Type de juridiction : Cour d’appel

Juridiction : Cour d’appel de Toulouse

Thématique : Confidentialité des mots de passe en entreprise

Risque d’usurpation des mots de passe

Après la sécurisation des mots de passe, leur confidentialité en entreprise prend une nouvelle dimension juridique : l’absence de mise en œuvre de mesures de confidentialité par l’employeur  rend faillible la preuve de la faute reprochée au salarié (usurpation des mots de passe du salarié assortie d’actes de malveillance).

Rupture fautive de contrat de travail

Aux termes des dispositions de l’article L. 1232-6 du code du travail, l’employeur est tenu d’énoncer dans la lettre de licenciement, le ou les motifs du licenciement. La lettre de licenciement fixe les limites du litige. La faute lourde est une faute d’une particulière gravité, caractérisée par l’intention de nuire du salarié vis à vis de l’employeur ou de l’entreprise, qui fait obstacle à son maintien dans l’entreprise. Elle doit être matérialisée par une participation personnelle et active du salarié aux actes illicites.

Lorsque l’employeur retient la qualification de faute lourde dans la lettre de licenciement, il lui incombe de rapporter la preuve matérielle des faits reprochés à son salarié. En présence d’une faute lourde, la lettre de convocation à un entretien préalable peut également porter notification d’une mise à pied à titre conservatoire.

En l’espèce, la lettre de licenciement du salarié faisait notamment grief à celui-ci une volonté de nuire caractérisée par le fait de s’être, après une mise à pied, connecté à plusieurs reprises sur les systèmes d’information de la société, au moyen de l’accès à distance mis à sa disposition à des fins professionnelles, dans le but de commettre plusieurs actes malveillants (effacement de fichiers, modification des prix catalogue …).

Preuve des actes informatiques malveillants

Il appartient à l’employeur d’établir la matérialité des griefs opposés aux salariés, il lui incombe notamment d’établir que le salarié est l’auteur des connexions effectuées avec l’adresse IP utilisée pour les connexions précisées dans la lettre de licenciement. En l’occurrence, l’employeur se prévalait d’un rapport de son informaticien qui établissait que l’adresse IP de connexion à l’origine des actes malveillants était associée à l’identifiant du salarié.

Les juges ont précisé que la faculté (non contestée) de copier les certificats de sécurité couplée avec la diffusion des mots de passe de l’utilisateur au sein de la société ne permettait pas d’imputer de manière certaine les connexions malveillantes au salarié, d’autant que l’employeur ne versait aux débats aucun élément relatif à la localisation de l’adresse IP alors que les connexions ont toutes été effectuées pendant la période de mise à pied du salarié. De plus, le salarié justifiait que le parquet avait classé sans suite la plainte déposée par l’employeur au motif « auteur inconnu », ce qui impliquait que l’enquête pénale n’avait pas permis d’identifier l’auteur des faits.

Mesures de confidentialité des mots de passe

L’employeur n’ayant pas mis en place de système de sécurisation destiné à assurer la confidentialité des mots de passe de ses salariés qui étaient stockés en clair et accessibles, les actes malveillants ont pu être réalisés par une autre personne que le salarié ou à partir d’un autre ordinateur que celui mis à la disposition de ce dernier, du fait même du système de conservation des clefs permettant de copier le certificat lequel permet de se procurer l’adresse IP. Le grief de la faute lourde du salarié n’a donc pas été retenu.

Télécharger