Nouvelle diffusion 

---

 

I. VIDEO (5 mn 48)

 

• M. Jean-Jacques Latour,
  Directeur Expertise de
  Cybermalveillance.gouv.fr

 

https://youtu.be/htOkXiOtxkM

 

Voir aussi une autre vidéo plus ancienne :

• https://youtu.be/nuxxvWe4gW8

 

Il s’agit de deux reprises de dossiers extraits de notre chronique vidéo hebdomadaire, intitulée « les 10′ juridiques », faite en partenariat entre Weka et le cabinet Landot & associés.

Pour mieux connaître notre partenaire WEKA, fort de 40 ans d’expertise : http://www.weka.fr

 

II. ARTICLE

 

 

Une facture est payée par une collectivité publique. Mais à la suite d’une escroquerie, c’est un malfrat qui encaisse le virement en lieu et place du fournisseur. Faut-il, alors, néanmoins payer le fournisseur ? Au risque d’un double décaissement pour la collectivité publique ?  

Réponse du Conseil d’Etat : OUI. Quitte à envisager des actions en responsabilité par ricochet (action récursoire, mise en cause de la faute du cocontractant…). Avec éventuelle compensation aux bons soins du juge. 

• A. Le Conseil d’Etat confirme que c’est à la personne publique qu’il incombe de payer (quitte à envisager une action récursoire). Mais une position récente de la Cour de cassation va dans le sens de difficultés à trouver aisément une faute de l’entreprise…
• B. Gare à ce stade à la responsabilité financière 
• B. Compléments (loi Fraude de 2018 ; conseils pratiques…)

---

 

A. Le Conseil d’Etat confirme que c’est à la personne publique qu’il incombe de payer (quitte à envisager une action récursoire). Mais une position récente de la Cour de cassation va dans le sens de difficultés à trouver aisément une faute de l’entreprise… 

 

De telles fraudes sur les RIB liés à telle ou telle facture ne sont pas rares, même si depuis la fin des factures papier (avant il y avait des fraudes via des vols postaux suivis de falsification des RIB…) et le développement de Chorus pro nous avons quelques verrous.

 

La première réponse est jurisprudentielle et vient de connaître une spectaculaire confirmation par le Conseil d’Etat.

OUI il faut alors payer le fournisseur.

Au risque d’un double décaissement pour la collectivité publique (avec une faute à se partager au cas par cas entre comptable [Etat et comptable à titre personnel] et collectivité.

Telle était déjà la position d’un TA et d’une CAA, au moins dans le cas où le comptable public aurait du s’en rendre compte ou aurait du exiger un avenant.

Voir : TA Paris, 27 novembre 2017, n° 1619651 ; puis CAA de PARIS, 10 avril 2018, 17PA03697 :

• 17PA03697

Voir :

• Un escroc encaisse un virement d’un fournisseur d’une personne publique. Faut-il, alors, néanmoins payer le fournisseur au risque d’un double décaissement ? 

 

Le Conseil d’Etat vient d’en apporter une spectaculaire confirmation en jugeant :

• qu’il appartient à une personne publique de procéder au paiement des sommes dues en exécution d’un contrat administratif en application des stipulations contractuelles, ce qui implique, le cas échéant, dans le cas d’une fraude tenant à l’usurpation de l’identité du cocontractant et ayant pour conséquence le détournement des paiements, que ces derniers soient renouvelés entre les mains du véritable créancier.
• que la personne publique ne peut alors pas utilement se prévaloir, pour contester le droit à paiement de son cocontractant sur un fondement contractuel :
  • ni des dispositions de l’article 1342-3 du code civil relatives au créancier apparent, qui ne sont pas applicables aux contrats administratifs,
  • ni des manquements qu’aurait commis son cocontractant en communiquant des informations ayant rendu possible la manoeuvre frauduleuse.

Mais la personne publique qui se retrouve à devoir payer deux fois peut rechercher, aux termes mêmes de cette nouvelle décision du Conseil d’Etat, et pour reprendre les formulations des futures tables du rec. :

« outre la responsabilité de l’auteur de la fraude, celle de son cocontractant, en raison des fautes que celui-ci aurait commises en contribuant à la commission de la fraude, afin d’être indemnisée de tout ou partie du préjudice qu’elle a subi en versant les sommes litigieuses à une autre personne que son créancier. »

