CA Colmar, 1re ch. civ. A, 16 avril 2014, n° 12-05051

La SA Alsatel a conclu avec la SAS Ates le 1er mars 2005, un contrat de vente et d'assistance technique portant sur deux autocommutateurs Siemens Hipath 3 500 (équipements téléphoniques) pour deux sites (Nemours et Ostwald).

Alors que les communications téléphoniques s'élevaient à environ 500 euros par mois, la société Alsatel a constaté une augmentation anormale de ses factures téléphoniques à compter d'avril 2009, qui ont été liées à un piratage extérieur du standard de Nemours par utilisation de la messagerie vocale, rendu possible par une non-modification du mot de passe par défaut "1234".

Par acte d'huissier du 1er octobre 2009, elle a fait assigner la société Alsatel devant le Tribunal de grande instance de Strasbourg afin de voir constater au visa des articles 1641, 1644 et 1645 du Code civil, qu'un vice caché affecte l'installation téléphonique, condamner la société Alsatel à lui payer la somme de 5 000 euros au titre de la diminution du prix de vente, et celle de 50 072,93 euros HT au titre du préjudice subi, avec intérêts au taux légal à compter du 12 juin 2009, subsidiairement, de la voir condamner à lui payer la somme de 50 072,93 euros HT outre intérêts sur le fondement des articles 1147 et 1615 du même Code.

Par jugement du 31 août 2012, le tribunal, qui a retenu l'existence d'un vice caché, a condamné la société Alsatel à payer à la société Ates la somme de 49 072,93 euros à titre de dommages et intérêts, avec intérêts au taux légal à compter du jugement, et la somme de 1 500 euros au titre de l'article 700 du Code de procédure civile, ainsi qu'aux dépens, débouté les parties de leurs plus amples prétentions.

La société Alsatel a interjeté appel de cette décision le 17 octobre 2012.

Elle demande à la cour d'infirmer le jugement, de juger que les équipements installés par elle ne sont affectés d'aucun vice caché au sens de l'article 1641 du Code civil, qu'elle ne peut être tenue au paiement d'une somme de 49 072,93 euros en principal à titre de dommages et intérêts, de rejeter toutes autres prétentions plus amples ou contraires, de condamner la société Ates aux dépens d'instance et d'appel et à lui payer la somme de 2 500 euros au titre de l'article 700 du Code de procédure civile, et sur appel incident, de juger l'appel incident irrecevable et en tout cas mal fondé et d'en débouter la société Ates.

Elle conteste que l'installation vendue soit affectée d'un vice caché alors qu'elle a donné satisfaction à la société Ates pendant des années et que celle-ci n'a pas invoqué en première instance la non-conformité de l'installation à sa destination, n'a jamais invoqué au cours des relations contractuelles des anomalies affectant les installations de télécommunication, que ne caractérise pas un vice caché l'utilisation frauduleuse d'une fonctionnalité d'un bien qui était connue au moment où le produit a été acquis, comme la possibilité de passer des appels vers l'extérieur en passant par le standard, de renvoyer ses appels sur son poste de n'importe où.

Elle rappelle que selon les conditions générales elle ne peut être tenue pour responsable des infractions aux règlements de l'administration et/ou de l'opérateur incombant au client ; que les agissements frauduleux ont été rendus possibles parce que le mot de passe implicite initial n'a jamais été modifié par la société Ates.

Elle précise que si le mot de passe par défaut n'a pas été modifié par elle lors du paramétrage des postes téléphoniques des utilisateurs, c'est parce qu'il s'agit d'une fonctionnalité utilisateur personnelle au poste téléphonique, qui ne peut être faite qu'à partir du standard lui-même.

Elle insiste sur le fait que lors de l'installation des équipements un transfert de compétence a été réalisé par son expert Télécom et Réseau durant deux jours au responsable informatique et administrateur Telecom de la société Ates ; que la société Ates a pendant des années géré et modifié l'acheminement des appels entrants vers des standards automatiques qu'elle a créés, procédé à des modifications de paramétrage quotidien comme les changements de noms, la création de postes, et qu'il lui a été fourni un CD-Rom contenant le guide de l'utilisateur qui préconise de modifier le code secret au premier accès à la boîte vocale.

Elle considère qu'il ne peut lui être reproché de ne pas avoir averti son cocontractant d'un risque potentiel de piratage s'il ne se conformait pas au mode d'emploi, qu'elle a rempli son obligation d'information en remettant le mode d'emploi et par le transfert de compétences.

