Dans un arrêt du 9 avril 2025, la Cour de cassation précise qu’un manquement aux règles de sécurité informatique n’entraîne pas nécessairement un licenciement pour faute grave.
Une chargée d’affaires avait transféré des informations confidentielles vers sa messagerie personnelle dans le but de pouvoir travailler depuis son domicile.
Elle avait ensuite supprimé toutes traces de ce transfert. A la suite d’une mise à pied à titre conservatoire, l’employeur licenciait la salariée pour faute grave en invoquant la violation de son obligation de confidentialité qui prohibait tout transfert de document confidentiel en dehors de l’entreprise.
La salariée conteste son licenciement et fait valoir qu’elle souhaitait travailler sur ces documents depuis chez elle et que son ordinateur professionnel ne lui permettait pas d’effectuer cette tâche.
La Cour d’appel de Colmar reconnaît le manquement aux règles informatiques mais écarte la qualification de faute grave.
Elle va même plus loin et estime que ce manquement ne constitue pas une cause réelle et sérieuse de licenciement.
En effet, elle indique que l’employeur n’apporte pas la preuve d’une volonté de la salariée de transmettre ce document à une société concurrente.
Les juges du fond se fondent également sur l’ancienneté de la salariée (24 ans) et sur l’absence de tout antécédent disciplinaire.
La Cour de cassation confirme cette analyse de la cour d’appel et rejette le pourvoi.
Elle rappelle que la faute grave est celle qui rend impossible le maintien du salarié dans l’entreprise.
Or, en l’absence d’élément établissant une diffusion externe à l’entreprise et compte tenu de l’ancienneté de la salariée, ainsi que l’absence de passé disciplinaire, la Cour écarte tant la faute grave que l’existence d’une cause réelle et sérieuse de licenciement.
La motivation est assez surprenante puisque les juges auraient pu requalifier le licenciement en considérant la violation à l’obligation de confidentialité comme une cause réelle et sérieuse.
Pour autant, ni la Cour d’appel, ni la Cour de cassation ne se sont prononcées en ce sens.
Ainsi, bien que le non-respect des règles en matière de sécurité informatique puisse justifier une sanction disciplinaire, seule une analyse in concreto permet d’évaluer la gravité de la faute et la proportionnalité de la sanction.
L’employeur doit, à cette fin, prendre en compte :
- la nature des données concernées,
- les risques effectifs pour l’entreprise,
- l’intention du salarié,
- les éventuels antécédents disciplinaires,
- la diffusion (ou non) des données à des tiers.
Cette décision illustre donc l’importance du contexte pour qualifier la faute et ainsi déterminer la sanction disciplinaire appropriée.
