Ordres de virement frauduleux: l'insolite trouve ses limites

L'affaire en bref

Le 6 novembre 2014, X. a ouvert un compte auprès d'une société de négoce en valeurs mobilières (nouvelle terminologie selon la LEFin: maison de titres). Au moment de la conclusion de la relation, X. a signé les documents d'ouverture de comptes usuels, incluant notamment une convention de banque restante, une décharge pour communication par téléphone, télécopie et e-mail, ainsi que les Conditions générales de la société.

A teneur de la décharge, X. a expressément autorisé la société à accepter des instructions données par e-mail et à les exécuter immédiatement, en n'importe quelles circonstances, et ce même si elles n'étaient pas suivies d'une confirmation écrite. En outre, les Conditions générales disposaient que le dommage provenant de l'utilisation de l'e-mail était supporté par le client, sauf en cas de faute grave de la société.

Durant le premier semestre 2015, X. a communiqué avec la société par e-mail, sollicitant des informations en lien avec des placements financiers et donnant deux ordres de virement à destination de l'étranger, l'un en sa faveur, l'autre en faveur d'une société tierce.

Au début du mois de décembre 2015, X. s'est fait pirater son compte e-mail, des hackers étant parvenus à prendre le contrôle total de sa messagerie électronique. S'inspirant d'anciens échanges de courriels intervenus entre le client et la société et s'insérant dans une suite d'e-mails préexistante, les pirates ont sollicité et obtenu l'exécution de huit ordres de virement entre décembre et début janvier 2016.

Le 6 janvier 2016, les pirates ont à nouveau sollicité la société de négoce, cette fois au moyen d'une adresse e-mail très légèrement différente (soit comportant une lettre de plus). Soupçonnant une fraude, la société a alors immédiatement suspendu toute nouvelle opération sur le compte et a tenté de clarifier la situation avec son client en le contactant par téléphone, client dont elle n'a obtenu des nouvelles qu'une semaine plus tard.

Faute de pouvoir obtenir l'extourne des montants transférés, X. a alors actionné la société devant le Tribunal de première instance de Genève en remboursement des montants débités sur son compte, reprochant à celle-ci d'avoir failli à son devoir de vérification des ordres de transferts.

Après avoir été débouté de l'ensemble de ses conclusions par le Tribunal de première instance, X. a fait appel. La Cour de Justice de Genève a alors réformé le jugement de première instance, considérant que six des huit ordres de transfert litigieux présentaient des caractéristiques insolites, de sorte que leur exécution par la société de négoce devait être considérée comme une faute grave de cette dernière. La société de négoce, représentée par l'Etude Altenburger Ltd legal + tax tout au long de la procédure, a alors interjeté un recours en matière civile devant le Tribunal fédéral.

Dans un arrêt de principe rendu à cinq juges, notre Haute Cour a admis le recours de la société, déboutant ainsi X. de l'ensemble de ses conclusions. Dans leur décision, après un rappel complet des principes applicables et suivant un raisonnement convaincant, les juges de Mon-Repos ont retenu que la clause de transfert de risque signée par X. était valable et déployait ainsi pleinement ses effets à son égard, dans la mesure où aucune faute grave ne pouvait être retenue à l'encontre de la société.

Le client doit supporter les conséquences de la clause de transfert du risque qu'il accepte

Après avoir, dans une première étape, considéré que les virements litigieux n'avaient pas été instruits par X. (ce qui n'était d'ailleurs pas contesté), le Tribunal fédéral s'est ensuite penché, dans une deuxième étape, sur la validité et les effets de la clause de transfert de risque et a déterminé si la société avait commis une faute grave dans la vérification et l'exécution des ordres frauduleux qui lui avaient été communiqués.

Dans ce cadre, les juges fédéraux ont rappelé que les clauses de transfert de risque doivent être analysées au regard des articles 100 et 101 al. 3 CO, qui prévoient qu'une clause de transfert de risque est nulle si le cas d'espèce fait apparaître une faute grave ou un dol de la banque. Le transfert de risque sur la tête du client devient alors inopérant et la banque ne peut plus s'en prévaloir.

En d'autres termes, le client qui souhaite communiquer des instructions par e-mail doit se voir opposer les conséquences de son choix et de la clause de transfert du risque qu'il a acceptée. Il supporte ainsi le risque d'un dommage qu'il pourrait subir eu égard à des malversations, même si elles sont dues à un cas fortuit. Ce n'est qu'en cas de dol ou de faute grave de la banque ou de l'intermédiaire financier qu'un client ne peut se voir opposer une telle clause.

La clause de transfert de risque est inopérante en cas de faute grave

La clause de transfert de risque n'est pas un blanc-seing donné à l'intermédiaire financier. Celui-ci reste redevable de diverses obligations, notamment en matière de diligence dans l'exécution des instructions qui lui sont communiquées.