Elle précise que la personne de la société Alsatel auprès de laquelle a été effectué le transfert de compétences s'est présentée comme étant le responsable informatique et Telecom de la société Alsatel, et que même si elle n'était que le responsable informatique elle aurait dû estimer utile de protéger les accès par des mots de passe, son attention ayant été attirée sur ce point ; qu'elle s'est présentée comme étant chargée de superviser l'installation sur les deux sites.

Elle rappelle que la société Ates a indiqué en première instance n'avoir jamais modifié le mot de passe installé par défaut et avoir omis de personnaliser le code secret comme il était recommandé par le guide de l'utilisateur, relève qu'il n'a jamais été précisé quels étaient les mots de passe en vigueur lors du piratage, déclare que si la société Ates avait modifié les mots de passe, le piratage n'aurait pu être réalisé, que le mode opératoire n'est pas encore connu et devrait être révélé par l'enquête de police, mais qu'une manipulation humaine serait nécessaire, soit la connexion à la boîte vocale, des robots d'appel pouvant ensuite être mis en œuvre.

Elle affirme avoir rempli son obligation de conseil et de renseignement, et ajoute que la société Ates a commis un manquement parce qu'elle avait la possibilité par le système de taxation de récupérer les tickets d'appels journaliers, ce qui lui aurait permis d'avoir plus rapidement connaissance des agissements frauduleux et de minorer son préjudice, les rapports étant originairement édités automatiquement, qu'elle n'est pas concernée par l'administration et la gestion des équipements.

Elle soutient que seule la méconnaissance de la société Ates dans l'exécution des prestations qui lui incombaient a permis l'usage frauduleux de son système de télécommunication.

La société Ates demande à la cour, de débouter la société Alsatel de son appel, de confirmer le jugement, au besoin par substitution de motifs, sauf en ce qui concerne le point de départ des intérêts, et statuant à nouveau de ce chef, de dire que la condamnation de la société Alsatel à lui payer la somme de 49 072,93 euros porte intérêt au taux légal à compter de la mise en demeure du 12 juin 2009, et d'ordonner la capitalisation des intérêts, de condamner la société Alsatel à lui payer la somme de 3 500 euros au titre de l'article 700 du Code de procédure civile et aux dépens.

Elle précise que lors de l'installation des deux standards sur les deux sites par deux équipes de la société Alsatel, le paramétrage des postes téléphoniques des utilisateurs a été effectué sans modification du mot de passe par défaut des boîtes vocales, qu'à aucun moment leur attention n'a été attirée sur la nécessité de changer le mot de passe par défaut, qui est resté "1234" ; que la société Alsatel n'a pas évoqué la possibilité de passer des appels vers l'extérieur par le standard à distance, et la nécessité de modifier le code secret ; que si au mois de juillet 2005 la société Alsatel a installé un logiciel de taxation, il était indépendant du système téléphonique d'origine et avait pour objectif de suivre de façon automatisée les appels perdus et le volume d'appel des commerciaux afin de réguler leur charge de travail, et non de surveiller la consommation des postes, et n'a jamais fonctionné de manière automatique et devait être utilisé manuellement.

Elle soutient que le standard téléphonique acquis était atteint d'un vice puisqu'il n'était pas protégé contre les intrusions extérieures, et que par ailleurs à aucun moment son attention n'a été attirée sur la nécessité d'utiliser des codes personnels pour les messageries ; que ce vice est grave puisqu'il permet des communications téléphoniques onéreuses, et d'autres fraudes (écoutes téléphoniques, des boîtes vocales, intrusion sur le système téléphonique, attaques virales, altération des données) ; que si elle avait connu le vice elle n'aurait pas acquis le standard ; que ce vice était caché puisqu'elle n'en a pas eu connaissance au moment de la vente ; qu'il est antérieur à la vente puisqu'il s'agit d'un défaut de protection inhérent à la conception du standard.

Elle rappelle que le vice n'a été révélé que par la réception des factures d'avril 2009 et postérieures, et indique que le phénomène de piratage était connu des fabricants et diffuseurs d'installations téléphoniques, que la société Alsatel a informé ses clients en juillet 2009 d'un défaut de sécurité du système récemment détecté et ne peut donc nier l'existence d'un vice, que dès février 2009 elle a eu connaissance du même défaut de sécurité affectant les standards d'une autre marque et qu'elle aurait alors dû prévenir ses usagers et leur indiquer la marche à suivre pour se protéger du risque d'intrusion ; que ce n'est que le 21 juillet 2009 qui lui a été indiqué qu'elle devait protéger l'accès à la boîte vocale avec un mot de passe personnalisé.

