Faute grave de la banque exécutant des instructions d’un hacker

Le Tribunal fédéral a confirmé dans un long arrêt du 5 décembre 2016 (4A_386/2016) un jugement de la Cour de justice de Genève confirmant la responsabilité de la banque ayant exécuté des instructions provenant en fait de pirates informatiques.

La banque était la Banque Cantonale de Genève et le client une personne physique résidant aux Etats-Unis et employée comme paralegal dans une grande étude d’avocats américaine. En juin 2012, les pirates informatiques sont parvenus à prendre le contrôle de la messagerie électronique du client et ont adressé différents messages et instructions à la banque, dont certains portant l’imitation de la signature du client (sans qu’il ait été possible de déterminer comment les pirates s’étaient procuré cette signature), amenant ainsi la banque à procéder de mi-juin à mi-août 2012 à des transferts pour un montant total d’environ CHF 620’000 à Hong Kong et à Singapour. L’employée de banque a identifié quelques bizarreries, mais n’a pas envisagé l’hypothèse d’un hacking. Le client a réussi en 2014 à récupérer les montants virés à Hong Kong, dans le cadre d’une transaction judiciaire qui a nécessité d’engager des frais de procédure et d’avocat pour environ USD 40’000 (net). Le client a agi contre la banque, réclamant les frais bancaires et les intérêts sur les montants récupérés en capital à Hong Kong, le montant en capital du dernier débit non autorisé, ainsi que les frais de procédure engagés à Hong Kong. La banque a été condamnée en première instance et en appel à indemniser intégralement le client, ce que le Tribunal fédéral a donc confirmé.

Cet arrêt applique les principes classiques, à savoir que le risque d’un débit non autorisé est supporté par la banque (consid. 2.2), que les conditions générales de la banque peuvent valablement stipuler une clause de transfert de risque (consid. 2.2.3), que conformément à l’article 100 CO cette clause ne s’applique pas en cas de faute grave de la banque (consid. 2.2.4) et que constitue une faute grave « la violation de règles élémentaires de prudence dont le respect se serait imposé à toute personne raisonnable placée dans les mêmes circonstances » (consid. 2.2.5).

La faute grave de la banque a été admise en fonction du caractère insolite des courriels (l’examen ayant été concentré sur le premier ordre frauduleux), caractère insolite qui ressortait de cinq circonstances, à savoir un anglais approximatif, un virement en faveur de tiers alors que le client n’en avait jamais sollicité auparavant, un retrait de montants crédités peu auparavant dans une optique conservatrice, l’absence d’explications sur le but et l’urgence alléguée par les instructions frauduleuses (consid. 2.4.2.1-5). Pour les ordres frauduleux suivants, la Cour de justice avait relevé de nouveaux éléments insolites, appréciation à laquelle le Tribunal fédéral ne voit rien à redire (consid. 2.5).

La banque faisait valoir que le client aurait tacitement ratifié un virement par l’application de la convention de banque restante. Le Tribunal fédéral considère que la négligence grave de la banque peut faire échec à la clause banque restante (consid. 3.3, appréciation qui n’est pas classique, même si elle n’est pas complètement nouvelle).

La banque soutenait que l’action devait être rejetée en fonction de la faute grave commise par le client qui avait conservé sur son compte hotmail sa correspondance électronique bancaire. Le fait avait été admis mais le Tribunal fédéral considère néanmoins que le client n’a pas commis une faute contractuelle prépondérante, dès lors qu’il est notoire que « de nombreux services gouvernementaux et entreprises privées – dont on peut penser qu’ils avaient pris les précautions raisonnables pour se protéger contre une telle éventualité – ont fait l’objet d’attaques informatiques parfois couronnées de succès de la part de tiers mal intentionnés », de sorte que l’on ne peut pas considérer que la prise de contrôle opérée par les pirates dans le cas d’espèce impliquerait nécessairement un défaut de diligence de la part du client. Le Tribunal fédéral ajoute que, même s’il y avait une faute du client, elle ne justifierait pas une réduction de la réparation, vu « la disproportion manifeste existant entre cette faute légère et la grave négligence commise par » la banque (consid. 4.4).

Finalement, la banque contestait son obligation de rembourser les frais de justice et d’avocat engagés à Hong Kong pour la récupération des montants par une procédure conclue par une transaction. Le Tribunal fédéral écarte ce dernier argument en relevant que la banque « ne saurait par ailleurs de bonne foi reprocher au demandeur de ne pas avoir obtenu ni recherché son accord avant de conclure cette convention alors qu’elle-même, estimant devoir faire supporter par le client le préjudice lié aux ordres de virement frauduleux, ne se sentait pas concernée par les procédures engagées contre les auteurs présumés de ces ordres » (consid. 5.4).

Pour les praticiens, la conclusion semble que la portée des conditions générales, qu’il s’agisse du risque de fraude ou de la clause de banque restante, reste finalement limitée et que les tribunaux attendent des banques une prudence particulière face à des indices d’anomalies.

Enfin, le client a été favorisé par son attitude raisonnable dans sa relation avec la banque (il « avait précisément toujours exposé ses intentions à long terme », il avait eu un « comportement posé et réfléchi »), face à laquelle celle des pirates n’apparaissait évidemment pas équivalente. On pourrait ainsi conseiller aux clients de faire preuve vis-à-vis de leur banque d’ouverture, de réflexion et de cohérence, pour que les signaux d’alarme s’allument plus rapidement et plus facilement en cas d’intervention frauduleuse d’un tiers.