Devoir de diligence ou devoir de vigilance ?

La banque qui exécute des instructions transmises par messagerie électronique, conformément à la documentation contractuelle acceptée par la cliente, est tenue d’un devoir de diligence, et non d’un devoir de vigilance. C’est la conclusion à laquelle le Tribunal fédéral est parvenu dans l’arrêt 4A_81/2018 du 29 mai 2018 résumé et commenté ci-dessous.

En 2005, une société holding et sa filiale ouvrent des comptes courants auprès d’une banque, établie à Genève. Elles signent une décharge autorisant la banque à exécuter des ordres donnés par tout moyen convenu de télécommunication. Les conditions générales de la banque prévoient que «  tout défaut pouvant résulter de défauts de légitimation ou de falsification non décelés est à la charge du titulaire du compte  ».

Entre 2005 et 2013, les clientes procèdent à de nombreuses transactions. Une adresse électronique russe est souvent utilisée pour passer des virements, alors qu’une adresse électronique @gmail.com est utilisée pour les communications des deux sociétés avec la banque.

Les 17 et 20 décembre 2013, la banque reçoit deux ordres de transfert de 600’000 USD et de 900’000 USD depuis l’adresse électronique @gmail.com.

Plusieurs incohérences figurent dans les mails transmis à la banque :

• les instructions de virement sont rédigées au nom de la société holding et les factures de paiement lui sont adressées, tandis que le numéro de compte à débiter est celui de l’autre société ;
• les factures ne sont pas signées ;
• le compte @gmail.com est utilisé pour la première fois pour passer des virements ;
• certaines parties des ordres sont rédigées dans une police différente de celle habituellement utilisée.

Les deux ordres comportent toutefois la signature électronique du fondé de procuration des deux relations bancaires.

Après une confirmation du numéro de compte à débiter par l’adresse @gmail.com, la banque exécute les virements. Le 24 décembre 2013, la banque reçoit un appel de la part du fondé de procuration contestant la validité des paiements et invoquant le piratage de sa messagerie électronique. La banque saisit les autorités pénales coréennes et dépose plainte pénale contre l’inconnu auprès du Ministère public genevois. Aucune plainte pénale n’est déposée par la cliente elle-même.

La cliente intente une action en justice en restitution des sommes transférées. La Cour de justice la déboute de ses prétentions aux motifs que la recourante ne prouve pas le piratage de sa boîte mail et son utilisation frauduleuse. Selon la Cour, la banque satisfait à ses obligations de diligence et de fidélité envers la cliente (art. 398 al. 2 CO) en se conformant à la documentation contractuelle qui prévoit la possibilité d’exécuter des ordres de virement par messagerie électronique. La recourante forme un recours devant le Tribunal fédéral.

Les problèmes juridiques soumis aux juges de Mon Repos sont, d’une part, de déterminer quelles sont les vérifications auxquelles la banque doit procéder afin d’exécuter un ordre de transfert et, d’autre part, d’examiner si la banque a commis une faute grave en exécutant les virements litigieux.

Le client qui demande restitution de l’avoir en compte, exerce une action en exécution du contrat qui n’est pas subordonnée à l’existence d’une faute (ATF 132 III 449 consid. 2). L’argent figurant sur le compte bancaire d’un client est la propriété de la banque qui subit les risques de défaut de légitimation ou de faux non décelé en cas de transfert. Toutefois, ces risques peuvent être reportés sur le client par une clause contractuelle contenue dans les conditions générales. La seule limite légale à cette clause est la commission d’une faute grave par la banque (art. 100 et 101 al. 3 CO applicables par analogie).

In casu, la faute grave de la banque n’a pas été retenue. En droit privé suisse, la banque a un devoir de diligence et de fidélité (art. 398 al. 2 CO). Elle n’a pas un devoir de vigilance constante des opérations effectuées par ses clients. Cela signifie qu’elle doit vérifier l’authenticité des ordres selon les modalités convenues entre les parties sans procéder systématiquement à des vérifications supplémentaires. Un examen attentif ne s’impose qu’en cas d’indices sérieux de falsification. Or, le caractère sérieux des indices est sujet à interprétation.

Dans le cas d’espèce, la cliente n’a pas réussi à convaincre les juges du piratage, ni de la présence d’indices sérieux de falsification. Il est possible de considérer que sa renonciation à déposer plainte pénale et à fournir une déclaration notariée certifiant l’absence de tout lien avec le destinataire des fonds a pu influencer l’appréciation des preuves.

Dans une affaire similaire jugée par le Tribunal fédéral (4A_386/2016, commenté in : Laurent Hirsch, cdbf.ch/966), la faute grave de la banque a bel et bien été retenue. L’une des différences de cette affaire avec l’arrêt commenté est que le client a déposé lui-même une plainte pénale à l’encontre du destinataire des fonds si bien que le piratage avait été prouvé.

Enfin, on pourrait conseiller aux clients de faire preuve de prudence et de circonspection lorsqu’ils utilisent leur messagerie électronique privée plutôt que leur accès online banking pour passer des virements.