Fraudes à l’ingénierie sociale et responsabilité de la banque

Les fraudes à l’ingénierie sociale se caractérisent par des modes opératoires singuliers qui visent à déjouer un système de sécurité en s’attaquant, non pas à une faille technique, mais à une faille humaine. Se pose, à leur égard, la question de la responsabilité de la banque.

Dans de tels scénarios, il s’agira, pour le fraudeur, d’user de “l’art de manipuler son interlocuteur” pour que celui-ci réalise une action ou divulgue une information confidentielle. L’exemple typique est la manipulation d’une cible, souvent un salarié d’une entreprise, pour qu’elle communique des informations confidentielles qui permettront au fraudeur de réaliser lui-même un virement ou pour qu’elle émette elle-même un virement frauduleux.

En se fondant sur l’obligation contractuelle de vigilance du banquier la jurisprudence engage, dans certains cas, la responsabilité de la banque (I). La règle « know your customer », dont l’une des finalités est la lutte contre la fraude, ne constituerait-elle pas un fondement plus adéquat pour engager cette responsabilité (II) ?

L’obligation contractuelle de vigilance du banquier

Dans de tels scénarios, la jurisprudence engage la responsabilité de la banque en s’appuyant sur la négligence du banquier qui a manqué à son obligation contractuelle de vigilance vis-à-vis de son client[1]. En effet, «la banque doit faire preuve de vigilance […] et même en dehors des obligations légales qui lui sont imposées [2]».

Deux hypothèses doivent cependant être distinguées :
La première concerne les ordres de virements dont le caractère frauduleux aurait pu être décelé par la banque. Dans ce cas, même si le client ou l’un de ses préposés a commis une faute, la banque engage sa responsabilité dès lors qu’elle n’a pas décelé une anomalie apparente sur l’ordre de virement[3].
La seconde concerne les ordres de virements frauduleux apparemment conformes. D’abord, la jurisprudence considérait qu’une banque ne commet aucune faute en exécutant un ordre de virement dont la falsification était pratiquement indécelable[4]. Puis, la position de la jurisprudence s’est durcie, invoquant un manquement à l’obligation de vigilance du banquier. Ainsi, la Cour d’appel de Paris a décidé, en 1996, que malgré l’apparente régularité de l’ordre de virement revêtu d’une signature et d’un cachet commercial parfaitement contrefaits, l’ordre de virement aurait dû paraître anormal aux yeux du banquier[5]. En l’espèce, il s’agissait d’un virement international et la banque ne pouvait ignorer que son client avait, en principe, une activité circonscrite au territoire national.

Un fondement peu convaincant

L’affirmation de l’existence d’une obligation contractuelle de vigilance du banquier n’a pourtant juridiquement rien d’évident[6]. En effet, ce principe n’est posé ni dans une disposition légale ni dans un arrêt de principe[7]. En effet, bien que la jurisprudence parle de la vigilance du banquier, elle n’érige pas en principe une « obligation de vigilance »[8]. Par ailleurs pour fonder l’obligation contractuelle de vigilance du banquier envers son client, il est vain de se retrancher derrière les articles L 561-2 et suiv. du Code monétaire et financier. Ces articles posent une obligation légale de vigilance des établissements qui s’exerce principalement au profit de TRACFIN (Traitement du renseignement et action contre les circuits financiers clandestins). Ils ont pour finalité la prévention de la lutte contre le blanchiment de capitaux et le financement du terrorisme[9]. C’est pourquoi la jurisprudence a toujours refusé qu’un client invoque l’inobservation de ces textes pour fonder une action en violation d’une obligation de vigilance[10].

Depuis un arrêt de 2013[11], il semblerait que la jurisprudence s’éloigne de l’obligation de vigilance pour engager la responsabilité de la banque en cas de fraude à l’ingénierie sociale. Pour autant, elle ne pose pas explicitement un autre fondement permettant d’engager, la responsabilité du banquier teneur de compte.

La règle « know your customer » : un fondement à explorer

L’obligation de connaissance du client (connue sous l’expression « Know Your Customer »), a, depuis une vingtaine d’année, progressivement imprégné l’ensemble des activités bancaires et financières. En droit français, cette règle est essentiellement utilisée pour désigner les obligations d’identification et de surveillance du client en matière de lutte anti blanchiment[12]. Or, il s’agit là d’une transcription parcellaire d’une notion de droit étranger qui a, en réalité, une application bien plus large[13]. En atteignant sa pleine maturité en droit français, la règle « Know Your Customer » devrait pouvoir constituer le nouveau fondement de la responsabilité du banquier teneur de compte, tant en cas d’anomalie apparente sur l’ordre de virement qu’en cas de virement frauduleux apparemment conforme.

                                                                                                          Dorothée GOETZ

[1] Cass.com., 23 juin 2004, n° 01-14624 ; Cass.com., 2 octobre 2007, n° 05-21421

[2] Cass.com., 22 novembre 2011, n° 10-30101 ; X. DELPECH, Retour sur le devoir de vigilance du banquier teneur de compte, Dalloz actualités, 1 décembre 2011.

[3]  Cass.com., 8 novembre 2005, n° 03-20402 : A. LIENHARD, Responsabilité de la banque réceptionnaire d’un ordre de virement irrégulier, D. 2002, p. 717.

[4] M. VASSEUR, Une banque ne commet aucune faute en exécutant un ordre de virement dont la falsification était pratiquement indécelable, D. 1992, p. 25.

[5] H. VRAY, Responsabilité partielle de la banque qui a exécuté un faux ordre de virement, commettant ainsi une faute de négligence en s’abstenant de prévenir son client alors que les circonstances du virement le lui imposaient, D. 1996. 507. Dans le même sens, V. Cass.com., 4 novembre 2014, n° 13-13266.

[6] H. CAUSSE, Droit bancaire et financier, éd. Direct Droit, 2014, p.  403, n° 841 et, aussi, n° 921 et n° 1474.

[7] Cass. com. 19 déc. 2000, n° 97-16763 : Bull. IV, n° 190, 1er moyen ; Cass. com., 16 octobre 2012, n° 11-19981 ; Cass. com., 13 juin 1995, Bull. Joly Bourse 1995, p. 392.

[8] En ce sens, V. H. CAUSSE, La vaine invocation du devoir de vigilance contre un établissement financier, accessible sur  http://finance-gestion.efe.fr/2014/04/23/la-vaine-invocation-du-devoir-de-vigilance-contre-un-etablissement-financier/ ; En sens inverse, V. X. DELPECH, op.cit.

[9] S. LAVRIC, Blanchiment : les obligations de vigilance et de déclaration précisées, D. 2009, p. 2030.

[10] Cass. com., 28 avril 2004, n° 02-15054, JCP E 2004, p. 830, note J. STOUFFLET ; Sur le même arrêt, V. note M. CABRILLAC, RTD Com 2004, p. 577.

[11] Cass.2eme civ., 4 juillet 2013,n° 12-202424.

[12] T. BONNEAU, Droits bancaires et financiers comparés. I. Pratiques comparées : « know your customer », RD bancaire et fin. , Mars 2008, dossier 7.

[13] A. BONZOM, La règle « know your customer » en droit bancaire et financier, Thèse, Paris I, 2011.