Les faits
L’association SUKYO MAHIKARI COTE D’IVOIRE est titulaire d’un compte bancaire ouvert dans les livres de la Banque internationale pour le commerce et l’industrie de Côte d’Ivoire (BICICI).
Pour couvrir les dépenses de son directeur lors de déplacements à l’étranger, l’association obtiendra de la banque une carte bancaire PME permettant certains montants de retraits par jour et par semaine.
Or, l’association constatera que de juin à août 2007, des retraits avaient été effectués par carte sur son compte bancaire ; retraits dont les montants dépassaient les plafonds autorisés et dont elle clame ne pas l’auteur. Au total, la somme de 11.232.743 FCFA [2] aurait été frauduleusement retirée du compte de l’Association.
Celle-ci en informera la banque qui, tout en reconnaissant le dépassement des plafonds autorisés, n’accédera pas à sa demande de rétablissement des retraits effectués.
C’est ainsi l’association SUKYO MAHIKARI COTE D’IVOIRE assignera la BICICI devant le tribunal du commerce d’Abidjan.
Arguments et prétentions des parties
L’association SUKYO MAHIKARI COTE D’IVOIRE soutenait ne pas être l’auteur des retraits litigieux ; retraits qu’elle considère comme ayant été effectués de façon frauduleuse. De même, selon elle, sa carte bancaire n’avait fait l’objet d’aucun vol et le code secret n’avait pas été communiqué à des personnes non autorisées. Au surplus, les retraits frauduleux avaient été effectués sans l’utilisation physique de la carte bancaire qui était toujours restée en sa possession.
Dès lors, selon l’association, la banque devait être déclarée civilement responsable de cette fraude en sa qualité de « garante de la sécurité des sommes qui lui sont déposées et du bon fonctionnement du compte contenant lesdites sommes ». De fait, toujours selon la demanderesse, « en sa qualité de gardienne de sommes déposées, la BICICI en autorisant les retraits sans son consentement, a failli à ses obligations, engage sa responsabilité et doit être condamnée à payer les sommes réclamées ».
Réfutant cette argumentation, la BICICI soutiendra au contraire que « s’il est advenu des retraits frauduleux par le biais de la carte magnétique de la demanderesse, la faute incombe à l’association SUKYO, seule détentrice de la carte et du code secret exclusivement connu du propriétaire de la carte. Ni la BICICI ni un tiers n’ont eu accès au code qui est délivré selon une procédure confidentielle ».
De même, selon la BICICI, « la fraude si elle existe pourrait avoir été commise par la demanderesse elle-même à travers la cybercriminalité qui lui aurait permis de tripatouiller le système informatique afin de relever sa limitation de retrait et de se retourner contre elle. La fraude aurait pu provenir d’un cybercriminel tiers qui, après avoir obtenu, grâce à l’imprudence ou la complicité de l’association SUKYO le code secret de sa carte magnétique, a pu effectuer les retraits à distance ».
Problème juridique
Sur le plan civil, la question ici posée était relativement simple : qui du titulaire d’un compte bancaire ou de la banque est civilement responsable en cas d’usage frauduleux d’une carte bancaire pour effectuer des retraits ?
Solution
A question simple, solution simple pourrait-on dire.
En application des principes régissant la convention de compte bancaire, le tribunal considère que la banque était dépositaire des sommes appartenant à l’association demanderesse. Dès lors qu’il n’était pas contesté que des sommes avaient frauduleusement été retirées du compte de la demanderesse et ce, au-delà des plafonds autorisés, la banque, qui en était informée, était tenue de rembourser lesdites sommes eu égard à son obligation de sécurité et de prudence.
En effet, en n’empêchant pas que des sommes puissent être retirées au-delà des plafonds de retraits autorisés, la banque avait manqué à ses obligations contractuelles.
Analyse de la décision
La présente décision peut être analysée tant au regard de ses considérations civiles (I) que pénales (II).
I – Les considérations de droit civil
L’association et la banque se rejetaient mutuellement la faute et donc de la responsabilité civile des retraits frauduleux en question.
Sur ce point, le tribunal envisage initialement l’éventuelle responsabilité du client avant de l’écarter (A) pour, en définitive, retenir celle de la banque (B).
A – La mise à l’écart de la responsabilité du client
La responsabilité civile d’un client peut être engagée lorsque des retraits frauduleux sur son compte sont dus à faute : par action ou par omission ou imprudence. C’est d’ailleurs ce que soutenait la BICICI.
