La Cour d’appel de commerce de Casablanca se prononce sur la responsabilité d’une banque suite au piratage du compte d’un client utilisant un service de banque en ligne.

Infirmant le jugement de première instance, la Cour rejette la demande du client tendant à la réparation du préjudice subi. Elle considère que la banque n’a pas manqué à son obligation de sécurité, l’enquête n’ayant révélé aucune faille dans le système informatique de la banque ni dans l’application de banque en ligne.

Les juges relèvent que les auteurs du piratage ont obtenu les informations personnelles du client (identifiant, mot de passe) par des moyens externes à la banque. Ils rappellent que la banque n’est pas responsable de la sécurité des données hors de son système et que, en l’espèce, le contrat prévoyait une clause limitative de responsabilité de la banque en cas de piratage.

Vu les actes d’appel, le jugement attaqué, les conclusions des parties et l’ensemble des pièces du dossier ;

Vu la convocation des parties à l’audience du 13/06/2022 ;

En application des dispositions de l’article 19 du Code des tribunaux de commerce et des articles 328 et suivants et 429 du Code de procédure civile ;

Après en avoir délibéré conformément à la loi ;

Attendu que la Banque C., par le ministère de son avocat, a interjeté appel, par acte enregistré et moyennant paiement de la taxe judiciaire en date du 07/02/2022, du jugement n° 12451 du 16/12/2021 rendu par le Tribunal de commerce de Casablanca dans l’affaire n° 5211/8220/2021, lequel jugement a déclaré l’action recevable en la forme et a condamné, au fond, le défendeur à payer au demandeur la somme de 202.099,00 dirhams, avec dommages et intérêts d’un montant de 25.000,00 dirhams, l’a condamné aux dépens et a rejeté le surplus des demandes ;

Et attendu que Monsieur Jean-Claude B., par le ministère de son avocat, a présenté un mémoire en réponse avec appel incident moyennant paiement de la taxe judiciaire en date du 28/03/2022, par lequel il interjette appel incident du jugement susvisé ;

En la forme :

Attendu que le jugement attaqué a été signifié à l’appelante principale le 25/01/2022 et qu’elle a interjeté appel le 07/02/2022, soit dans le délai légal prévu à l’article 18 de la loi portant création des tribunaux de commerce ; que l’appel a été interjeté en respectant les conditions de forme requises par la loi ; qu’il convient en conséquence de le déclarer recevable en la forme ;

Et attendu que l’appel incident a été interjeté en respectant les conditions prévues à l’article 135 du Code de procédure civile ; qu’il convient en conséquence de le déclarer recevable en la forme;

Au fond :

Attendu qu’il ressort des pièces du dossier et du contenu du jugement attaqué que l’intimé a présenté, par le ministère de son avocat, une requête introductive d’instance auprès du Tribunal de commerce de Casablanca le 17/05/2021, moyennant paiement de la taxe judiciaire, dans laquelle il expose qu’il est titulaire d’un compte ouvert auprès de la Banque C., agence Yaacoub El Mansour, sous le numéro 19078021XXXXXX0657, et qu’il a été surpris par des opérations de retrait de sommes d’argent importantes de son compte par des tiers via le service « CNET » ; que ces opérations qui ont affecté son compte ont été effectuées par le biais de recharges téléphoniques pour la société Inwi ainsi que par des virements bancaires par le biais de mises à disposition au profit de personnes inconnues, via le service susmentionné ; que les opérations qui ont affecté son compte se sont élevées au total à 356 opérations d’envoi de recharges de téléphone portable, pour un montant total de 178.000,00 dirhams, six opérations de mise à disposition d’un montant de 40.000,00 dirhams, trois opérations de mise à disposition, la première d’un montant de 5.000 dirhams, la deuxième d’un montant de 10.000,00 dirhams et la troisième d’un montant de 5.000,00 dirhams, et trois opérations de mise à disposition d’un montant de 6.000,00 dirhams, soit un total de 289.000,00 dirhams, outre les frais de chaque opération bancaire, qui se sont élevés à plus de 30.000,00 dirhams, avec les intérêts bancaires ; que malgré toutes les tentatives amiables entreprises auprès de la banque pour l’inciter à restituer les sommes retirées de son compte, celles-ci ont échoué ; qu’il sollicite en conséquence la condamnation du défendeur à lui restituer la somme de 289.000,00 dirhams qui a été retirée de son compte à son insu et la somme de 30.000,00 dirhams au titre des frais des opérations de retrait, avec les intérêts légaux, ainsi que la somme de 150.000,00 dirhams à titre de dommages et intérêts pour le préjudice subi et le retard, avec les intérêts légaux et l’exécution provisoire, et la condamnation du défendeur aux dépens ; qu’il a joint à sa requête une attestation bancaire, des relevés de compte, une plainte et une mise en demeure avec procès-verbal de signification ;

