Par un arrêt remarqué du 2 octobre 2024 pourvoi n° 23-13.282 Chambre commerciale financière et économique publié au Bulletin [1] la Cour de cassation se prononçait sur la fraude au Président et rappelait les obligations de la banque en unifiant l’argumentation retenue habituellement par les cours d’Appel.
Ainsi dans son premier moyen, la Cour de cassation rappelle l’obligation de vigilance du banquier qui avait le devoir de vérifier auprès du dirigeant la validité d’ordres de virement qui par leur caractère rapproché et répété, par la période de l’année à laquelle ils intervenaient, leurs montants élevés par rapport aux ordres habituellement donnés et par le fait qu’ils étaient établis au bénéfice de sociétés ne faisant pas partie des relations d’affaires de la société et situées en dehors de l’espace habituel de son activité devaient être considérés comme présentant des anomalies apparentes imposant le devoir de vérification de la banque.
La Cour de cassation rappelle ensuite que la banque aurait dû vérifier la régularité des ordres de virement auprès du dirigeant, seule personne contractuellement habilitée à les valider.
La responsabilité du banquier est donc engagée dès lors que confronté à des ordres de virement présentant des anomalies apparentes il n’a pas vérifié la régularité des ordres de virement auprès du dirigeant seule personne habilitée à les valider.
La Cour de cassation était ainsi amenée à se prononcer sur une question qui occupe de plus en plus fréquemment les juridictions au regard du développement de cette criminalité astucieuse.
Une étude Euler Hermes de mai 2020 évalue à 7/10 le nombre d’entreprises ayant fait l’objet d’une tentative de fraude [2].
Un rapport de Tracfin de mai 2020 souligne le risque accru en période de crise sanitaire notamment avec le recours au télétravail [3] (voir également l’article La fraude au président à l’ère de la Covid-19, analyse juridique et stratégique).
L’étude de la jurisprudence démontre que ce phénomène concerne tout autant les grands groupes que les petites et moyennes entreprises.
Entre novembre et décembre 2020, un cabinet d’expertise comptable d’envergure nationale aurait ainsi été délesté de plusieurs millions d’euros, l’avocat de la société expliquant : « C’est un véritable lavage de cerveau dont a été victime la responsable comptable qui a effectué les virements » [4].
La jurisprudence impose ainsi un devoir de vigilance renforcé face à ces pratiques, désormais bien connues des établissements bancaires.
L’arrêt de la Cour d’appel de Douai [5] objet du pourvoi rappelle l’organisation élaborée de l’escroquerie : le 11 décembre 2017, Mme [S], comptable au sein de la SAS Le Cerf et Bachelet, a reçu un courriel émanant de l’adresse [Courriel 3] » et signé de [Z] [P], directeur général, lui indiquant qu’une opération confidentielle était effectuée actuellement et devrait être traitée en priorité et lui demandant si Me [B], du cabinet juridique KPMG, l’avait déjà contactée ou par encore. Mme [S] répondait qu’elle avait été contactée mais que son interlocuteur lui avait parlé d’un mail qu’elle devait recevoir de M. [P]. Suite à cela, elle recevait un nouveau courriel provenant de la même adresse et signé de M. [P], qui lui indiquait qu’une opération financière concernant une fusion acquisition de société basée en Asie était effectuée, qu’elle devait rester strictement confidentielle, qu’une annonce publique de cette OPA aurait lieu le 18 décembre 2017 et qu’elle avait été choisie pour sa discrétion et son travail irréprochable au sein de l’établissement pour le traitement de cette OPA. Mme [S] était invitée à prendre contact avec Me [B] du cabinet KPMG, dont l’adresse électronique était indiquée dans le message et à ne dialoguer, par sécurité, que par l’adresse courriel utilisée et à ne faire aucune allusion à ce dossier de vive voix ou par téléphone selon la procédure imposée par l’autorité des marchés financiers. De nombreux échanges par courriel intervenaient ensuite entre Mme [S] et cette adresse électronique, ainsi que des échanges téléphoniques avec le dénommé Me [B]. Mme [S] fournissait des informations sur le solde des comptes bancaires et sept virements étaient effectués pour un montant total de 2 121 903,81 euros.
