Cybercriminalité et responsabilité bancaire

D&eacute;linquance des temps modernes, les phishing et autres &laquo; arnaques au pr&eacute;sident &raquo; ont tr&egrave;s largement supplant&eacute; les braquages &agrave; main arm&eacute;e, qui semblent aujourd&rsquo;hui d&rsquo;une autre &eacute;poque. Il est vrai que les fraudeurs ma&icirc;trisent parfaitement les outils informatiques et sont &agrave; m&ecirc;me d&rsquo;exploiter les failles d&rsquo;Internet ; les risques sont moindres pour les auteurs, car ils en sont souvent difficilement identifiables tandis que les gains esp&eacute;r&eacute;s peuvent &ecirc;tre &eacute;lev&eacute;s. Les proc&eacute;d&eacute;s utilis&eacute;s sont multiples et parfois tr&egrave;s ing&eacute;nieux. Ils peuvent prendre la forme de courriers &eacute;lectroniques envoy&eacute;s en masse, auquel cas les victimes sont le plus souvent des particuliers peu avertis, convaincus qu&rsquo;ils sont en lien avec leur &eacute;tablissement bancaire ou qui favorisent par leur manque de vigilance un acc&egrave;s &agrave; leurs coordonn&eacute;es bancaires (il s&rsquo;agit du phishing ). Ils peuvent &ecirc;tre dirig&eacute;s, &agrave; l&rsquo;inverse, vers une victime en particulier qui aura pu faire l&rsquo;objet d&rsquo;une surveillance ou d&rsquo;investigations pr&eacute;alables, afin de favoriser une usurpation et convaincre son entourage qu&rsquo;elle a proc&eacute;d&eacute; elle-m&ecirc;me aux op&eacute;rations (il s&rsquo;agit notamment de l'&laquo; arnaque au pr&eacute;sident &raquo;). Ces manœuvres peuvent conduire au d&eacute;tournement de sommes consid&eacute;rables, au pr&eacute;judice des entreprises les plus grandes et les mieux organis&eacute;es [1] , ce qui fait que nul n&rsquo;est &agrave; l&rsquo;abri de ces agissements [2] , la fraude sachant s&rsquo;adapter en cette mati&egrave;re &agrave; la victime. Elles ont conduit les &eacute;tablissements bancaires &agrave; renforcer leur communication et &agrave; attirer l&rsquo;attention de tous sur les dangers encourus [3] toutefois ces mesures ne les mettent pas totalement &agrave; l&rsquo;abri. Un accroissement du nombre des r&eacute;clamations a, de fait, &eacute;t&eacute; enregistr&eacute;, qui pr&eacute;sente toujours et par nature un risque, m&ecirc;me si les actions consid&eacute;r&eacute;es sont susceptibles de se heurter &agrave; certaines causes exon&eacute;ratoires ou &agrave; une difficult&eacute; quant &agrave; l&rsquo;appr&eacute;ciation du lien de causalit&eacute;. Le grief tir&eacute; d'un manquement &agrave; l'obligation de vigilance En pratique, c&rsquo;est souvent un manquement &agrave; l&rsquo;obligation de vigilance que la victime d&rsquo;un d&eacute;tournement commis sur son compte bancaire consultable en ligne sera tent&eacute;e d&rsquo;imputer au banquier teneur de compte, au motif qu&rsquo;il aura permis &agrave; l&rsquo;op&eacute;ration litigieuse de se r&eacute;aliser. Il s&rsquo;agit l&agrave;, de la r&eacute;action la plus commun&eacute;ment observ&eacute;e, qui n&rsquo;exclut pas cependant que les recours soient &eacute;galement fond&eacute;s sur l&rsquo;absence de consentement ou le non-respect des obligations incombant au prestataire de services. Fonder le recours de la victime sur un manquement &agrave; l&rsquo;obligation de vigilance revient pour cette derni&egrave;re &agrave; se r&eacute;f&eacute;rer aux r&egrave;gles et conditions classiquement exig&eacute;es en mati&egrave;re de responsabilit&eacute; civile. Elles lui imposent, d&egrave;s lors, de justifier d&rsquo;un pr&eacute;judice et d&rsquo;un lien de causalit&eacute;, ainsi que d&rsquo;une faute qui serait caus&eacute;e par le non-respect d&rsquo;une des obligations mises &agrave; la charge du teneur de compte. Or, si l&rsquo;existence d&rsquo;un pr&eacute;judice est difficilement contestable en pareil cas, force est de constater que la d&eacute;monstration d&rsquo;une faute de l&rsquo;&eacute;tablissement bancaire ainsi que d&rsquo;un lien de causalit&eacute; n&rsquo;est en rien assur&eacute;e. En effet, si la victime peut &ecirc;tre tent&eacute;e d&rsquo;invoquer un manquement &agrave; l&rsquo;obligation de vigilance, en consid&eacute;rant le fait que celle-ci est appr&eacute;ci&eacute;e de mani&egrave;re assez large, il n&rsquo;en demeure pas moins qu&rsquo;il s&rsquo;agit, dans tous les cas, d&rsquo;une obligation de moyens. Elle est, &agrave; ce titre, encadr&eacute;e par la jurisprudence, laquelle