Attendu que l’avocat du défendeur a présenté un mémoire en réponse à l’audience du 24/06/2021, dans lequel il a soutenu que le demandeur reconnaît que les opérations de retrait n’ont été effectuées par aucune agence ni par aucun employé de la banque, ce qui exclut toute responsabilité de sa part ; que le service CNET est un service qui n’est pas ouvert à tout le monde, sauf au titulaire du compte ; que ce service n’est pas proposé automatiquement à toute personne qui ouvre un compte auprès de la banque, mais que le client doit demander à en bénéficier, car il lui permet d’accéder à son compte sans avoir à se déplacer en agence ; que le numéro d’identification ne permet pas au client d’accéder à son compte et qu’il doit, en plus du numéro d’identification, disposer d’un mot de passe qu’il ne connaît pas et que la banque ne connaît pas non plus ; que ce mot de passe est généré par le système informatique qui gère le service « CNET » et est envoyé au client sous pli fermé ; que lorsque le client reçoit ce premier mot de passe et l’utilise pour la première fois pour accéder à son compte à distance, il modifie ce premier mot de passe et choisit un mot de passe personnel qu’il est le seul à connaître ; qu’en conséquence, le demandeur est celui qui dispose du mot de passe personnel et qui accède à son compte à distance et qui effectue les opérations sur son compte ; que la plainte qu’il a déposée est toujours en cours d’instruction ; que la banque a transmis au Procureur du Roi toutes les plaintes qu’elle a reçues afin qu’il diligente une enquête et vérifie la véracité de ce qui est allégué dans ces plaintes et qui en est l’auteur ; qu’il ne ressort d’aucune pièce de la requête que les opérations de retrait ont été effectuées par la faute de la banque, de sorte qu’il ne peut y avoir d’action dirigée contre elle ; qu’il sollicite le rejet de toutes les demandes du demandeur ;

Attendu que l’avocat du demandeur a présenté un mémoire en réplique à l’audience du 08/07/2021, dans lequel il a soutenu que le défendeur, en tant qu’établissement de crédit auprès duquel sont déposés les fonds des clients, est tenu de sécuriser son système informatique ; que toute intrusion dans le système informatique du défendeur par un réseau criminel et la reconnaissance par ce dernier du fait que son système de traitement automatisé des données a été piraté constituent une faute de la part de la Banque C., qui perçoit une commission pour la réception des dépôts des clients en contrepartie de leur conservation, ce qui constitue un manquement au contrat de dépôt qui le lie au demandeur ; qu’il ressort du procès-verbal de la police judiciaire et des jugements que le défendeur est responsable du préjudice subi par le demandeur du fait de l’absence de sécurisation de son système informatique, ce qui a permis à des tiers de le pirater et d’y accéder, et donc d’accéder à son compte ouvert auprès du défendeur et d’en retirer la somme dont la restitution est demandée ; qu’il sollicite en conséquence le rejet des arguments du défendeur et une décision conforme à sa requête introductive d’instance ; qu’il a joint à son mémoire un jugement de première instance, un extrait du dispositif d’un arrêt de la Cour d’appel provenant du site web des tribunaux et le procès-verbal de la police judiciaire ;

Attendu que l’avocat du défendeur a présenté un mémoire en réponse à la réplique à l’audience du 09/09/2021, dans lequel il a soutenu que l’enquête menée par la police judiciaire n’a révélé aucune défaillance du système informatique « CNET » et qu’en conséquence, le retrait des sommes du compte du demandeur ne peut se faire que dans l’une des deux hypothèses suivantes, ou les deux à la fois : soit le demandeur a effectué lui-même les opérations de retrait, ce qui nécessite l’utilisation de son numéro de téléphone personnel, la saisie de son identifiant bancaire et la saisie de son mot de passe qu’il est le seul à connaître, soit l’utilisation du numéro de téléphone du demandeur, de son identifiant et de son mot de passe, ce qui est en dehors du contrôle de la banque, comme l’a révélé l’enquête de la police et le jugement pénal produit ; que la responsabilité de la banque ne peut être engagée que s’il est prouvé qu’elle a commis une faute, conformément aux dispositions de l’article 87 du Dahir formant Code des obligations et contrats ; que le demandeur n’a prouvé aucune faute de la part de la banque ; que le fait que les personnes condamnées aient eu accès au numéro de téléphone du demandeur relève de la responsabilité de ce dernier et non de la banque ; qu’il sollicite une décision conforme à ses écritures ;

Attendu que l’affaire a été appelée à l’audience du 09/09/2021, en présence des avocats des parties, et que Me Tibihi a présenté un mémoire dont Me Makkawi a reçu copie ; qu’il a été décidé de mettre l’affaire en délibéré en vue du prononcé du jugement à l’audience du 23/09/2021 ;

Attendu que l’avocat du demandeur a présenté un mémoire au cours du délibéré, dans lequel il a soutenu qu’il effectue les retraits d’argent uniquement au moyen de sa carte bancaire et qu’il ne dispose pas du service CENT qui lui permet de retirer et de virer de l’argent et de consulter son compte et les opérations qui y sont effectuées, et qu’il n’a jamais demandé à en bénéficier ; qu’il sollicite le rejet des arguments du défendeur et une décision conforme à sa requête introductive d’instance ;

