Le non-respect d’une charte informatique justifie un licenciement

Jan 15, 2012 • Thiébaut Devergranne

Pour tout un chacun, les chartes informatiques sont des collections d’interdictions d’apparat. Il faut parfois les signer, cocher la case disant qu’on les accepte et certaines nous poursuivent jusque dans notre case courrier. Il y a, en quelque sorte, une fatalité de la charte : où que l’on soit, elles reviennent à nous avec constance, persévérance et fermeté.

Mais celles-ci appellent leur lot de dissidences, car une fois signées elles sont déjà pratiquement désavouées : direction l’oubli, la poubelle ou les bas fonds d’un vieux tiroir méprisé. Comme si le sentiment de s’être fait ordonner une collection invraisemblable d’interdictions devait immédiatement être suivi d’une négation ; sans doute parce que dans la réalité on sait que l’on ne pourra jamais vraiment assimiler les méandres d’un document de 35 pages (PSSI comprise…).

1. Les chartes définissent des normes impératives

Il n’en reste pas moins qu’une fois annexée au règlement intérieur et adoptée dans le respect du formalisme imposé par le droit du travail, la charte deviendra légalement opposable aux salariés. Cette opposabilité transformera alors chacune des interdictions en obligations dont le non-respect pourra générer des sanctions (jusqu’au licenciement – d’où l’utilité d’une rédaction claire et simple de la charte : a minima tout le monde devrait être en mesure de pouvoir en comprendre la substance et en exiger la lisibilité).

La décision du 5 juillet 2011 sanctionne sévèrement le non respect des règles de sécurité par les salariés

La jurisprudence du 5 juillet 2011 de la chambre sociale de la Cour de cassation illustre parfaitement l’application de cette règle de droit, en sanctionnant le non respect des règles de sécurité informatique. Dans cette espèce, une salariée avait été licenciée pour avoir laissé un responsable utiliser son poste de travail et télécharger un fichier client confidentiel dont l’accès ne lui avait pas été initialement autorisé.

La Cour de cassation jugeait alors :

qu’ayant relevé (…), qu’en méconnaissance des dispositions de la charte informatique, la salariée avait permis à un autre salarié qui n’était pas habilité d’utiliser son code d’accès pour télécharger des informations confidentielles, la cour d’appel (…) a pu décider que ce comportement rendait impossible son maintien dans l’entreprise et a ainsi légalement justifié sa décision.

Précisons-le, ladite charte avait pris soin d’imposer aux salariés de ne pas transmettre les mots de passe confiés, ni aucune information confidentielle à des tiers – externes ou internes à l’organisation.

2. La violation de règles de sécurité d’une charte est une faute grave

Le moins que l’on puisse dire est que la décision est sévère. La salariée visée n’avait laissé l’usage de son ordinateur au  responsable qu’à une seule reprise, ce qui suffit, dit la Cour de cassation, pour caractériser une faute grave.

La faute grave est celle qui rend impossible le maintien du salarié dans l’entreprise (Cass. soc. 26 fév. 1991). Elle a pour conséquence de faire perdre au salarié son indemnité de licenciement et préavis. A titre de comparaison, a été jugé que constituent des fautes graves : le refus d’un chef de chantier de porter son casque de sécurité (Cass. soc. 23 mars 2005), le fait de se trouver en état d’ébriété sur son lieu de travail (Cass. soc. 22 mai 2002), de se livrer à des actes de harcèlement sexuel (Cass. soc. 19 avr. 2000), ou encore à des téléchargements sauvages – et contrefaisants, sur des réseaux Peer-to-peer (CA. Paris, 4 oct. 2007).

Ici, peu importe donc l’ancienneté de la personne, ou encore la récurrence de la faute. Une seule erreur suffit à évincer la salariée…

3. Les organisations sont légalement tenues d’imposer ces règles de sécurité

Il est vrai que l’entreprise elle-même est tributaire du respect de nombreuses normes de sécurité qu’il lui advient d’imposer (voir le détail dans notre formation cil). C’est le cas particulièrement pour les fichiers contenant des données personnelles, puisque le responsable du traitement est tenu à une obligation de sécurité informatique ; celle-ci lui impose de :

« prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ».

A défaut il s’expose aux sanctions sévères de l’article 226-17 du Code pénal (5 ans d’emprisonnement et 300.000 euros d’amende, montant multiplié par 5 pour les entreprises). Dans cette perspective, il lui appartient donc de s’assurer du respect de ces règles de sécurité par ses propres employés, sans quoi l’entreprise risque de voir sa propre responsabilité engagée. L’histoire ne le dit pas, mais la société aurait également pu déposer plainte sur le fondement de l’article 323-1 du Code pénal pour faire sanctionner l’accès frauduleux sur son système de traitement automatisé.

A l’heure où l’on parle de sanctionner plus sévèrement les divulgations d’informations économiquement protégées par trois ans d’emprisonnement et 375.000 euros d’amende, cette jurisprudence montre que les sanctions, en droit, sont déjà tout à fait effectives. A-t-on vraiment besoin d’en rajouter ?

Deux conseils en guise de conclusion : 

  • Pour le salarié : il est nécessaire de savoir quelles sont les règles auxquelles il est engagé ; il lui appartient donc de lire et de comprendre l’ensemble des règles de conduite imposées par sa charte d’usage des services informatiques. Savez-vous vraiment ce qu’il y a dans votre charte ?
  • Pour les organisations : une bonne charte est courte, particulièrement si elle s’adresse à un grand nombre d’employés ; une règle d’or : clair, court et simple ! Etes-vous certain que vos employés connaissent les règles qui la composent ? Sinon comment peuvent-ils les respecter ? Comment gérerez-vous la situation lorsque l’un d’entre eux se verra licencié sur la base de cette charte ?

Eliminez vos risques RGPD !

Téléchargez notre guide pratique et découvrez comment réduire vos principaux risques simplement

L’inscription permet de télécharger le guide et recevoir notre newsletter et nos communications sur activités ainsi que nos offres de produits et de services ; la base légale est l’article 6.1.a du RGPD (consentement) ; les destinataires de données sont le responsable de traitement, ses services internes en charge de la gestion de la mailing list, le sous-traitant opérant la gestion du serveur web (Amazon Web Services), ainsi que toute personne légalement autorisée. Le serveur sur lequel est hébergé la mailing list est hébergé par Amazon Web Services, ce qui implique que vos données peuvent être transférées hors UE dans le cadre strict de l’article 46.2.d - AWS ayant fourni les clauses de protection adéquates sur le modèle établit et approuvé par la Commission européenne. Vous pouvez trouver plus d’informations sur ces clauses ici. La durée de traitement des données est limité au temps pendant lequel vous êtes inscrit à nos services de communication, étant entendu que vous pouvez retirer votre consentement et vous désinscrire à tout moment. Vous disposez du droit de demander au responsable du traitement l'accès aux données à caractère personnel, la rectification ou l'effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ou du droit de s'opposer au traitement et du droit à la portabilité des données. Le responsable du traitement est la société A. Erelis, Laisves 60 vilnius, LT. Vous avez également le droit d'introduire une réclamation auprès d'une autorité de contrôle.

Commentaires...

www.convention.fr

La mise en place d'une charte internet en entreprise nécessite également de respecter certaines étapes pour l'employeur : présentation aux RH, aux représentants du personnel, l'inspection du travail, aux salariés...


Les commentaires sont fermés