Le manquement du cocontractant n’est donc pas bloquant au stade du paiement mais peut donc donner lieu à action récursoire, sans que l’on sache encore à ce stade comment serait appréciée cette faute, notamment si celle-ci vient de communications d’informations (en général par des fraudes téléphoniques ou de messagerie électronique émanant prétendument de la banque, de la collectivité ou du directeur général). Rappelons qu’avant Chorus pro, les vols de facture à La Poste avec réémission de ces factures avec de faux numéros de RIB n’étaient, hélas, pas rare. Nous avons été nombreux à le subir…  

La Haute Assemblée :

• précise aussi que le juge peut, s’il est saisi de telles conclusions par la personne publique, procéder à la compensation partielle ou totale des créances respectives de celles-ci et de son cocontractant. Mais cette compensation sera à opérer au stade contentieux, et non au stade du primo-paiement, semble-t-il, même si ce point pourrait être discuté. 
• omet de rappeler que :
  • la responsabilité de l’Etat, peut être dans certains cas engagée, par une action récursoire. Mais les voies de ce type d’actions restent étroites. 
  • le comptable (voire l’ordonnateur dans certains cas) ensuite pourrait voir sa responsabilité engagée si à cette occasion il a commis une infraction financière… Voir nos nombreux articles sur le régime de la responsabilité des gestionnaires publics

 

Source :

Conseil d’État, 21 octobre 2024, Grand port maritime de Bordeaux c. Société Liebherr distribution et services France, n° 487929, aux tables du recueil Lebon

 

 

Mais une position récente de la Cour de cassation va dans le sens de difficultés à trouver aisément une faute de l’entreprise… 

Car en pareil cas, souvent, les collectivités se retourneront contre la personne privée, un fournisseur le plus souvent, qui a été victime de cette fraude… en prétendant que ce fournisseur a sa quote-part de faute et, donc, que celui-ci doit payer une partie correspondante du préjudice indemnisable.

C’est dans ce cadre que la Cour de cassation vient de rendre un arrêt important car elle confirme que les fautes des entreprises dans ce cadre ne seront pas aisément considérées comme fautives.

Certes cet arrêt se place-t-il dans un autre cadre, qui est celui du lien entre une banque et son client, d’une part, et dans celui des fraudes dites « au spoofing », d’autre part… technique qui permet à des escrocs d’afficher un numéro de téléphone usurpé, en l’espèce celui de la banque.

Le titulaire d’un compte avait été contacté téléphoniquement par une personne se faisant passer pour un préposé de sa banque dont le numéro s’affichait. Ces faux préposé avec demandé l’utilisation du dispositif de sécurité personnalisé pour supprimer puis réinscrire des bénéficiaires de virements dans le but d’éviter des opérations malveillantes…

La Cour de cassation pose que :

« 5. Après avoir exactement énoncé qu’il incombe au prestataire de services de paiement de rapporter la preuve d’une négligence grave de son client, l’arrêt constate que le numéro d’appel apparaissant sur le téléphone portable de M. [J] s’était affiché comme étant celui de Mme [Y], sa conseillère BNP et retient qu’il croyait être en relation avec une salariée de la banque lors du réenregistrement et nouvelle validation qu’elle sollicitait de bénéficiaires de virement sur son compte qu’il connaissait et qu’il a cru valider l’opération litigieuse sur son application dont la banque assurait qu’il s’agissait d’une opération sécurisée. Il ajoute que le mode opératoire par l’utilisation du « spoofing » a mis M. [J] en confiance et a diminué sa vigilance, inférieure, face à un appel téléphonique émanant prétendument de sa banque pour lui faire part du piratage de son compte, à celle d’une personne réceptionnant un courriel, laquelle aurait pu disposer de davantage de temps pour s’apercevoir d’éventuelles anomalies révélatrices de son origine frauduleuse.»

Par analogie, on voit que les actions récursoires des collectivités contre leurs fournisseurs ou autres débiteurs, à l’occasion de fraudes au faux RIB, seront donc difficiles, le juge judiciaire acceptant un niveau de vigilance des clients bancaires qui ne conduisent pas non plus à leur imposer d’en faire des super-héros paranoïaques de la fraude.

Source :

Cass. com., 23 octobre 2024, n° 23-16.267, au Bull.

 

 

B. Gare à ce stade à la responsabilité financière

 

La Cour d’appel financière (CAF) vient de rendre une décision importante en matière de responsabilité financière des gestionnaires publics (RFGP) en matière de fraude aux RIB; laquelle donne déjà lieu à un régime juridique subtil.

En ce domaine, les exigences de la Cour font que les comptables victimes d’une telle fraude au RIB commettront assez aisément une faute grave au sens de l’article L. 131-9 du CJF sauf à assurer (jusqu’à son terme, au lieu de seulement en esquisser les prémices) un niveau de vigilance qui contraste avec la massification, dans le monde réel, de tels traitements.