Quant au tribunal, il considéra que « s’il est dans les usages bancaires, que le titulaire du compte est responsable de la conservation et de l’utilisation de sa carte de retraits et que la responsabilité peut être ainsi engagée en cas de retraits, encore faut-il qu’il y ait dans ce cas utilisation physique de la carte ».
Dans diverses situations, en effet, la responsabilité du client peut être engagée ; ce qui aura pour conséquence de décharger la banque de sa responsabilité de principe.
Tel serait le cas du client qui ne signale pas un vol ou une perte de sa carte bancaire ou ne le fait que tardivement. Il pourra également en être ainsi en cas de communication du code secret de la carte bancaire à des personnes non autorisées.
En l’espèce, même si la banque défenderesse le soutenait, aucune faute n’a été établie à l’égard de l’association demanderesse. Comme le juge le tribunal, « il est constant, la BICICI ne rapportant pas preuve contraire, que le titulaire du compte avait sa carte en sa possession, puisqu’il a effectué dans la période supposée être celle des retraits frauduleux, à savoir juin à août 2007 des retraits conformes aux prescriptions de sa carte ; En outre la BICICI n’a à aucun moment pu établir que la carte bancaire de la demanderesse a fait l’objet de vol ou de perte ».
Et le tribunal de conclure, « il s’ensuit que les retraits litigieux sont intervenus à distance, sans utilisation physique de la carte bancaire de la demanderesse ».
Dès lors qu’en plus, les retraits frauduleux excédaient les montants de retraits contractuellement autorisés par elle, la responsabilité de la BICICI devait être engagée.
B – La reconnaissance de la responsabilité de la banque
La responsabilité de la banque sera reconnue sans difficulté par le tribunal. Une telle responsabilité étant admise en principe.
Le principe de la responsabilité bancaire. Pour juger que la BICICI était civilement responsable des dommages résultant de l’usage frauduleux de la carte bancaire de sa cliente, le tribunal de commerce considère tout d’abord qu’ « il est de principe que le banquier est lié par une convention qui a pour point de départ l’ouverture d’un compte et qui s’analyse à la fois en un contrat de mandat et de dépôt ».
De même, selon le tribunal, « il est de principe que le banquier est tenu d’une obligation de sécurité et de prudence, qui le conduit à veiller à la sécurité et à l’inviolabilité des instruments de paiement mis à la disposition de ses clients, en l’occurrence les cartes de crédit, auxquelles ceux-ci recourent pour la confiance qu’elles inspirent et la célérité qu’elles procurent ».
Du manquement de la BICICI à ses obligations. En l’occurrence, le tribunal considère comme établi, « la BICICI ne rapportant pas la preuve contraire », que les retraits frauduleux n’avaient pas été effectués avec la carte détenue par l’Association. Celle-ci déclarait ne s’en être pas dessaisie et avoir même effectué des retraits correspondant aux spécifications du contrat.
Cette circonstance, de nature à rendre vraisemblable l’usage frauduleux, ne suffisait toutefois pas à caractériser une faute de la banque et à engager sa responsabilité.
Pour caractériser la faute de la banque, le tribunal retiendra, de façon efficiente, la circonstance résultant du dépassement des plafonds de retrait autorisés.
Si la carte avait bien pu être frauduleusement utilisée par un tiers – ou par le client lui-même, à en croire la banque – le dépassement des plafonds de retraits autorisés était « incompréhensible » selon le tribunal. Elle ne pouvait s’expliquer que par une défaillance de la banque.
Comme cela résulte du jugement, « il s’infère clairement des débats que conformément aux propriétés de la carte bancaire PME qu’elle a à sa disposition, les retraits journaliers et hebdomadaires de l’Association SUKYO MAHIKARI COTE D’IVOIRE étaient plafonnés […]. Or les retraits en cause, vont au-delà des montants ou plafonds autorisés. Il est donc incompréhensible, que la BICICI autorise des retraits journaliers ou hebdomadaires dépassant les seuils autorisés sans obtenir l’accord de sa cliente et ce, en violation de la convention des parties. Il apparaît ainsi, qu’en autorisant ces retraits en l’absence d’un ordre donné par le titulaire du compte, qui n’a pas non plus utilisé sa carte bancaire, la BICICI a manqué à son obligation de prudence, de vigilance et de diligence ».
