Les eaux troubles de la nouvelle économie numérique sont propices aux crimes financiers : un clic imprudent sur un lien d’hameçonnage ou un appel à un interlocuteur crédule suffisent pour permettre à un malfaiteur de réaliser sa « prise du jour » et de multiplier les victimes.
Quand un pirate accède au courriel de sa victime et effectue un paiement à un vendeur, laquelle des parties innocentes assume la perte? Une décision de la Cour du Banc du Roi de la Saskatchewan vient s’ajouter à la jurisprudence canadienne sur cette épineuse question.
L’affaire Honeybadger Enterprises Ltd. v. Bue, 2025 SKKB 123, arrive à point pour rappeler aux entreprises et aux consommateurs – surtout dans le domaine de la cryptomonnaie – l’importance d’avoir des modalités contractuelles claires pour l’attribution d’une perte liée à des instructions de paiement données par courriel, et de respecter à la lettre les protocoles de vérification prévus au contrat.
La Cour fait une analyse intéressante de l’applicabilité des modalités contractuelles sur l’attribution de la perte liée à des instructions de paiement numériques, du rôle de la doctrine de l’erreur de fait dans ce contexte et de la possibilité de répartir la perte découlant de la fraude entre les parties innocentes.
Principaux points à retenir
- Les clauses attribuant la perte au payeur ou à l’acheteur peuvent être utiles au bénéficiaire du paiement ou au vendeur, à condition qu’il respecte à la lettre les protocoles de vérification prévus au contrat. Si le contrat exige une méthode particulière pour la vérification d’instructions de paiement, le bénéficiaire ou le vendeur doit l’employer. Une omission à cet égard peut être vue comme une cause de la perte découlant de la fraude et ramener la responsabilité, en totalité ou en partie, chez le bénéficiaire ou le vendeur.
- Les vendeurs devraient revoir leurs conventions de débit préautorisé (DPA) et leurs protocoles pour le traitement des instructions de paiement données aux termes de celles-ci. Les bénéficiaires doivent porter une attention particulière aux méthodes de vérification de ces instructions (mot de passe, code de sécurité ou signature) et s’assurer de les respecter à la lettre.
- La doctrine de l’erreur de fait peut servir à attribuer la responsabilité lorsque l’une des parties innocentes aurait pu éviter la perte et que l’autre a défavorablement modifié sa situation de bonne foi. L’affaire Honeybadger laisse la porte ouverte à la possibilité que le non-respect d’obligations réglementaires (en lien avec la lutte contre le blanchiment d’argent ou le CANAFE, par exemple) fasse échec au critère de bonne foi.
- La perte liée à la fraude peut être répartie entre le payeur et le bénéficiaire si les deux sont coupables de négligence contributive, ou si le non-respect des modalités du contrat a contribué à la perte.
Contexte
Honeybadger Enterprises Ltd. exploite une entreprise de cryptomonnaie sur le marché de gré à gré et traite les achats effectués par ses clients aux termes de conventions de DPA. Les conventions de DPA permettent à Honeybadger de faire des retraits directement dans le compte bancaire d’un client à la réception d’instructions de paiement.
L’un de ses clients, M. Bue, a conclu une telle convention pour autoriser Honeybadger à acheter de la cryptomonnaie pour lui, à prélever des fonds dans son compte et à déposer la cryptomonnaie dans son portefeuille d’actifs numériques.
M. Bue a été floué par un fraudeur se faisant passer pour un agent du FBI qui lui a fait croire qu’il avait été recruté pour participer au démantèlement d’une opération illégale, et qu’il devait déposer des bitcoins dans un portefeuille numérique. Le fraudeur a transmis une adresse pour ce portefeuille à M. Bue.
Dans le cadre de ce piratage psychologique, M. Bue a donné un accès à distance à son ordinateur au fraudeur. Il n’a pas réalisé que ce dernier avait réussi à accéder à son compte de courriel et à en prendre le contrôle.
M. Bue a fourni des instructions légitimes à Honeybadger par courriel pour l’achat de 40 000 $ en bitcoins devant être déposés dans le portefeuille indiqué par le fraudeur. Honeybadger a traité ces paiements conformément à la convention de DPA et déposé la cryptomonnaie dans le portefeuille conformément aux instructions.
À l’insu de Honeybadger et de M. Bue, le fraudeur a envoyé d’autres courriels à Honeybadger lui demandant d’acheter 200 000 $ de bitcoins. Honeybadger a traité ces paiements conformément à la convention de DPA et déposé la cryptomonnaie dans le portefeuille numérique.
Ce n’est que plus tard que M. Bue a découvert qu’il y avait eu fraude, et que le fraudeur avait envoyé des instructions de paiement avec son adresse courriel. Il a demandé à sa coopérative de crédit d’annuler les paiements totaux de 240 000 $, ce qu’elle a fait. Honeybadger a poursuivi M. Bue pour les sommes associées aux bitcoins déposés dans le portefeuille.
