Avis important:
Les versions anciennes du navigateur Netscape affichent cette page sans éléments graphiques. La page conserve cependant sa fonctionnalité. Si vous utilisez fréquemment cette page, nous vous recommandons l'installation d'un navigateur plus récent.
 
Chapeau

146 III 326


35. Extrait de l'arrêt de la Ire Cour de droit civil dans la cause A. SA contre B. (recours en matière civile)
4A_9/2020 du 9 juillet 2020

Regeste

Art. 100 al. 1, 101 al. 3, 107 al. 1, 402 CO; virements bancaires; défaut de légitimation du donneur d'ordre ou faux non décelés; clause de transfert de risque pour ordres donnés par e-mail; faute grave de la société financière.
Détermination, en deux étapes, de celui qui, de la société financière ou du client, doit supporter le dommage lorsqu'il y a clause de transfert de risque (consid. 4).
Absence de mandat du client (première étape): ordres donnés par des tiers agissant dans un but frauduleux (consid. 5).
Clause de transfert de risque (seconde étape): conditions de validité d'une telle clause (consid. 6.1). Circonstances dans lesquelles il y a faute grave de la société financière dans la vérification, notamment, des ordres donnés par e-mail (consid. 6.2). Application au cas d'espèce (consid. 6.3).

Faits à partir de page 327

BGE 146 III 326 S. 327

A.

A.a B. (ci-après: le client ou le demandeur ou l'intimé), ressortissant turc et homme d'affaires retraité, domicilié à Istanbul, était titulaire d'un portefeuille de titres auprès de la banque C. SA pour un montant total de 2'374'226 euros.
En automne 2014, il a décidé de transférer partiellement ses avoirs à A. SA, société de négoce en valeurs mobilières (ci-après: la société de négoce ou la défenderesse ou la recourante), dont D. est administrateur, président et délégué et E. administrateur délégué, tous deux avec signature collective à deux. Il a déclaré connaître D. depuis les années 1980 et le considérer comme un ami.

A.b Le 6 novembre 2014, B. a ouvert un compte auprès de cette société de négoce et y a fait transférer une partie des avoirs qu'il détenait jusqu'alors auprès de C. SA, soit environ 850'000 euros.
Le client n'a pas confié de mandat de gestion ou de conseil en placements financiers à la société de négoce. Les parties étaient donc liées formellement par un contrat execution only , le client ayant toutefois sollicité et obtenu des conseils en placement de la part de la société.
Le client a signé les documents d'ouverture de compte, une convention de banque restante, une décharge pour la communication par téléphone, télécopie et e-mail et a accepté les Conditions générales de la banque (ci-après: les CG).
Par la "décharge pour ordres transmis par téléphone, fax & e-mail", le client autorise expressément la société à accepter des instructions données notamment par e-mail et à les exécuter immédiatement, en n'importe quelles circonstances, même si elles ne sont pas suivies d'une confirmation écrite. Le client déclare assumer tous les risques,
BGE 146 III 326 S. 328
même en cas d'erreur de la part de la société quant à son identité et dégage celle-ci de toute responsabilité de ce chef pour tous dommages qu'il pourrait encourir.
Selon l'art. 1 al. 2 des CG, le dommage résultant de défauts de légitimation ou de faux non décelés est à la charge du client, sauf en cas de faute grave de la société de négoce.
En vertu de l'art. 5 des CG, le dommage provenant de l'emploi de la poste, du télégraphe, du téléphone, du fax, du courrier électronique ou de tout autre moyen de transmission ou d'une entreprise de transport, en particulier par suite de retard, pertes, malentendus, mutilations ou double expédition, est à la charge du client, sauf en cas de faute grave de la société de négoce.