consid&egrave;re que la responsabilit&eacute; des &eacute;tablissements bancaires n&rsquo;est susceptible d&rsquo;&ecirc;tre engag&eacute;e qu&rsquo;en cas d&rsquo;abstention de leur part au vu d&rsquo;une anomalie apparente. Or, si cette anomalie peut &ecirc;tre mat&eacute;rielle et r&eacute;sulter de l&rsquo;ordre de virement lui-m&ecirc;me, voire en cas d&rsquo;&eacute;mission d&rsquo;un ch&egrave;que [4] , elle peut &ecirc;tre difficile &agrave; appr&eacute;hender lorsque l&rsquo;alt&eacute;ration ou le faux ordre de virement ou mouvement proc&egrave;de d&rsquo;un montage. En effet, les fraudeurs utilisent dans le cas tout particuli&egrave;rement de l&rsquo;&laquo; arnaque au pr&eacute;sident &raquo;, une &laquo; vraie signature &raquo; ins&eacute;r&eacute;e dans une t&eacute;l&eacute;copie ou un e-mail, obtenue le plus souvent en collectant des renseignements publics sur l&rsquo;entreprise au travers des r&eacute;seaux sociaux ou aupr&egrave;s du registre du commerce et des soci&eacute;t&eacute;s. Or, il est impossible en pareil cas &agrave; l&rsquo;&eacute;tablissement bancaire de d&eacute;tecter l&rsquo;anomalie, ce qui oblige les juges &agrave; ne pas se limiter &agrave; ce seul &eacute;l&eacute;ment mais &agrave; consid&eacute;rer les faits dans leur ensemble, afin d&rsquo;appr&eacute;cier s&rsquo;il y a lieu ou non de retenir un manquement &agrave; l&rsquo;obligation de vigilance. L&rsquo;anomalie peut &ecirc;tre &eacute;galement intellectuelle en pr&eacute;sence de mouvements anormaux [5] ; ainsi en est-il par exemple, lorsqu&rsquo;un ordre de virement est donn&eacute; deux fois, que le montant en cause est exceptionnel et entra&icirc;ne un d&eacute;couvert [6] ou lorsque le transfert sollicit&eacute; est &agrave; destination de l&rsquo;&eacute;tranger et de pays avec lesquels le titulaire du compte n&rsquo;est pas en relation. Chacune de ces situations pr&eacute;sente, de ce fait, un risque pour l&rsquo;&eacute;tablissement teneur de compte, notamment en cas d&rsquo;&laquo; arnaque au pr&eacute;sident &raquo; ou d&rsquo;&eacute;l&eacute;ments susceptibles de caract&eacute;riser une anomalie ; ceci &eacute;tant, l&rsquo;appr&eacute;ciation du caract&egrave;re &laquo; apparent &raquo; est appr&eacute;ci&eacute;e souverainement et in concreto par les juges du fond, de sorte que le plaignant ne peut &ecirc;tre assur&eacute;, en pareil cas, du succ&egrave;s de son action. Le grief tir&eacute; du d&eacute;faut de consentement et de la r&eacute;alisation d&rsquo;op&eacute;rations non autoris&eacute;es Appel&eacute;s &agrave; d&eacute;livrer un ensemble de services et moyens de paiement, sous une forme qui est aujourd&rsquo;hui de plus en plus souvent d&eacute;mat&eacute;rialis&eacute;e, les &eacute;tablissements bancaires sont soumis, en leur qualit&eacute; de prestataire de paiement, &agrave; des obligations sp&eacute;cifiques et notamment aux dispositions des articles L. 133-1 et suivants du CMF. Ils s&rsquo;exposent, d&egrave;s lors, au risque qu&rsquo;en cas de virement frauduleux ou de d&eacute;tournement, des recours soient mis en œuvre, motiv&eacute;s par le fait que si un dysfonctionnement a permis la r&eacute;alisation d&rsquo;une op&eacute;ration non autoris&eacute;e sur les comptes, elle conduit n&eacute;cessairement &agrave; mettre en cause la qualit&eacute; de la prestation de service dont l&rsquo;&eacute;tablissement bancaire est d&eacute;biteur. Il est vrai que l&rsquo;op&eacute;ration autoris&eacute;e est d&eacute;finie comme &eacute;tant celle pour laquelle &laquo; le payeur a donn&eacute; son consentement &agrave; son ex&eacute;cution [7] &raquo;, ce qui peut amener &agrave; poser la question du consentement de l&rsquo;utilisateur &agrave; une op&eacute;ration en particulier. Elle peut &eacute;galement conduire &agrave; porter le d&eacute;bat sur le terrain de la preuve du consentement dont la charge est support&eacute;e par l&rsquo;&eacute;tablissement bancaire [8] . La forme de ce consentement peut &ecirc;tre, certes, librement convenue entre le payeur et le prestataire de services ; toutefois ce dernier peut &ecirc;tre tenu, en l&rsquo;absence d&rsquo;une telle d&eacute;monstration, de rembourser le montant de l&rsquo;op&eacute;ration et les frais li&eacute;s [9] . Il importe, d&egrave;s lors, de faire preuve de vigilance &agrave; ce sujet, d&rsquo;autant que le CMF dispose que l&rsquo;utilisation du moyen convenu ne suffit pas &agrave; prouver