Le Tribunal fédéral admet le recours d’une banque privée condamnée à rembourser les pertes subies par un client turc. La justice genevoise estimait qu’elle avait commis une faute grave en ne remarquant pas que les ordres de paiement reçus par courriel émanaient de pirates.

En 2014, le client, un homme d’affaires à la retraite âgé de 74 ans, avait déposé quelque 850’000 euros, soit le tiers de sa fortune, auprès d’une banque privée genevoise. Les conditions générales prévoyaient que l’établissement était déchargé de toute responsabilité pour les ordres reçus par téléphone ou par e-mail en cas de défaut de légitimation. La banque ne répondait que pour faute grave.

Durant un an, le septuagénaire avait communiqué avec la banque en utilisant successivement deux adresses e-mail différentes. Il avait donné deux ordres de paiement, en faveur de sa fille et pour lui-même. Entre décembre 2015 et janvier 2016, huit ordres avaient été passés coup sur coup par des pirates qui avaient pris, à l’insu du client et de la banque, le contrôle du compte e-mail.

Les versements totalisant 34’000 euros et 357’000 livres sterling passaient par des banques britanniques. La banque genevoise a bloqué le compte lorsqu’elle a constaté un léger changement dans l’orthographe de l’adresse e-mail et tenté en vain de joindre son client par téléphone. Par la suite, des experts en informatique n’ont décelé aucun e-mail de phishing sur l’ordinateur de la victime, ni aucun indice de mauvaise utilisation.

Par un arrêt publié mardi, le Tribunal fédéral a annulé le jugement de la Cour de justice du canton de Genève qui condamnait la banque à payer quelque 320’000 euros et 185’000 dollars. La cour estimait que le troisième ordre et les suivants auraient dû sembler insolites. La banque avait donc commis une faute grave.

Les juges de Mon Repos ont constaté que la clause de transfert de risque - une disposition courante dans les conditions générales des établissements financiers - était valable. Y compris lorsqu’elle s’applique aux instructions transmises par téléphone, fax ou e-mail.

Seule une faute grave - soit la violation des règles élémentaires de prudence - empêche la banque d’invoquer une telle décharge. Selon la jurisprudence, la banque n’a pas à prendre des mesures extraordinaires ou à présumer systématiquement qu’un message envoyé depuis l’adresse e-mail du client serait un faux.

En l’espèce, la banque et son client s’étaient entendus sur deux clauses de transfert de risque, la première pour les défauts de légitimation et les faux non décelés et la seconde pour les erreurs de transmission par courrier électronique. Le contrat prévoyait aussi que la banque n’était pas obligée de vérifier systématiquement l’identité de l’auteur de l’ordre avant de l’exécuter.

La 1ère Cour de droit civil constate que la relation d’affaires durait depuis un an environ. Durant cette période, le client avait, comme convenu, communiqué par e-mail ou téléphone. Avant les ordres falsifiés, il avait lui-même effectué deux virements selon la méthode convenue.

Pour les juges lausannois, les éléments retenus par leurs collègues genevois ne permettent pas de conclure à une faute grave. Les ordres reçus provenaient de l’adresse e-mail de la victime. S’ils étaient rédigés dans un anglais approximatif, ils ne détonaient pas par rapport aux messages authentiques. Enfin, ils devaient être exécutés à destination de banques connues du Royaume-Uni et non d’établissements exotiques.

La fréquence soudaine des ordres ne permettait pas de soupçonner une fraude et, partant, une faute grave de la banque privée. La clause de transfert de risque englobant aussi le cas fortuit, le client doit assumer le dommage même s’il n’a commis aucune faute dans la prise de contrôle de sa messagerie. Il en irait autrement si les pirates s’étaient infiltrés dans le système informatique de la banque, concluent les juges. (arrêt 4A_9/2020 du 9 juillet 2020)