7 mai 2025
David GIABBANI droit du travail

Transfert de données confidentielles par un salarié : pas toujours une faute grave

Tout manquement d’un salarié aux règles de sécurité informatique en vigueur dans l’entreprise – et notamment à l’interdiction de transférer des données confidentielles hors du périmètre professionnel – ne constitue pas nécessairement une faute grave, ni même une cause réelle et sérieuse de licenciement. L’appréciation de la gravité de la faute dépend avant tout des circonstances entourant le manquement, et en particulier de la question de savoir si les données confidentielles ont été ou non transmises à un tiers extérieur à l’entreprise.
Cass. soc. 9 avril 2025, n° 24-12055 D

Une salariée, chargée d’affaires au sein de la direction commerciale, avait été licenciée pour faute grave après mise à pied conservatoire. Il lui était reproché d’avoir, depuis sa messagerie professionnelle, transféré sur sa boîte personnelle un courriel contenant des documents hautement confidentiels. Pour masquer cet acte, elle avait ensuite supprimé toute trace du transfert.
À sa décharge, la salariée affirmait avoir agi ainsi pour pouvoir travailler depuis son domicile, l’accès aux documents étant rendu impossible depuis son poste personnel.

Les juges relèvent que, bien que consciente de la transgression des règles de sécurité, la salariée n’avait pas cherché à transmettre les documents à un tiers extérieur à l’entreprise.
Avec 24 ans d’ancienneté et aucune sanction antérieure, la salariée n’avait jamais été rappelée à l’ordre sur ce type de comportement.
Il en résulte que son maintien dans l’entreprise n’était pas rendu impossible. Le manquement n’était donc ni constitutif d’une faute grave, ni même d’une cause réelle et sérieuse de licenciement.

En l’absence de transmission des données à un tiers et de volonté délibérée de nuire, l’existence d’une faute grave n’est pas retenue. À l’inverse, le transfert d’informations sensibles à des personnes extérieures, notamment à des concurrents, pourra justifier un licenciement pour faute grave (v. Cass. soc. 17 mars 2010, n° 08-45519 D).

La gravité ne peut être présumée du seul fait du manquement à une règle, fût-elle essentielle : elle doit être mise en balance avec l’intention, les usages, l’historique disciplinaire et surtout le risque concret de compromission des données.

Au Luxembourg aussi, des salariés sont parfois licenciés brutalement pour un transfert de fichier vers leur boîte perso – parfois des années après les faits.
Le scénario est bien connu :
L’employeur, malintentionné, fouille l’ordinateur du salarié… et « découvre », comme par hasard, ce transfert confidentiel. Cela devient le prétexte parfait pour un licenciement.
Or, dans bien des cas, ce transfert n’a rien de malveillant : le salarié voulait simplement travailler depuis chez lui, faute d’équipement ou d’accès distant.