Cour d’appel de Douai, le 27 juin 2025, n°23/01208
Un technicien hotline, employé depuis plus de trente ans dans une entreprise pharmaceutique, télécharge un logiciel depuis un site non répertorié, copie un disque dur personnel sur le serveur de son employeur et quitte les locaux sans surveillance ni extinction de son ordinateur. L’antivirus détecte trente-huit fichiers infectés. Le salarié est licencié pour faute grave.
Les faits sont simples. Le 20 mai 2021, ce technicien, chargé de la maintenance informatique, décide de rendre service à un agent de sécurité extérieur à l’entreprise. Il télécharge un logiciel depuis un site appelé zcracked.com, lance la restauration d’un disque dur externe sur le réseau de l’entreprise, puis quitte le site. L’opération déclenche de nombreuses alertes de l’antivirus Kaspersky.
L’employeur engage une procédure disciplinaire. Le salarié est convoqué le 31 mai 2021 et mis à pied à titre conservatoire. Son licenciement pour faute grave lui est notifié le 14 juin 2021. Il saisit le conseil de prud’hommes de Lys lez Lannoy le 17 septembre 2021. Le conseil, par jugement du 5 septembre 2023, valide le licenciement et rejette toutes ses demandes.
Le salarié interjette appel. Devant la cour d’appel de Douai, il conteste la qualification disciplinaire des faits. Il soutient qu’une simple négligence ne peut fonder un licenciement pour faute grave. Il invoque son ancienneté de trente ans, l’absence de sanctions antérieures et l’efficacité de l’antivirus qui a supprimé les fichiers infectés.
La cour d’appel de Douai doit répondre à la question suivante. La violation délibérée des règles de sécurité informatique par un technicien informatique constitue-t-elle une faute grave, malgré une ancienneté importante et l’absence de préjudice avéré pour l’entreprise ?
La cour confirme le jugement de première instance. Elle retient que le salarié a violé « en toute connaissance de cause les règles et consignes applicables en matière de sécurité informatique ». Elle qualifie son comportement d’« imprudence » et de « désinvolture » revêtant « bien un caractère fautif ». Elle juge que « son maintien dans l’entreprise s’avérait impossible », quand bien même le salarié « avait plus de trente ans d’ancienneté, n’avait jamais fait l’objet de sanctions et a présenté ses excuses lors de l’entretien préalable ».
Cette décision illustre la sévérité des juridictions sociales face aux manquements informatiques des salariés chargés de la sécurité des systèmes. Elle conduit à examiner les conditions de qualification de la faute disciplinaire dans le domaine informatique (I), avant d’analyser les critères de la faute grave retenus par la cour (II).
I. La qualification disciplinaire du manquement informatique
A. Le rejet de la thèse de l’insuffisance professionnelle
Le salarié soutenait que les faits relevaient de la négligence et non de la faute disciplinaire. Il estimait que son employeur aurait dû le licencier pour insuffisance professionnelle. La cour rejette cette argumentation.
La distinction entre insuffisance professionnelle et faute disciplinaire repose sur l’élément intentionnel. L’insuffisance professionnelle suppose une incapacité à accomplir correctement ses fonctions, indépendamment de la volonté du salarié. La faute disciplinaire implique un manquement volontaire aux obligations contractuelles ou réglementaires.
La cour relève que le salarié connaissait parfaitement les règles applicables. Les règles de bonnes pratiques lui avaient été communiquées le 30 mars 2010 contre signature. Le règlement intérieur lui avait été remis en main propre le 21 janvier 2021. Plusieurs messages de sensibilisation avaient été diffusés entre décembre 2020 et mars 2021. Le salarié ne pouvait donc ignorer les interdictions qui pesaient sur lui.
La cour affirme que « son imprudence et la désinvolture dont il a fait preuve ne résultent pas d’un manque de compétence dans l’exécution de ses fonctions mais revêtent bien un caractère fautif ». Cette formulation est éclairante. La cour distingue clairement le défaut de compétence, qui relève de l’insuffisance, et le défaut de diligence, qui relève de la faute. Le technicien savait ce qu’il devait faire et ne pas faire. Il a choisi de transgresser les règles pour rendre service à un tiers étranger à l’entreprise.
