La responsabilité des administrateurs victimes d’une escroquerie au Président
TF, 29.06.2021, 4A_344/2020, 4A_342/2020
L’administrateur victime d’une escroquerie au Président est responsable du dommage qui en découle pour la société lorsqu’il aurait dû déceler la supercherie (violation fautive du devoir de diligence).
Faits
Une société suisse est administrée par deux personnes avec pouvoir de signature collective à deux. Elle fait partie d’un groupe de sociétés et s’occupe principalement de recevoir les paiements de factures adressées aux clients du groupe.
En 2011, la société suisse est victime d’une « escroquerie au Président ». En résumé, un escroc contacte le premier administrateur en se faisant passer pour le président du groupe. Il lui mentionne un transfert urgent et confidentiel en raison d’un contrôle fiscal inopiné. L’administrateur pose une question de sécurité à son interlocuteur, lequel y répond correctement (soit le fait qu’il joue au polo). Conformément à cette conversation, une tierce personne contacte l’administrateur par téléphone. Ce tiers confirme les difficultés du président du groupe et souligne le caractère confidentiel du transfert. L’administrateur reçoit ensuite une facture par courriel d’une adresse électronique très proche de celle du président du groupe. Conformément à leur pratique, l’administrateur enregistre l’ordre de transfert et informe le second administrateur des circonstances entourant le transfert afin que celui-ci l’approuve. Il s’ensuit plusieurs échanges de courriels entre le premier administrateur et le tiers en raison d’une erreur dans la localité de la banque bénéficiaire en Chine. Le virement de EUR 486’000.- est finalement exécuté, après que la banque a procédé à plusieurs corrections dans les données SWIFT.
Quelques jours plus tard, le comptable du groupe de sociétés découvre la fraude. Les auteurs ne sont néanmoins pas identifiés et les fonds ne sont pas non plus retrouvés.
La société suisse actionne les deux administrateurs. Le Tribunal genevois de première instance considère qu’ils ont commis une faute grave, mais que la société suisse a également commis une faute en n’adoptant aucune mesure de sécurité. Il admet ainsi la demande à hauteur de EUR 243’000.- pour le premier administrateur et de EUR 81’000.- pour le second.
Sur appel, la Cour de justice genevoise réforme le jugement. Elle retient que la société suisse n’a commis aucune faute concomitante et que les deux administrateurs sont entièrement et solidairement responsables du dommage (ACJC/667/2020).
Saisi par les deux administrateurs, le Tribunal fédéral doit préciser la diligence attendue d’administrateurs lors d’une escroquerie au Président.
Droit
Selon l’art. 754 CO, les membres du conseil d’administration et toutes les personnes qui s’occupent de la gestion ou de la liquidation répondent à l’égard de la société, de même qu’envers chaque actionnaire ou créancier social, du dommage qu’ils leur causent en manquant intentionnellement ou par négligence à leurs devoirs.
Afin d’examiner si un administrateur a violé son devoir de diligence (art. 717 CO), il convient de comparer son comportement avec celui d’un administrateur raisonnable confronté aux mêmes circonstances.
Pour que sa responsabilité soit engagée, il faut que la violation du devoir (première condition) soit commise de manière fautive (deuxième condition).
En l’espèce, la Cour de justice a retenu que ces deux conditions étaient remplies. En effet, l’ordre de virement d’un montant important en faveur d’un destinataire inconnu auprès d’une banque en Chine aurait dû éveiller des soupçons quant à une escroquerie. De plus, la confirmation du virement venait d’une personne inconnue. Par ailleurs, le motif du virement – un contrôle fiscal inopiné – était suspect. Enfin, les administrateurs ont dû dissimuler le transfert par une facture fictive.
Le Tribunal fédéral retient que ces faits ont été constatés sans arbitraire. Il rappelle en outre que toute faute, même légère, suffit pour que les administrateurs voient leur responsabilité engagée.
Dans une motivation subsidiaire, le premier administrateur soutient que la faute concomitante de la société aurait interrompu le lien de causalité ou, à tout le moins, justifierait une réduction des dommages-intérêts. Il avance que le système informatique de la société connaissait des failles de sécurité.
Contrairement au Tribunal de première instance, la Cour de justice a considéré que l’absence de cryptage des messages et de signature électronique n’était pas une faille de sécurité imputable à la société suisse. Par ailleurs, en tant qu’administrateurs, la Cour a souligné qu’ils devaient précisément prendre des mesures pour y remédier, si de telles failles de sécurité étaient avérées.
A nouveau, le Tribunal fédéral constate l’absence d’arbitraire dans l’établissement de ces faits et confirme donc l’entière responsabilité du premier administrateur.
Concernant le second administrateur, le Tribunal fédéral souligne que l’ordre n’a pas été exécuté directement après la confirmation de l’ordre par celui-ci. En effet, en raison d’erreurs dans le SWIFT, le premier administrateur a dû le modifier à deux reprises, sans que le second administrateur n’intervienne. Vu son absence de participation dans ces corrections, le Tribunal fédéral considère qu’il n’y a pas de causalité naturelle entre le comportement du second administrateur et le dommage.
Partant, le Tribunal fédéral admet le recours du second administrateur et rejette la demande formée à son encontre.
