Documents confidentiels de l’employeur

Efficacité de la charte d’usage

La charte d’usage des communications électroniques de l’entreprise associée au règlement intérieur, peut indirectement assurer une protection efficace de la confidentialité des données de l'employeur. La Société Générale a ainsi obtenu gain de cause contre l’une de ses anciennes salariées licenciée pour faute. En l'absence d'antécédent judiciaire et de démonstration d'un détournement de données préjudiciable aux intérêts de la banque, ce comportement fautif ne rendait pas nécessaire le départ immédiat de la salariée (le licenciement pour cause réelle et sérieuse a été retenu).

L’employeur ne reprochait pas à la salariée une utilisation frauduleuse ou déloyale des fichiers informatiques (confidentiels) mais leur transmission en violation des règles de sécurité en vigueur dans l'entreprise.

En effet, le règlement intérieur de l’employeur prévoyait expressément que : « dans l'exécution de son travail, chaque salarié doit respecter les règles professionnelles, ainsi que les instructions, consignes ou directives internes données par la hiérarchie. Il doit aussi respecter le devoir de loyauté vis-à-vis du groupe Société Générale et ne pas nuire à ses intérêts conformément aux obligations inhérentes à son contrat de travail » ;  « Les salariés doivent se conformer aux règles de confidentialité et d'utilisation des moyens de communication électronique en vigueur dans l'entreprise telles que définies, après consultation des instances représentatives du personnel de la Société Générale, dans la charte d'utilisation des Moyens de Communication Électronique qui figure en annexe du présent règlement ».

Ces documents ont été déposés au greffe du conseil de prud'hommes de Nanterre et de Paris et transmis à l'inspecteur du travail, respectant ainsi les dispositions légales.

La charte de déontologie de l’employeur rappelait également que les agents sont tenus de respecter le secret professionnel : « tout agent disposant d'une information confidentielle ne peut communiquer celle-ci à des tiers ou à l'extérieur de la communauté Société Générale que dans la mesure où cette communication est nécessaire à l'exercice de ses responsabilités professionnelles et qu'en appelant l'attention de la ou des personnes auxquelles cette information est communiquée sur le caractère confidentiel de celle-ci, le tout sous réserve du respect du secret professionnel…. Tout manquement aux règles de déontologie est susceptible de constituer une faute professionnelle et le cas échéant une infraction pénale ; à l'instar des autres fautes professionnelles, il est justiciable des sanctions en vigueur dans l'entreprise et des voies de recours correspondantes ».

Si la charte de déontologie ne relève pas du règlement intérieur et n'ont donc pas été transmises aux instances représentatives du personnel ou à l'inspecteur du travail, il apparaissait qu'elles étaient la déclinaison et l'application concrètes des principes et des directives générales de déontologie et de loyauté prévues par le règlement intérieur. Elles étaient donc opposables à la salariée licenciée.

Envois non autorisés à des tiers

La salariée avait envoyé des fichiers classés confidentiels à des tiers (comptes rendus de comités, récapitulatifs des conditions NPC,  12 document étaient qualifiés « C2 », un « private and confidential » et un autre « confidential »), pratique interdite notamment par la charte d'utilisation des moyens de communication électronique. Cette dernière stipule que les documents secrets C3 ne peuvent être échangés par internet et que les documents à diffusion restreinte C2 ne peuvent être adressés en messagerie interne ou externe qu'en pièces jointes chiffrées par un logiciel agréé.

Information des salariés sur la confidentialité

La salariée avait été parfaitement informée des procédures de sécurité à suivre. Elle avait été destinataire du courriel de sensibilisation envoyé par la direction, rappelant les règles importantes en matière de secret bancaire et plus particulièrement en termes d'obligation de confidentialité inhérente à l'activité de la banque.

Cryptage des données

Le transfert de données, même cryptées, à l'extérieur de l'entreprise, ne permettait pas d'écarter le risque d'une appropriation de ces données. A défaut de pouvoir sécuriser la transmission de ces informations vers l'extérieur, l’employeur a purement et simplement interdit ces transferts. L'envoi de tels documents et fichiers constituaient donc une imprudence de la salariée, de nature à faire courir un risque à la banque.

La possession d'un téléphone portable professionnel permettant l'accès à la messagerie personnelle n'a pas été jugée contradictoire avec les procédures de sécurité interne dans la mesure où l’employeur contrôlait et protégeait l'utilisation de ce téléphone.

Question de la prescription des sanctions

Aux termes de l'article L.1332-4 du code du travail, aucun fait fautif ne peut donner lieu à lui seul à l'engagement de poursuites disciplinaires au-delà d'un délai de deux mois à compter du jour où l'employeur en a eu connaissance, à moins que ce fait n'ait donné lieu dans le même délai à l'exercice de poursuites pénales. Il appartient à l'employeur d'établir qu'il n'a été informé des faits que moins de deux mois avant l'engagement des poursuites.

Un fait fautif, dont l'employeur a eu connaissance plus de deux mois avant l'engagement de la procédure de licenciement, peut être pris en considération lorsque le comportement du salarié s'est poursuivi dans ce délai.

Le point de départ du délai est constitué par le jour où l'agissement fautif est personnalisé, c'est-à dire au jour où l'employeur a une connaissance exacte de la réalité, de la nature et de l'ampleur des faits reprochés au salarié. Ainsi, lorsqu'une enquête interne est diligentée aux fins de mesurer l'ampleur des fautes commises par un salarié, c'est la date à laquelle les résultats de l'enquête sont connus qui marque le point de départ du délai de deux mois. En l'espèce, l’employeur était recevable à agir, les faits reprochés à la salariée n’étant pas prescrits.

[accordion]

[acc_item title="Décision"]Télécharger [/acc_item][acc_item title="Question"]Poser une question sur cette thématique, la rédaction ou un abonné vous apportera une réponse en moins de 48h[/acc_item][acc_item title="Alerte"]Paramétrer une alerte jurisprudentielle, pour être informé par email lorsqu'une décision est rendue sur ce thème[/acc_item][acc_item title="Casier judiciaire"]Commander un bilan judiciaire sur l'une des personnes morales citées dans cette affaire (ou sur toute autre personne morale).[/acc_item][acc_item title="Reproduction"]Copier ou transmettre ce contenu[/acc_item][acc_item title="Avocat Gagnant"]Maître [/acc_item]

[/accordion]