Elle fait valoir que l'activation par défaut de la fonctionnalité d'appels externes constitue également un vice caché puisqu'elle crée un risque important d'utilisation frauduleuse par l'intermédiaire des boîtes vocales, et précise que les recommandations faites en mai 2009 par le constructeur sont de bloquer la fonction d'appel externe et de modifier le code par défaut de la messagerie vocale.

Elle rappelle qu'elle peut solliciter des dommages et intérêts sur le fondement des vices cachés sans exercer l'action rédhibitoire ou estimatoire.

Elle reproche ensuite à la société Alsatel un manquement à son devoir de conseil et à son obligation d'information dus au titre du contrat de vente et au titre du contrat d'assistance technique, puisque celle-ci n'a jamais attiré son attention sur la possibilité pour un tiers de pénétrer dans son standard téléphonique et d'utiliser les boîtes vocales pour passer des appels téléphoniques à l'étranger, ni sur l'obligation impérieuse pour chaque usager d'une boîte vocale de modifier le mot de passe par défaut.

Elle conteste qu'il y ait eu transfert de compétence, l'installation ayant eu lieu simultanément sur les deux sites auprès d'utilisateurs différents, non qualifiés techniquement, et le transfert de compétence ayant seulement consisté en la remise d'un Cd-Rom et des manuels d'utilisation des postes téléphoniques individuels. Elle souligne que dans le manuel d'utilisation sur Cd-Rom rien n'est dit sur la possibilité de passer des appels de l'extérieur par l'intermédiaire de la messagerie, que le risque de piratage n'est pas évoqué, que la demande de modification du code secret ne suffit pas à mettre en garde l'utilisateur sur le danger d'un piratage, que dès le mois de février 2009, la société Alsatel, informée par un autre constructeur d'appels sortants illicites, aurait dû réagir en prévenant sa clientèle du danger et de la nécessité de modifier les mots de passe.

Elle inclut aussi dans le manquement à l'obligation du devoir d'information et de conseil, l'absence d'information sur l'activation par défaut de la fonction appels externes qui a permis le piratage au moyen de programmes automatiques d'appels utilisés pour scanner les codes.

Elle indique que son préjudice correspond au coût des communications téléphoniques vers des pays étrangers avec lesquels elle n'a aucuns liens commerciaux, de 49 072,93 euros.

SUR CE :

Attendu que pour s'opposer à la demande de la société Ates, la société Alsatel fait valoir que l'article 1 des conditions générales du contrat de vente et d'assistance technique énonce qu'elle ne peut être tenue pour responsable des infractions aux règlements de l'opérateur incombant au client ; qu'elle n'invoque cependant aucune infraction aux règlements de l'opérateur, l'opérateur n'étant pas la société Siemens qui a seulement fourni l'installation, mais ayant été successivement les sociétés KDDI et Netcom ;

Attendu que la société Alsatel a vendu à la société Ates deux équipements téléphoniques qu'elle a installés ; que ces équipements étaient destinés au seul usage et bénéfice de la société Ates ;

Qu'il est cependant constant que des tiers à la société ont réussi à utiliser l'installation, à l'insu de la société Ates, et à son préjudice, pour effectuer des communications téléphoniques vers l'étranger à compter du mois d'avril 2009 ;

Attendu que si le détournement de l'installation de la société Ates a pu être opéré c'est parce que celle-ci a présenté une faille, assimilable à un vice consistant en un défaut de sécurité ; que ce vice étant inhérent à l'installation il existait antérieurement à la vente ; qu'il était caché pour la société Ates qui ignorait la faisabilité du piratage dont elle a été victime ; qu'il s'est révélé à elle après le piratage ; qu'il ne peut être considéré qu'il n'y a pas de vice parce que les auteurs du piratage ont utilisé une fonctionnalité de l'installation ; que le vice consiste en la possibilité pour un tiers de s'introduire dans le système téléphonique à l'insu de l'abonné ;

Attendu que la société Siemens a de son côté porté à la connaissance de ses partenaires de vente et de services Hipath, le 20 mai 2009, que des intrus ont utilisé la fonction d'appels externes pour émettre des appels coûteux aux dépens des clients, et que la société Alsatel a à son tour informé la société Ates, par courrier du 21 juillet 2009, que le constructeur "vient d'informer tous ses partenaires d'un défaut de sécurité du système récemment détecté", et précisé que les conséquences peuvent être l'utilisation frauduleuse des accès opérateur pour émettre des appels ;