A.c Selon le client, les communications entre lui et la société de négoce se déroulaient par messagerie électronique et par téléphone.
Entre février et juin 2015, le client a communiqué avec la société de négoce par e-mail, se servant d'abord de l'adresse xxx@hotmail.com, puis de celle zz@gmail.com, s'adressant principalement à E. et sollicitant des informations et des conseils en lien avec des placements financiers.
Depuis l'ouverture du compte le 6 novembre 2014 jusqu'aux faits litigieux qui se sont produits à compter du début décembre 2015, le client n'a donné que deux ordres de virement à des tiers en utilisant la dernière adresse e-mail sus-indiquée: le premier de 10'000 USD, le 20 juillet 2015, virement urgent aux Etats-Unis en faveur de sa fille, et le second de 44'000 euros, le 13 novembre 2015, en sa propre faveur sur une banque d'Istanbul.

A.d Depuis le début décembre 2015, des pirates ont pris le contrôle de l'adresse e-mail du client, ce qui leur a permis, à l'insu de celui-ci, d'utiliser son adresse e-mail, de lire les e-mails qu'il avait adressés précédemment à la société de négoce, d'en effacer et d'en envoyer.
C'est ainsi qu'entre le 1 er décembre 2015 et le 4 janvier 2016, ces escrocs ont envoyé 8 ordres de virement à la société de négoce, ordonnant et confirmant, pour l'exécution de certains, la vente de titres pour disposer de liquidités, tous ces ordres ayant été exécutés par la société par le débit du compte du client. Ces escrocs ont ainsi détourné des avoirs du client, en 7 virements, un montant de 34'000 euros et de 357'000 GBP.
Les deux premiers ordres, de 34'000 euros et 12'000 GBP, ne sont plus présentement litigieux.
BGE 146 III 326 S. 329
En revanche, les 6 ordres suivants, tous à destination de la banque I. au Royaume-Uni en faveur de trois sociétés différentes, ont été considérés comme suspects par la cour cantonale et imputés à faute à la société de négoce. Ils demeurent litigieux.
Des copies des virements exécutés ont été adressées par e-mail au client, qui n'a pas réagi, les pirates ayant intercepté les messages de la société de négoce.
Des avis de débit ont été déposés le jour même dans le dossier de banque restante du client.
Selon le client, son compte a passé de 960'000 euros à environ 300'000 euros.

A.e Les pirates ont continué à adresser des e-mails à la société de négoce. Ainsi, le 6 janvier 2016, la société de négoce a encore donné suite à un e-mail - sollicitant l'envoi d'un état de situation du portefeuille - dont l'adresse électronique était légèrement différente, à savoir zzz@... au lieu de zz@...
Puis, après que, le 7 janvier 2016, la société de négoce a reçu plusieurs e-mails, également depuis cette adresse différente, demandant à parler d'urgence à quelqu'un et de suspendre momentanément tout paiement, la société de négoce a demandé à l'expéditeur de transmettre son numéro de téléphone ou de prendre contact avec elle par téléphone. Une employée de la société de négoce a tenté de joindre le client par téléphone, à son numéro en Turquie; en procédure, le client a confirmé qu'il avait reçu un appel, mais qu'il n'avait pas répondu, ajoutant qu'aucun message ne lui avait été laissé. L'administrateur E. a alors interdit d'exécuter des ordres sans une validation. L'ordre de virement de 50'000 GBP du 8 janvier 2016, réitéré le 13 janvier 2016, n'a pas été exécuté, la société de négoce priant le client de confirmer sa nouvelle adresse, exigeant une confirmation de l'identité du donneur d'ordre et le priant de prendre contact par téléphone.
Ce n'est que les 13 et 14 janvier 2016 que la société de négoce a pu s'entretenir téléphoniquement avec le client, lequel a contesté tous les transferts effectués, sauf ceux des 21 juillet et 23 novembre 2015.
La société de négoce a invité la banque H., qui avait effectué les transferts, à solliciter le retour des fonds et/ou le blocage des transactions litigieuses.
En avril 2016, une société d'expertise mandatée par le client n'a détecté aucun phishing e-mail sur son ordinateur, ni aucune trace
BGE 146 III 326 S. 330
de mauvaise utilisation de celui-ci; elle n'a pas constaté qu'il aurait été trafiqué.

