Cybercriminalité et responsabilité bancaire

Délinquance des temps modernes, les phishing et autres « arnaques au président » ont très largement supplanté les braquages à main armée, qui semblent aujourd’hui d’une autre époque.

Il est vrai que les fraudeurs maîtrisent parfaitement les outils informatiques et sont à même d’exploiter les failles d’Internet ; les risques sont moindres pour les auteurs, car ils en sont souvent difficilement identifiables tandis que les gains espérés peuvent être élevés.

Les procédés utilisés sont multiples et parfois très ingénieux. Ils peuvent prendre la forme de courriers électroniques envoyés en masse, auquel cas les victimes sont le plus souvent des particuliers peu avertis, convaincus qu’ils sont en lien avec leur établissement bancaire ou qui favorisent par leur manque de vigilance un accès à leurs coordonnées bancaires (il s’agit du phishing).

Ils peuvent être dirigés, à l’inverse, vers une victime en particulier qui aura pu faire l’objet d’une surveillance ou d’investigations préalables, afin de favoriser une usurpation et convaincre son entourage qu’elle a procédé elle-même aux opérations (il s’agit notamment de l'« arnaque au président »).

Ces manœuvres peuvent conduire au détournement de sommes considérables, au préjudice des entreprises les plus grandes et les mieux organisées [1] , ce qui fait que nul n’est à l’abri de ces agissements [2] , la fraude sachant s’adapter en cette matière à la victime.

Elles ont conduit les établissements bancaires à renforcer leur communication et à attirer l’attention de tous sur les dangers encourus [3] toutefois ces mesures ne les mettent pas totalement à l’abri. Un accroissement du nombre des réclamations a, de fait, été enregistré, qui présente toujours et par nature un risque, même si les actions considérées sont susceptibles de se heurter à certaines causes exonératoires ou à une difficulté quant à l’appréciation du lien de causalité.

Le grief tiré d'un manquement à l'obligation de vigilance

En pratique, c’est souvent un manquement à l’obligation de vigilance que la victime d’un détournement commis sur son compte bancaire consultable en ligne sera tentée d’imputer au banquier teneur de compte, au motif qu’il aura permis à l’opération litigieuse de se réaliser. Il s’agit là, de la réaction la plus communément observée, qui n’exclut pas cependant que les recours soient également fondés sur l’absence de consentement ou le non-respect des obligations incombant au prestataire de services.

Fonder le recours de la victime sur un manquement à l’obligation de vigilance revient pour cette dernière à se référer aux règles et conditions classiquement exigées en matière de responsabilité civile.

Elles lui imposent, dès lors, de justifier d’un préjudice et d’un lien de causalité, ainsi que d’une faute qui serait causée par le non-respect d’une des obligations mises à la charge du teneur de compte. Or, si l’existence d’un préjudice est difficilement contestable en pareil cas, force est de constater que la démonstration d’une faute de l’établissement bancaire ainsi que d’un lien de causalité n’est en rien assurée. En effet, si la victime peut être tentée d’invoquer un manquement à l’obligation de vigilance, en considérant le fait que celle-ci est appréciée de manière assez large, il n’en demeure pas moins qu’il s’agit, dans tous les cas, d’une obligation de moyens. Elle est, à ce titre, encadrée par la jurisprudence, laquelle considère que la responsabilité des établissements bancaires n’est susceptible d’être engagée qu’en cas d’abstention de leur part au vu d’une anomalie apparente. Or, si cette anomalie peut être matérielle et résulter de l’ordre de virement lui-même, voire en cas d’émission d’un chèque [4] , elle peut être difficile à appréhender lorsque l’altération ou le faux ordre de virement ou mouvement procède d’un montage.

En effet, les fraudeurs utilisent dans le cas tout particulièrement de l’« arnaque au président », une « vraie signature » insérée dans une télécopie ou un e-mail, obtenue le plus souvent en collectant des renseignements publics sur l’entreprise au travers des réseaux sociaux ou auprès du registre du commerce et des sociétés. Or, il est impossible en pareil cas à l’établissement bancaire de détecter l’anomalie, ce qui oblige les juges à ne pas se limiter à ce seul élément mais à considérer les faits dans leur ensemble, afin d’apprécier s’il y a lieu ou non de retenir un manquement à l’obligation de vigilance.