le consentement [10] . Il est vrai qu&rsquo;en mati&egrave;re de carte bancaire, l&rsquo;utilisation du code confidentiel ne suffit pas &agrave; l&rsquo; &eacute;tablir [11] et que les agissements frauduleux peuvent r&eacute;sulter d&rsquo;une violation des proc&eacute;dures et syst&egrave;mes de traitement des donn&eacute;es. Les r&eacute;clamations pr&eacute;sent&eacute;es visent alors &agrave; &eacute;tablir que les dispositifs propos&eacute;s par l&rsquo;&eacute;tablissement de cr&eacute;dit ne sont pas de nature &agrave; garantir la s&eacute;curit&eacute; des fonds plac&eacute;s au motif que des op&eacute;rations non autoris&eacute;es sont susceptibles d&rsquo;&ecirc;tre r&eacute;alis&eacute;es au m&eacute;pris des int&eacute;r&ecirc;ts des titulaires de compte. Il est &agrave; noter cependant que rares sont les cas o&ugrave; de telles attaques ne sont pas associ&eacute;es, &agrave; un moment ou &agrave; un autre, &agrave; une intervention ou &agrave; un geste de la part de la victime, ce qui fait que les failles susceptibles d&rsquo;affecter les syst&egrave;mes d&rsquo;authentification ou de mise en s&eacute;curit&eacute; sont rarement &agrave; consid&eacute;rer seuls. De fait, ils am&egrave;nent &agrave; poser clairement la question de l&rsquo;exon&eacute;ration ou d&rsquo;un &eacute;ventuel partage de responsabilit&eacute; en cas de faute de la victime ou de d&eacute;faillance des proc&eacute;dures et m&eacute;canismes de contr&ocirc;le interne &agrave; l&rsquo;entreprise. De la faute de la victime&hellip; En r&egrave;gle g&eacute;n&eacute;rale, le dommage dont la r&eacute;paration est sollicit&eacute;e n&rsquo;a pas pour premi&egrave;re origine une action ou inaction de la part de l&rsquo;&eacute;tablissement bancaire, mais bien la fraude r&eacute;alis&eacute;e par une tierce personne &agrave; laquelle la victime a souvent involontairement contribu&eacute;. Se pose, d&egrave;s lors, la question du lien de causalit&eacute; et du point de savoir si le comportement de la victime n&rsquo;est pas susceptible de constituer une cause exon&eacute;ratoire de responsabilit&eacute; [12] . Au regard des dispositions de l&rsquo;article L. 133-18 du CMF, les clauses limitatives de responsabilit&eacute; susceptibles de d&eacute;charger par principe l&rsquo;&eacute;tablissement bancaire, en cas d&rsquo;utilisation frauduleuse du compte, ne sont pas opposables &agrave; son titulaire. Il n&rsquo;en demeure pas moins qu&rsquo;il appartient &agrave; ce dernier de prendre toutes pr&eacute;cautions en vue de pr&eacute;server la s&eacute;curit&eacute; de ses comptes et d&rsquo;informer dans les meilleurs d&eacute;lais l&rsquo;&eacute;tablissement bancaire de toute fraude ; il s&rsquo;exposerait, en effet et &agrave; d&eacute;faut, &agrave; commettre lui-m&ecirc;me une faute de nature &agrave; le priver de son droit &agrave; r&eacute;clamation. Or, la victime a le plus souvent concouru &agrave; la r&eacute;alisation de son dommage, que cela soit par maladresse ou ignorance, en ne prenant pas garde &agrave; la manipulation &agrave; laquelle le fraudeur a entrepris de proc&eacute;der. En effet, la victime a pu, en r&eacute;pondant &agrave; un courriel dans le cas du &laquo; phishing &raquo;, en ouvrant une pi&egrave;ce jointe, alors m&ecirc;me que celle-ci pouvait appara&icirc;tre suspecte ou en autorisant un acc&egrave;s &agrave; ses coordonn&eacute;es bancaires, concourir directement &agrave; son pr&eacute;judice. Elle s&rsquo;expose, de ce fait, &agrave; ce que lui soit oppos&eacute;e sa l&eacute;g&egrave;ret&eacute; fautive pour n&rsquo;avoir pas pris les mesures n&eacute;cessaires aux fins de pr&eacute;server ses int&eacute;r&ecirc;ts en transmettant, par exemple, ses coordonn&eacute;es bancaires&hellip; Il est vrai, par ailleurs, dans le cas de l&rsquo;&laquo; arnaque au pr&eacute;sident &raquo;, que c&rsquo;est bien le fraudeur qui prend attache avec le service comptable de la victime qu&rsquo;il met en confiance, en vue d&rsquo;obtenir par ruse la r&eacute;alisation d&rsquo;une op&eacute;ration et que c&rsquo;est l&rsquo;entreprise, elle-m&ecirc;me, qui ex&eacute;cute l&rsquo;ordre de virement. Or, la faute du client constitue de mani&egrave;re classique une cause exon&eacute;ratoire de responsabilit&eacute;, de sorte que m&ecirc;me si le proc&eacute;d&eacute; utilis&eacute; peut &ecirc;tre ing&eacute;nieux, il ne change rien aux principes et &agrave; la solution juridiquement