Nouvelle diffusion 

---

 

I. VIDEO (5 mn 48)

 

• M. Jean-Jacques Latour,
  Directeur Expertise de
  Cybermalveillance.gouv.fr

 

https://youtu.be/htOkXiOtxkM

 

Voir aussi une autre vidéo plus ancienne :

• https://youtu.be/nuxxvWe4gW8

 

 

II. ARTICLE

 

 

Une facture est payée par une collectivité publique. Mais à la suite d’une escroquerie, c’est un malfrat qui encaisse le virement en lieu et place du fournisseur. Faut-il, alors, néanmoins payer le fournisseur ? Au risque d’un double décaissement pour la collectivité publique ?  

Réponse du Conseil d’Etat : OUI. Quitte à envisager des actions en responsabilité par ricochet (action récursoire, mise en cause de la faute du cocontractant…). Avec éventuelle compensation aux bons soins du juge. 

• A. Le Conseil d’Etat confirme que c’est à la personne publique qu’il incombe de payer (quitte à envisager une action récursoire). Mais une position récente de la Cour de cassation va dans le sens de difficultés à trouver aisément une faute de l’entreprise…
• B. Compléments (loi Fraude de 2018 ; conseils pratiques…)

---

 

A. Le Conseil d’Etat confirme que c’est à la personne publique qu’il incombe de payer (quitte à envisager une action récursoire). Mais une position récente de la Cour de cassation va dans le sens de difficultés à trouver aisément une faute de l’entreprise… 

 

De telles fraudes sur les RIB liés à telle ou telle facture ne sont pas rares, même si depuis la fin des factures papier (avant il y avait des fraudes via des vols postaux suivis de falsification des RIB…) et le développement de Chorus pro nous avons quelques verrous.

 

La première réponse est jurisprudentielle et vient de connaître une spectaculaire confirmation par le Conseil d’Etat.

OUI il faut alors payer le fournisseur.

Au risque d’un double décaissement pour la collectivité publique (avec une faute à se partager au cas par cas entre comptable [Etat et comptable à titre personnel] et collectivité.

Telle était déjà la position d’un TA et d’une CAA, au moins dans le cas où le comptable public aurait du s’en rendre compte ou aurait du exiger un avenant.

Voir : TA Paris, 27 novembre 2017, n° 1619651 ; puis CAA de PARIS, 10 avril 2018, 17PA03697 :

• 17PA03697

Voir :

• Un escroc encaisse un virement d’un fournisseur d’une personne publique. Faut-il, alors, néanmoins payer le fournisseur au risque d’un double décaissement ? 

 

Le Conseil d’Etat vient d’en apporter une spectaculaire confirmation en jugeant :

• qu’il appartient à une personne publique de procéder au paiement des sommes dues en exécution d’un contrat administratif en application des stipulations contractuelles, ce qui implique, le cas échéant, dans le cas d’une fraude tenant à l’usurpation de l’identité du cocontractant et ayant pour conséquence le détournement des paiements, que ces derniers soient renouvelés entre les mains du véritable créancier.
• que la personne publique ne peut alors pas utilement se prévaloir, pour contester le droit à paiement de son cocontractant sur un fondement contractuel :
  • ni des dispositions de l’article 1342-3 du code civil relatives au créancier apparent, qui ne sont pas applicables aux contrats administratifs,
  • ni des manquements qu’aurait commis son cocontractant en communiquant des informations ayant rendu possible la manoeuvre frauduleuse.

Mais la personne publique qui se retrouve à devoir payer deux fois peut rechercher, aux termes mêmes de cette nouvelle décision du Conseil d’Etat, et pour reprendre les formulations des futures tables du rec. :

« outre la responsabilité de l’auteur de la fraude, celle de son cocontractant, en raison des fautes que celui-ci aurait commises en contribuant à la commission de la fraude, afin d’être indemnisée de tout ou partie du préjudice qu’elle a subi en versant les sommes litigieuses à une autre personne que son créancier. »

Le manquement du cocontractant n’est donc pas bloquant au stade du paiement mais peut donc donner lieu à action récursoire, sans que l’on sache encore à ce stade comment serait appréciée cette faute, notamment si celle-ci vient de communications d’informations (en général par des fraudes téléphoniques ou de messagerie électronique émanant prétendument de la banque, de la collectivité ou du directeur général). Rappelons qu’avant Chorus pro, les vols de facture à La Poste avec réémission de ces factures avec de faux numéros de RIB n’étaient, hélas, pas rare. Nous avons été nombreux à le subir…  

La Haute Assemblée :

• précise aussi que le juge peut, s’il est saisi de telles conclusions par la personne publique, procéder à la compensation partielle ou totale des créances respectives de celles-ci et de son cocontractant. Mais cette compensation sera à opérer au stade contentieux, et non au stade du primo-paiement, semble-t-il, même si ce point pourrait être discuté. 
• omet de rappeler que :
  • la responsabilité de l’Etat, peut être dans certains cas engagée, par une action récursoire. Mais les voies de ce type d’actions restent étroites. 
  • le comptable (voire l’ordonnateur dans certains cas) ensuite pourrait voir sa responsabilité engagée si à cette occasion il a commis une infraction financière… Voir nos nombreux articles sur le régime de la responsabilité des gestionnaires publics

 

Source :

Conseil d’État, 21 octobre 2024, Grand port maritime de Bordeaux c. Société Liebherr distribution et services France, n° 487929, aux tables du recueil Lebon

 

 

Mais une position récente de la Cour de cassation va dans le sens de difficultés à trouver aisément une faute de l’entreprise… 

Car en pareil cas, souvent, les collectivités se retourneront contre la personne privée, un fournisseur le plus souvent, qui a été victime de cette fraude… en prétendant que ce fournisseur a sa quote-part de faute et, donc, que celui-ci doit payer une partie correspondante du préjudice indemnisable.

