Violation du code éthique et des règles de sécurité informatique : la faute grave n’est pas automatique

 

9 mai 2025

 

| Droit social |

 

   

Guillaume Roland          Julie Pleuvret

 

L’obligation de discrétion qui s’impose au salarié au titre de l‘exécution loyale du contrat, lui interdit de divulguer les informations dont il a connaissance dans l’exercice de ses fonctions et qui risquerait de nuire à la bonne marche de l’entreprise.

Cette obligation varie selon la nature des informations et leur degré de confidentialité, ainsi que la qualité des personnes à qui s’adresse le salarié.

En pratique, la violation par le salarié de son obligation de discrétion est fréquemment sanctionnée par une faute grave. Cependant, cette dernière n’a rien d’automatique comme l’illustre un arrêt récent*.

Dans cette espèce, une salariée avait transféré des documents confidentiels, de sa messagerie professionnelle sur sa messagerie personnelle, pour y travailler depuis chez elle et avait ensuite effacé la trace de ce transfert.

S’appuyant sur le caractère hautement sensible des données transférées et le caractère délibéré de la méconnaissance des règles de confidentialité résultant du contrat de travail et code éthique de l’entreprise ainsi que des règles internes de sécurité informatique, l’employeur avait rompu le contrat de travail pour faute grave.

Saisis par la salariée, les juges du fond écartent la faute grave et jugent le licenciement sans cause réelle et sérieuse après avoir relevé l’absence d’intention de transmettre le document à une société concurrente d’une part et pris en considération l’ancienneté et l’absence de passé disciplinaire de la salariée d’autre part.

L’employeur se pourvoit en cassation considérant qu’il avait un intérêt à faire respecter une obligation de sécurité concernant des données hautement sensibles et des règles destinées à préserver des enjeux commerciaux connus de la salariée, indépendamment de l’absence de transmission d’informations confidentielles à un concurrent ce qui n’était d’ailleurs pas reproché à la salariée.

La Cour de cassation approuve la Cour d’appel qui après avoir retenu que la salariée avait contrevenu à ses obligations en matière de sécurité informatique, sans qu’aucun élément ne permette toutefois de lui imputer une transmission de ces données confidentielles à des personnes extérieures à l’entreprise, a relevé l’ancienneté et l’absence de toute sanction antérieure au licenciement, pour juger que les faits ne rendaient pas impossible son maintien dans l’entreprise.

 

Notre avis : la violation de l’obligation de confidentialité ne constitue pas nécessairement une faute et encore moins une faute grave dont la reconnaissance demeure une affaire de circonstances. C’est l’intention de la salariée, par ailleurs irréprochable, qui a convaincu les juges que son comportement n’était pas constitutif d’une menace pour l’entreprise.

 

*Cass. Soc., 9 avril 2025, n°24-12.055

 

 

=> Pour tout conseil en droit social ou droit de la sécurité sociale, nous vous invitons à contacter Guillaume Roland, associé => g.roland@herald-avocats.com