Cette solution s’inscrit dans une jurisprudence constante. La Cour de cassation considère que le salarié qui viole sciemment une règle connue commet une faute disciplinaire, même si cette violation peut être qualifiée de négligence au sens commun du terme. La conscience de la règle transforme la négligence en faute.
B. L’importance de la fonction exercée dans l’appréciation de la faute
La cour accorde une importance décisive à la fonction du salarié. Elle relève que celui-ci était « chargé d’assurer la maintenance des matériels et applications informatiques installés sur le site ». Elle rappelle également que « M. [G] est un des garants de la sécurité informatique des postes de travail et du réseau informatique du site ».
Cette référence à la fonction n’est pas anodine. En droit du travail, la gravité de la faute s’apprécie notamment au regard des responsabilités du salarié. Un même comportement peut constituer une faute légère pour un salarié ordinaire et une faute grave pour un salarié investi de responsabilités particulières.
Le salarié contestait cette analyse. Il faisait valoir que sa fiche de poste ne lui assignait « aucune mission en matière de sécurité informatique ». Il soutenait que la fonction de helpdesk était assurée à tour de rôle et qu’il n’était pas cadre. Ces arguments n’ont pas convaincu la cour.
La définition de fonction produite aux débats mentionnait expressément le respect des règles de sécurité. Le salarié était donc bien tenu de veiller à la sécurité informatique, même s’il n’était pas le seul à exercer cette mission. La cour refuse de dissocier la fonction de maintenance informatique de la fonction de sécurité informatique. Un technicien informatique qui télécharge des logiciels non autorisés et connecte des supports externes au réseau ne manque pas seulement à une obligation accessoire. Il compromet l’essence même de sa mission.
Cette analyse est cohérente avec l’évolution des enjeux de cybersécurité. Les tribunaux sont de plus en plus sensibles aux risques informatiques. Le salarié chargé de la maintenance informatique est nécessairement un acteur de la sécurité du système, qu’il le veuille ou non.
II. La caractérisation de la faute grave malgré les circonstances atténuantes
A. L’indifférence de l’absence de préjudice avéré
Le salarié invoquait l’absence de conséquences préjudiciables pour l’entreprise. L’antivirus avait identifié et supprimé les fichiers infectés. Le réseau n’avait subi aucun dommage. Cette circonstance aurait dû, selon lui, exclure la qualification de faute grave.
La cour écarte cet argument sans même le discuter. Elle se concentre sur « les risques que ses agissements fautifs faisaient courir à la société », non sur les conséquences effectives de ces agissements. Cette approche mérite attention.
En matière disciplinaire, la faute grave est traditionnellement définie comme celle qui rend impossible le maintien du salarié dans l’entreprise. Cette impossibilité s’apprécie en fonction de la nature du manquement, non de ses conséquences. Un salarié qui vole dans la caisse commet une faute grave, même si la somme dérobée est dérisoire. Un salarié qui met en danger la sécurité d’autrui commet une faute grave, même si personne n’est blessé.
La même logique s’applique en matière informatique. Le téléchargement d’un logiciel depuis un site suspect et la connexion d’un support externe au réseau créent un risque majeur de contamination. Ce risque existait au moment des faits. Il s’est d’ailleurs partiellement réalisé puisque trente-huit fichiers infectés ont été détectés. Seule l’efficacité de l’antivirus a évité des conséquences plus graves.
La cour juge donc que le risque suffit à caractériser la faute grave. Cette solution est sévère mais cohérente. En matière de sécurité informatique, les conséquences d’une négligence peuvent être catastrophiques et irréversibles. Attendre qu’un préjudice se réalise pour sanctionner serait déraisonnable. La prévention impose de sanctionner le comportement à risque indépendamment de ses suites.
B. Le dépassement des circonstances personnelles du salarié
Le salarié invoquait trois circonstances atténuantes. Il avait trente ans d’ancienneté sans aucune sanction. Il avait présenté ses excuses lors de l’entretien préalable. Il n’avait agi que pour rendre service à une connaissance.
La cour mentionne expressément ces éléments. Elle reconnaît que le salarié « avait plus de trente ans d’ancienneté, n’avait jamais fait l’objet de sanctions et a présenté ses excuses lors de l’entretien préalable ». Elle les écarte néanmoins au profit de deux critères déterminants : « la nature des fonctions exercées par le salarié » et « les risques que ses agissements fautifs faisaient courir à la société ».