Attendu que le jugement avant dire droit rendu par le tribunal le 23/09/2021 sous le n° 1700 a ordonné une expertise, dont la mission a été confiée à l’expert Abdelkrim Aswar ;

Attendu que le rapport d’expertise déposé au greffe du tribunal a conclu que les sommes retirées du compte du demandeur s’élèvent à 202.099,00 dirhams ;

Attendu que l’avocat du demandeur a présenté un mémoire en réplique après l’expertise à l’audience du 09/12/2021, dans lequel il a soutenu que l’expert s’est écarté de l’objectivité et de l’impartialité dans son rapport avant de déterminer les sommes retirées de son compte via le service CNET, en tentant de dégager la responsabilité de la défenderesse en donnant une explication au piratage du compte par le biais d’un copier-coller des déclarations du représentant légal de la défenderesse, qui restent éloignées de la réalité et contredisent ce qui est indiqué dans son rapport sous le titre « Explication », où il a indiqué comme première méthode de protection du compte l’obtention d’informations sur le client ; qu’en conséquence, l’expert, dans son explication, lui a fait du tort alors qu’il voulait lui rendre service, par le biais du paragraphe suivant de l’explication : « Il s’agit d’obtenir toutes les informations relatives à l’identité de la victime » ; que ce paragraphe correspond à la déclaration du principal accusé dans l’affaire, Monsieur Issam A., devant la police judiciaire, qui a donné une explication précise de la manière dont les comptes des victimes ont été ciblés, qu’il a définie comme commençant par l’obtention d’informations sur les clients des banques par l’intermédiaire de Monsieur Othman S., qui possède une agence de services financiers située à Témara, avant de passer aux opérations suivantes, selon le détail suivant : « Alors que nous étions à Casablanca, Monsieur Othman S. nous a proposé de former une organisation criminelle spécialisée dans les infractions liées aux nouvelles technologies et nous avons effectivement commencé à travailler depuis mi-2018, car Monsieur Ayoub El O., Monsieur Othman S. et moi-même obtenions des informations sur les clients des banques par l’intermédiaire de Monsieur Othman S., qui possède une agence de services financiers située à Témara, puis Monsieur Hicham El W. se rendait dans les agences » ; qu’il ressort de ce qui précède que le système informatique du défendeur n’était pas suffisamment sécurisé et a été piraté par des tiers qui ont obtenu les informations bancaires du client, puis ont piraté son compte ; que le défendeur, en ne sécurisant pas son système informatique et en rendant les informations bancaires du client accessibles à des tiers, est responsable ; qu’en conséquence, la tentative de limiter la responsabilité au service « CNET » et en considérant que le client, selon le contrat d’abonnement, en est responsable, est sans fondement au vu des déclarations du principal accusé dans l’affaire ; que l’expert a également omis de déterminer d’autres sommes qui ont été retirées de son compte par piratage, qui se sont élevées au total à 289.000,00 dirhams, comme indiqué dans la plainte de la défenderesse ; qu’il sollicite en conséquence l’exclusion de l’expertise de Monsieur A. Abdelkrim pour ne pas avoir déterminé avec précision les sommes retirées de son compte et une décision conforme à sa requête introductive d’instance, et subsidiairement, qu’il soit ordonné une contre-expertise confiée à un expert spécialisé qui déterminera avec objectivité et impartialité les sommes retirées du compte du demandeur avec précision, tout en réservant son droit de présenter des observations à la lumière de l’expertise ; qu’il a joint à son mémoire la déclaration de l’accusé Monsieur Issam A. sur trois pages ;

Attendu que l’avocat du défendeur a présenté un mémoire après l’expertise à l’audience du 09/12/2021, dans lequel il a soutenu que l’expert a inclus dans son rapport des informations qui confirment ce qu’il avait déjà soutenu, à savoir que le retrait des fonds du compte du demandeur a été effectué au moyen des informations contenues dans son téléphone et non en raison d’une défaillance du système informatique de la banque ; que l’expert a également relevé dans son rapport les éléments techniques suivants : le retrait des fonds nécessite de remplir les conditions suivantes :

1- Obtenir toutes les informations relatives à l’identité de la victime, ce qui n’a aucun lien avec le défendeur, car ces informations ne sont détenues que par le demandeur ;

2- Pirater l’appareil du demandeur, et l’expert a constaté que l’appareil du demandeur n’était pas sécurisé ;

3- Expliquer la raison pour laquelle le demandeur n’a pas sécurisé son appareil, ce qui a permis de pirater son identifiant et son mot de passe, ces informations relatives au mot de passe n’étant détenues que par le demandeur, car c’est lui qui le choisit et le définit ;

4- Obtenir une copie de la carte SIM, dont la banque n’a aucune connaissance, mais que le demandeur achète et conserve les informations la concernant ;

