Transfert de données confidentielles par un salarié : gare à ne pas sanctionner trop lourdement

Employeurs comme salariés sont soumis à une obligation de loyauté dans l’exécution du contrat de travail. Elle impose notamment au salarié de ne pas commettre d’agissements susceptibles de porter préjudice à son employeur.

L’obligation de loyauté implique notamment une obligation de discrétion du salarié sur les informations dont il a connaissance du fait de ses fonctions.

Cette obligation couvre les informations ayant un caractère confidentiel, que l’employeur présente comme telles et dont la divulgation à des tiers serait susceptible de nuire à l’entreprise. 

A cet effet, l’employeur peut imposer au salarié l'obligation de respecter des règles de sécurité informatique afin, notamment, de protéger des données sensibles. Cela peut passer par la signature d’une charte informatique ou l’intégration d’une clause de confidentialité dans le contrat de travail.

Mais alors, quelle sanction pouvez-vous appliquer en cas de violation des règles de sécurité informatique par un salarié ?

Le salarié qui manque à son obligation de confidentialité, en ne respectant pas les règles de sécurité informatique, encourt un licenciement pour faute grave.

Pour être qualifié de faute grave, le comportement du salarié doit être d’une importance telle qu’il rend impossible son maintien dans l’entreprise, et ce, même pendant la durée de son préavis.

Certains éléments contextuels peuvent minorer la gravité de la faute, et notamment : 

• l’ancienneté importante du salarié ;
• son absence de passé disciplinaire ;
• ou encore l’absence d’intention.

Illustration avec une récente affaire soumise à la Cour de cassation. 

En l’espèce, une salariée a contrevenu aux règles de sécurité informatique internes à l’entreprise en  transférant, de sa messagerie professionnelle à sa messagerie personnelle, des pièces jointes contenant des données confidentielles et en supprimant, ensuite, la trace de ces données. Elle est licenciée pour faute grave.

Pour la Cour de cassation, c’est à bon droit que la cour d’appel a retenu que la faute grave n’était pas justifiée, compte tenu : 

• de l’absence de transmission de ces données à des personnes extérieures à l’entreprise ;
• de l’ancienneté et de l'absence de passé disciplinaire de la salariée.

Le maintien de la salariée dans l’entreprise n’était pas rendu impossible.

Ainsi, si vous envisagez de licencier pour faute grave un salarié qui aurait failli à son obligation de confidentialité, veillez à ce que la sanction soit proportionnée au comportement que vous souhaitez sanctionner. Le risque étant que le licenciement soit requalifié en licenciement sans cause réelle et sérieuse et que vous soyez condamné au paiement de diverses indemnités dont des dommages et intérêts pour licenciement sans cause réelle et sérieuse.

Pour plus de précisions sur la procédure de licenciement disciplinaire, les Editions Tissot vous recommandent la documentation « Gérer le personnel ACTIV » qui comprend la procédure interactive « Sanctionner un salarié : de l’avertissement au licenciement disciplinaire ».

Cour de cassation, chambre sociale, 9 avril 2025, n° 24-12.055 (n’est pas justifié le licenciement pour faute de la salariée, sans passé disciplinaire, qui transfère de sa messagerie professionnelle vers son adresse électronique personnelle, un courriel contenant des pièces jointes, en l’absence de communication de ces données confidentielles à des personnes extérieures à l'entreprise)