Cette mise en balance est instructive. La cour ne nie pas la pertinence des circonstances atténuantes. Elle considère simplement qu’elles sont insuffisantes face à la gravité objective du manquement. L’ancienneté impose des devoirs autant qu’elle confère des droits. Un salarié expérimenté ne peut se prévaloir de son ignorance. Il doit au contraire donner l’exemple.
La cour qualifie le comportement du salarié de « désinvolture ». Ce terme est révélateur. Il suggère que le salarié a agi avec légèreté, sans mesurer les conséquences de ses actes. Cette légèreté est d’autant plus fautive qu’elle émane d’un professionnel averti. Un technicien informatique ne peut ignorer les dangers du téléchargement de logiciels depuis des sites non sécurisés. Il ne peut davantage ignorer l’interdiction de connecter des supports personnels au réseau de l’entreprise.
Le motif invoqué pour justifier ces agissements aggrave la situation. Le salarié n’a pas agi dans l’intérêt de l’entreprise mais pour rendre service à un tiers. Il a utilisé les ressources informatiques de son employeur à des fins étrangères à son activité professionnelle. Ce détournement d’usage constitue en lui-même une faute, indépendamment des risques de contamination virale.
La solution retenue par la cour d’appel de Douai dans cet arrêt du 27 juin 2025 s’inscrit dans un mouvement de responsabilisation accrue des salariés en matière de cybersécurité. Elle rappelle que les règles informatiques ne sont pas de simples recommandations mais des obligations contractuelles dont la violation peut justifier un licenciement pour faute grave. Elle confirme également que l’ancienneté, si elle peut atténuer certaines fautes, ne constitue pas une immunité disciplinaire.
Nos données proviennent de la Cour de cassation (Judilibre), du Conseil d'État, de la DILA, de la Cour de justice de l'Union européenne ainsi que de la Cour européenne des droits de l'Homme.
Avocat Associé
Hassan Kohen
Avocat au Barreau de Paris • Droit Pénal & Droit du Travail
Maître Kohen, avocat à Paris en droit pénal et droit du travail, accompagne ses clients avec rigueur et discrétion dans toutes leurs démarches juridiques, qu'il s'agisse de procédures pénales ou de litiges liés au droit du travail.
Un technicien hotline, employé depuis plus de trente ans dans une entreprise pharmaceutique, télécharge un logiciel depuis un site non répertorié, copie un disque dur personnel sur le serveur de son employeur et quitte les locaux sans surveillance ni extinction de son ordinateur. L’antivirus détecte trente-huit fichiers infectés. Le salarié est licencié pour faute grave.
Les faits sont simples. Le 20 mai 2021, ce technicien, chargé de la maintenance informatique, décide de rendre service à un agent de sécurité extérieur à l’entreprise. Il télécharge un logiciel depuis un site appelé zcracked.com, lance la restauration d’un disque dur externe sur le réseau de l’entreprise, puis quitte le site. L’opération déclenche de nombreuses alertes de l’antivirus Kaspersky.
L’employeur engage une procédure disciplinaire. Le salarié est convoqué le 31 mai 2021 et mis à pied à titre conservatoire. Son licenciement pour faute grave lui est notifié le 14 juin 2021. Il saisit le conseil de prud’hommes de Lys lez Lannoy le 17 septembre 2021. Le conseil, par jugement du 5 septembre 2023, valide le licenciement et rejette toutes ses demandes.
Le salarié interjette appel. Devant la cour d’appel de Douai, il conteste la qualification disciplinaire des faits. Il soutient qu’une simple négligence ne peut fonder un licenciement pour faute grave. Il invoque son ancienneté de trente ans, l’absence de sanctions antérieures et l’efficacité de l’antivirus qui a supprimé les fichiers infectés.
La cour d’appel de Douai doit répondre à la question suivante. La violation délibérée des règles de sécurité informatique par un technicien informatique constitue-t-elle une faute grave, malgré une ancienneté importante et l’absence de préjudice avéré pour l’entreprise ?
