La Cour supérieure s’est récemment prononcée sur l’interprétation du libellé de protections prévues à une police d’assurance contre les vols et les détournements suivant une réclamation en lien avec un stratagème de courriels frauduleux de facturation. Pourquoi a-t-elle jugé que la fraude informatique et la fraude par transfert de fonds n’étaient pas couvertes par la police applicable en l’espèce? Un bref survol des points chauds disputés dans l’affaire Future Electronics inc. (Distribution) Pte Ltd. c. Chubb Insurance Company of Canada, 2020 QCCS 30421.
Les faits de l’affaire sont les suivants. Entre octobre 2016 et janvier 2017, Future Electroniques Inc. (« Future ») a effectué plusieurs paiements totalisant environ 2,7 millions de dollars américains après réception de factures prétendument émises par l’un de ses fournisseurs. En janvier 2017, son fournisseur l’avise de retards dans ses paiements. Après vérification, Future réalisera avoir été victime d’une importante fraude commise par des tiers qui, dès octobre 2016, sont entrés en communication avec ses employés du département de comptabilité en prétendant être des représentants du fournisseur en question, par le biais d’échanges courriels et de quelques conversations téléphoniques. C’est dans ce contexte que les employés de Future ont procédé aux paiements des factures par des transferts de fonds dans différents comptes bancaires n’appartenant pas au réel fournisseur.
Or, Future avait souscrit auprès de Chubb Insurance Company of Canada (« Chubb ») une police d’assurance contre les vols et les détournements (Executive Protection Policy) applicable au moment des évènements qui prévoyait des conventions d’assurance au montant de 25 millions de dollars américains tant pour la couverture des risques contre la fraude informatique (Computer Fraud Insuring Agreement) que contre la fraude par transfert de fonds (Funds Transfer Fraud Insuring Agreement). En février 2017, Future présente une réclamation à Chubb aux termes de ces protections. Or, la seule indemnité que Chubb acceptera de verser à son assurée sera celle au montant de 50 000$, soit la limite d’assurance prévue à l’avenant portant sur la fraude par ingénierie sociale (Social Engineering Fraud Endorsement), les autres protections étant inapplicables selon l’assureur.
Le 29 septembre dernier, l’Honorable Suzanne Courchesne, j.c.s., a confirmé l’interprétation retenue par Chubb en rejetant le recours entrepris par Future afin d’obtenir pleine indemnisation pour sa perte en vertu des protections d’assurance contre la fraude informatique et contre la fraude par transfert de fonds.
La juge retient d’abord que, pour qu’il y ait couverture d’une perte suivant une fraude informatique commise par une tierce partie, deux conditions prévues aux termes de la police doivent être rencontrées : (1) l’obtention illégale d’argent (unlawful taking of money) (2) par l’utilisation d’un système informatique (through the use of a Computer System). En étudiant les clauses de la police dans son ensemble, la juge estime que l’interprétation large de Future voulant que toute perte causée par une fraude impliquant l’utilisation secondaire ou négligeable d’un ordinateur à titre de moyen de communication pour la transmission d’instructions frauduleuses, ici la transmission de courriels, ne peut être retenue. En effet, plutôt que d’utiliser un système informatique afin d’obtenir illégalement des sommes d’argent, les tiers fraudeurs ont obtenu des transferts illégaux par l’entremise de fausses représentations effectuées intentionnellement auprès des employés de Future par courriels ainsi qu’à deux reprises par appels téléphoniques. N’eût été des actions commises par les employés de Future suivant les communications reçues des tiers fraudeurs, les sommes n’auraient pas fait l’objet de transferts, le tout répondant davantage aux situations prévues à l’avenant portant sur la fraude par ingénierie sociale (Social Engineering Fraud Endorsement).
Quant à la couverture d’assurance pour la perte découlant d’une fraude par transfert de fonds, la juge retient qu’il y a application de cette protection dans la mesure où l’institution financière d’un assuré a été dupée et amenée à transférer des sommes d’argent suivant des instructions ne provenant pas de l’assuré, transfert auquel l’assuré n’a pas consenti ou dont il n’a pas eu connaissance. Or, l’institution financière de Future a effectué les transferts en cause conformément aux instructions des employés de Future, approuvées par leurs supérieurs. Les transferts de fonds ayant été expressément autorisés et consentis par Future, la protection recherchée ne s’applique pas.
Par ailleurs, la juge soutient que même s’il y avait eu application de l’une des deux protections demandées, une exclusion prévue à la police aurait trouvé application, soit celle portant sur la perte due au fait qu’un assuré ait sciemment donné ou cédé de l’argent, des titres ou des biens en échange ou pour l’achat effectués auprès d’une tierce partie, sans collusion d’un employé. La juge considère cette exclusion applicable à tout acte volontaire de dépossession en faveur d’un tiers par un assuré, pour contrepartie. Ainsi, les paiements remis aux tiers fraudeurs pour les factures émises par le fournisseur afin de couvrir les dettes de Future sont visés par l’exclusion.
Au final, la juge retient que l’avenant portant sur la fraude par ingénierie sociale ajouté à la police en 2015 vise explicitement la situation frauduleuse rencontrée par Future, soit une perte résultant directement d’un transfert, d’un paiement ou d’une livraison effectués par un employé de l’assuré suivant de fausses représentations commises intentionnellement par une personne prétendant être un fournisseur de l’assuré. La police prévoyant que les risques couverts par la protection contre la fraude informatique et la fraude par transfert de fonds et ceux couverts par l’avenant portant sur la fraude par ingénierie sociale sont mutuellement exclusifs, seul l’avenant trouve application ainsi que sa limite d’assurance à 50 000$.
Pour toute question en matière d’assurance, communiquez avec un membre de notre équipe ici ou encore avec l’auteure du présent billet :
Me Ruby Riverin-Kelly, avocate
Ruby.riverin-kelly@steinmonast.ca
418 640-4446
1 Aucune inscription en appel n’est inscrite au plumitif en date du 10 novembre 2020.