Qu’en conséquence, la responsabilité de la banque ne peut être engagée que si le demandeur prouve la faute commise par la banque, ce qu’il n’a pas pu faire ; que le système informatique du défendeur « CNET » fonctionnait et fonctionne toujours correctement et qu’il incombe au demandeur de prouver l’existence d’une défaillance de ce système ; qu’il ressort de ce qui précède que les sommes qui ont été retirées du compte du demandeur ont été retirées de son appareil et avec son mot de passe, et qu’en conséquence, il ne peut être tenu responsable de quelque manière que ce soit ; qu’il sollicite le rejet de toutes les demandes du demandeur et une décision conforme à ses écritures antérieures ;

Attendu qu’après l’accomplissement des formalités procédurales, le Tribunal de commerce a rendu le jugement susvisé, qui fait l’objet du présent appel ;

Motifs de l’appel principal

Attendu qu’il ressort de l’exposé des faits et des pièces du dossier que l’intimé lui-même reconnaît que les opérations qui ont affecté son compte ont été effectuées par le biais de recharges téléphoniques pour la société Inwi ; que cette reconnaissance confirme que les opérations bancaires qui ont été effectuées sur son compte n’ont pas été effectuées par les employés de la banque appelante et que son argent n’a pas été volé par une personne qui s’est introduite dans l’agence où se trouve son compte ; que cette reconnaissance confirme que les opérations comptables qui ont été effectuées sur son compte ont été effectuées à distance, c’est-à-dire en dehors de la banque, et à son insu et sans son intervention ;

Attendu que la manière dont les opérations bancaires ont été effectuées sur le compte de l’intimé a été confirmée par la police judiciaire dans l’enquête qu’elle a menée et qu’elle a consignée dans le procès-verbal produit par l’intimé lui-même, où il est indiqué à la page 4 les conclusions de l’enquête menée par la police judiciaire, qui a constaté que l’enquête qu’elle a menée lui a permis de constater ce qui suit :

1- Collecte d’informations sur la victime ou le client ciblé ;

2- Usurpation de son identité ;

3- Obtention de son numéro de téléphone personnel ;

4- Déplacement dans une agence de services téléphoniques ;

5- Usurpation de l’identité de la victime et allégation de perte ou de vol du téléphone ;

6- Obtention d’une nouvelle carte SIM avec le numéro de téléphone de la victime ;

7- Téléchargement de l’application de transactions bancaires CNET ;

Attendu que l’enquête menée par la police a confirmé que ce gang a franchi toutes ces sept étapes pour faciliter les virements à partir des comptes des clients ; qu’il ressort que le système informatique du défendeur CNET est la dernière étape à laquelle il est accédé ; que la police a confirmé que l’accès est facile, c’est-à-dire que les informations fournies à ce système informatique sont les informations correctes du client ; que le terme « faciliter » utilisé par la police signifie qu’il n’y a pas eu d’intrusion dans le système informatique, c’est-à-dire qu’il est accessible avec l’identité numérique de l’intimé ;

Attendu que l’expertise ordonnée par le Tribunal de commerce a elle-même confirmé l’absence de toute faute ou de rôle passif du système informatique du défendeur CNET ; que l’expert a inclus dans son rapport les informations techniques qu’il a constatées au paragraphe 3 de la page 5 de son rapport, où il est indiqué ce qui suit : « Explication : pour effectuer ces opérations criminelles, il était nécessaire de remplir les conditions suivantes :

« 1- Obtenir toutes les informations relatives à l’identité de la victime », ce qui a un lien direct avec l’intimé, car c’est lui qui possède son identifiant et c’est lui seul qui connaît son mot de passe ;

« 2- Pirater l’appareil de la victime au moyen d’un virus, car il n’a pas été sécurisé par son propriétaire », c’est-à-dire que l’expert a constaté que la faute incombe à l’intimé qui n’a pas sécurisé son téléphone ;

« 3- Obtenir une copie de la carte SIM auprès d’un distributeur de services téléphoniques », c’est-à-dire que le défendeur n’a aucun lien avec cette carte SIM et que l’intimé aurait dû poursuivre le distributeur de services téléphoniques de son téléphone et lui demander pourquoi il a remis la carte SIM à un tiers ;

« 4- L’intimé n’a résilié son abonnement à l’application CNET que le 19/03/2019, alors que toutes les opérations effectuées sur son compte ont été confirmées par l’expert comme ayant été effectuées entre le 05/03/2019 et le 07/03/2019 » ;

Attendu qu’il ressort des trois documents susmentionnés ce qui suit :

• L’intimé lui-même reconnaît dans sa requête que les opérations ont été effectuées par téléphone ;
• La police judiciaire a conclu que les opérations bancaires étaient faciles car les personnes faisant l’objet de son enquête ont franchi 7 étapes, ce qui leur a permis d’accéder facilement à l’application, c’est-à-dire en utilisant les informations de l’intimé ;
• L’expert a confirmé les conclusions de la police selon lesquelles les informations utilisées pour accéder au système informatique proviennent du téléphone de l’intimé et que ce dernier n’était pas sécurisé ;
• Après avoir résilié son abonnement au système informatique, aucune opération n’a été effectuée, ce qui confirme que le système informatique est fiable ;

