Intrusion informatique, si et seulement s’il y a protection

Nous avions précédemment rendu compte d’une décision rendu sous le visa de l’article 323-1 du Code pénal, réprimant le piratage informatique, celui-ci n’étant pas constitué dans la mesure où l’entreprise n’avait pas mis en place de mesure de sécurité efficientes pour protéger l’accès à son système d’information http://demaisonrouge-avocat.com/2013/07/04/libre-acces-meme-involontaire-nest-pas-intrusion-ni-vol/

 

Dans la même veine, un victime supposée ou prétendue de piratage informatique ne pourra pas faire valoir son préjudice si elle n’a pas pris les précautions nécessaires.

Dans cette affaire, un salarié avait transmis à un concurrent les données commerciales de l’employeur (fichier client / prospects).

Si le concurrent voit sa responsabilité être engagée pour avoir utilisé un fichier d’une entreprise rivale, sans s’être assuré au préalable des conditions d’obtention d’un tel bien informationnel, le tribunal retient néanmoins que l’employeur lésé a concouru à son propre préjudice en ne sécurisant pas suffisamment son réseau informatique, dans la mesure où il a été démontré que le salarié indélicat disposait d’un code d’accès qui servait à 3 autres personnes de l’entreprise.

 

TGI Paris, 4e ch., 3e section, 21 févr. 2013

 

A cet égard, nous avons toujours soutenu que la principale faille dans la perte et/ou la diffusion de secrets d’affaires était le facteur interne (salarié malveillant ou plus généralement par inadvertance non intentionnelle), davantage que l’intrusion externe (vol, espionnage, intrusion informatique). D’où les nécessaires efforts de sensibilisation et de formation auprès du personnel de l’entreprise pour faire admettre les enjeux d’une telle préoccupation légitime de l’outil de travail.

 

A lire sur ce même thème :

Un entretien sur le fléau que constitue la fuite de données stratégiques par des salariés quittant l’entreprise avec des fichiers confidentiels pour aller à la concurrence : http://www.atlantico.fr/decryptage/plus-dangereux-que-espionnage-industriel-que-peuvent-entreprises-francaises-face-aux-60-employes-qui-sont-partis-avec-donnees-co-800896.html

Résultat de l’enquête SYMANTEC affirmant que 60% des salariés qui ont quitté leur entreprise au cours des 12 derniers mois ont conservé des données confidentielles de leur ex-employeur http://www.symantec.com/fr/fr/about/news/release/article.jsp?prid=20130211_01

De la (nouvelle) confidentialité des IRP

La loi de sécurisation de l’emploi du 14 juin 2013 a introduit une obligation supplémentaire de communication de certains informations économiques stratégiques au profit des IRP (Institutions de représentation du personnel) par la création d’un registre dédié consultable par ces dernières (membres du CE, délégués du personnel, comité central d’entreprise, CHSCT, délégués syndicaux) .

 

Ce registre doit mentionner :

http://www.legifrance.gouv.fr/affichCodeArticle.do?idArticle=LEGIARTI000027549181&cidTexte=LEGITEXT000006072050&dateTexte=20130618&oldAction=rechCodeArticle

 

1° Investissements : investissement social (emploi, évolution et répartition des contrats précaires, des stages et des emplois à temps partiel, formation professionnelle et conditions de travail), investissement matériel et immatériel et, pour les entreprises mentionnées au sixième alinéa de l’article L. 225-102-1 du code de commerce, les informations en matière environnementale présentées en application du cinquième alinéa du même article ;

2° Fonds propres et endettement ;

3° Ensemble des éléments de la rémunération des salariés et dirigeants ;

4° Activités sociales et culturelles ;

5° Rémunération des financeurs ;

6° Flux financiers à destination de l’entreprise, notamment aides publiques et crédits d’impôts ;

7° Sous-traitance ;

8° Le cas échéant, transferts commerciaux et financiers entre les entités du groupe.

 

Par extension, l’article L. 2325-5 du Code du travail http://www.legifrance.gouv.fr/affichCodeArticle.do?idArticle=LEGIARTI000006902057&cidTexte=LEGITEXT000006072050&dateTexte=20130618&oldAction=rechCodeArticle renforce l’obligation de confidentialité des IRP.

 

Sur la base du texte antérieur, qui intègre depuis les délégués syndicaux, il avait à cet égard été jugé :

« la cour d’appel [ayant] constaté, d’une part, que le salarié, en sa qualité de membre du comité d’entreprise et dans le cadre des réunions de ce comité, notamment d’un comité extraordinaire, avait eu connaissance par l’employeur d’informations expressément présentées comme confidentielles, sous la forme d’une note, portant un tampon rouge indiquant sa confidentialité et une mention rappelant ce caractère confidentiel et que cette note ne pouvait « faire, à ce titre, l’objet d’une diffusion extérieure », et, d’autre part, qu’il est établi qu’en sa qualité de délégué syndical, ce même salarié a divulgué ces informations à la presse, de plus en les déformant, ce qui était de nature à nuire aux intérêts de l’entreprise ; qu’ayant ainsi caractérisé un manquement à l’obligation de discrétion préjudiciable aux intérêts de l’entreprise, elle a pu décider que la sanction de mise à pied prise par l’employeur, dans le cadre de l’exercice de son pouvoir disciplinaire, n’était pas entachée de nullité et qu’elle était justifiée ».

