Sites frauduleux, cyberattaques, etc. : les commandes de produits sanitaires par les entreprises, qui doivent équiper leurs salariés, s’accompagnent d’une multiplication des fraudes. Comment réagir ? Le point sur la question, par L. Mongin-Archambeaud et E. de Dreuille, avocats au sein du cabinet Osborne Clarke.
La fin du confinement oblige les entreprises à adapter leur organisation en mettant en place des mesures pour assurer la sécurité de leurs salariés et rendre possible leur retour progressif dans les locaux. La plupart des employeurs sont ou seront donc conduits à s’approvisionner en produits de protection sanitaire : masques, gels hydroalcooliques, gants…
Au-delà de la difficulté de s’assurer de la conformité réglementaire de ces produits (généralement fabriqués à l’étranger) avec les normes applicables et de la gestion parfois complexe de la chaîne logistique, ces commandes massives associées à l’urgence ou à un contexte de tension de l’approvisionnement favorisent l’apparition de cas d’escroqueries.
Dans l’actualité récente, un grossiste-répartiteur de Rouen fournissant le marché français en masques et gels hydroalcooliques a, par exemple, fait l’objet d’une escroquerie et subi un préjudice évalué à 6,6 millions d’euros : les auteurs de l’escroquerie seraient parvenus à se faire virer ces fonds en se faisant passer pour un fournisseur habituel de la victime, après une fausse commande d’équipements.
Plusieurs types d’infractions ressortent de l’actualité récente
Les entreprises peuvent d’abord être victimes de sites frauduleux de vente de produits sanitaires : une fois la commande passée et réglée par la victime, les marchandises ne sont jamais livrées et le vendeur ne peut pas être identifié. Ce type de fraude peut notamment être poursuivi sur le fondement de l’escroquerie prévue par l’article 313-1 du Code pénal.
La recherche par de nombreuses entreprises de produits sanitaires permet aussi la mise en œuvre de « fraudes au virement». L’auteur d’une telle fraude s’adresse généralement au service comptable d’une société en empruntant l’identité d’un tiers comme un fournisseur et parvient à obtenir le virement de fonds vers un compte bancaire, souvent domicilié à l’étranger. Ce type de manœuvres peut être poursuivi sous la qualification d’escroquerie, mais également sur le fondement de l’infraction d’usurpation d’identité prévue par l’article 226-4-1 du Code pénal.
Enfin, de nombreux cas de cyberattaques ont été signalés durant la période de confinement. En particulier, les entreprises sont actuellement très exposées à des cas de « phishing » (ou hameçonnage, ciblant des personnes physiques pour les conduire à transmettre des données de paiement ou des données personnelles). Le travail des salariés à distance, parfois sur du matériel personnel, peut aussi favoriser des attaques par des virus (logiciel se propageant sur un réseau informatique et susceptible de l’endommager) ou des « ransomwares » (logiciel menaçant de détruire ou publier des données pour obtenir le versement d’une rançon). Ces actes malveillants sont sanctionnés sur le fondement des atteintes aux systèmes de traitement automatisé de données (C. pén. art. 323-1 s.).
Si les commandes de produits sanitaires semblent constituer un terrain particulièrement favorable aux escroqueries et cyberattaques, celles-ci peuvent aussi porter sur la participation à un prétendu fonds de solidarité ou sur des investissements en lien avec la crise sanitaire.
Les auteurs de ces fraudes réalisent souvent un important travail d’ingénierie sociale avant la réalisation de l’opération, qui peut avoir une apparence très crédible et sembler provenir d’une origine officielle, entreprise connue ou institution publique. Leur identification et leur poursuite est la plupart du temps rendue difficile par divers moyens technologiques permettant de masquer leur identité réelle.
Les mesures de prévention des fraudes
Au-delà de l’enjeu de sécurité, les mesures préventives sont essentielles en ce qu’elles peuvent être prises en compte pour apprécier le degré de vigilance de l’entreprise, cet élément étant déterminant dans le cadre d’une demande de remboursement qui serait formée par l’entreprise auprès de sa banque à la suite d’une escroquerie.
En effet, l’entreprise victime d’un site de vente frauduleux ou d’une fraude au président peut solliciter le remboursement des fonds auprès de sa banque sur le fondement de l’obligation de remboursement d’opérations de paiement contestées mise à la charge du prestataire de services de paiement (C. mon. fin. art. L 133-18) et de l’obligation de restitution au titulaire du compte (C. civ. art. 1937), sauf en en cas de négligence grave (Cass. com. 18-1-2017 n° 15-18.102).
Ainsi, il est recommandé de mettre en place diverses mesures pour limiter le risque de fraude au président ou d’escroquerie par un site frauduleux telles que la vérification de l’identité du fournisseur, le suivi d’une procédure interne pour effectuer le règlement et la sensibilisation des collaborateurs au risque accru d’escroquerie. En ce qui concerne les cyberattaques, la formation des collaborateurs à la prévention et à l’identification des risques est aussi fondamentale.
Réaction de la société victime d’une escroquerie
Lorsqu’une entreprise est victime d’une escroquerie, elle doit réagir au plus vite. Une réaction rapide augmentera ses chances de recouvrer les sommes perdues, et sera également prise en considération dans le cadre des actions judiciaires qui pourront être engagées.
En effet, dans le cadre de l’action qui pourrait être intentée à l’encontre de la banque aux fins de restitution des sommes transférées, la rapidité de la réaction de l’entreprise victime d’une escroquerie est un critère d’appréciation de sa négligence susceptible de limiter son droit à indemnisation (CA Paris 16-2-2018 n° 16/12192).
Ainsi, en cas de découverte de faits d’escroquerie, en premier lieu, l’entreprise devra informer « sans tarder » l’établissement bancaire pour répondre aux exigences de l’article L 133-17 du Code monétaire et financier et tenter d’éviter que les fonds détournés ne se volatilisent.
En parallèle, une plainte pénale devra être déposée entre les mains du Procureur de la République compétent.
Bien que les poursuites n’aboutissent pas nécessairement dès lors que les auteurs des infractions sont souvent à l’étranger et difficiles à identifier, le dépôt d’une plainte pénale présente plusieurs intérêts.
Tout d’abord, elle est souvent nécessaire à une demande d’indemnisation auprès de l’assureur de l’entreprise et généralement transmise à l’assureur comme preuve de l’infraction subie après la déclaration de sinistre.
Ensuite et surtout, lorsque les fonds ont été transférés à l’étranger, ce qui est le cas le plus souvent, elle permettra aux autorités judiciaires des pays concernés de se coordonner pour organiser le gel des fonds, ainsi que leur rapatriement, dans le cadre de procédures de coopération internationale. Un dépôt de plainte peut aussi mettre en évidence le lien entre l’escroquerie et un réseau criminel faisant déjà l’objet d’une enquête.
Enfin, dans le cadre d’un éventuel contentieux avec la banque, là encore, le dépôt de plainte démontrera que la victime a mis en œuvre tout ce qui était en son pouvoir pour permettre l’identification des auteurs de l’escroquerie, et son indemnisation. A l’inverse, un dépôt de plainte tardif pourrait être interprété comme un indice de négligence de la part de la victime.
Par Lucie MONGIN-ARCHAMBEAUD, Avocat Counsel au sein du cabinet Osborne Clarke