A.f Le client a réclamé à la société de négoce le remboursement des montants indûment débités de son compte, lui reprochant des manquements à son devoir de diligence. Il a requis sa poursuite le 21 avril 2016. La société de négoce a fait opposition au commandement de payer qui lui a été notifié.

B. Après l'échec de la conciliation le 19 octobre 2016, le client a déposé sa demande en paiement contre la société de négoce devant le Tribunal de première instance de Genève le 26 janvier 2017, concluant à la restitution des montants totaux de 370'515,28 euros, 202'277,74 USD et 15'764 fr. 70, tous avec intérêts, ainsi qu'au prononcé de la mainlevée définitive de l'opposition formée au commandement de payer à concurrence de ces montants.
La société de négoce a conclu au rejet de la demande.
Par jugement du 4 décembre 2018, le Tribunal a rejeté l'action du client.
Statuant sur appel du client le 31 octobre 2019, la Chambre civile de la Cour de justice du canton de Genève a réformé le jugement attaqué et, sur le fond, condamné la banque à lui payer les montants de 321'754,45 euros avec intérêts à 5 % l'an dès le 21 avril 2016 et de 185'639,15 USD avec les mêmes intérêts dès la même date, et prononcé la mainlevée définitive à concurrence de ces montants.

C. Contre cet arrêt, qui lui a été notifié le 28 novembre 2019, la société de négoce a interjeté un recours en matière civile au Tribunal fédéral le 9 janvier 2020, concluant en substance à sa réforme en ce sens que la demande du client est rejetée.
L'intimé conclut au rejet du recours.
L'effet suspensif a été attribué au recours par ordonnance du 26 février 2020.
(résumé)

Considérants

Extrait des considérants:

4. Lorsque le demandeur allègue que des versements ou virements ont été exécutés par la banque - ou tout autre mandataire financier - en dépit du défaut de légitimation du donneur d'ordre ou à la suite de faux non décelés, le juge doit examiner qui, du client ou de la banque, doit supporter le dommage qui en résulte en procédant comme suit:
BGE 146 III 326 S. 331

4.1 Dans une première étape , sur l'action principale du client en restitution de son avoir non amputé des prélèvements indus (art. 107 al. 1 CO), le juge doit examiner si les prélèvements ont été exécutés sur mandat ou sans mandat du client, ce qui présuppose, en cas de représentation du titulaire du compte par un tiers, de se poser la question des pouvoirs du représentant, respectivement de la ratification des prélèvements par le titulaire. En effet, si le transfert a été exécuté sur ordre du client, le recours à la clause de transfert de risque se révèle superflu.

4.2 Ce n'est que si les ordres ont été exécutés sans mandat du client que le juge doit examiner, dans une deuxième étape , si le dommage est un dommage de la banque ou si, en raison de la conclusion d'une clause de transfert de risque ( Risikotransferklausel ), le risque est à la charge du client.
Lorsque les parties ont conclu une clause de transfert de risque, il n'y a pas de troisième étape comme c'est le cas lorsque le système légal s'applique (cf. ATF 146 III 121 consid. 2 p. 127). C'est dans le cadre de l'examen de la faute grave de la banque, qui est réservée (art. 100 al. 1 CO par analogie; cf. consid. 6 ci-dessous), que le juge doit ensuite examiner la faute concomitante du client comme facteur d'interruption du lien de causalité adéquate ou de réduction de l'indemnité qui lui est due.

5. Dans la première étape, il faut examiner si les virements ont été exécutés par la banque sur mandat ou sans mandat du client ( ATF 146 III 121 consid. 3 p. 127).