Analyse et décision de la Cour
La Cour a conclu que M. Bue était responsable du paiement de 40 000 $ qu’il avait initié, et que Honeybadger et lui avaient contribué de façon égale à la perte de 200 000 $ pour les paiements initiés par le fraudeur. Par conséquent, on a ordonné à M. Bue de payer 140 000 $ à Honeybadger.
La convention de DPA comportait la clause suivante sur la vérification des instructions de paiement :
[Traduction] Si la présente convention prévoit des DPA ponctuels, je comprends/nous comprenons que le bénéficiaire doit obtenir une autorisation auprès de moi/nous pour chaque DPA avant l’échange et la compensation. Je comprends/nous comprenons qu’un mot de passe ou un code de sécurité, ou un autre élément équivalant à une signature, sera fourni et constituera une autorisation valide permettant à l’institution de traitement de débiter le compte.
La Cour a déterminé que Honeybadger n’a pas respecté l’exigence de vérification par mot de passe, code de sécurité ou autre élément équivalant à une signature, et ce, pour toutes les transactions. La Cour a rejeté l’argument de Honeybadger selon lequel un courriel de la part de M. Bue équivalait à une signature pour l’application de la clause.
La Cour a cité, en les approuvant, les propositions suivantes de la décision Du v. Jameson Bank, 2017 ONSC 2422 :
- Une institution financière est, en vertu de la common law et contractuellement, tenue d’honorer les instructions de ses clients. Lorsqu’il s’agit d’instructions de paiement, l’institution financière est en droit d’y accorder foi.
- Si le contrat n’exige pas que l’institution financière remette en question l’instruction de paiement du titulaire du compte, elle n’est pas tenue d’effectuer des vérifications supplémentaires avant de traiter le paiement.
- Si la convention de compte permet au titulaire de donner des instructions de paiement par courriel, et si l’institution financière est en droit, contractuellement, de les suivre, le titulaire sera responsable de la perte en lien avec des instructions fournies par un fraudeur qui a compromis son adresse courriel, pourvu que l’institution financière n’avait pas de raison de douter de l’authenticité des instructions.
- La Cour donnera effet aux exclusions de responsabilité des conventions de compte.
Cela dit, contrairement à celles de l’affaire Jameson Bank, les modalités contractuelles entre Honeybadger et M. Bue n’indiquaient pas que Honeybadger pouvait se fier uniquement sur des instructions de M. Bue transmises par courriel. Au contraire, elles prévoyaient une étape supplémentaire : la transmission, et la vérification subséquente, d’un mot de passe, d’un code de sécurité ou d’un autre élément équivalant à une signature. Honeybadger ne pouvait donc pas invoquer la clause sur l’autorisation de paiement de la convention pour tenir M. Bue responsable des instructions.
La Cour a considéré la doctrine de l’erreur de fait pour répartir la perte liée aux instructions de paiement. La doctrine peut être appliquée entre deux parties innocentes. Elle prévoit que : a) la partie qui avait l’occasion de prévenir la perte devrait l’assumer; b) la personne qui reçoit des sommes obtenues frauduleusement pour le règlement d’une dette contractée de bonne foi et n’est pas avisée de la fraude est en droit de conserver ces sommes. Le changement de situation doit toutefois être de bonne foi.
La Cour a conclu que, en l’espèce, la naïveté et l’ignorance de M. Bue étaient au cœur de la fraude. S’il avait mentionné le stratagème du « FBI » à Honeybadger, cette dernière n’aurait pas effectué les paiements, et la fraude aurait été découverte. Sans l’imprudence de M. Bue, grâce à laquelle le fraudeur a accédé à son ordinateur, Honeybadger n’aurait pas fait de retrait ni déposé les bitcoins dans le portefeuille.
M. Bue a fait valoir que Honeybadger n’avait pas respecté ses obligations à titre d’entreprise de services monétaires imposées par le CANAFE, que si elle les avait respectées, elle aurait pu prévenir la perte, et que le changement de situation de Honeybadger n’était par conséquent pas de bonne foi. Honeybadger a rétorqué qu’elle avait respecté ces obligations. Toutefois, les parties n’ont pas présenté de preuve d’expert sur la norme de conformité; la Cour n’a donc pas pu conclure que Honeybadger avait manqué aux exigences du CANAFE.
Cela dit, la Cour a conclu que Honeybadger avait manqué aux processus de vérification des instructions prévus dans la convention de DPA en se fiant uniquement au courriel sans transmettre de mot de passe, de code de sécurité ou d’autre élément équivalant à une signature. Si Honeybadger avait respecté la convention de DPA, la perte aurait pu être évitée.
Les agissements de M. Bue ont donné lieu à la fraude, et le fait que Honeybadger n’a pas respecté la convention l’a empêchée de la prévenir. La Cour a conclu que les deux parties devaient se partager de façon égale la responsabilité de la perte liée aux instructions de paiement du fraudeur.