L’anomalie peut être également intellectuelle en présence de mouvements anormaux [5] ; ainsi en est-il par exemple, lorsqu’un ordre de virement est donné deux fois, que le montant en cause est exceptionnel et entraîne un découvert [6] ou lorsque le transfert sollicité est à destination de l’étranger et de pays avec lesquels le titulaire du compte n’est pas en relation.

Chacune de ces situations présente, de ce fait, un risque pour l’établissement teneur de compte, notamment en cas d’« arnaque au président » ou d’éléments susceptibles de caractériser une anomalie ; ceci étant, l’appréciation du caractère « apparent » est appréciée souverainement et in concreto par les juges du fond, de sorte que le plaignant ne peut être assuré, en pareil cas, du succès de son action.

Le grief tiré du défaut de consentement et de la réalisation d’opérations non autorisées

Appelés à délivrer un ensemble de services et moyens de paiement, sous une forme qui est aujourd’hui de plus en plus souvent dématérialisée, les établissements bancaires sont soumis, en leur qualité de prestataire de paiement, à des obligations spécifiques et notamment aux dispositions des articles L. 133-1 et suivants du CMF.

Ils s’exposent, dès lors, au risque qu’en cas de virement frauduleux ou de détournement, des recours soient mis en œuvre, motivés par le fait que si un dysfonctionnement a permis la réalisation d’une opération non autorisée sur les comptes, elle conduit nécessairement à mettre en cause la qualité de la prestation de service dont l’établissement bancaire est débiteur.

Il est vrai que l’opération autorisée est définie comme étant celle pour laquelle « le payeur a donné son consentement à son exécution [7] », ce qui peut amener à poser la question du consentement de l’utilisateur à une opération en particulier. Elle peut également conduire à porter le débat sur le terrain de la preuve du consentement dont la charge est supportée par l’établissement bancaire [8] .

La forme de ce consentement peut être, certes, librement convenue entre le payeur et le prestataire de services ; toutefois ce dernier peut être tenu, en l’absence d’une telle démonstration, de rembourser le montant de l’opération et les frais liés [9] .

Il importe, dès lors, de faire preuve de vigilance à ce sujet, d’autant que le CMF dispose que l’utilisation du moyen convenu ne suffit pas à prouver le consentement [10] . Il est vrai qu’en matière de carte bancaire, l’utilisation du code confidentiel ne suffit pas à l’ établir [11] et que les agissements frauduleux peuvent résulter d’une violation des procédures et systèmes de traitement des données.

Les réclamations présentées visent alors à établir que les dispositifs proposés par l’établissement de crédit ne sont pas de nature à garantir la sécurité des fonds placés au motif que des opérations non autorisées sont susceptibles d’être réalisées au mépris des intérêts des titulaires de compte.

Il est à noter cependant que rares sont les cas où de telles attaques ne sont pas associées, à un moment ou à un autre, à une intervention ou à un geste de la part de la victime, ce qui fait que les failles susceptibles d’affecter les systèmes d’authentification ou de mise en sécurité sont rarement à considérer seuls.

De fait, ils amènent à poser clairement la question de l’exonération ou d’un éventuel partage de responsabilité en cas de faute de la victime ou de défaillance des procédures et mécanismes de contrôle interne à l’entreprise.

De la faute de la victime…

En règle générale, le dommage dont la réparation est sollicitée n’a pas pour première origine une action ou inaction de la part de l’établissement bancaire, mais bien la fraude réalisée par une tierce personne à laquelle la victime a souvent involontairement contribué. Se pose, dès lors, la question du lien de causalité et du point de savoir si le comportement de la victime n’est pas susceptible de constituer une cause exonératoire de responsabilité [12] .

Au regard des dispositions de l’article L. 133-18 du CMF, les clauses limitatives de responsabilité susceptibles de décharger par principe l’établissement bancaire, en cas d’utilisation frauduleuse du compte, ne sont pas opposables à son titulaire. Il n’en demeure pas moins qu’il appartient à ce dernier de prendre toutes précautions en vue de préserver la sécurité de ses comptes et d’informer dans les meilleurs délais l’établissement bancaire de toute fraude ; il s’exposerait, en effet et à défaut, à commettre lui-même une faute de nature à le priver de son droit à réclamation. Or, la victime a le plus souvent concouru à la réalisation de son dommage, que cela soit par maladresse ou ignorance, en ne prenant pas garde à la manipulation à laquelle le fraudeur a entrepris de procéder. En effet, la victime a pu, en répondant à un courriel dans le cas du « phishing », en ouvrant une pièce jointe, alors même que celle-ci pouvait apparaître suspecte ou en autorisant un accès à ses coordonnées bancaires, concourir directement à son préjudice. Elle s’expose, de ce fait, à ce que lui soit opposée sa légèreté fautive pour n’avoir pas pris les mesures nécessaires aux fins de préserver ses intérêts en transmettant, par exemple, ses coordonnées bancaires…