La cour confirme le jugement de première instance. Elle retient que le salarié a violé « en toute connaissance de cause les règles et consignes applicables en matière de sécurité informatique ». Elle qualifie son comportement d’« imprudence » et de « désinvolture » revêtant « bien un caractère fautif ». Elle juge que « son maintien dans l’entreprise s’avérait impossible », quand bien même le salarié « avait plus de trente ans d’ancienneté, n’avait jamais fait l’objet de sanctions et a présenté ses excuses lors de l’entretien préalable ».
Cette décision illustre la sévérité des juridictions sociales face aux manquements informatiques des salariés chargés de la sécurité des systèmes. Elle conduit à examiner les conditions de qualification de la faute disciplinaire dans le domaine informatique (I), avant d’analyser les critères de la faute grave retenus par la cour (II).
I. La qualification disciplinaire du manquement informatique
A. Le rejet de la thèse de l’insuffisance professionnelle
Le salarié soutenait que les faits relevaient de la négligence et non de la faute disciplinaire. Il estimait que son employeur aurait dû le licencier pour insuffisance professionnelle. La cour rejette cette argumentation.
La distinction entre insuffisance professionnelle et faute disciplinaire repose sur l’élément intentionnel. L’insuffisance professionnelle suppose une incapacité à accomplir correctement ses fonctions, indépendamment de la volonté du salarié. La faute disciplinaire implique un manquement volontaire aux obligations contractuelles ou réglementaires.
La cour relève que le salarié connaissait parfaitement les règles applicables. Les règles de bonnes pratiques lui avaient été communiquées le 30 mars 2010 contre signature. Le règlement intérieur lui avait été remis en main propre le 21 janvier 2021. Plusieurs messages de sensibilisation avaient été diffusés entre décembre 2020 et mars 2021. Le salarié ne pouvait donc ignorer les interdictions qui pesaient sur lui.
La cour affirme que « son imprudence et la désinvolture dont il a fait preuve ne résultent pas d’un manque de compétence dans l’exécution de ses fonctions mais revêtent bien un caractère fautif ». Cette formulation est éclairante. La cour distingue clairement le défaut de compétence, qui relève de l’insuffisance, et le défaut de diligence, qui relève de la faute. Le technicien savait ce qu’il devait faire et ne pas faire. Il a choisi de transgresser les règles pour rendre service à un tiers étranger à l’entreprise.
Cette solution s’inscrit dans une jurisprudence constante. La Cour de cassation considère que le salarié qui viole sciemment une règle connue commet une faute disciplinaire, même si cette violation peut être qualifiée de négligence au sens commun du terme. La conscience de la règle transforme la négligence en faute.
B. L’importance de la fonction exercée dans l’appréciation de la faute
La cour accorde une importance décisive à la fonction du salarié. Elle relève que celui-ci était « chargé d’assurer la maintenance des matériels et applications informatiques installés sur le site ». Elle rappelle également que « M. [G] est un des garants de la sécurité informatique des postes de travail et du réseau informatique du site ».
Cette référence à la fonction n’est pas anodine. En droit du travail, la gravité de la faute s’apprécie notamment au regard des responsabilités du salarié. Un même comportement peut constituer une faute légère pour un salarié ordinaire et une faute grave pour un salarié investi de responsabilités particulières.
Le salarié contestait cette analyse. Il faisait valoir que sa fiche de poste ne lui assignait « aucune mission en matière de sécurité informatique ». Il soutenait que la fonction de helpdesk était assurée à tour de rôle et qu’il n’était pas cadre. Ces arguments n’ont pas convaincu la cour.
La définition de fonction produite aux débats mentionnait expressément le respect des règles de sécurité. Le salarié était donc bien tenu de veiller à la sécurité informatique, même s’il n’était pas le seul à exercer cette mission. La cour refuse de dissocier la fonction de maintenance informatique de la fonction de sécurité informatique. Un technicien informatique qui télécharge des logiciels non autorisés et connecte des supports externes au réseau ne manque pas seulement à une obligation accessoire. Il compromet l’essence même de sa mission.
Cette analyse est cohérente avec l’évolution des enjeux de cybersécurité. Les tribunaux sont de plus en plus sensibles aux risques informatiques. Le salarié chargé de la maintenance informatique est nécessairement un acteur de la sécurité du système, qu’il le veuille ou non.