applicables. Il est, en effet, difficile en pareil cas de faire grief &agrave; l&rsquo;&eacute;tablissement bancaire d&rsquo;avoir permis la r&eacute;alisation d&rsquo;une op&eacute;ration ou manqu&eacute; &agrave; son obligation de vigilance, alors m&ecirc;me que la victime a elle-m&ecirc;me particip&eacute; &agrave; l&rsquo;op&eacute;ration consid&eacute;r&eacute;e, sauf &agrave; appr&eacute;cier les faits dont leur contexte et un environnement plus large. &hellip;&agrave; la justification du lien de causalit&eacute; Se pose toujours, en cas de cyberattaque ou de d&eacute;linquance astucieuse, la question du lien de causalit&eacute; avec le pr&eacute;judice subi par la victime et ce, que l&rsquo;on se r&eacute;f&egrave;re &agrave; la th&eacute;orie de la causalit&eacute; ad&eacute;quate ou &agrave; celle de l&rsquo;&eacute;quivalence des conditions. En effet, si l&rsquo;origine du dommage est clairement la fraude, il importe d&rsquo;appr&eacute;cier &agrave; chaque fois dans quelle mesure l&rsquo;inobservation de l&rsquo;obligation de vigilance ou une &eacute;ventuelle faille dans le traitement informatis&eacute; a pu contribuer &agrave; sa r&eacute;alisation. Il en est de m&ecirc;me pour ce qui est de la victime, encore que l&rsquo;appr&eacute;ciation du lien de causalit&eacute; puisse &ecirc;tre diff&eacute;remment appr&eacute;ci&eacute;e selon le fondement que cette derni&egrave;re est susceptible de faire valoir &agrave; l&rsquo;appui de ses pr&eacute;tentions. L&rsquo;appr&eacute;ciation du lien de causalit&eacute; conduira, lorsqu&rsquo;il est reproch&eacute; &agrave; l&rsquo;&eacute;tablissement bancaire un manquement &agrave; l&rsquo;obligation de vigilance, &agrave; la prise en compte d&rsquo;un faisceau d&rsquo;&eacute;l&eacute;ments, qui proc&eacute;dera le plus souvent d&rsquo;une analyse par comparaison. Elle pourra &ecirc;tre, en revanche, de nature plus objective et dans une certaine mesure plus technique lorsque le recours exerc&eacute; visera &agrave; mettre en cause la qualit&eacute; de la prestation de services, au motif d&rsquo;une absence de consentement du titulaire du compte &agrave; l&rsquo;op&eacute;ration. La d&eacute;termination de l&rsquo;indemnit&eacute; susceptible d&rsquo;&ecirc;tre allou&eacute;e devrait en &ecirc;tre plus ais&eacute;e lorsqu&rsquo;une telle action pourrait &ecirc;tre d&eacute;clar&eacute;e recevable, avec cette pr&eacute;cision toutefois qu&rsquo;un partage de responsabilit&eacute; ne saurait &ecirc;tre exclu lorsque la victime aura contribu&eacute; par sa faute ou n&eacute;gligence &agrave; la r&eacute;alisation du dommage. Il appara&icirc;t ainsi, en d&eacute;finitive, que si le mode op&eacute;ratoire peut parfois surprendre par son audace ou l&rsquo;utilisation frauduleuse des nouvelles technologies, les fondements et actions susceptibles d&rsquo;&ecirc;tre mis en œuvre n&rsquo;ont gu&egrave;re &eacute;t&eacute; boulevers&eacute;s par ces pratiques puisque la jurisprudence impose de se r&eacute;f&eacute;rer aux solutions classiquement applicables en mati&egrave;re de responsabilit&eacute;, alors que l&rsquo;imagination des fraudeurs ne conna&icirc;t gu&egrave;re de limites&hellip; 1 Denis Lafay, &laquo; KPMG, les dessous d&rsquo;une escroquerie de 7,6 millions d&rsquo;euros &raquo;, Latribune.fr. 2 &laquo; Entreprises : attention les fraudeurs rodent ! &raquo;, Option finance n&deg; 1272, 2 juin 2014. 3 Sharon Wajsbrot, &laquo; Cybers&eacute;curit&eacute; : les attaques contre les banques se multiplient &raquo;, Les &Eacute;chos . 4 Cass. com. 15 novembre 1994, n&deg; 92-21776. 5 Cass. com. 22 novembre 2011, n&deg; 10-30101. 6 Cass. com. 27 f&eacute;vrier 1996, n&deg; 94-15176. 7 L. 133-6 du CMF. 8 L. 133-23 du CMF et Cass. com. 9 f&eacute;vrier 2010, n&deg; 09-12853. 9 L. 133-18 et 19 du CMF. 10 L. 133-23, alin&eacute;a 2, du CMF. 11 Cass. com. 2 octobre 2007, n&deg; 05-19.899, Cass. com. 28 mars 2008, n&deg; 07-10.186. 12 Ind&eacute;pendamment des poursuites susceptibles d&rsquo;&ecirc;tre engag&eacute;es au plan p&eacute;nal (escroquerie, acc&egrave;s frauduleux &agrave; un syst&egrave;me de traitement automatis&eacute; des donn&eacute;es, contrefa&ccedil;on et usurpation d&rsquo;identit&eacute;&hellip;) de nature &agrave; justifier une mesure de sursis &agrave; statuer. (Philippe Belloir, &laquo; La r&eacute;pression p&eacute;nale du &ldquo; phishing &rdquo; &raquo;, Revue Lamy droit de l&rsquo;immat&eacute;riel 2006).