Le Tribunal fédéral a ainsi rappelé qu'une clause de transfert de risque n'est pas opposable au client en cas de faute grave de l'intermédiaire financier. Une telle faute grave se concrétise par la violation des règles élémentaires de prudence dont le respect se serait imposé à toute personne raisonnable placée dans les mêmes circonstances.

L'étendue de ces règles élémentaires de prudence, rappelées par le Tribunal fédéral dans sa décision, est bien établie : ainsi, la banque ou l'intermédiaire financier n'est pas tenu de vérifier l'authenticité des instructions qui lui sont transmises au-delà des modalités convenues contractuellement ou des règles de diligence émanant de la loi. De même, un client qui souhaite communiquer par e-mail est présumé vouloir que ses opérations bancaires soient effectuées rapidement. Dans ce contexte, l'intermédiaire financier ne saurait systématiquement présumer que l'e-mail qui lui parvient est un faux, pas plus qu'il ne devrait prendre de mesures extraordinaires, incompatibles avec une liquidation rapide des opérations de son client.

La faute grave et le seuil de l'insolite

De jurisprudence constante, la banque ou l'intermédiaire financier commet une faute grave s'il exécute une instruction dont il devait présumer qu'il s'agissait vraisemblablement d'un faux, notamment parce qu'elle faisait apparaître des indices sérieux d'usurpation, eu égard aux circonstances du cas particulier examinées à l'aune du contexte qui prévalait à l'époque des faits litigieux.  

En pratique, on parle généralement de critères insolites.

Au fil des années, la pratique des tribunaux suisses a mis en lumière divers éléments permettant de déterminer si l'instruction communiquée était à ce point insolite que cette dernière aurait dû repérer un abus.

En matière d'utilisation abusive de messagerie électronique, les indices d'usurpation, rappelés par le Tribunal fédéral dans sa décision, peuvent notamment être trouvés dans l'adresse e-mail utilisée, le texte ou le contenu du message, la destination exotique d'un virement ou encore dans la situation personnelle du client. La liste des critères devant être analysés par le juge dans la détermination de la gravité de la faute de l'intermédiaire financier n'est pas exhaustive. Ainsi, d'autres critères ressortant de la relation d'affaire peuvent également être pris en compte (e.g. la durée de la relation contractuelle entre les parties ; la préexistence d'un échange écrit entre la banque et son client ; les connaissances linguistiques du client ; l'utilisation de locutions propres au client ; la manière et le contexte dans lequel l'ordre est sollicité).

En plus de ces différents éléments, le Tribunal fédéral s'est également penché sur d'autres points qui avaient été tenus pour insolites par la Cour de justice.

Contrairement à la juridiction cantonale, notre Haute Cour a ainsi considéré à raison que la mention d'un bénéficiaire final du transfert sur un e-mail, bénéficiaire jusqu'alors inconnu de l'intermédiaire financier, ne saurait constituer un élément insolite, a fortiori lorsque le motif de paiement apparaît comme étant une transaction commerciale, laquelle est habituellement effectuée en faveur d'un tiers. En outre, l'augmentation soudaine des ordres de transfert ne saurait, à elle seule, constituer un élément insolite. Comme l'a déjà rappelé le Tribunal fédéral, il n'appartient en effet pas à la banque de s'assurer du bien-fondé des décisions et des choix opérés par son client.

Enfin, les juges fédéraux ont opéré une distinction claire entre les circonstances du cas d'espèce et celles qui ont prévalu dans l'affaire BCGe (4A_386/2016), dans laquelle une faute grave de l'intermédiaire financier avait été retenue. Alors que X. avait tenté de tirer des conclusions générales de la jurisprudence précitée par devant les juridictions précédente, le Tribunal fédéral a retenu l'argumentation de la recourante: au moyen d'un travail de dentelle, la société de négoce a su démontrer que les circonstances de fait citées par X. n'étaient pas comparables au cas d'espèce.

Conclusion

Dans un monde où les nouvelles technologies sont toujours plus présentes, la tentation est grande de recourir à des moyens de communication rapides et aisément accessibles. L'utilisation de messageries électroniques, souvent gratuites, comporte toutefois des risques importants, notamment en matière d'usurpation d'identité.

Confirmant sa jurisprudence, le Tribunal fédéral a rappelé dans sa décision commentée ici que, si un client est libre de choisir d'utiliser de tels moyens de communications, ces derniers impliquent des risques. Or, dans le cadre d'une relation entre un client et un intermédiaire financier, ce dernier peut transférer ces risques au client par le biais de clauses idoines.

La décision du Tribunal fédéral du 9 juillet 2020 a permis de réaffirmer l'étendue et les effets de ces clauses, tout en rappelant l'importance d'une formulation précise et sans équivoque. Elément essentiel et usuel des relations bancaires, ces dispositions contractuelles essentielles permettent ainsi aux intermédiaires financiers de continuer à servir leurs clients de manière efficiente, tout en évitant de faire d'eux les tuteurs de leurs cocontractant.