5.1 L'argent figurant sur le compte bancaire ouvert au nom du client est la propriété de la banque, envers laquelle le client n'a qu'une créance en restitution.
Lorsque la banque vire de l'argent depuis ce compte à un tiers sur ordre (avec mandat) du client, elle acquiert une créance en remboursement contre celui-ci (art. 402 CO). A l'action en restitution du client, la banque peut donc opposer en compensation une créance en remboursement (arrêts 4A_119/2018 du 7 janvier 2019 consid. 5.2; 4A_379/2016 du 15 juin 2017 consid. 3.2.1). La prétention en remboursement présuppose que la banque ait correctement exécuté l'ordre qui lui a été donné par le client ( ATF 110 II 283 consid. 3a p. 285), notamment qu'elle ne se soit pas trompée, lors de son exécution, dans la personne du destinataire ou le numéro de compte indiqués par le client ( ATF 146 III 121 consid. 3.1.1 p. 128; ATF 126 III 20 consid. 3b/aa p. 22).
BGE 146 III 326 S. 332
En revanche, lorsque la banque vire de l'argent depuis ce compte à un tiers sans ordre (sans mandat) du client, elle n'acquiert pas de créance en remboursement. A l'action en restitution du client, la banque ne peut donc pas opposer en compensation une créance en remboursement; elle doit contre-passer l'écriture et l'art. 402 CO n'entre pas en considération ( ATF 146 III 121 consid. 3.1.2 p. 128; arrêts 4A_379/2016 précité consid. 3.2.2; 4A_438/2007 du 29 janvier 2008 consid. 5.1).

5.2 En l'espèce, il n'est pas contesté que les 6 ordres encore litigieux, donnés entre le 1 er décembre 2015 et le 4 janvier 2016, émanaient de tiers inconnus agissant dans un but frauduleux. Ils ont donc été exécutés sans mandat du client.

6. Dans la seconde étape, le juge doit examiner la validité et les conditions de la clause de transfert de risque conclue par les parties, en particulier si la banque a commis une faute grave dans l'exécution des ordres de virement frauduleux.

6.1 Selon la jurisprudence, il est habituel que les conditions générales des banques auxquelles le client adhère comportent une clause dite de transfert de risque. Généralement, cette clause prévoit que le dommage résultant de défauts de légitimation ou de faux non décelés est à la charge du client, sauf en cas de faute grave de la banque (GUGGENHEIM/GUGGENHEIM, Les contrats de la pratique bancaire suisse, 5 e éd. 2014, n. 339). Par l'effet de cette clause, le risque normalement supporté par la banque est ainsi reporté sur le client ( ATF 132 III 449 consid. 2 p. 452; ATF 122 III 26 consid. 4a p. 32; ATF 112 II 450 consid. 3a p. 454). Il ne s'agit pas à proprement parler d'une clause qui aurait pour effet d'exclure ou de limiter la responsabilité contractuelle de la banque, laquelle n'est pas en cause puisqu'il ne s'agit pas là d'inexécution ou d'exécution imparfaite du contrat, mais d'une clause de transfert sur la tête du client du risque que la banque doit en principe supporter en cas d'exécution en main d'une personne non autorisée; cette clause met préventivement à la charge du client le dommage subi par la banque ( Schadensabwälzung ) et institue, par conséquent, une responsabilité du premier envers la seconde, qui s'étend même aux cas fortuits ( Zufallshaftung ) ( ATF 112 II 450 consid. 3a p. 454; arrêt 4A_379/2016 précité consid. 3.3.1).
La validité d'une telle clause doit être examinée par application analogique des art. 100 et 101 al. 3 CO, qui régissent les conventions d'exonération de la responsabilité pour inexécution ou exécution
BGE 146 III 326 S. 333
imparfaite du contrat, et ce bien que la clause de transfert de risque ne relève pas de l'inexécution contractuelle au sens des art. 97 ss CO ( ATF 112 II 450 consid. 3a p. 455; arrêts 4A_386/2016 du 5 décembre 2016 consid. 2.2.4; 4A_54/2009 du 20 avril 2009 consid. 1). Par conséquent, si un dol ou une faute grave est imputable à la banque, la clause d'exonération est nulle (art. 100 al. 1 CO; pour des critiques quant à l'admission de la clause de transfert de risque, cf. GAUCH, Die Vertragshaftung der Banken und ihre AVB, recht 2006 p. 77 ss, 79; BUCHER, Wie lange noch Belastung des Kunden mit den Fälschungsrisiken im Bankenverkehr?, recht 1997 p. 41 ss, 42-43; BRACHER, Legitimationsprüfung und Risikotransfer bei E-Mail-Zahlungsaufträgen, SZW 2018 p. 156 ss, 158-159 et les références).
Les mêmes principes doivent s'appliquer lorsque les parties sont convenues d'une décharge pour les instructions transmises par le client par téléphone, par téléfax ou par e-mail, qui autorise la banque à exécuter les instructions lui parvenant par l'un de ces moyens de transmission, et transfère les risques en découlant sur la tête du client, y compris les cas fortuits. Est réservée la faute grave de la banque, conformément à l'art. 100 al. 1 CO applicable par analogie.

