Mais celles-ci appellent leur lot de dissidences, car une fois signées elles sont déjà pratiquement désavouées : direction l’oubli, la poubelle ou les bas fonds d’un vieux tiroir méprisé. Comme si le sentiment de s’être fait ordonner une collection invraisemblable d’interdictions devait immédiatement être suivi d’une négation ; sans doute parce que dans la réalité on sait que l’on ne pourra jamais vraiment assimiler les méandres d’un document de 35 pages (PSSI comprise…).
1. Les chartes définissent des normes impératives
Il n’en reste pas moins qu’une fois annexée au règlement intérieur et adoptée dans le respect du formalisme imposé par le droit du travail, la charte deviendra légalement opposable aux salariés. Cette opposabilité transformera alors chacune des interdictions en obligations dont le non-respect pourra générer des sanctions (jusqu’au licenciement – d’où l’utilité d’une rédaction claire et simple de la charte : a minima tout le monde devrait être en mesure de pouvoir en comprendre la substance et en exiger la lisibilité).
La décision du 5 juillet 2011 sanctionne sévèrement le non respect des règles de sécurité par les salariés
La jurisprudence du 5 juillet 2011 de la chambre sociale de la Cour de cassation illustre parfaitement l’application de cette règle de droit, en sanctionnant le non respect des règles de sécurité informatique. Dans cette espèce, une salariée avait été licenciée pour avoir laissé un responsable utiliser son poste de travail et télécharger un fichier client confidentiel dont l’accès ne lui avait pas été initialement autorisé.
La Cour de cassation jugeait alors :
qu’ayant relevé (…), qu’en méconnaissance des dispositions de la charte informatique, la salariée avait permis à un autre salarié qui n’était pas habilité d’utiliser son code d’accès pour télécharger des informations confidentielles, la cour d’appel (…) a pu décider que ce comportement rendait impossible son maintien dans l’entreprise et a ainsi légalement justifié sa décision.
Précisons-le, ladite charte avait pris soin d’imposer aux salariés de ne pas transmettre les mots de passe confiés, ni aucune information confidentielle à des tiers – externes ou internes à l’organisation.
2. La violation de **règles **de sécurité d’une charte est une faute grave
Le moins que l’on puisse dire est que la décision est sévère. La salariée visée n’avait laissé l’usage de son ordinateur au responsable qu’à une seule reprise, ce qui suffit, dit la Cour de cassation, pour caractériser une faute grave.
La faute grave est celle qui rend impossible le maintien du salarié dans l’entreprise (Cass. soc. 26 fév. 1991). Elle a pour conséquence de faire perdre au salarié son indemnité de licenciement et préavis. A titre de comparaison, a été jugé que constituent des fautes graves : le refus d’un chef de chantier de porter son casque de sécurité (Cass. soc. 23 mars 2005), le fait de se trouver en état d’ébriété sur son lieu de travail (Cass. soc. 22 mai 2002), de se livrer à des actes de harcèlement sexuel (Cass. soc. 19 avr. 2000), ou encore à des téléchargements sauvages – et contrefaisants, sur des réseaux Peer-to-peer (CA. Paris, 4 oct. 2007).
Ici, peu importe donc l’ancienneté de la personne, ou encore la récurrence de la faute. Une seule erreur suffit à évincer la salariée…
3. Les organisations sont légalement tenues d’imposer ces règles de sécurité
Il est vrai que l’entreprise elle-même est tributaire du respect de nombreuses normes de sécurité qu’il lui advient d’imposer (voir le détail dans notre formation RGPD). C’est le cas particulièrement pour les fichiers contenant des données personnelles, puisque le responsable du traitement est tenu à une obligation de sécurité informatique ; celle-ci lui impose de :
« prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ».
A défaut il s’expose aux sanctions sévères de l’article 226-17 du Code pénal (5 ans d’emprisonnement et 300.000 euros d’amende, montant multiplié par 5 pour les entreprises). Dans cette perspective, il lui appartient donc de s’assurer du respect de ces règles de sécurité par ses propres employés, sans quoi l’entreprise risque de voir sa propre responsabilité engagée. L’histoire ne le dit pas, mais la société aurait également pu déposer plainte sur le fondement de l’article 323-1 du Code pénal pour faire sanctionner l’accès frauduleux sur son système de traitement automatisé.
A l’heure où l’on parle de sanctionner plus sévèrement les divulgations d’informations économiquement protégées par trois ans d’emprisonnement et 375.000 euros d’amende, cette jurisprudence montre que les sanctions, en droit, sont déjà tout à fait effectives. A-t-on vraiment besoin d’en rajouter ?
Deux conseils en guise de conclusion :
- Pour le salarié : il est nécessaire de savoir quelles sont les règles auxquelles il est engagé ; il lui appartient donc de lire et de comprendre l’ensemble des règles de conduite imposées par sa charte d’usage des services informatiques. Savez-vous vraiment ce qu’il y a dans votre charte ?
- Pour les organisations : une bonne charte est courte, particulièrement si elle s’adresse à un grand nombre d’employés ; une règle d’or : clair, court et simple ! Etes-vous certain que vos employés connaissent les règles qui la composent ? Sinon comment peuvent-ils les respecter ? Comment gérerez-vous la situation lorsque l’un d’entre eux se verra licencié sur la base de cette charte ?