Il est vrai, par ailleurs, dans le cas de l’« arnaque au président », que c’est bien le fraudeur qui prend attache avec le service comptable de la victime qu’il met en confiance, en vue d’obtenir par ruse la réalisation d’une opération et que c’est l’entreprise, elle-même, qui exécute l’ordre de virement.

Or, la faute du client constitue de manière classique une cause exonératoire de responsabilité, de sorte que même si le procédé utilisé peut être ingénieux, il ne change rien aux principes et à la solution juridiquement applicables. Il est, en effet, difficile en pareil cas de faire grief à l’établissement bancaire d’avoir permis la réalisation d’une opération ou manqué à son obligation de vigilance, alors même que la victime a elle-même participé à l’opération considérée, sauf à apprécier les faits dont leur contexte et un environnement plus large.

…à la justification du lien de causalité

Se pose toujours, en cas de cyberattaque ou de délinquance astucieuse, la question du lien de causalité avec le préjudice subi par la victime et ce, que l’on se réfère à la théorie de la causalité adéquate ou à celle de l’équivalence des conditions. En effet, si l’origine du dommage est clairement la fraude, il importe d’apprécier à chaque fois dans quelle mesure l’inobservation de l’obligation de vigilance ou une éventuelle faille dans le traitement informatisé a pu contribuer à sa réalisation. Il en est de même pour ce qui est de la victime, encore que l’appréciation du lien de causalité puisse être différemment appréciée selon le fondement que cette dernière est susceptible de faire valoir à l’appui de ses prétentions.

L’appréciation du lien de causalité conduira, lorsqu’il est reproché à l’établissement bancaire un manquement à l’obligation de vigilance, à la prise en compte d’un faisceau d’éléments, qui procédera le plus souvent d’une analyse par comparaison. Elle pourra être, en revanche, de nature plus objective et dans une certaine mesure plus technique lorsque le recours exercé visera à mettre en cause la qualité de la prestation de services, au motif d’une absence de consentement du titulaire du compte à l’opération.

La détermination de l’indemnité susceptible d’être allouée devrait en être plus aisée lorsqu’une telle action pourrait être déclarée recevable, avec cette précision toutefois qu’un partage de responsabilité ne saurait être exclu lorsque la victime aura contribué par sa faute ou négligence à la réalisation du dommage.

Il apparaît ainsi, en définitive, que si le mode opératoire peut parfois surprendre par son audace ou l’utilisation frauduleuse des nouvelles technologies, les fondements et actions susceptibles d’être mis en œuvre n’ont guère été bouleversés par ces pratiques puisque la jurisprudence impose de se référer aux solutions classiquement applicables en matière de responsabilité, alors que l’imagination des fraudeurs ne connaît guère de limites…

1 Denis Lafay, « KPMG, les dessous d’une escroquerie de 7,6 millions d’euros », Latribune.fr. 2 « Entreprises : attention les fraudeurs rodent ! », Option finance n° 1272, 2 juin 2014. 3 Sharon Wajsbrot, « Cybersécurité : les attaques contre les banques se multiplient », Les Échos. 4 Cass. com. 15 novembre 1994, n° 92-21776. 5 Cass. com. 22 novembre 2011, n° 10-30101. 6 Cass. com. 27 février 1996, n° 94-15176. 7 L. 133-6 du CMF. 8 L. 133-23 du CMF et Cass. com. 9 février 2010, n° 09-12853. 9 L. 133-18 et 19 du CMF. 10 L. 133-23, alinéa 2, du CMF. 11 Cass. com. 2 octobre 2007, n° 05-19.899, Cass. com. 28 mars 2008, n° 07-10.186. 12 Indépendamment des poursuites susceptibles d’être engagées au plan pénal (escroquerie, accès frauduleux à un système de traitement automatisé des données, contrefaçon et usurpation d’identité…) de nature à justifier une mesure de sursis à statuer. (Philippe Belloir, « La répression pénale du “ phishing” », Revue Lamy droit de l’immatériel 2006).