La Cour d’appel financière a également été conduite à apprécier si, en l’espèce, le préjudice financier avait été significatif ou non, affinant un mode d’emploi déjà fort précis.

La Cour commence par rappeler ce que sont les contrôles relevant du comptable :

« Sur l’articulation des contrôles incombant au comptable
« 6. Il résulte des dispositions citées au point 4 que le contrôle de la production des justifications au sens du d) du 2° de l’article 19 du décret du 7 novembre 2012 et de l’article 20 du même décret a entre autres pour objet de contribuer à la vérification du caractère libératoire du paiement au sens du e) du 2° du même article. Dès lors les contrôles incombant au comptable public d’une part sur la validité de la dette, d’autre part sur le caractère libératoire du paiement, n’ont pas à être exercés, contrairement à ce qui est allégué, selon des modalités distinctes et sur la base de pièces justificatives différentes. Par suite, la Cour des comptes n’a pas commis d’erreur de droit sur ce point.
« Sur l’incohérence des justificatifs
« Pour apprécier la validité des créances, les comptables publics doivent notamment exercer leur contrôle sur la production des justifications. A ce titre, il leur revient d’apprécier si les pièces fournies présentent un caractère suffisant pour justifier la dépense engagée. Pour établir ce caractère suffisant, il leur appartient de vérifier, en premier lieu, si l’ensemble des pièces requises au titre de la nomenclature comptable applicable leur ont été fournies et, en deuxième lieu, si ces pièces sont, d’une part, complètes et précises, d’autre part, cohérentes au regard de la catégorie de la dépense définie dans la nomenclature applicable et de la nature et de l’objet de la dépense telle qu’elle a été ordonnancée. Si ce contrôle peut conduire les comptables à porter une appréciation juridique sur les actes administratifs à l’origine de la créance et s’il leurappartient alors d’en donner une interprétation conforme à la réglementation en vigueur, ils n’ont pas le pouvoir de se faire juges de leur légalité. Lorsque les pièces justificatives fournies sont insuffisantes pour établir la validité de la créance, il appartient aux comptables de suspendre le paiement jusqu’à ce que l’ordonnateur leur ait produit les justifications nécessaires»

Rien de tout ceci ne surprendra le lecteur averti.

Surtout, ce rappel des fondamentaux en la matière par la CAF démontre aussi qu’en rien le juge financier ne baisse la garde sur ce point. Et, à ce compte là, les incohérences éventuelles doivent servir aux acteurs de la chaîne financière, et in fine aux comptables publics, de signal d’alarme :

« Il ressort des termes de l’arrêt attaqué que la Cour des comptes reproche à M. Y de  n’avoir pas relevé des incohérences flagrantes entre pièces justificatives qui auraient dû l’alerter sur la validité de la dette et le caractère libératoire des paiements. Ces incohérences portent sur la contradiction de bénéficiaire entre les cinq mandats litigieux d’un côté et la cession de créances et le contrat d’affacturage en vigueur dont disposait le comptable de l’autre, la production à l’appui de trois des mandats litigieux de factures rigoureusement identiques au bénéfice de deux affactureurs distincts, la présence au même bordereau d’un mandat devant être recouvré par l’établissement de crédit B, pourtant relatif au même marché, alors qu’un contrat d’affacturage avait censément été signé le 13 juin précédent avec Z. Ces incohérences pouvaient être relevées par le comptable public sans pour autant conduire celui-ci à excéder son office en portant une appréciation sur la légalité d’actes administratifs. Par suite, l’arrêt attaché n’est pas entaché d’erreur de droit sur ce point.»

On le voit, la partie appelante semble avoir tenté de prétendre qu’identifier les incohérences eût été un contrôle de légalité et non de régularité financière, ce qui était osé (mais est-ce réellement ce qui a été soulevé ?) et que les pièces justificatives sur la validité de la dette et sur le caractère libératoire du paiement sont distinctes, ce qui n’était pas très solide.

Et, surtout, une norme est ainsi réaffirmée : le comptable public doit traquer les incohérences, notamment en cas de changement de RIB, même si cela passe par d’apparents changements dans les contrats d’affacturage (cessions Dailly pour l’essentiel).