6.2 Constitue une faute grave la violation des règles élémentaires de prudence dont le respect se serait imposé à toute personne raisonnable placée dans les mêmes circonstances (arrêts 4A_386/2016 précité consid. 2.2.5; 4A_398/2009 du 23 février 2010 consid. 6.1; ATF 128 III 76 consid. 1b p. 81; ATF 119 II 443 consid. 2a p. 448). Commet, en revanche, une négligence légère la personne qui ne fait pas preuve de toute la prudence qu'on aurait pu attendre d'elle, sans toutefois que sa faute - non excusable - puisse être considérée comme une violation des règles de prudence les plus élémentaires (arrêt 4A_386/2016 précité ibid. et les références). Le juge apprécie (art. 4 CC) les agissements de l'auteur négligent en se référant à la diligence que l'autre partie était en droit d'attendre, en vertu, notamment, des clauses du contrat et des usages professionnels (arrêts 4A_386/2016 précité ibid.; 4A_438/2007 précité consid. 5.3). Le fardeau de la preuve de la faute grave de la banque incombe au client (art. 8 CC).

6.2.1 En règle générale, la banque n'est tenue de vérifier l'authenticité des ordres qui lui sont adressés que selon les modalités convenues entre les parties ou, le cas échéant, spécifiées par la loi.

6.2.1.1 En matière de vérification des signatures, la banque n'a pas à prendre de mesures extraordinaires, incompatibles avec une liquidation
BGE 146 III 326 S. 334
rapide des opérations, et elle n'a pas à systématiquement présumer l'existence d'un faux ( ATF 111 II 263 consid. 2b p. 268; cf. également ATF 122 III 26 consid. 4a/aa p. 32; arrêt 4A_438/2007 précité consid. 5.3). Elle ne doit procéder à des vérifications supplémentaires que s'il existe des indices sérieux d'une falsification, si l'ordre ne porte pas sur une opération prévue par le contrat ni habituellement demandée ou encore si des circonstances particulières suscitent le doute ( ATF 132 III 449 consid. 2 p. 453; ATF 116 II 459 consid. 2a p. 461 s.; arrêts 4A_386/2016 précité consid. 2.2.6; 4A_230/ 2008 du 27 mars 2009 consid. 4.1.2; 4A_438/2007 précité consid. 5.3). Ainsi, la jurisprudence a notamment retenu une faute grave de la banque lorsque deux ordres, qui étaient supposés émaner de personnes différentes, présentaient les mêmes fautes d'orthographe et portaient des signatures présentant des différences par rapport aux signatures de référence déposées à la banque, lesquelles étaient décelables au premier coup d'oeil (arrêt 4A_438/2007 précité consid. 5.5). De même, la jurisprudence a admis une faute grave de la banque en présence d'ordres frauduleux d'un gérant indépendant parce que ces ordres avaient pour conséquence de vider le compte de l'essentiel de sa substance alors que ce gérant n'avait pas le pouvoir de faire des bonifications à des tiers lorsque la contrepartie ne se retrouvait pas dans le compte du client (arrêt 4A_379/2016 précité consid. 5.3, résumé dans l'arrêt 4A_119/2018 précité consid. 3.2).

