Tribunal fédéral: Banque privée disculpée après le piratage des e-mails d’un client
Publié

Tribunal fédéralBanque privée disculpée après le piratage des e-mails d’un client

Le contrat liant la banque et son client ne prévoyait pas que la banque vérifie systématiquement l’identité du client avant d’exécuter un ordre. Le Tribunal fédéral a donc cassé le jugement pour faute grave de la justice genevoise.

Le Tribunal fédéral admet le recours d’une banque privée.

Le Tribunal fédéral admet le recours d’une banque privée.

KEYSTONE

Le Tribunal fédéral admet le recours d’une banque privée condamnée à rembourser les pertes subies par un client turc. La justice genevoise estimait qu’elle avait commis une faute grave en ne remarquant pas que les ordres de paiement reçus par courriel émanaient de pirates.

En 2014, le client, un homme d’affaires à la retraite âgé de 74 ans, avait déposé quelque 850’000 euros (916’000 francs), soit le tiers de sa fortune, auprès d’une banque privée genevoise. Les conditions générales prévoyaient que l’établissement était déchargé de toute responsabilité pour les ordres reçus par téléphone ou par e-mail en cas de défaut de légitimation. La banque ne répondait que pour faute grave.

Durant un an, le septuagénaire avait communiqué avec la banque en utilisant successivement deux adresses e-mail différentes. Il avait donné deux ordres de paiement, en faveur de sa fille et pour lui-même. Entre décembre 2015 et janvier 2016, huit ordres avaient été passés coup sur coup par des pirates qui avaient pris, à l’insu du client et de la banque, le contrôle du compte e-mail.

Pas de trace de phishing

Les versements totalisant 34’000 euros (37’000 francs) et 357’000 livres sterling (423’000 francs) passaient par des banques britanniques. La banque genevoise a bloqué le compte lorsqu’elle a constaté un léger changement dans l’orthographe de l’adresse e-mail et tenté en vain de joindre son client par téléphone. Par la suite, des experts en informatique n’ont décelé aucun e-mail de phishing sur l’ordinateur de la victime, ni aucun indice de mauvaise utilisation.

Par un arrêt publié mardi, le Tribunal fédéral a annulé le jugement de la Cour de justice du canton de Genève qui condamnait la banque à payer quelque 320’000 euros (345’000 francs) et 185’000 dollars (170’000 francs). La cour estimait que le troisième ordre et les suivants auraient dû sembler insolites. La banque avait donc commis une faute grave.

Les juges de Mon Repos ont constaté que la clause de transfert de risque – une disposition courante dans les conditions générales des établissements financiers – était valable. Y compris lorsqu’elle s’applique aux instructions transmises par téléphone, fax ou e-mail.

Transfert de risque

Seule une faute grave – soit la violation des règles élémentaires de prudence – empêche la banque d’invoquer une telle décharge. Selon la jurisprudence, la banque n’a pas à prendre des mesures extraordinaires ou à présumer systématiquement qu’un message envoyé depuis l’adresse e-mail du client serait un faux.

En l’espèce, la banque et son client s’étaient entendus sur deux clauses de transfert de risque, la première pour les défauts de légitimation et les faux non décelés et la seconde pour les erreurs de transmission par courrier électronique. Le contrat prévoyait aussi que la banque n’était pas obligée de vérifier systématiquement l’identité de l’auteur de l’ordre avant de l’exécuter.

La 1ère Cour de droit civil constate que la relation d'affaires durait depuis un an environ. Durant cette période, le client avait, comme convenu, communiqué par e-mail ou téléphone. Avant les ordres falsifiés, il avait lui-même effectué deux virements selon la méthode convenue.

Pas de faute grave

Pour les juges lausannois, les éléments retenus par leurs collègues genevois ne permettent pas de conclure à une faute grave. Les ordres reçus provenaient de l’adresse e-mail de la victime. S’ils étaient rédigés dans un anglais approximatif, ils ne détonaient pas par rapport aux messages authentiques. Enfin, ils devaient être exécutés à destination de banques connues du Royaume-Uni et non d’établissements exotiques.

La fréquence soudaine des ordres ne permettait pas de soupçonner une fraude et, partant, une faute grave de la banque privée. La clause de transfert de risque englobant aussi le cas fortuit, le client doit assumer le dommage même s'il n’a commis aucune faute dans la prise de contrôle de sa messagerie. Il en irait autrement si les pirates s’étaient infiltrés dans le système informatique de la banque, concluent les juges.

(ATS/NXP)

Votre opinion