, de son contenu ou d’un lieu de virement exotique. Tel est par exemple le cas lorsque des ordres transmis par e-mail contiennent des erreurs de syntaxe, des fautes d’orthographe et un vocabulaire approximatif alors que le client est un avocat de langue anglaise, qui s’est toujours exprimé en bon anglais, avec une syntaxe correcte et une variété de termes adéquats et précis, et que ces ordres portaient sur des montants importants à destination de deux bénéficiaires dans des banques à Hong Kong et à Singapour (cf. 4A_386/2016, commenté in Laurent Hirsch, cbdf.ch/966).
En l’espèce, le client a toujours communiqué avec la société par e-mail. Les pirates s’en sont précisément inspirés afin de reprendre les mêmes termes dans leurs messages. Par ailleurs, la destination des virements était en faveur d’une banque connue du Royaume-Uni, et non une banque d’un pays exotique. Enfin, la fréquence élevée et le montant transféré par les ordres frauduleux ne constituent pas non plus des indices sérieux d’un piratage de la messagerie du client. Partant, la société n’a pas violé les règles les plus élémentaires de prudence.
En l’absence de faute grave, le Tribunal fédéral en conclut que la clause de transfert des risques est valable. Le client doit ainsi supporter le dommage causé par l’exécution des ordres frauduleux.
Cet arrêt nous rappelle à juste titre qu’une faute grave ne doit pas être admise trop facilement. Néanmoins, l’arrêt reste muet sur la question de la faute légère. Or l’application par analogie de l’art. 100 al. 2 CO permet au juge, en vertu de son pouvoir d’appréciation (art. 4 CC), de considérer une clause de transfert de risque comme non valable en cas de faute légère d’un organe de la banque (et non d’un auxiliaire, cf. art. 101 al. 3 CO). Le praticien pourrait ainsi plaider que la faute légère d’un organe de la banque rend in casu inopposable la clause de transfert de risque.