6.2.1.2 Lorsque les parties sont convenues d'habiliter le client à transmettre des ordres par e-mail, la banque n'a pas non plus à prendre de mesures extraordinaires, incompatibles avec une liquidation rapide des opérations, et elle n'a pas à systématiquement présumer que l'e-mail qui lui est communiqué depuis l'adresse e-mail du client ne provient pas de celui-ci. La clause de transfert de risque met à la charge du client le dommage causé par des interventions illicites de tiers dans son système informatique ou sur son ordinateur. Il lui appartient en effet de prendre toutes les mesures de précaution nécessaires pour éviter de telles utilisations abusives. La responsabilité du client s'étend même aux cas fortuits ( Zufallshaftung ) ( ATF 112 II 450 consid. 3a p. 454), notion qui, en responsabilité contractuelle, englobe les événements et les comportements humains qui ne peuvent pas être imputés aux parties au contrat (REY/WILDHABER, Ausservertragliches Haftpflichtrecht, 5 e éd. 2018, n. 695).
Par conséquent, il ne peut y avoir de faute grave de la banque et, partant, de responsabilité de celle-ci que si l'examen auquel elle procède,
BGE 146 III 326 S. 335
nécessairement rapidement pour ce type d'opérations bancaires, fait apparaître des indices sérieux d'une usurpation d'adresse et donc d'identité. Tel serait le cas s'il devait sauter aux yeux de toute personne raisonnable que l'ordre transmis, de par son adresse, son texte, son contenu ou un lieu de virement exotique, et compte tenu de la situation du client, ne pouvait émaner de celui-ci.
Ainsi, dans le cas d'un client dont la messagerie avait été piratée par des inconnus, ce qui leur avait permis d'adresser à la banque, à l'insu de celui-ci, des e-mails provenant de son adresse e-mail ainsi que d'intercepter, de manière à ce que le client n'en ait pas connaissance, les e-mails que lui adressait la banque à cette même adresse, la jurisprudence a retenu une faute grave de la banque parce que les ordres de virement étaient rédigés dans un anglais présentant des erreurs de syntaxe, des fautes d'orthographe et un vocabulaire approximatif alors que le client était un avocat de langue anglaise, qui s'était toujours exprimé en bon anglais, avec une syntaxe correcte et une variété de termes adéquats et précis, et que ces ordres portaient sur des montants importants à destination de deux bénéficiaires dans des banques à Hong Kong et à Singapour, dont le premier entamait déjà le compte de plus d'un quart, alors que le client, dont la relation avec la banque durait depuis 20 ans, avait constamment accru ses positions dans une optique de conservation à long terme, ce qui était connu de la banque (arrêt 4A_386/2016 précité consid. 2.3 et 2.4).

6.3

6.3.1 En l'espèce, selon les constatations de l'arrêt attaqué, les parties sont convenues de deux clauses de transfert de risque, sauf faute grave de la banque, la première pour les cas de défaut de légitimation et de faux non décelés (art. 1 al. 2 des CG) et la seconde pour les erreurs de transmission par l'emploi du courrier électronique (art. 5 des CG). Par la convention de décharge signée séparément, le client autorise expressément la société de négoce à accepter ses instructions données notamment par e-mail et à les exécuter immédiatement, en n'importe quelles circonstances, déclare assumer tous les risques en découlant, même en cas d'erreur de la part de la société quant à son identité et dégage celle-ci de toute responsabilité de ce chef pour tous dommages qu'il pourrait encourir. Il est par ailleurs constant que la société de négoce n'avait pas l'obligation de contacter systématiquement le client par téléphone avant d'exécuter un ordre de paiement donné par e-mail afin de vérifier l'identité du donneur d'ordre.
BGE 146 III 326 S. 336
Même si elle ne le précise pas expressément, la convention de décharge ne vaut que sous réserve d'une faute grave de la banque, en vertu de l'art. 100 al. 1 CO applicable par analogie.

6.3.2 Pour déterminer si la société de négoce a commis une faute grave dans l'exécution des 6 ordres frauduleux encore litigieux, il faut tenir compte de toutes les circonstances.