 

Cass. soc., 6 mars 2012, n°10-24.367

Clause prévoyant la rupture du contrat de travail en cas d’acquisition et changement de direction : un poison pill nécessaire à la protection du patrimoine informationnel

La Chambre sociale de la Cour de cassation (Cass. soc., 10 avril 2013, n°11-25841) a récemment validé un tel dispositif inséré dans le contrat de travail d’un homme-clef de l’entreprise.

 

Ce mécanisme permet ainsi de pouvoir intégrer une « pilule empoisonnée » (poison pill) en cas de rachat hostile d’un entreprise par un concurrent, en la vidant d’une partie de sa substance humaine (et financière du fait des indemnités à payer au salarié évincé) constituée d’ingénieurs, de chercheurs, cadres commerciaux … en possession de savoirs-faires déterminants. Au final, l’agresseur se prive de toute faculté de s’emparer du patrimoine informationnel de son rival.

Cette technique des poisons pills a longtemps prévalu dans les dispositifs préventifs d’OPA inamicales et peut désormais se trouver étendue à l’intelligence économique défensive.

 

Telle que validée par la Cour de cassation, pour remplir ses effets, une telle clause doit cependant répondre aux conditions suivantes :

  • Etre justifiée par les fonctions du salarié considéré ;
  • Ne pas faire échec à la faculté de résiliation unilatérale du contrat par l’une ou l’autre des parties (licenciement, démission).

L’employeur peut accéder à la clef USB du salarié, si elle est connectée

Nous avons déjà eu l’occasion d’exposer à maintes reprises les conditions juridiques qui autorisent un employeur à inspecter l’ordinateur de son salarié (http://lecercle.lesechos.fr/entreprises-marches/management/221131280/proteger-les-secrets-de-lentreprise-en-respectant-le-droit- ).

 

Il se trouve que la question s’est trouvée posée à la Chambre sociale de la Cour de cassation en d’autres termes : en l’espèce, l’employeur avait ouvert le contenu de la clef USB du salarié.

 

Suivant arrêt du 12 février 2013 (n°11-28649), il a été posé comme principe que l’employeur pouvait effectivement ouvrir la clef USB, dans la mesure où celle-ci est connectée à l’ordinateur du salarié (et toujours dans la mesure où les fichiers estampillés « personnel » ne sont pas visités).

 

S’agissant des faits de cette affaire, il a été retrouvé sur ce périphérique de nombreuses données confidentielles de l’entreprise, ainsi que des informations portant sur les autres salariés et les dirigeants de la société.

Surveillance des surveillants : BIG BROTHER is watching you

Dans une décision du 3 janvier 2013, la CNIL a sanctionné le titulaire d’un système de surveillance par vidéo jugé trop intrusif dans le contrôle des salariés.

http://www.cnil.fr/la-cnil/actualite/article/article/la-cnil-sanctionne-la-surveillance-permanente-de-salaries/

 

En l’espèce, le box des agents de sécurité d’un immeuble étaient sous « l’œil » permanent des caméras, ce qui portait atteinte à leur vie privée selon ces derniers.

 

La CNIL a effectivement estimé que ce procédé disproportionné « en ce qu’il ne participait pas à la protection des occupants de l’immeuble (…) témoignait en réalité de la volonté du responsable de traitement de contrôler le travail du personnel de surveillance ».

 

Petit rappel sur le droit applicable :

http://lecercle.lesechos.fr/entreprises-marches/management/221131280/proteger-les-secrets-de-lentreprise-en-respectant-le-droit-

Du bon usage de la mise à pied d’un salarié avant poursuites pénales et licenciement pour faute

Cette récente décision, globalement étrangère à l’IE, ne manque cependant pas de renvoyer et d’être associée à l’affaire Renault. En effet, l’employeur doit savoir comment combiner mise à pied, licenciement et plainte pénale pour les faits avérés.

 

Dans cette espèce, le salarié a été condamné par la juridiction pénale pour abus de confiance (détournement).

Il a néanmoins reproché à son employeur, devant le Conseil de prud’hommes, puis devant la juridiction du second degré, de l’avoir indûment mis à pied dès son interpellation, et ce jusqu’à la conclusion de l’enquête pénale, soit pendant 4 mois consécutifs, date à laquelle la procédure de licenciement a été initiée.

La chambre sociale de la Cour de cassation a estimé fondée la décision de l’employeur, et par conséquent valide la séquence de mise à pied avant licenciement. Elle estime en effet que, « lorsque les faits reprochés au salarié donnent lieu à l’exercice de poursuites pénales, l’employeur peut, sans engager immédiatement une procédure de licenciement, prendre une mesure de mise à pied conservatoire si les faits le justifient ».

 

Cass. soc. 4 déc. 2012, n°11-27508