Note
Malgré le fait que cet arrêt ne soit pas destiné à la publication, il a été rendu à cinq juges et est intéressant à plus d’un titre.
Premièrement, le Tribunal fédéral retient que :
« [i]l y a en principe toujours [une] faute lorsque l’administrateur a manqué à son devoir, c’est-à-dire ne s’est objectivement pas comporté comme un administrateur raisonnable dans les circonstances concrètes » (consid. 5.2.2).
La notion objective de la faute se confond ainsi avec la violation du devoir de diligence (cf. ég. CR CO I-Werro/Perritaz, art. 41 N 62). Le Tribunal fédéral souligne ensuite l’exception, examinée sous l’angle de la faute subjective :
« [s]eules des circonstances exceptionnelles pourraient conduire à la conclusion que l’administrateur qui a failli à ses devoirs est exempt de faute […] ; pour qu’il en soit ainsi, il faut que la personne recherchée ait été, au moment des faits, en état d’incapacité de discernement, dans une situation de contrainte absolue ou dans celle d’erreur inévitable sur les faits provoquée notamment par la tromperie d’un tiers » (consid. 5.2.2).
Le Tribunal fédéral nous rappelle ensuite que :
« [d]ès lors qu’une négligence légère suffit, le degré de la faute n’est pas déterminant pour décider si la responsabilité de l’administrateur est engagée, mais il peut jouer un rôle dans la réduction de l’indemnité lorsque le responsable n’encourt qu’une faute légère (art. 43 al. 1 CO) » (consid. 5.2.2).
Or, à notre connaissance, cette disposition, qui permet de réduire le montant de l’indemnité selon le degré de la faute, n’est que très peu appliquée en pratique. Elle permet pourtant d’atteindre une certaine équité, et aurait également été utile dans le cas d’espèce pour le second administrateur. En effet, celui-ci a commis une faute bien plus légère que le premier.
Deuxièmement, le Tribunal fédéral a singulièrement revu la causalité naturelle, qui est pourtant une question de fait, sans démontrer un quelconque arbitraire.
En outre, la causalité naturelle était à notre avis clairement donnée. Il y a causalité naturelle entre deux événements « lorsque, sans le premier, le second ne se serait pas produit ; il n’est pas nécessaire que l’événement considéré soit la cause unique ou immédiate du résultat » (consid. 7.1.1). Or, sans la confirmation du second administrateur, l’ordre frauduleux n’aurait jamais pu être exécuté. Cette confirmation était ainsi bien une conditio sine qua non du dommage.
Par ailleurs, la causalité adéquate était selon nous également donnée. En effet, lorsqu’un virement est soumis à la confirmation de deux personnes, la seconde confirmation est propre à permettre l’exécution du transfert, même si les informations du virement (les données SWIFT) sont corrigées par la suite. En effet, sans la seconde confirmation, la banque n’aurait pas, d’après le cours ordinaire des choses et l’expérience générale de la vie, exécuté le virement.
Au regard de l’équité, on comprend que le Tribunal fédéral ne voulait pas que le second administrateur soit retenu solidairement responsable de l’entier du dommage, au même titre que le premier administrateur qui a commis une faute bien plus grave (ce qu’avait pourtant retenu la Cour de justice).
Or l’art. 43 al. 1 CO aurait précisément permis d’arriver à ce résultat. En effet, la solidarité différenciée s’applique pour la responsabilité des administrateurs, ce qui permet à chaque administrateur d’invoquer les facteurs d’atténuation dans les rapports externes (cf. CR CO II-Corboz/Aubry Girardin, art. 759 N 14), contrairement à la responsabilité civile classique qui ne permettrait (malheureusement ?) pas d’appliquer l’art. 43 al. 1 CO en cas de solidarité parfaite (CR CO I-Werro/Perritaz, art. 43 N 20). Le second administrateur aurait ainsi pu être condamné à ne payer qu’une indemnité réduite, et non l’entier du dommage comme le premier administrateur (ce que le Tribunal de première instance avait précisément retenu en soulignant le rôle limité du second administrateur dans l’exécution du virement frauduleux).
Enfin, cet arrêt aborde brièvement quelques questions de cybersécurité : l’absence de certaines mesures de cybersécurité peut-elle être considérée comme une faute de la société ? La réponse nous semble assez clairement positive. Cela étant, il est également évident qu’un administrateur ne pourra pas invoquer l’absence de mesures de cybersécurité adéquates puisqu’il supporte en principe lui-même la responsabilité de les adopter. A notre avis, l’absence de mesures de cybersécurité adéquates risque de se concrétiser plus souvent lorsqu’une société actionne ses administrateurs précisément suite à une faille de sécurité ayant occasionné un dommage. Dans une telle hypothèse, le tribunal, probablement à l’aide d’une expertise, devra déterminer si l’absence de mesures adéquates de cybersécurité constitue une violation fautive des devoirs de diligence des administrateurs. Vu l’importance croissante des cyberattaques, il ne nous semble pas exclu que cette problématique se présente malheureusement dans un avenir proche.
Proposition de citation : Célian Hirsch, La responsabilité des administrateurs victimes d’une escroquerie au Président, in : www.lawinside.ch/1108/