C’est donc ce dépassement des plafonds de retraits autorisés qui caractérise de façon évidente la faute de la banque : le manquement à son obligation de prudence et de diligence. Cette obligation apparaît d’ailleurs comme particulièrement renforcée ; le tribunal considérant que la banque doit garantir l’inviolabilité des moyens de paiement mis à disposition des clients. L’obligation de sécurité qui pèse sur la banque n’est donc pas une obligation de moyens mais une obligation de résultat.
L’on retiendra, à cet égard, que selon l’article 10 du règlement n° 15/2002/CM/UEMOA relatif aux systèmes de paiement dans les Etats membres de l’Union Economique et Monétaire Ouest Africaine, « l’ouverture d’un compte de dépôt donne droit à un service bancaire minium comprenant : - la gestion du compte ; - la mise à disposition d’au moins un instrument de paiement entouré des sécurités nécessaires ».
La responsabilité de la banque était donc indiscutable compte tenu de ces dépassements de plafonds de retraits autorisés.
C’est pour cette raison qu’elle sera condamnée à rembourser l’intégralité des sommes frauduleusement retirées du compte de la demanderesse. Elle sera également condamnée à payer une partie des intérêts qu’auraient produits les sommes frauduleusement retirées et ce, à compter de la date de demande de remboursement.
Cependant, il ne sera pas fait droit à la demande de dommages et intérêts présentée par la demanderesse, faute pour elle de prouver son préjudice et le lien de causalité avec les retraits frauduleux. L’association alléguait de difficultés financières rencontrées par elle en raison des retraits frauduleux.
Si cette affaire a opportunément trouvé une solution au plan civil, elle comporte un volet pénal qui n’aura été qu’effleuré. Pourtant celui-ci semble fondamental compte tenu de l’impératif de la lutte contre la cybercriminalité.
A cet égard, il convient de préciser d’emblée que cette question n’avait pas à être soulevée devant le tribunal de commerce, juridiction civile.
Il s’agira ici pour nous d’envisager, dans la prospective, les incidences pénales des faits de la présente affaire.
II – Les considérations de droit pénal
Sur le plan pénal, une curiosité mérite d’être signalée d’emblée : ni l’association ni la banque n’avaient porté plainte pour les faits litigieux alors même qu’il a été sous-entendu qu’il puisse s’agir d’un acte cybercriminel.
De la part de l’Association, une telle attitude peut s’expliquer. En effet, elle ne souhaitait peut être pas s’engager dans une procédure pénale à l’issue aléatoire au cas où le responsable de la fraude ne serait pas identifié. Par ailleurs, la responsabilité civile de la banque apparaissant manifestement engagée, cette voie était plus opportune pour elle.
Cependant, s’agissant de la banque qui a été civilement condamnée, l’intérêt est manifeste d’engager cette procédure pénale pour espérer obtenir un remboursement des sommes par elles restituées à sa cliente et éventuellement une condamnation pénale du délinquant.
Pour ce faire, une qualification des faits sous l’angle pénal est indispensable (A) avant d’envisager la répression (B).
A – De l’existence d’un acte cybercriminel ?
Pour tenter de se décharger de sa responsabilité civile, la BICICI soutenait que les retraits frauduleux relevaient d’un acte cybercriminel qu’elle imputait à la demanderesse.
Comme elle l’arguait, « la fraude si elle existe pourrait avoir été commise par la demanderesse elle-même à travers la cybercriminalité qui lui aurait permis de tripatouiller le système informatique afin de relever sa limitation de retrait et de se retourner contre elle. La fraude aurait pu provenir d’un cybercriminel tiers qui, après avoir obtenu, grâce à l’imprudence ou la complicité de l’association SUKYO le code secret de sa carte magnétique, a pu effectuer les retraits à distance ».
Deux circonstances de fait doivent être distinguées au regard du jugement rendu : le retrait à distance et le piratage du système informatique pour relever la limitation du montant des retraits autorisés.
1) Sur le retrait frauduleux à distance
Adhérant en cela à l’argumentaire de l’Association SUKYO MAHIKARI COTE D’IVOIRE, le tribunal considère que « les retraits d’argent litigieux sont intervenus à distance, sans utilisation physique de la carte bancaire de la demanderesse ».