Qu'il y a lieu de déduire de ces précisions, que le constructeur a pris lui-même conscience du vice seulement à la suite des intrusions opérées dans le système téléphonique des détenteurs des installations, et que révèle bien un vice de sécurité, l'appropriation frauduleuse par un tiers d'une fonctionnalité d'une installation téléphonique ;

Attendu que la société Alsatel est un professionnel de la vente d'installations téléphoniques, de sorte qu'en application de l'article 1645 du Code civil elle était tenue de connaître le vice ;

Attendu que le vice porte atteinte à la destination de l'installation puisqu'il permet l'intrusion de tiers dans celle-ci et un usage de l'installation par ceux-ci non prévu et revêtant un caractère frauduleux ; que dans une communication technique du 17 février 2009, une autre société, la société Alcatel-Lucent, qui a rencontré le même problème avec un de ses produits, a fait état de détournement de fonctions, et que tel est bien aussi le cas en l'espèce ;

Attendu que l'activation par défaut de la fonctionnalité d'appels externes, qui est une caractéristique du fonctionnement normal de l'installation téléphonique, ne peut de son côté constituer un vice caché ;

Attendu qu'il n'a pas été démontré que l'usage frauduleux de l'installation téléphonique n'a été opéré que par l'intermédiaire des postes dont le code par défaut n'a pas été modifié, ce qu'indique elle-même la société Alsatel dans ses écritures (page 17) ; qu'il n'a pu être commis par le biais de postes dont le code a été personnalisé, celui-ci restant à priori un code à chiffres ;

Attendu qu'il peut être retenu que si la société Ates avait connu le vice qui a permis l'utilisation à son insu de son installation téléphonique, elle n'aurait pas acquis l'installation puisque son défaut de sécurité permet l'accomplissement d'actes dommageables à son encontre ;

Que la garantie de la société Alsatel est ainsi bien due en application des articles 1641 et suivants du Code civil ;

Attendu que la société Ates sollicite uniquement le paiement de dommages et intérêts ; que l'article 1645 du Code civil précise que si le vendeur connaissait les vices de la chose, il est tenu de tous les dommages et intérêts envers l'acheteur ;

Attendu que la société Ates n'a pas contribué à la réalisation de son préjudice en ayant cessé de faire usage de son logiciel de taxation, alors qu'elle n'avait pas pour obligation contractuelle de mettre en place un système de vérification des communications, que le logiciel de taxation n'avait pas pour objet de surveiller la consommation des postes, et que le montant des factures téléphoniques mensuelles antérieures au piratage n'était que légèrement variable et ne laissait entrevoir aucune anomalie au niveau des communications téléphoniques ;

Attendu qu'il n'y a pas lieu de s'attarder sur l'existence d'un manquement de la société Alsatel à son obligation d'information et de conseil à l'égard de la société Ates, alors que le vice caché a été retenu et que le manquement allégué ne pourrait aboutir qu'à l'indemnisation d'une perte de chance et non à l'indemnisation sollicitée ;

Attendu qu'il y a lieu de confirmer le montant du préjudice subi par la société Ates, fixé par le premier juge, par adoption de motifs ; qu'il y a lieu en revanche de faire courir les intérêts sur la somme de 49 072, 93 euros à compter de l'assignation du 1er octobre 2009 pour indemniser la société Ates du préjudice issu de l'indisponibilité de la somme qu'elle a dû avancer en règlement des communications téléphoniques frauduleuses ;

Attendu qu'il est équitable de faire application de l'article 700 du Code de procédure civile au seul profit de la société Ates ;

Par ces motifs : LA COUR, CONFIRME le jugement du Tribunal de grande instance de Strasbourg du du 31 août 2012, sauf en ce qu'il a assorti la condamnation de la SA Alsatel à payer à la SA Ates la somme de 49 072,93 euros à titre de dommages et intérêts, des intérêts au taux légal à compter du jugement. Et statuant à nouveau de ce seul chef, ASSORTIT la condamnation de la SA Alsatel à payer à la SA Ates la somme de 49 072,93 euros des intérêts au taux légal à compter de l'assignation du 1er octobre 2009. DEBOUTE la SA Alsatel de sa demande au titre des frais irrépétibles. CONDAMNE la SA Alsatel aux dépens et à payer à la SA Ates la somme de 1 500 euros au titre des frais irrépétibles d'appel.