Le mode opératoire est bien ficelé et s’appuie souvent mais pas toujours sur des complicités internes qui connaissent les procédures des sociétés victimes. L’ordre de virement est alors généralement émis par un cadre comptable qui est lui-même persuadé d’agir à la demande du Président. Les manœuvres réalisées s’opèrent sur plusieurs semaines et permettent de détourner des sommes importantes.
Les établissements bancaires ont engagé des campagnes de sensibilisation de leurs clients et des formations auprès de leurs salariés pour prévenir ce type de fraude.
Face à la fraude au Président, le dirigeant se tournera généralement vers les services de police ou de gendarmerie. La plainte du dirigeant sur le fondement du délit d’usurpation d’identité en ligne [6], ou encore sur celui de l’escroquerie [7] sera en revanche souvent dénuée d’effet face à des réseaux internationaux très organisés. C’est dans ces conditions que la responsabilité de la banque sera recherchée.
Malgré une obligation de non-ingérence, les établissements bancaires sont tenus à un devoir de vigilance les obligeant à déceler et à dénoncer les opérations financières présentant des anomalies apparentes.
Ainsi, une banque est tenue à une obligation générale de vigilance consistant à un devoir de mise en garde auprès de sa clientèle sur une opération bancaire pouvant être considérée comme suspecte. A défaut, l’établissement bancaire commet une faute de négligence.
La banque assume la responsabilité de sa qualité de dépositaire au sens de l’article 1937 du Code Civil qui dispose :
« Le dépositaire ne doit restituer la chose déposée qu’à celui qui lui a confié, ou à celui au nom duquel le dépôt a été fait, ou à celui qui a été indiqué pour le recevoir ».
La règle est régulièrement rappelée s’agissant des obligations du banquier en sa qualité de dépositaire qui aurait payé des chèques revêtus d’une fausse signature [8].
De jurisprudence constante, il n’appartient pas au client de démontrer la faute de la banque dès lors que l’ordre de paiement n’a pas été signé par lui ou une personne habilitée à faire fonctionner le compte.
Dès 2004, la Chambre commerciale de la Cour de cassation a ainsi jugé que : « aucun des ordres écrits relatifs aux virements litigieux n’étant signé des personnes ayant pouvoir de faire fonctionner les comptes des sociétés Ardico et Charco et qu’à supposer qu’aucune faute ne soit imputable à la Banque populaire du Nord dans l’exécution des virements litigieux, cette circonstance n’était pas de nature à la décharger de son obligation de ne restituer les fonds qu’aux déposants ou à leurs mandataires » [9].
Quant à la charge de la preuve de l’authenticité des ordres de paiement, la jurisprudence considère qu’ :
« il appartient au banquier, dépositaire des fonds que lui a confiés son client et qui, à ce titre, a l’obligation de ne les restituer qu’à celui qui les lui a confiés ou conformément aux indications de paiement de ce dernier, d’établir, en cas de contestation, qu’il a reçu du déposant l’ordre d’effectuer le paiement contesté » [10].
C’est donc à la banque d’établir qu’elle a reçu de son client l’ordre d’effectuer les paiements contestés.
La banque doit donc la représentation des fonds qui lui ont été confiés et dont elle s’est départie en connaissance de cause puisqu’elle ne pouvait ignorer que les ordres de virement qu’elle a validé avaient été adressés par un préposé ne disposant pas des pouvoirs.
En outre, l’article L133-18 du Code Monétaire et Financier dispose en son alinéa 1ᵉʳ qu’
« en cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L133-24, le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement et s’il communique ces raisons par écrit à la Banque de France. Le cas échéant, le prestataire de services de paiement du payeur rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu ».
L’article L133-24 du même Code dispose que
« l’utilisateur de services de paiement signale, sans tarder, à son prestataire de services de paiement une opération de paiement non autorisée ou mal exécutée et au plus tard dans les treize mois suivant la date de débit sous peine de forclusion à moins que le prestataire de service de paiement ne lui ait pas fourni ou n’ait pas mis à sa disposition les informations relatives à cette opération de paiement conformément au chapitre IV du titre Iᵉʳ du livre III ».
Ainsi dans l’hypothèse d’un paiement non autorisé par le payeur, les ordres de paiement litigieux constituent des opérations de paiement non autorisées.