Par ailleurs, en s’en tenant au jugement, celui-ci mentionne « des retraits frauduleux par carte ».
En l’absence de tout autre élément de fait, l’on a du mal à saisir en quoi a pu consister cette utilisation de la carte à distance ou ces retraits effectués à distance car, en tout état de cause, si des retraits ont été effectués par « carte », il ne peut s’agir de retraits à distance. Si des achats et des paiements peuvent être effectués à distance, cela semble impossible pour un retrait d’argent qui se fait soit par carte bancaire dans un distributeur automatique de billets ou au guichet de la banque. La présence physique d’une personne détenant la carte ou les coordonnées bancaires est nécessaire dans ces deux cas.
Même si cette personne n’est pas un représentant de l’association demanderesse, on ne saurait en l’occurrence parler de retrait frauduleux à distance ; ce qui, en matière de Technologies de l’Information et de la Communication (TIC), a un sens bien précis.
Ainsi par exemple, une vente à distance est une opération commerciale permettant de vendre un produit à un acheteur sans que ce dernier soit physiquement présent.
En l’occurrence, la qualification de retrait à distance nous paraît manquer en faits.
La conséquence d’une telle situation, sur le plan pénal, est la difficulté de pouvoir juridiquement qualifier les faits incriminés sous l’angle de la notion de cybercriminalité. Celle-ci « regroupe [en effet] toutes les infractions pénales tentées ou commises à l’encontre ou au moyen d’un système d’information et de communication, principalement Internet » [3].
Cette définition nous semble, plutôt, devoir s’appliquer s’agissant de l’action ayant permis le dépassement des montants de retraits autorisés.
2) Du dépassement des montants de retraits autorisés
Nous exclurons ici l’hypothèse d’un dysfonctionnement du système informatique de la banque qui aurait permis d’effectuer des retraits au-delà des montants autorisés. Il n’y aurait pas d’infraction pénale commise dans ce cas et la responsabilité civile de la banque resterait intacte.
Cependant, si comme le soutient la BICICI, le dépassement des montants de retraits autorisés est la conséquence d’une perturbation ou d’une altération malveillante du fonctionnement son système informatique, l’on aurait alors affaire à un acte cybercriminel.
En effet, selon la BICICI, l’Association pourrait avoir « tripatouillé » son système informatique. Ce terme signifie « apporter à quelque chose des changements, en particulier de manière illicite ou à l’insu de tous ».
A l’égard du droit ivoirien et particulièrement de la loi relative à la lutte contre la cybercriminalité, le fait allégué s’apparenterait à un accès frauduleux à un système d’information et la perturbation de son fonctionnement.
Un tel fait est effectivement prévu et réprimé par la loi relative à la lutte contre la cybercriminalité [4].
B – De la répression pénale de la cybercriminalité
Le fait allégué par la BICICI peut être réprimé à l’égard de plusieurs dispositions de la loi relative à la lutte contre la cybercriminalité.
En effet, selon l’article 4 de cette loi, « est puni de un à deux ans d’emprisonnement et de 5.000.000 à 10.000.000 de francs CFA d’amende quiconque accède ou tente d’accéder frauduleusement à tout ou partie d’un système d’information ».
Au-delà du simple accès, le maintien dans le système d’information est aussi pénalement sanctionné. Selon l’article 5 de la loi, « est puni de un à deux ans d’emprisonnement et de 5.000.000 à 10.000.000 de francs CFA d’amende quiconque se maintient ou tente de se maintenir frauduleusement dans tout ou partie d’un système d’information ».
Font également l’objet de sanctions pénales, le fait de fausser ou d’entraver le fonctionnement d’un système d’information. La tentative est punie. A cet égard, l’article 6 de la loi dispose qu’ « est puni d’un an à cinq ans d’emprisonnement et de 10.000.000 à 40.000.000 de francs FCFA d’amende quiconque entrave, fausse ou tente d’entraver ou de fausser frauduleusement le fonctionnement d’un système d’information ».
Enfin, selon l’article 7 de la loi, « est puni d’un an à cinq ans d’emprisonnement et de 10.000.000 à 40.000.000 de francs FCFA d’amende quiconque introduit ou tente d’introduire frauduleusement des données dans un système d’information ».