Attendu que tous ces documents confirment l’absence de toute responsabilité du défendeur ;

Attendu qu’en se référant aux motifs du jugement attaqué, il a considéré que le défendeur est responsable sans préciser quelle est la faute commise par lui, alors que c’est une condition essentielle de la preuve de la responsabilité en application de l’article 78 du Dahir formant Code des obligations et contrats ;

Mais attendu que la Cour d’appel observera qu’il a considéré que le défendeur est responsable non pas sur la base de la preuve d’une faute du système informatique du défendeur, mais sur la base d’un arrêt de la Cour de cassation du 27/07/2017 dans l’affaire commerciale n° 1356/3/1/2016, cité par le jugement attaqué comme suit : « … que le demandeur a fondé son action sur le piratage et l’intrusion dont son mot de passe a fait l’objet et ne l’a pas fondée sur la perte ou le vol de la carte bancaire et a effectivement signalé le 31/03/2014 à l’établissement bancaire qu’il avait été victime d’une intrusion… » ;

Mais attendu que le jugement attaqué a appliqué cet arrêt au défendeur, alors que la condition de la réclamation auprès du défendeur n’est pas remplie ;

Attendu en effet que l’intimé n’a jamais contesté l’utilisation de l’application CNET et qu’après cette contestation, des opérations de retrait ont été effectuées sur son compte ; que l’intimé a continué à utiliser l’application informatique CNET après les 5, 6 et 7 mars 2019 et n’a résilié cet abonnement que le 19/03/2019, comme l’a attesté l’expert désigné en première instance ;

Attendu qu’il ressort que l’arrêt de la Cour de cassation est un arrêt juste, car il a retenu la responsabilité de la banque concernée par cet arrêt parce qu’elle a continué à autoriser les retraits d’argent alors qu’elle avait reçu une contestation de la part du titulaire du compte ;

Mais attendu qu’en l’espèce, le défendeur, en tant que banque, n’a jamais reçu de contestation de la part de l’intimé et que ce dernier n’a jamais contesté une quelconque opération ;

Attendu que l’intimé lui-même ne soutient pas que le défendeur a autorisé les retraits d’argent de son compte alors qu’il les avait contestés ; qu’en conséquence, le fait que le jugement de première instance se soit fondé sur la contestation qui n’a pas été invoquée par l’intimé constitue une motivation contraire à la réalité et à la loi ;

Attendu qu’il ressort donc que le jugement attaqué est contraire aux faits suivants : la requête de l’intimé, les conclusions de l’enquête de la police et les conclusions de l’expert désigné par le tribunal ;

Attendu que le fait que le jugement attaqué se soit fondé sur un arrêt de la Cour de cassation qui ne s’applique pas à l’espèce ni au défendeur, car l’intimé n’a effectué aucune contestation auprès du défendeur, constitue une motivation contraire à la réalité et à la loi ;

Attendu que le défendeur sollicite en conséquence l’infirmation du jugement et, statuant à nouveau, le rejet de la demande ;

Attendu que le mémoire en réponse produit par l’avocat de l’intimé avec son appel incident à l’audience du 28/03/2022 contient, en ce qui concerne la réponse à l’acte d’appel, que l’appelante principale a critiqué le jugement de première instance pour ne pas avoir statué conformément à la loi lorsqu’il a retenu sa responsabilité dans le piratage du compte du demandeur, sous prétexte, selon son acte, que les opérations ont été effectuées à distance, c’est-à-dire en dehors de la banque et à son insu et sans son intervention, et qu’elles ont été effectuées par le biais de recharges téléphoniques pour la société « Inwi », en tentant d’expliquer les opérations effectuées par le gang criminel et les conclusions de l’expert à sa guise ;

Attendu que les allégations de l’appelante principale à cet égard ne reposent sur aucun fondement légal valable ; que le tribunal, en se référant aux pièces du dossier, constatera, contrairement à ce qui est indiqué dans l’acte de l’appelante principale, que le piratage du compte du demandeur et le retrait de sommes importantes de ce compte, soit par mise à disposition de sommes d’argent, soit par recharges téléphoniques pour la société Inwi, ont été effectués par un gang criminel dont le chef, Monsieur Issam A., a avoué les faits devant la police judiciaire et a donné une explication précise de la manière dont les comptes des victimes ont été ciblés, qu’il a définie comme commençant par l’obtention d’informations sur les clients des banques par l’intermédiaire de Monsieur Othman S., qui possède une agence de services financiers située à Témara, avant de passer aux opérations suivantes ;

Attendu que le fait que des tiers, quels qu’ils soient, aient eu accès aux informations bancaires du client confirme sans aucun doute que le système informatique de l’appelante principale n’était pas suffisamment sécurisé ; que ce qui confirme que l’appelante principale n’a pas sécurisé son système informatique et l’a rendu facile à pirater par des tiers est ce qui est indiqué dans le rapport de l’expert désigné en première instance, Monsieur Abdelkrim A., à la page 5 de l’expertise, sous le titre « Explication : pour effectuer ces opérations criminelles, il était nécessaire de remplir les conditions suivantes : obtenir toutes les informations relatives à l’identité de la victime » ;