6.3.2.1 Il résulte des constatations de fait que le demandeur n'était client de la société de négoce, à laquelle il a transféré une partie seulement de ses avoirs, que depuis une année environ au moment des faits litigieux. Durant cette période, il a toujours communiqué avec la banque par e-mail, voire par téléphone, sollicitant des informations et des conseils en lien avec des placements financiers. Il a donné deux ordres de virement: un virement urgent de 10'000 USD à une société aux Etats-Unis, dont le destinataire final était sa fille, et un virement de 44'000 euros à une banque à Istanbul en sa propre faveur.
A partir du début décembre 2015, alors que le compte du client se montait à environ 850'000 euros, 8 ordres de virement ont été passés en un mois depuis l'adresse e-mail du client et exécutés par la société de négoce, avant que, à partir du 6 janvier 2016, l'adresse e-mail ne soit légèrement modifiée, à savoir zzz@... au lieu de zz@..., ce qui a conduit la société à bloquer toutes les transactions à partir du 7 janvier 2016 et à exiger du client qu'il prenne contact avec elle par téléphone, ce qu'il n'a fait que le 13 janvier 2016.
Ainsi, entre le 1 er décembre 2015 et le 4 janvier 2016, la banque a exécuté les 8 ordres de virements suivants:
1) 1 er décembre: 34'000 euros à F. au Royaume-Uni en faveur d'une société/B.;
2) 2 décembre: 12'000 GBP à F. au Royaume-Uni en complément, le premier virement ayant été fait en euros au lieu de GBP, virement annulé faute de précisions suffisantes concernant le destinataire;
3) 7 décembre: 100'000 GBP à la banque I. au Royaume-Uni en faveur de J. Ltd, au motif d'un "urgent business deal", après la confirmation de la vente de titres pour disposer de suffisamment de liquidités;
4) 7 décembre: réitération du virement de 12'000 GBP, précédemment annulé, toujours à la même banque en faveur de K. Co;
5) 15 décembre: 50'000 GBP, toujours à la même banque, en faveur de la société G. Ltd, également après la vente de titres;
BGE 146 III 326 S. 337
6) 21 décembre: 70'000 GBP, toujours à la même banque et en faveur de la même société, également après la vente de titres;
7) 29 décembre: 80'000 GBP, toujours à la même banque et constituant le 2 e virement en faveur de la société J. Ltd, également après la vente de titres; et
8) 4 janvier: 45'000 GBP, toujours à la même banque et constituant le 3 e virement en faveur de la société G. Ltd.
Il a été retenu que les pirates ont pris le contrôle de l'adresse e-mail du client, ce qui leur a permis, à l'insu de celui-ci, d'utiliser son adresse e-mail, de lire les e-mails qu'il avait précédemment échangés avec la société de négoce, d'en effacer et d'en envoyer. Il n'a pas été établi comment les pirates sont parvenus à prendre le contrôle de la messagerie électronique du client, ni, par voie de conséquence, les mesures qui auraient été nécessaires pour empêcher cette prise de contrôle.

6.3.2.2 La cour cantonale n'a retenu aucune faute grave à la charge de la société de négoce pour les deux premiers ordres; ceux-ci n'ont pas été remis en cause par le client, qui n'a pas recouru sur ce point contre l'arrêt cantonal.
En revanche, elle a considéré que la société a commis une faute grave dans l'exécution du 3 e ordre et a fortiori pour les 5 suivants. Elle a considéré qu'il ne peut être présumé que la prise de contrôle de la messagerie dont a été victime le client implique nécessairement un manque de diligence de sa part. La société recourante conteste toute faute grave de sa part, critiquant notamment le degré de la faute mis à sa charge au vu du degré de diligence que le client pouvait attendre d'elle, et ce en violation de l'art. 100 CO.

