Transfert de données confidentielles et charte informatique : la Cour de cassation refuse la faute grave (Cass. soc., 9 avril 2025, n° 24-12.055)
Dans un arrêt du 9 avril 2025 (n° 24-12.055), la chambre sociale de la Cour de cassation était saisie d’un licenciement pour faute grave fondé sur la violation des règles de sécurité informatique et de la charte éthique de l’entreprise.
a) Les faits : un transfert de documents confidentiels vers une boîte mail personnelle
Une salariée, ancienne VRP devenue chargée d’affaires, avait transféré depuis sa messagerie professionnelle vers son adresse électronique personnelle un courriel contenant des pièces jointes confidentielles, en violation :
- de son obligation contractuelle de confidentialité,
- des règles de sécurité informatique,
- et du code éthique en vigueur dans l’entreprise.
Elle avait en outre supprimé les traces de ce transfert sur son poste professionnel, ce qui démontrait sa conscience de la violation des règles internes. L’employeur l’a licenciée pour faute grave, après mise à pied conservatoire.
b) Décision de la cour d’appel : absence de cause réelle et sérieuse
La cour d’appel de Colmar a jugé que le licenciement était sans cause réelle et sérieuse, en relevant notamment :
- l’absence d’élément permettant d’imputer à la salariée une transmission des données à des tiers extérieurs ou à un concurrent ;
- l’ancienneté importante de la salariée ;
- l’absence de tout passé disciplinaire ou rappel à l’ordre antérieur.
Elle a considéré que, dans ce contexte, les manquements ne rendaient pas impossible le maintien de la salariée dans l’entreprise.
c) Le moyen de l’employeur : une violation grave de la sécurité informatique
Devant la Cour de cassation, l’employeur soutenait que :
- le transfert non autorisé de données “hautement confidentielles” vers une messagerie personnelle, en violation de la charte informatique et du code éthique, constitue en soi une faute grave ;
- l’absence de preuve de transmission à un concurrent ne saurait atténuer la gravité de la faute, dès lors que l’employeur a un intérêt légitime à faire respecter les règles de sécurité ;
- l’ancienneté et l’absence de passé disciplinaire ne sont pas de nature à neutraliser cette gravité.
L’employeur invoquait ainsi une violation des articles L. 1221-1, L. 1331-1, L. 1332-2 et L. 1333-2 du code du travail, relatifs à la discipline et à la faute grave.
d) La solution de la Cour de cassation : appréciation souveraine de la gravité
La chambre sociale rappelle que la faute grave est celle qui rend impossible le maintien du salarié dans l’entreprise. Elle constate que la cour d’appel a :
- retenu la réalité du transfert contraire aux règles de sécurité ;
- relevé qu’aucun élément ne permettait de démontrer une transmission externe de ces données confidentielles ;
- pris en compte l’ancienneté et l’absence de sanctions antérieures.
De ces éléments, la cour d’appel a pu souverainement déduire que les faits ne rendaient pas impossible le maintien de la salariée dans l’entreprise et ne constituaient pas une cause réelle et sérieuse de licenciement, dans l’exercice des pouvoirs qu’elle tient de l’article L. 1235-1 du code du travail.
Le pourvoi est donc rejeté.
e) Portée de l’arrêt pour la gouvernance éthique et la cybersécurité RH
Cet arrêt présente plusieurs enseignements :
Violation de la charte informatique ≠ automatiquement faute grave
Même en présence de données “hautement confidentielles” et d’une dissimulation du transfert, la faute grave n’est pas présumée. Le juge apprécie concrètement : nature exacte des données, diffusion effective ou non, contexte disciplinaire, ancienneté.
Importance du faisceau d’indices
L’employeur doit, pour caractériser la faute grave, documenter non seulement la violation des règles internes, mais aussi en quoi celle-ci désorganise l’entreprise ou fait peser un risque effectif tel que le maintien du salarié devient impossible.
Charte informatique et code éthique
L’arrêt confirme l’utilité de ces documents pour définir et prouver les obligations de confidentialité et de sécurité. Mais il rappelle aussi qu’ils ne dispensent pas l’employeur de l’appréciation proportionnée de la sanction.
Articulation droit social / cybersécurité
Dans un contexte de durcissement des exigences de cybersécurité (NIS 2, Cyber Solidarity Act), les entreprises doivent éviter une approche purement automatique (“zero tolerance” disciplinaire) et intégrer la jurisprudence sociale dans leur gouvernance éthique et leurs politiques de réponse aux incidents internes.
En pratique, il est recommandé de :
- graduer les sanctions (avertissement, mise à pied disciplinaire, licenciement pour cause réelle et sérieuse, faute grave) selon la nature des données, l’intention, la récidive, la diffusion effective ;
- intégrer un processus contradictoire solide (enquête interne, recueil des explications, traçabilité) pour sécuriser les décisions disciplinaires en matière de cybersécurité.