Attendu que, d’autre part, l’intimé, dès lors qu’il a souscrit au service CNET et l’a mis à la disposition de ses clients, reste responsable de l’utilisation que ses clients font de ce service et de tout piratage ou intrusion dans le compte d’un client ; que l’appelante principale est rémunérée pour le dépôt des sommes d’argent et des documents du client et qu’en conséquence, sa responsabilité de conserver la chose déposée auprès d’elle reste engagée conformément aux dispositions des articles 804 et 807 du Dahir formant Code des obligations et contrats et de l’article 513 du Code de commerce, car il ne s’agit pas d’un dépôt ordinaire, mais d’un établissement encadré par des lois spécifiques qui visent à garantir les droits des déposants et qui doit donc veiller à la conservation de leurs dépôts ;

Attendu qu’en conséquence, le jugement de première instance, en retenant la responsabilité de l’appelante et en la condamnant au paiement, est bien fondé et doit être confirmé à cet égard ;

• S’agissant de l’appel incident :

Attendu que le jugement de première instance n’est pas bien fondé en partie lorsqu’il a alloué au demandeur des dommages et intérêts d’un montant de 25.000,00 dirhams, en violation des dispositions des articles 77 à 100 du Dahir formant Code des obligations et contrats ; que la réparation du préjudice, selon les dispositions des articles susmentionnés, doit être intégrale et doit inclure la perte subie par le demandeur et les frais qu’il a été ou sera contraint de dépenser pour réparer les conséquences du fait générateur du préjudice, ainsi que le manque à gagner ;

Attendu que le demandeur, dans la présente affaire, a subi un préjudice grave qui consiste en le piratage de son compte bancaire et le retrait de la somme de 202.099,00 dirhams, qui est une somme importante, ce qui l’a privé de la possibilité d’en jouir et de ses intérêts depuis début mars 2019, soit plus de trois ans, outre le fait qu’il a été contraint de saisir la justice pour la récupérer ; qu’il est donc établi que les dommages et intérêts alloués au demandeur par le jugement attaqué, d’un montant de 25.000,00 dirhams, ne couvrent pas intégralement le préjudice subi par le demandeur du fait du piratage de son compte bancaire et de la privation d’une somme importante pendant plus de trois ans ;

• S’agissant des intérêts légaux :

Attendu que le jugement de première instance n’est pas bien fondé en ce qu’il a rejeté la demande relative aux intérêts légaux ; qu’il convient en conséquence de modifier le jugement de première instance et de condamner le défendeur au paiement des intérêts légaux à compter de la date de la demande ;

Attendu que, pour ces motifs, le demandeur sollicite le rejet de l’appel principal, avec condamnation de son auteur aux dépens, et, s’agissant de l’appel incident, la confirmation du jugement de première instance avec modification et la condamnation au paiement de dommages et intérêts d’un montant de 100.000,00 dirhams, avec les intérêts légaux, et la condamnation de l’appelante incidente aux dépens de l’appel incident ;

Attendu que le mémoire en réplique produit par l’avocat de l’appelant à l’audience du 11/04/2022 indique que l’appelant n’a pas été en mesure de répondre à un fait établi, à savoir qu’après avoir résilié son abonnement à l’application « CNET » le 19/03/2019, aucune somme n’a été retirée de son compte, ce qui montre que le système informatique « CNET » est sécurisé et n’a pas été piraté, mais qu’il a été accédé avec l’identité de l’intimé ;

Attendu que le procès-verbal de la police produit par l’appelant et l’expertise ordonnée par le tribunal ont confirmé que l’accès au système informatique « CNET » :

• n’a pas été effectué en raison d’une défaillance de ce système ;
• a été effectué facilement car l’accès a été réalisé avec l’identité de l’intimé ;
• l’identité de l’intimé a été obtenue de la manière suivante :

1- obtention du numéro de téléphone de l’intimé ;

2- déplacement dans une agence de services téléphoniques pour obtenir une nouvelle carte SIM avec le numéro de téléphone de l’intimé ;

4- téléchargement de l’application « CNET » avec le numéro de téléphone de l’intimé ;

Attendu qu’après toutes ces étapes, l’accès au système informatique « CNET » est devenu facile car il s’agit d’un système numérique qui interagit avec le numéro de téléphone de l’intimé et non avec les personnes elles-mêmes ; que la police judiciaire et l’expert n’ont constaté aucune défaillance du système informatique du défendeur ;

Attendu que les étapes constatées par la police et l’expert montrent que la première chose qui a été faite est :

• l’obtention du numéro de téléphone de l’intimé ;

Attendu qu’il est évident que l’intimé est le seul à connaître son numéro et qu’il est le seul à savoir à qui il l’a donné s’il ne l’a pas utilisé lui-même ; que l’accès à l’application « CNET » ne peut se faire que :

a- en saisissant l’identifiant que l’intimé est le seul à connaître ;

b- en saisissant le mot de passe que l’intimé est le seul à connaître ;