6.3.2.3 L'appréciation juridique d'une faute grave admise par la cour cantonale ne peut être suivie.
Le client a signé spécialement une convention de décharge pour les ordres transmis notamment par e-mail, invitant la société de négoce à exécuter immédiatement les ordres ainsi reçus, en n'importe quelles circonstances, sans confirmation écrite et dégageant celle-ci de toute responsabilité pour les dommages qu'il pourrait encourir. A moins qu'il n'existât des indices sérieux d'abus de la messagerie et donc de fraude, la société de négoce n'avait pas à suspecter les ordres de virement donnés depuis l'adresse e-mail du client. Or, les éléments retenus par la cour cantonale ne sont pas de tels indices et ne
BGE 146 III 326 S. 338
réalisent donc pas la condition de la faute grave de la société de négoce: ils n'atteignent pas le degré de gravité équivalant à un manquement absolument inexcusable de sa part, parce que violant les règles les plus élémentaires de la prudence.
En effet, tous les e-mails provenaient de l'adresse de messagerie communiquée par le client. Les nombreux e-mails échangés dans un anglais approximatif à propos de l'exécution des ordres et de la vente de titres pour disposer de liquidités ne permettaient pas à la société de suspecter des faux dès lors que l'anglais n'était pas la langue maternelle du client, qu'il avait déjà fait des fautes dans ses précédents e-mails, se dispensant souvent de formules de politesse, et que les pirates avaient pu consulter les e-mails qu'il avait échangés précédemment avec la société et avaient su habilement s'en inspirer.
Tous les virements à exécuter devaient l'être à destination d'une banque connue du Royaume-Uni et non à destination de pays lointains ou exotiques, et la société de négoce ne s'était pas engagée vis-à-vis du client à vérifier l'identité du bénéficiaire final.
Même si le 3 e ordre de virement portait sur un montant de 100'000 GBP, cet ordre avait été précédemment annoncé et justifié par le motif d'un "urgent business deal" et accompagné d'une demande de conseil pour se procurer des liquidités par la vente de titres. Même si le client, ancien homme d'affaires, était retraité, une affaire économique de 100'000 GBP n'obligeait pas la société à s'assurer du bien-fondé de sa décision et de son choix, ce d'autant qu'il disposait d'avoirs d'environ 850'000 euros. Dès lors que le virement avait sa cause dans un business deal , il est normal et logique que le bénéficiaire fût un tiers, et non le client lui-même ou un membre de sa famille comme ce fut le cas pour les deux virements effectués précédemment par lui.
Les 5 ordres litigieux suivants ont certes été donnés en un mois et le total des 6 ordres se montait à 357'000 GBP. Il n'est toutefois pas possible de déduire de cette fréquence et du montant en cause une faute grave de la société de négoce.
Le client intimé ne peut rien tirer des circonstances différentes de l'arrêt 4A_386/2016, dans lequel une faute grave de la banque a été admise: les ordres de virement étaient rédigés dans un anglais présentant des erreurs de syntaxe, des fautes d'orthographe et un vocabulaire approximatif alors que le client était un avocat de langue anglaise s'étant toujours exprimé en bon anglais, avec une syntaxe correcte et une variété de termes adéquats et précis; ils portaient
BGE 146 III 326 S. 339
sur des montants importants à destination de deux bénéficiaires dans des banques à Hong Kong et à Singapour, dont le premier entamait déjà le compte de plus d'un quart, alors que le client, dont la relation avec la banque durait depuis 20 ans, avait constamment accru ses positions dans une optique de conservation à long terme, ce qui était connu de la banque. Il en va de même des deux autres cas de faute grave cités par la cour cantonale, qui reposaient sur des états de fait non comparables (cf. consid. 6.2.1.2 ci-dessus).
Dès lors que la clause de transfert de risque ("la décharge") englobe les cas fortuits, le dommage est à la charge du client même s'il n'a commis aucune faute dans le fait que des pirates ont pu prendre le contrôle de sa messagerie. Autre serait la situation si c'était le système informatique de la banque qui avait été piraté.

6.3.3 En conclusion, la société de négoce n'ayant pas commis de faute grave, le risque d'utilisation abusive de la messagerie du client demeure à la charge de celui-ci.

contenu

document entier
regeste: allemand français italien

Etat de fait

Considérants 4 5 6

références

ATF: 146 III 121, 112 II 450, 132 III 449, 122 III 26 suite...

Article: art. 100 al. 1 CO, art. 402 CO, art. 100 et 101 al. 3 CO, art. 107 al. 1 CO suite...