Allemagne : responsabilité du gérant de la GmbH en cas de cyber-attaque par e-mail de phishing ?
Le tribunal régional supérieur de Zweibrücken a dû se prononcer sur la responsabilité d'un gérant d'une GmbH (société à responsabilité limitée allemande), conformément au § 43 GmbHG (loi sur les sociétés à responsabilité limitée), pour avoir effectué un transfert de fonds de la société sur des comptes de tiers à l'étranger à la suite d'un e-mail de phishing.
Les faits étaient les suivants :
La GmbH était une société qui commercialisait des films de revêtement de surface dans le monde entier. La société demandait la condamnation de sa gérante qui avait reçu plusieurs e-mails dits d'hameçonnage, dans lesquels les expéditeurs se faisaient passer pour des employés d'une entreprise avec laquelle la GmbH était effectivement en relation d'affaires. Dans ces courriels, les escrocs utilisaient une adresse électronique légèrement modifiée ("w...flim" au lieu de "w...film") et se rapportaient à la vraie correspondance avec l'ancien interlocuteur. L'associé unique de la société était mis en copie dans l’ensemble de cet échange de courriels. La gérante n'ayant pas remarqué la modification de l'adresse électronique, elle a ordonné des paiements d'un montant de 137 328,13 dollars américains à la prétendue entreprise.
Le tribunal a statué comme suit :
-
Responsabilité en vertu de § 43 II GmbHG
Le tribunal a tout d'abord nié l'existence d'une responsabilité fondée sur le § 43 II GmbHG, selon lequel "les gérants qui violent leurs obligations sont solidairement responsables du dommage causé". Il ne s'agissait pas de l'une des quatre catégories d'obligations visées par § 43 II GmbH - obligations de légalité, obligations de diligence au sens strict, obligations de surveillance et obligations de conformité - mais d'une activité qui a été exercée uniquement à l'occasion de la direction de l'entreprise. Selon cette décision, le paiement des factures est une tâche de comptabilité et non une activité spécifique de gestion.
-
Compensation des dommages au sein de l'entreprise
Le tribunal rejette également la responsabilité selon le § 280 I BGB (code civil allemand) en relation avec le contrat de travail du gérant ou le § 823 BGB. La gérante avait participé aux relations juridiques comme tout tiers et n'avait commis qu'une légère négligence, car qu’une modification minime de l'adresse électronique du partenaire commercial de la requérante a été effectuée.
-
Accord tacite des associés
Enfin, le tribunal nie la responsabilité de la gérante, étant donné que l'associé unique et co-gérant avait reçu une copie de la communication par e-mail et qu'aucune instruction explicite de ne pas transférer de fonds n'a été donnée. Il y a là un accord informel entre la société et la gérante, ce qui supprime la responsabilité de cette dernière. Il fallait voir dans cet accord tacite une décision des associés.
17.07.2023