Attendu que ces informations techniques ne sont connues que de l’intimé, ce qui implique :

1- qu’il est celui qui a accédé à son compte via l’application « CNET » ;

2- qu’il est celui qui a donné à un tiers : son numéro de téléphone, son identifiant et son mot de passe ;

Mais attendu, et c’est là l’important, que la responsabilité de la banque ne peut être engagée que si la faute de la banque est prouvée ; que si le préjudice est dû à la faute ou à la négligence du client, la banque ne peut être tenue responsable de quelque manière que ce soit ;

S’agissant de l’appel incident : attendu que l’appel incident n’est fondé sur aucun fondement factuel ou légal, comme il a été expliqué ci-dessus ;

Attendu que, en tout état de cause, les dommages et intérêts, et a fortiori les intérêts, ne peuvent être accordés que si la faute de la banque est prouvée, d’une part, et qu’il ne peut y avoir cumul de dommages et intérêts et d’intérêts, d’autre part, car ils ne sont accordés qu’en cas de retard dans le paiement d’une dette certaine ;

Attendu que, pour ces motifs, le défendeur sollicite, en ce qui concerne l’appel principal, une décision conforme à l’acte d’appel et, en ce qui concerne l’appel incident, son rejet ;

Attendu que l’avocat de l’intimé a produit un mémoire en réponse à la réplique à l’audience du 09/05/2022, dans lequel il a soutenu que l’appelante principale continue de nier sa responsabilité dans le piratage du compte du demandeur et le retrait de sommes d’argent de ce compte, en considérant que les opérations ont été effectuées au moyen d’informations relatives à l’identité du demandeur et que c’est grâce à ces informations que des tiers ont pu pirater le « service CNET » ;

Attendu que l’explication donnée par l’appelante principale du piratage du compte bancaire du demandeur engage sa responsabilité et correspond à la déclaration du cerveau du piratage, Monsieur Issam A., devant la police judiciaire, qui a confirmé que les comptes des clients ont été ciblés en obtenant les informations bancaires du client par l’intermédiaire de Monsieur Othman S., un membre du gang qui possède une agence de services financiers ; que c’est ce que l’expert désigné en première instance a indiqué, qui a rendu service au demandeur en voulant lui nuire, à la page 5 de son rapport, sous le titre « Explication : pour effectuer ces opérations criminelles, il était nécessaire de remplir les conditions suivantes : 1- obtenir toutes les informations relatives à l’identité de la victime… » ; qu’il ressort de ce qui précède que le fait que des tiers aient eu accès à l’identité bancaire du client confirme sans aucun doute que le système informatique de l’appelante principale n’est pas suffisamment sécurisé ; qu’il va sans dire que la responsabilité de l’appelante principale reste engagée dans le piratage du compte du demandeur via le service « CNET », dès lors qu’elle a adopté ce service et l’a mis à la disposition de ses clients ;

Attendu qu’il convient en conséquence de rejeter l’appel principal et de confirmer le jugement de première instance avec modification, conformément à l’appel incident du demandeur ;

Attendu que l’avocat de l’appelant a produit un mémoire en réponse à la réplique à l’audience du 30/05/2022, dans lequel il a sollicité une décision conforme aux écritures du défendeur ;

Attendu que l’avocat de l’intimé a produit un mémoire en demande de mise au rôle à l’audience du 13/06/2022, dans lequel il a soutenu qu’en se référant au contenu du mémoire, il ressort que l’appelante a repris les mêmes arguments que ceux auxquels le demandeur avait déjà répondu, que ce soit en première instance ou dans ses écritures en appel ;

Attendu que, pour ces motifs, le demandeur sollicite qu’il soit constaté qu’il a demandé la mise au rôle de l’affaire et la confirmation du jugement de première instance ;

Attendu que l’affaire a été appelée à plusieurs audiences, dont la dernière le 13/06/2022 ; qu’il a été décidé de considérer l’affaire en état et de la mettre en délibéré en vue du prononcé de la décision à l’audience du 27/06/2022, prorogée à l’audience du 18/07/2022 ;

Cour d’appel

Attendu que les appelants ont exposé les motifs de leurs appels susmentionnés ;