RECHERCHEZ UN ARTICLE, UNE CHRONIQUE, PARMI L'ENSEMBLE DES PUBLICATIONS

RECHERCHEZ UN AUTEUR

Archive

Risque opérationnel

Cybercriminalité et responsabilité bancaire

À retrouver dans la revue

Comptabilité/Trésorerie

Les enjeux de l’open finance : quelles opportunités pour le cash management ?

Métiers

Le potentiel de hausse des MNI
reste limité en 2024

Dette et déficit publics : comment éviter le précipice

Capital-investissement

« Plus de 35 milliards d’euros seront investis dans les fonds labellisés non cotés »

Archive

Panorama réglementaire des actifs numériques

Archive

Sberbank : une valeur anéantie à zéro en fonds de portefeuille

Archive

La transformation repose sur des directions responsables et des équipes pluridisciplinaires

Suivez-nous

RECHERCHEZ UN ARTICLE, UNE CHRONIQUE, PARMI L'ENSEMBLE DES PUBLICATIONS

RECHERCHEZ UN AUTEUR

Archive

Risque opérationnel

Cybercriminalité et responsabilité bancaire

À retrouver dans la revue

Comptabilité/Trésorerie

Les enjeux de l’open finance : quelles opportunités pour le cash management ?

Métiers

Le potentiel de hausse des MNI reste limité en 2024

Dette et déficit publics : comment éviter le précipice

Capital-investissement

« Plus de 35 milliards d’euros seront investis dans les fonds labellisés non cotés »

Archive

Panorama réglementaire des actifs numériques

Archive

Sberbank : une valeur anéantie à zéro en fonds de portefeuille

Archive

La transformation repose sur des directions responsables et des équipes pluridisciplinaires

Le potentiel de hausse des MNI
reste limité en 2024