Et c’est là l’apport principal de l’arrêt pour ce qui est de la faute : il ne suffit pas d’avoir engagé des vérifications à la suite de l’identification de possibles incohérences. Encore faut-il les avoir conduites jusqu’à leur terme et restant méfiant étape par étape. Le cas d’espèce est frappant car M. Y, adjoint au payeur départemental de l’Eure, avait tout de même par courriel tenté de s’assurer qu’il n’y avait pas fraude :

« Sur l’insuffisance des vérifications
« Par l’arrêt attaqué, la Cour des comptes fait grief à M. Y de s’être contenté, pouradmettre le transfert de la créance de l’établissement de crédit B à Z, d’une simple attestation d’affacturage au profit de Z en date du 23 juillet 2018 émanant prétendument de la société L, titulaire d’un marché avec le département de l’Eure. Si la Cour des comptes a à tort assimilé cette attestation, qui n’émanait pas des services de l’ordonnateur, à un certificat administratif ; si, par ailleurs, contrairement à ce qui est indiqué au point 70 de l’arrêt entrepris, et comme en attestent des copies d’écran produites par l’appelant, trois au moins des cinq mandats litigieux faisaient expressément référence au prétendu nouvel affactureur ; et s’il est enfin exact que laCour des comptes n’a pas tranché la qualification – cession ou subrogation – applicable à l’affacturage en cause ni tiré les conséquences qui auraient résulté de cette qualification quant aux pièces requises, ces considérations sont sans incidence sur le constat de l’existence d’une faute de M. Y, qui repose suffisamment sur la triple considération, de première part, que l’attestation précitée n’était pas, à elle seule, de nature à établir le caractère libératoire du paiement, de deuxième part, que M. Y n’a pas cherché à s’assurer de la validité de cette attestation ni auprès de la société L ni auprès de Z et, de troisième part, que le comptable n’a pas disposé de la preuve que le changement d’affactureur supposé, qui ne lui avait pas été notifié formellement, avait bien l’aval de l’établissement de crédit B.
« Sur ce dernier point, si M. Y fait valoir que, loin de se contenter de l’attestationmentionnée au point précédent, il a sollicité la mainlevée de l’établissement de crédit B en adressant un courriel à sa correspondante habituelle au sein de l’établissement, il résulte de l’instruction qu’il s’est contenté d’un courriel signé d’un prétendu responsable de l’établissement qu’il ne connaissait pas et avec qui il n’avait jamais été en contact, sans vérifier sa qualité, alors que, comme le fait valoir le parquet général près la Cour des comptes, il aurait dû faire montre d’une vigilance redoublée dans un contexte marqué par une recrudescence d’escroqueries au virement bancaire, qu’il ne pouvait ignorer puisqu’elle avait été signalée par la direction générale des finances publiques à tous les comptables publics du réseau, par des notes de services et messages rappelés aux points 84 à 86 de l’arrêt dont appel, et, au cas particulier, en raison de la substitution prétendue à l’établissement de crédit B d’un nouvelintervenant, installé au Portugal, avec lequel M. Y n’avait jamais eu l’occasion detravailler auparavant.
« Enfin, si M. Y soutient également avoir joint au téléphone le payeur départementaldont il était l’adjoint, alors que celui-ci était en congés, il ne résulte de l’instruction ni que son supérieur disposait des éléments d’information lui permettant de prendre la mesure de la situation, ni que le requérant lui ait demandé ou en ait reçu des instructions précises susceptibles de dégager sa responsabilité.
« Il résulte de ce qui précède que, si M. Y n’est pas resté inactif face à un dossier depaiement qui comportait des incohérences, il n’est pas allé au bout des vérifications qu’il a lui- même initiées. Il a ainsi méconnu les règles d’exécution des dépenses que sont le contrôle de la validité de la dette, qui porte notamment sur la production des pièces justificatives, et celui du caractère libératoire du paiement. »

La CAF a donc :

• reconnu que certains éléments à charge retenus par le premier juge étaient imprécis ou inexacts, la Cour d’appel financière en a noté le caractère surabondant.
• relevé que le manquement aux règles précitées était suffisamment établi par ailleurs : au titre du contrôle de la validité de la dette, le comptable n’a pas suspendu le paiement face à des pièces justificatives manifestement incohérentes ; et s’il n’est pas resté inactif, il n’est pas allé au bout des diligences qui auraient permis d’établir si le paiement était ou non libératoire.

 

Le juge d’appel a donc confirmé l’existence d’une faute grave, jugeant :

• que l’importance des sommes en jeu pouvait être retenue pour établir cette gravité (ce qui confirme la position de la Cour selon laquelle l’importance de l’enjeu financier peut servir à qualifier la gravité de la faute de gestion alors qu’en théorie ces deux critères devraient être distincts, puisque cumulatifs : Cour des comptes, 24 novembre 2023, CCMB, n° S-2023-1382. Mais on voit bien le raisonnement sous-jacent à cette position : on doit être plus prudent quand les sommes en jeu sont conséquentes) 
• qu’une faute isolée pouvait être grave (tout en relevant qu’en l’espèce l’intéressé avait en la matière manqué de façon multiple à ses obligations).