Attendu que, s’agissant de l’argument de l’appelant principal selon lequel il n’a commis aucune faute, la Cour, après avoir examiné les pièces du dossier, constate que les opérations qui ont été effectuées sur le compte de l’intimé principal ont été réalisées via l’application bancaire « CNET », qui est un service proposé par la banque à ses clients sur demande, application pour laquelle l’intimé a conclu un contrat avec l’appelant et n’a résilié son contrat que le 19/03/2019, qui permet de gérer le compte bancaire du client via son téléphone portable, en installant l’application susmentionnée ; qu’après avoir souscrit au service susmentionné et obtenu le mot de passe et l’identifiant, le client peut effectuer un certain nombre d’opérations bancaires via le téléphone dont le numéro a été préalablement défini ; que l’application susmentionnée interagit avec le numéro de téléphone du client dans les différentes opérations qu’il effectue sur son compte bancaire, sans qu’il ait besoin de se déplacer à l’établissement bancaire ; qu’en examinant le procès-verbal de la police judiciaire et le jugement pénal produits en première instance, il ressort que les opérations effectuées sur le compte bancaire de l’intimé principal, qui ont entraîné le retrait de sommes d’argent de son compte, ont été réalisées via l’application CNET, après que les personnes condamnées par le jugement pénal ont réussi à obtenir le numéro de téléphone de l’intimé principal auprès de la société de téléphonie mobile, puis à installer l’application bancaire susmentionnée et à pirater la messagerie électronique du client, et à interagir avec l’application via le numéro de téléphone de l’intimé principal ; qu’en ce qui concerne l’argument selon lequel les informations relatives au client ont été obtenues, il ressort du procès-verbal de la police judiciaire que cela n’a pas été fait en piratant l’application bancaire, mais avec l’aide d’un des condamnés dans une agence de services financiers située à Témara ; qu’il ne ressort d’aucune pièce du dossier que l’appelant principal est celui qui a fourni les informations de l’intimé, mais que cela a été fait en utilisant ses données dans l’une des opérations de paiement qui ont été effectuées auprès de l’agence susmentionnée ; qu’en tout état de cause, il ne ressort d’aucune pièce du dossier que l’appelant principal est responsable de la divulgation des données du client ;

Attendu que, s’agissant d’une action fondée sur la responsabilité de l’appelant principal dans les opérations effectuées sur le compte de son client, il convient de prouver la faute de l’établissement bancaire ; qu’en effet, si la banque appelante, en tant que dépositaire, est tenue de conserver les dépôts qui lui sont confiés, il ne ressort d’aucune pièce du dossier, en l’espèce, qu’elle a manqué à son obligation de conserver les sommes d’argent qui lui ont été confiées ; qu’il ne ressort d’aucune pièce du dossier que l’application bancaire a été piratée par les personnes condamnées, mais qu’il est établi que le téléphone de l’intimé a été piraté après que sa carte SIM a été obtenue, ce qui a permis d’obtenir les informations qui leur ont permis de communiquer avec l’application bancaire et d’effectuer les opérations bancaires sur son compte ; que ce que le jugement attaqué a retenu, à savoir que la banque reste responsable de tout piratage ou intrusion dans le téléphone du client, n’est pas fondé en droit, étant donné que le téléphone du client est en sa possession et que l’établissement bancaire n’a aucun lien avec le téléphone du client, qui reste responsable de son utilisation, d’autant plus qu’en se référant à la convention liant la banque appelante au client intimé et relative à l’utilisation du service « CNET », il ressort que l’article 9 de cette convention prévoit dans son dernier paragraphe que l’abonné est seul responsable de l’utilisation du service, de sa personnalisation et de la protection des données ou des programmes stockés sur son ordinateur, et que la banque n’est pas responsable en cas d’infection par un virus ; qu’il ressort donc que les parties ont convenu d’exclure la responsabilité de la banque en cas d’infection de l’ordinateur ou du téléphone du client par un virus ; qu’en application de l’article 230 du Dahir formant Code des obligations et contrats, les conventions tiennent lieu de loi à ceux qui les ont faites ; qu’en conséquence, en l’absence d’éléments prouvant qu’il y a eu une défaillance de l’application bancaire, la faute de la banque n’est pas établie, d’autant plus que les pièces du dossier prouvent que ce qui a permis aux personnes condamnées d’effectuer les opérations litigieuses est l’obtention des données des clients auprès d’une agence de services financiers à Témara et la possibilité d’obtenir la carte SIM avec le numéro du client en la remplaçant auprès d’une agence de la société de téléphonie mobile titulaire de la carte, en plus du piratage du téléphone du client, ce dont la banque appelante n’est pas responsable ; qu’en conséquence, ce que le jugement attaqué a retenu n’est pas bien fondé et doit être infirmé, et qu’il convient de rejeter la demande ;

Attendu que l’intimé principal doit supporter les dépens ;

Attendu que, s’agissant de l’appel incident interjeté par l’intimé principal et tendant à l’augmentation du montant des dommages et intérêts et à la condamnation au paiement des intérêts légaux, et compte tenu de l’absence de responsabilité de l’intimé incident, conformément à la motivation de l’appel principal, et de l’infirmation du jugement attaqué, l’appel incident n’est pas fondé et doit être rejeté ;

Attendu que l’appelant incident doit supporter les dépens de son appel ;

Par ces motifs,

La Cour d’appel de commerce de Casablanca, statuant publiquement, contradictoirement et en dernier ressort,

En la forme : Déclare les appels principal et incident recevables ;

Au fond : Admet l’appel principal, infirme le jugement attaqué et, statuant à nouveau, rejette la demande et condamne l’intimé principal aux dépens ; rejette l’appel incident.