II. La caractérisation de la faute grave malgré les circonstances atténuantes
A. L’indifférence de l’absence de préjudice avéré
Le salarié invoquait l’absence de conséquences préjudiciables pour l’entreprise. L’antivirus avait identifié et supprimé les fichiers infectés. Le réseau n’avait subi aucun dommage. Cette circonstance aurait dû, selon lui, exclure la qualification de faute grave.
La cour écarte cet argument sans même le discuter. Elle se concentre sur « les risques que ses agissements fautifs faisaient courir à la société », non sur les conséquences effectives de ces agissements. Cette approche mérite attention.
En matière disciplinaire, la faute grave est traditionnellement définie comme celle qui rend impossible le maintien du salarié dans l’entreprise. Cette impossibilité s’apprécie en fonction de la nature du manquement, non de ses conséquences. Un salarié qui vole dans la caisse commet une faute grave, même si la somme dérobée est dérisoire. Un salarié qui met en danger la sécurité d’autrui commet une faute grave, même si personne n’est blessé.
La même logique s’applique en matière informatique. Le téléchargement d’un logiciel depuis un site suspect et la connexion d’un support externe au réseau créent un risque majeur de contamination. Ce risque existait au moment des faits. Il s’est d’ailleurs partiellement réalisé puisque trente-huit fichiers infectés ont été détectés. Seule l’efficacité de l’antivirus a évité des conséquences plus graves.
La cour juge donc que le risque suffit à caractériser la faute grave. Cette solution est sévère mais cohérente. En matière de sécurité informatique, les conséquences d’une négligence peuvent être catastrophiques et irréversibles. Attendre qu’un préjudice se réalise pour sanctionner serait déraisonnable. La prévention impose de sanctionner le comportement à risque indépendamment de ses suites.
B. Le dépassement des circonstances personnelles du salarié
Le salarié invoquait trois circonstances atténuantes. Il avait trente ans d’ancienneté sans aucune sanction. Il avait présenté ses excuses lors de l’entretien préalable. Il n’avait agi que pour rendre service à une connaissance.
La cour mentionne expressément ces éléments. Elle reconnaît que le salarié « avait plus de trente ans d’ancienneté, n’avait jamais fait l’objet de sanctions et a présenté ses excuses lors de l’entretien préalable ». Elle les écarte néanmoins au profit de deux critères déterminants : « la nature des fonctions exercées par le salarié » et « les risques que ses agissements fautifs faisaient courir à la société ».
Cette mise en balance est instructive. La cour ne nie pas la pertinence des circonstances atténuantes. Elle considère simplement qu’elles sont insuffisantes face à la gravité objective du manquement. L’ancienneté impose des devoirs autant qu’elle confère des droits. Un salarié expérimenté ne peut se prévaloir de son ignorance. Il doit au contraire donner l’exemple.
La cour qualifie le comportement du salarié de « désinvolture ». Ce terme est révélateur. Il suggère que le salarié a agi avec légèreté, sans mesurer les conséquences de ses actes. Cette légèreté est d’autant plus fautive qu’elle émane d’un professionnel averti. Un technicien informatique ne peut ignorer les dangers du téléchargement de logiciels depuis des sites non sécurisés. Il ne peut davantage ignorer l’interdiction de connecter des supports personnels au réseau de l’entreprise.
Le motif invoqué pour justifier ces agissements aggrave la situation. Le salarié n’a pas agi dans l’intérêt de l’entreprise mais pour rendre service à un tiers. Il a utilisé les ressources informatiques de son employeur à des fins étrangères à son activité professionnelle. Ce détournement d’usage constitue en lui-même une faute, indépendamment des risques de contamination virale.
La solution retenue par la cour d’appel de Douai dans cet arrêt du 27 juin 2025 s’inscrit dans un mouvement de responsabilisation accrue des salariés en matière de cybersécurité. Elle rappelle que les règles informatiques ne sont pas de simples recommandations mais des obligations contractuelles dont la violation peut justifier un licenciement pour faute grave. Elle confirme également que l’ancienneté, si elle peut atténuer certaines fautes, ne constitue pas une immunité disciplinaire.