C’est dans ce cadre que la Cour de cassation vient de rendre un arrêt important car elle confirme que les fautes des entreprises dans ce cadre ne seront pas aisément considérées comme fautives.

Certes cet arrêt se place-t-il dans un autre cadre, qui est celui du lien entre une banque et son client, d’une part, et dans celui des fraudes dites « au spoofing », d’autre part… technique qui permet à des escrocs d’afficher un numéro de téléphone usurpé, en l’espèce celui de la banque.

Le titulaire d’un compte avait été contacté téléphoniquement par une personne se faisant passer pour un préposé de sa banque dont le numéro s’affichait. Ces faux préposé avec demandé l’utilisation du dispositif de sécurité personnalisé pour supprimer puis réinscrire des bénéficiaires de virements dans le but d’éviter des opérations malveillantes…

La Cour de cassation pose que :

« 5. Après avoir exactement énoncé qu’il incombe au prestataire de services de paiement de rapporter la preuve d’une négligence grave de son client, l’arrêt constate que le numéro d’appel apparaissant sur le téléphone portable de M. [J] s’était affiché comme étant celui de Mme [Y], sa conseillère BNP et retient qu’il croyait être en relation avec une salariée de la banque lors du réenregistrement et nouvelle validation qu’elle sollicitait de bénéficiaires de virement sur son compte qu’il connaissait et qu’il a cru valider l’opération litigieuse sur son application dont la banque assurait qu’il s’agissait d’une opération sécurisée. Il ajoute que le mode opératoire par l’utilisation du « spoofing » a mis M. [J] en confiance et a diminué sa vigilance, inférieure, face à un appel téléphonique émanant prétendument de sa banque pour lui faire part du piratage de son compte, à celle d’une personne réceptionnant un courriel, laquelle aurait pu disposer de davantage de temps pour s’apercevoir d’éventuelles anomalies révélatrices de son origine frauduleuse.»

Par analogie, on voit que les actions récursoires des collectivités contre leurs fournisseurs ou autres débiteurs, à l’occasion de fraudes au faux RIB, seront donc difficiles, le juge judiciaire acceptant un niveau de vigilance des clients bancaires qui ne conduisent pas non plus à leur imposer d’en faire des super-héros paranoïaques de la fraude.

Source :

Cass. com., 23 octobre 2024, n° 23-16.267, au Bull.

 

 

B. Compléments (loi Fraude de 2018 ; conseils pratiques…)

 

Une seconde réponse à ces questions, en sus de ces réponses jurisprudentielles, fut législative avec la loi n° 2018-898 du 23 octobre 2018 relative à la lutte contre la fraude (NOR: CPAE1805937L).

Ce texte est présenté comme étant un des compléments à la fameuse « Loi confiance / droit à l’erreur ». Voir à ce sujet :

• Société de confiance, droit à l’erreur… Voici un ouvrage sur la loi du 10 août 2018 [TÉLÉCHARGEMENT LIBRE ET GRATUIT] 
• https://blog.landot-avocats.net/?s=loi+confiance

 

Ce texte comprenait :

• la fameuse levée (ou semi-levée…) du « verrou de Bercy » (au profit d’une transmission au procureur de tous les dossiers de fraude les plus graves selon des critères fixés par la loi).
• un régime de responsabilité en matière de TVA pour les services en ligne.
• une possibilité de conclure une convention judiciaire d’intérêt public (CJIP) en matière de fraude fiscale.
• de meilleurs échanges d’information entre différents organismes et d’accès à l’information pour les divers agents de contrôle (inspection du travail ; CPAM et CAF ; CNAV et autres caisses de retraite ; URSSAF ; CGSS dans les DOM…).
• déclaration automatisée des revenus issus des plateformes dites d’économie collaborative.
• « name & shame » pour les fraudeurs.
• etc.

 

Voir :

• Loi contre la fraude au JO de ce matin 

 

 

 

Par ailleurs, saluons la diffusion de guides.

Il s’agit tout d’abord du guide de la DGFIP, refondu et mis à jour, en date du 30 janvier 2020 :

• fraude 2020

 

En voici quelques extraits :

 

Mais il est aussi utile de se référer à l’avis 2021-03 du 29 avril 2021 de la Commission Supérieure du Numérique et des Postes (CSNP) :

• Sécurité numérique : recommandations de la CSNP 

Pour accéder à ces 12 pages de conseils opérationnels, à l’heure où les fraudes, les piratages, cybermalveillances ou autres rançongiciels (ransomwares) abondent :

• Voir ici en pdf

 

Voir aussi une page web de vulgarisation pour entreprises, mais fort bien faite et transposable :

• https://www.economie.gouv.fr/entreprises/createurs-dirigeants-regles-cybersecurite#

Et voir surtout :

Cybermalveillance.gouv.fr