Soustraction de données de l’employeur par l’employé: qu’en est-il pénalement?
David Ternande, SAJEC
Publié vendredi 29 avril 2022
Lien copié
#Protection de l'employeur Les employés sont tenus à la confidentialité des secrets professionnels. Et après la fin des rapports de travail?
Durant et après son contrat de travail, comment un employé est-il tenu vis-à-vis de la confidentialité et de la restitution des secrets professionnels de son employeur?
Pendant la durée du contrat de travail, l’employé est tenu de ne pas utiliser ou communiquer à des tiers des faits tels que les secrets de fabrication (procédés de fabrication, plans de construction, etc.), les secrets d’affaires (prix, marges de bénéfice, listes de clients, etc.) dont il prend connaissance en étant au service de son employeur et pour lesquels on peut présumer que ce dernier préfère garder la plus grande confidentialité (art. 321a al. 4 CO). Ce devoir existe dès l’entrée en vigueur du contrat, ainsi que pendant le délai de résiliation.
Après la fin des rapports de travail, ce devoir de confidentialité (art. 321a al. 4 CO), impose à l’employé une obligation de restitution (art. 339a al. 1 CO). Cette obligation s’étend aux copies de documents, afin notamment de prévenir un risque de violation de secrets d’affaires ou de détournement de la clientèle de l’employeur. Une telle prétention peut exister indépendamment de l’éventuel droit d’interdire à l’ex-employé d’exercer une activité concurrente1.
La plupart de ces informations et documents sont aujourd’hui conservés de manière digitale par les entreprises. Dans le cadre de l’exécution de son contrat de travail, l’employé a accès à un certain nombre de ces données. Qu’en est-il si un employé emporte une copie de ces informations, par exemple, lors de son départ de l’entreprise? Le droit pénal suisse offre-t-il une protection suffisante à l’employeur?
La soustraction de données au sens de l'article 143 du code pénal (CP): que dit la jurisprudence ?
Selon l’art. 143 al. 1 CP: «celui qui, dans le dessein de se procurer ou de procurer à un tiers un enrichissement illégitime, aura soustrait, pour lui-même ou pour un tiers, des données enregistrées ou transmises électroniquement ou selon un mode similaire, qui ne lui étaient pas destinées et qui étaient spécialement protégées contre tout accès indu de sa part, sera puni d’une peine privative de liberté de cinq ans au plus ou d’une peine pécuniaire.»
Une des conditions de cette infraction semble particulièrement occuper les autorités pénales: une protection «spéciale» contre tout accès indu.
Dans un premier cas2, très médiatique, il était reproché à un ancien employé de banque, engagé en qualité d’informaticien, d’avoir soustrait de très nombreuses données détenues par la banque employeuse concernant en particulier l’identité de ses clients, leurs avoirs, le montant de leurs investissements ainsi que le type d’investissements effectués, en les transférant et les enregistrant sur ses propres supports informatiques. L’employé avait ensuite tenté de vendre ces données à d’autres banques et organismes étatiques étrangers.
Afin de démontrer un niveau de protection spécial de données en question, l’employeur et l’accusation ont fait état de trois niveaux de protection desquels l’employé se serait joué: la fragmentation des données personnelles des clients, soit le fait qu’elles n’étaient jamais mises en relation avec les données patrimoniales de ceux-ci; le fait que les données étaient soit fictives soit soumises à un programme de cryptage ou d’anonymisation; l’interdiction d’extraction de données, et d’enregistrement sur des supports privés, prévue par la réglementation interne de la banque, applicable aux employés de celle-ci.
Le Tribunal pénal fédéral a considéré qu’aucun des trois niveau de protection n’était suffisant. Selon notre haute Cour, la fragmentation est une mesure insuffisante, puisque l’employé détenait les mots de passe lui permettant d’accéder aux données personnelles et financières de clients depuis n’importe quel poste connecté au réseau de la banque. De plus, une simple recherche par mots clé permettait d’effectuer un rapprochement entre ces deux types de données, rendant la fragmentation inopérante. Concernant le fait que les données étaient fictives, cryptées ou anonymisées, l’instruction n’a pas permis de démontrer que tel était le cas et, enfin, les règles internes de la banque, applicables aux employés, ne constituaient pas une protection suffisante au sens de l’art. 143 CP. L’employé a donc été acquitté du chef d’accusation de soustraction de données au sens de l’art. 143 CP.
Dans un cas récent3, l’employeur prétendait qu’un ancien employé aurait piraté son système informatique, lui permettant ainsi de copier l’intégralité des données confidentielles contenues sur les serveurs du groupe. L’employeur avait produit des rapports portant sur la boîte e-mail ainsi que sur l’ordinateur professionnels de l’employé, desquels il ressortait notamment que celui-ci aurait enregistré des données sensibles de la société sur Dropbox, qu’il aurait transféré des données entre ses boîtes e-mail professionnelle et privée et que, dans les vingt-quatre heures précédant la fin de ses rapports de travail avec la société, il aurait connecté des clés USB et un Blackberry à son ordinateur professionnel.
Tant selon le Ministère public de la Confédération que le Tribunal pénal fédéral, à supposer que l’employé ait transféré un grand nombre de données appartenant à la société, ces rapports n’apportaient aucune information sur les mesures de sécurité mises en place au sein de la société ni sur la protection que l’accusé aurait dû surmonter pour avoir accès aux données. L’employeur n’avait notamment pas été en mesure de démontrer l’existence de procédés techniques mis en place afin d’empêcher un accès aux données de la part de l’employé. De plus, selon les autorités pénales, la clause de confidentialité signée par l’employé et le fait que l’accusé ait été mis en possession des mots de passe pour accéder aux ordinateurs de deux des administrateurs de la société ne constituaient pas des mesures de protection spéciales au sens de l’article 143 CP. L’infraction de soustraction de données (art. 143 CP) n’a donc pas été retenue contre l’employé.
Dans une autre affaire4, la Chambre pénale genevoise de recours a considéré que la simple utilisation de son identifiant informatique et de son mot de passe par un employé, même après la fin des rapports de travail, ne suffisaient pas à conclure à une soustraction de donnée au sens de l’article 143 CP. L’autorité pénale a précisé que l’employeur n’avait pas modifié les accès de l’employé à la fin du contrat de travail.
Conclusion
À notre sens, la jurisprudence en matière de soustraction de données révèle une protection lacunaire des données confidentielles de l’employeur. À travers leurs décisions, les autorités judiciaires pénales réduisent quasiment à néant les obligations légales et contractuelles de confidentialité (art. 321a al.4 CO) et de restitution (art. 339a al.1 CO). Considérer que de telles obligations ne suffisent pas à constituer des mesures de protection suffisantes au sens du droit pénal porte atteinte à la crédibilité de notre système légal. Rappelons à quel point il peut être compliqué de prouver et obtenir la réparation d’un dommage causé par l’employé à l’employeur dans le cadre d’un procès civil ou la violation d’un secret de fabrication ou commercial (art. 162 CP) dans le cadre d’un procès pénal.
Un abaissement du degré de protection requis pour la soustraction de données protègerait réellement l’employeur contre de tels comportements illégaux. En attendant, les employeurs devront être particulièrement attentifs à la mise en place de mesures de protection techniques très restrictives quant à l’accès à leurs données, sans attendre de soutien satisfaisant ou de véritable effet dissuasif de la part des obligations légales et contractuelles opposables à ce genre de comportements malveillants.
En autorisant les services tiers, vous acceptez le dépôt et la lecture de cookies et l'utilisation de technologies de suivi nécessaires à leur bon fonctionnement. Voir notre politique de confidentialité.