 

La faute reposait donc en l’espèce sur la réunion de trois éléments :

• « que l’attestation précitée n’était pas, à elle seule, de nature à établir le caractère libératoire du paiement »
• que M. Y « n’a pas cherché à s’assurer de la validité de cette attestation » ni auprès de la société L ni auprès de Z »
• « que le comptable n’a pas disposé de la preuve que le changement d’affactureur supposé, qui ne lui avait pas été notifié formellement, avait bien l’aval de l’établissement de crédit B.»

 

Est-ce :

• nouveau ? La réponse est NON
• surprenant ? La réponse est NON car rien dans la réforme n’a changé le niveau de contrôle du comptable. A juste titre, procureur général honoraire près la Cour des comptes M. Gilles Johanet avait à de nombreuses reprises (notamment dans nos vidéos, voir ici) avait signalé que cette réforme était incomplète tant que les relations entre ordonnateurs et comptables n’étaient pas plus précisément fixées. A défaut d’intervention sur ce point des textes fondateurs de la réforme, voici donc que le juge a rempli cet office. Ou du moins continue de le faire.
• raisonnable ? La réponse est … SANS DOUTE QUE NON car nous sommes en un temps de massification de telles opérations. Les contrôles méfiants, détaillés et concrets seront donc difficiles à dérouler en réalité. A tout le moins faudra-t-il les prévoir pour les sommes importantes.

 

Sur ce point, et notamment sur la notion de préjudice financier significatif (élément pour que l’infraction financière soit constituée en sus de la faute grave), voir notre article plus détaillé :

• Cour d’appel financière et art. L. 131-9 du CJF : un arrêt important en termes de gravité de la faute (en cas de fraude au RIB) et de calcul du « préjudice financier significatif »

Et voici cette décision :

• CAF, 6 février 2025, Département de l’Eure, n°2025-01

 

 

 

C. Compléments (loi Fraude de 2018 ; conseils pratiques…)

 

Une seconde réponse à ces questions, en sus de ces réponses jurisprudentielles, fut législative avec la loi n° 2018-898 du 23 octobre 2018 relative à la lutte contre la fraude (NOR: CPAE1805937L).

Ce texte est présenté comme étant un des compléments à la fameuse « Loi confiance / droit à l’erreur ». Voir à ce sujet :

• Société de confiance, droit à l’erreur… Voici un ouvrage sur la loi du 10 août 2018 [TÉLÉCHARGEMENT LIBRE ET GRATUIT] 
• https://blog.landot-avocats.net/?s=loi+confiance

 

Ce texte comprenait :

• la fameuse levée (ou semi-levée…) du « verrou de Bercy » (au profit d’une transmission au procureur de tous les dossiers de fraude les plus graves selon des critères fixés par la loi).
• un régime de responsabilité en matière de TVA pour les services en ligne.
• une possibilité de conclure une convention judiciaire d’intérêt public (CJIP) en matière de fraude fiscale.
• de meilleurs échanges d’information entre différents organismes et d’accès à l’information pour les divers agents de contrôle (inspection du travail ; CPAM et CAF ; CNAV et autres caisses de retraite ; URSSAF ; CGSS dans les DOM…).
• déclaration automatisée des revenus issus des plateformes dites d’économie collaborative.
• « name & shame » pour les fraudeurs.
• etc.

 

Voir :

• Loi contre la fraude au JO de ce matin 

 

 

 

Par ailleurs, saluons la diffusion de guides.

Il s’agit tout d’abord du guide de la DGFIP, refondu et mis à jour, en date du 30 janvier 2020 :

• fraude 2020

 

En voici quelques extraits :

 

Mais il est aussi utile de se référer à l’avis 2021-03 du 29 avril 2021 de la Commission Supérieure du Numérique et des Postes (CSNP) :

• Sécurité numérique : recommandations de la CSNP 

Pour accéder à ces 12 pages de conseils opérationnels, à l’heure où les fraudes, les piratages, cybermalveillances ou autres rançongiciels (ransomwares) abondent :

• Voir ici en pdf

 

Voir aussi une page web de vulgarisation pour entreprises, mais fort bien faite et transposable :

• https://www.economie.gouv.fr/entreprises/createurs-dirigeants-regles-cybersecurite#

Et voir surtout :

Cybermalveillance.gouv.fr