Puis-je être tenu responsable du hacking de mon entreprise ?

Cyber-attaque, késako ?

Selon le site gouvernemental R!sques, « la cyber-attaque est une atteinte à des systèmes informatiques réalisée dans un but malveillant ». Elle cible ainsi différents dispositifs informatiques : des ordinateurs ou des serveurs, isolés ou en réseaux, reliés ou non à Internet, des équipements périphériques tels que les imprimantes, ou encore des appareils communicants comme les téléphones mobiles, les smartphones ou les tablettes. Dans quel but ? Exploiter ou revendre des données, nuire à l’image de l’entreprise, espionner ou encore saboter un système informatique.

Que dit le Code du Travail ?

En matière de cybersécurité et d’obligations qui incombent aux salariés, le Code du Travail n’est guère prolixe. Exception faite de la Charte Informatique qui permet de fournir à l’entreprise les moyens juridiques pour encadrer l’utilisation des outils de communication et du matériel informatique. En définissant les droits et obligations des salariés dans ce domaine, elle vise à renforcer la protection de son réseau et à veiller à ce que les salariés n’abusent pas des outils que l’entreprise met à disposition.

La charte informatique peut ainsi interdire aux salariés la visite de certains sites ou encore le téléchargement de certains fichiers.

En cas de non-respect de cette charte, la faute du salarié pourra être engagée et aller jusqu’à son licenciement. La jurisprudence a ainsi déjà sanctionné le non-respect des règles de sécurité informatique. L’arrêté n°10-14685 du 5 juillet 2011 de la Chambre Sociale de la Cour de Cassation a ainsi confirmé le licenciement pour faute d’une salariée. La raison : avoir laissé un responsable utiliser son poste de travail et télécharger un fichier client confidentiel dont l’accès ne lui avait pas été initialement autorisé.

Un droit opposable ou non

A défaut, si l’entreprise n’a pas procédé à l’établissement d’une charte informatique, certaines pratiques abusives des systèmes d’information par les salariés pourront difficilement leur être opposées.

Autre obligation de l’entreprise : une décision du 23 avril rendue par le TGI de Créteil rappelle qu’il appartient aux entreprises de définir et de mettre en œuvre une politique de sécurité de leurs réseaux et systèmes d’information (article 29 de la loi du 6 janvier 1978). A défaut, celles-ci pourraient être considérées comme ayant commis une grave négligence et être lourdement sanctionnées selon l’article 226-17 du Code pénal (5 ans d’emprisonnement et 300 000 euros d’amende).

Mais attention tout de même à vos actes en cas de rapports conflictuels avec votre supérieur… L’introduction volontaire d’un virus dans le serveur de votre entreprise pourrait ainsi vous coûter très cher. La loi n°88-19 du 5 janvier 1988, dite Loi Godfrain, réprimant les actes de criminalité informatique et de piratage sanctionne ainsi, selon les infractions retenues, de peines pouvant aller de 2 ans de prison et 30 000 euros d’amende à 10 ans d’emprisonnement et 150 000 euros d’amende (article 323-1 du Code pénal).

A contrario, un arrêt de la Chambre sociale de la Cour de Cassation a estimé qu’un salarié ayant signalé au service informatique que son ordinateur était probablement infecté par un virus, n’avait pas fui ses responsabilités et s’était soucié de la préservation du système informatique de l’entreprise.