La jurisprudence retenait généralement un partage de responsabilité, celui-ci se précise de plus en plus sévère à l’égard des établissements bancaires qui sont particulièrement informés de ce type de fraude et qui, doivent ainsi opérer un contrôle rigoureux le cas échéant en procédant à un appel téléphonique de vérification de l’auteur de l’opération suspecte ou inhabituelle. Cet appel téléphonique restant insuffisant pour exonérer la banque de sa responsabilité.
Il appartient ainsi à la banque de relever l’opération inhabituelle, dans son montant, dans sa fréquence, dans le pays de destination des fonds et de procéder à la vérification des habilitations de l’auteur de l’opération.
En outre, la banque est tenue, en vertu des dispositions de l’article L314-14 du Code monétaire et financier, après l’exécution d’une opération de paiement, de fournir ’sans tarder’ sur un support durable à son client les informations relatives à l’opération exécutée tenant au montant de l’opération, au montant des frais imputables à l’opération de paiement, et, le cas échéant le détail de ces frais ainsi que la date de valeur du débit [11].
La faute de la banque dans le respect de ces précautions impératives est ainsi retenue comme cause exclusive du dommage et emporte la réparation exclusive du dommage [12] selon un arrêt particulièrement motivé de la Cour d’Appel de Nouméa de 2018 aux motifs suivants :
« la faute imputable à la société appelante n’est pas la cause exclusive du dommage mais que bien au contraire la faute de la banque, qui a manqué à son devoir de vigilance qui lui impose de procéder à toutes vérifications utiles de nature à exclure un détournement de fonds, en présence de deux opérations de virement manifestement frauduleuses est seule à l’origine du dommage ».
Sans retenir une faute exclusive les récents arrêts des Cours d’Appel de Lyon et de Bordeaux de 2020 retiennent une responsabilité au ¾ de l’établissement bancaire.
La négligence du dirigeant occupe alors une place toute relative par rapport aux obligations renforcées du banquier.
Ainsi, un arrêt de la Cour d’Appel de Lyon de janvier 2020 qui avait retenu qu’en l’espèce la fraude a été favorisée par le comportement fautif de Mme X, salariée agissant dans l’exercice de ses fonctions et celui de M. Y, directeur général attribuait la responsabilité de la faute pour ¾ à l’établissement bancaire [13].
C’est dans les mêmes proportions que la Cour d’Appel de Bordeaux en juin 2020 retenait la responsabilité de la banque :
« […] c’est bien la faute de la banque qui a été prépondérante dans la survenance du dommage puisqu’elle a exécuté un virement au vu d’un ordre faux, alors que la signature n’était que mal imitée et que les autres éléments matériels de l’ordre de virement étaient de nature à le rendre suspect de sorte que des vérifications s’imposaient et ne pouvaient se limiter à appeler une préposée dépourvue de pouvoir. […] Le CIC sera ainsi, compte tenu de ces fautes respectives, tenu au remboursement de 75% du montant du virement ».
Les arrêts les plus récents démontrent l’obligation de vigilance renforcée face à un phénomène particulièrement connu des établissements bancaires qui ne peuvent se satisfaire d’un appel téléphonique à l’un des préposés qui est lui-même souvent l’un des maillons malgré lui de la fraude.
Devant la Cour d’Appel de Douai, il était même reproché à la banque d’avoir participé aux opérations en guidant et assistant en toute conscience Mme [S], en sachant pourtant qu’elle n’avait pas le pouvoir de valider les virements, ce qui a pour conséquence que les procédures n’ont pas été respectées, ce qui exclut tout consentement [14].
Les systèmes de télécommunications sécurisés n’exonèrent pas plus la banque de son obligation de vigilance à l’égard de leurs clients.
La responsabilité de l’établissement bancaire oscille ainsi depuis 2018 entre une responsabilité exclusive et une responsabilité au ¾ par les juridictions qui ne pardonnent aucune négligence face à ce phénomène pour lesquels les professionnels du crédit sont particulièrement formés.
La Cour de Cassation dans son arrêt du 2 octobre 2024 ne se prononce pas sur la question du partage de responsabilité qui reste soumise à l’appréciation des juges du fond. La règle étant désormais rappelée par la Cour de cassation, les juridictions du fond consacreront sans aucun doute un régime de responsabilité plus sévère à l’égard des banques.