Dès lors, eu égard au grief soulevé par la BICICI à l’égard de l’Association, une action pénale paraît opportune voire nécessaire. Ce faisant, l’on est pris d’étonnement devant le fait que la BICICI n’ait pas porté plainte en se contentant de constater que « la demanderesse n’a pas porté plainte, pour qu’il soit procédé à des investigations afin de déterminer s’il y a eu effectivement fraude ».
Conclusion
A l’issue de la décision ainsi rendue au plan civile, nous pensons que la BICICI devrait, si ce n’est déjà fait, engager une procédure pénale.
L’engagement d’une telle procédure pénale aurait une portée très symbolique : la sensibilité des professionnels ivoiriens au fléau de la cybercriminalité et leur engagement dans la lutte pour l’enrayer en mobilisant toutes les voies de droit existant.
En amont de cette action a posteriori, visant à la sanction des infractions commises, la décision commentée met en lumière l’obligation de sécurité renforcée qui pèse sur les professionnels. Ceux-ci doivent adopter des mesures de sécurité appropriées pour empêcher la commission d’actes cybercriminels sous peine de voir engagée leur responsabilité civile. Ainsi, la lutte contre la cybercriminalité doit être proactive. Il appartient aux différents acteurs de se parer contre des attaques cybercriminelles.
Dans le domaine du traitement des données à caractère personnel, la loi du 19 juin 2013 [5] prévoit ainsi que, « le responsable du traitement est tenu :
d’empêcher toute personne non autorisée d’accéder aux installations utilisées pour le traitement de données ;
d’empêcher que des supports de données puissent être lus, copiés, modifiés ou déplacés par une personne non autorisée ;
d’empêcher l’introduction non autorisée de toute donnée dans le système d’information, ainsi que toute prise de connaissance, toute modification ou tout effacement non autorisés de données enregistrées ;
d’empêcher que des systèmes de traitements de données puissent être utilisés par des personnes non autorisées à l’aide d’installations de transmission de données ;
d’empêcher que des systèmes de traitement de données soient utilisés à des fins de blanchiment de capitaux et de financement du terrorisme ;
de garantir que, lors de l’utilisation d’un système de traitement automatisé de données, les personnes autorisées ne puissent accéder qu’aux données relevant de leur autorisation ;
de garantir que puisse être vérifiée et constatée l’identité des tiers auxquels des données peuvent être transmises par des installations de transmission ;
de garantir que puisse être vérifiée et constatée a posteriori l’identité des personnes ayant eu accès au système d’information contenant des données à caractère personnel, la nature des données qui ont été introduites, modifiées, altérées, copiées, effacées ou lues dans le système, le moment auquel ces données ont été manipulées ;
d’empêcher que, lors de la communication de données et du transport de supports de données, les données puissent être lues, copiées, modifiées, altérées ou effacées de façon non autorisée ; - de sauvegarder les données par la constitution de copies de sécurité protégées. Le responsable du traitement doit mettre en œuvre toutes les mesures techniques et l’organisation appropriées pour assurer la protection des données qu’il traite contre la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non autorisés, notamment lorsque le traitement comporte des transmissions de données dans un réseau, ainsi que contre toute autre forme de traitement illicite ».
Le responsable du traitement de données engage sa responsabilité en cas de manquement à ces règles.
Il apparaît donc clairement qu’en matière de TIC, tous les professionnels se doivent d’adopter les mesures juridiques et techniques appropriées à leurs activités.
Discussions en cours :
Cet article est vraiment enrichissant et permet d’appréhender de façon pratique l’environnement juridique en matière de litige lié aux systèmes électroniques ou d’informations.
Est-il possible lors d’un litige de de saisir deux juridictions compétentes en partie ?
Monsieur BAJINAN,
Vous posez une bonne question.
En principe, par souci de bonne administration de la justice, lorsque deux juridictions également compétentes sont saisies d’une même affaire opposant les mêmes parties, il appartiendra à l’une de ces juridictions de se dessaisir au profit de l’autre.
En pratique, l’une des parties soulevera une exception de connexité ou une exception de litispendance.
J’explique cela à travers un cas concret tiré de la jurisprudence ivoirienne.
Je vous renvoies donc à mon article "La difficile appréhension du droit émergent des TIC en Côte d’Ivoire". Vous retrouvez cet article publié sur le site Village de la Justice.
Vous aurez la réponse à votre question et bien plus encore sur le droit ivoirien des TIC.
Merci de l’intérêt attaché à mes publications.
Ibrahim COULIBALY