Cour supérieure de justice, 6 juin 2019, n° 0606-44631

Arrêt N° 77/19 – III – TRAV

Exempt – appel en matière de droit du travail.

Audience publique du six juin deux mille dix -neuf.

Numéro 44631 du rôle

Composition: Ria LUTZ, présidente de chambre, Marie- Laure MEYER, premier conseiller, Carole KERSCHEN, conseiller, Isabelle HIPPERT, greffier.

Entre :

A, demeurant à F -(…), appelante aux termes d’un exploit de l’huissier de justice suppléant Tessy SIEDLER, en remplacement de l’huissier de justice Gilles HOFFMANN de Luxembourg, du 17 mars 2017, comparant par Maître Réguia AMIALI , avocat à la Cour à Luxembourg,

et :

la société anonyme S1 (EUROPE) S.A., établie et ayant son siège social à L-(…), représentée par son conseil d’administration actuellement en fonctions,

intimée aux fins du susdit exploit SIEDLER ,

comparant par l’étude ALLEN & OVERY, société en commandite simple, inscrite à la liste V du tableau de l’Ordre des avocats du barreau de Luxembourg, établie et ayant son siège à L-1855 Luxembourg, 33, avenue J-F Kennedy, représentée pour les besoins de la présente par Maître Gilles DALL’AGNOL, avocat à la Cour,

2 LA COUR D'APPEL:

Vu l’ordonnance de clôture de l’instruction du 12 février 2019.

Ouï le magistrat de la mise en état en son rapport oral à l’audience.

Par requête déposée au greffe de la justice de paix de Luxembourg en date du 1 er

février 2016, A a fait convoquer, devant le tribunal du travail de Luxembourg, son ancien employeur, la société anonyme S1 (EUROPE) (ci-après la société S1 ) afin de voir dire abusif son licenciement avec préavis intervenu le 29 octobre 2015 et se voir indemniser pour le montant total de 455.822,10 euros, ventilé comme suit :

• préjudice matériel : 273.493,26 euros (correspondant à 18 mois de salaires)

• préjudice moral : 182.328,84 euros (correspondant à 12 mois de salaires)

La demande tend également au paiement d’une indemnité de procédure de 5.000 euros et au prononcé de l’exécution provisoire du jugement.

À l’appui de sa demande, A fit valoir qu’elle avait été engagée par la société S1 en qualité de « Chief Operating Officer », suivant contrat de travail du 12 mai 2015, qui a officiellement commencé le 6 juillet 2015, après son approbation par la CSSF (Commission de surveillance du secteur financier).

Par lettre recommandée du 29 octobre 2015, la société S1 a licencié A moyennant le préavis légal de deux mois, se terminant le 31 décembre 2015, assorti de la dispense de travailler.

Les motifs du licenciement, communiqués suite à sa demande du 4 novembre 2015, par courrier recommandé du 26 novembre 2015, ont trait à la violation des procédures internes, notamment les directives « application du secret bancaire et gestion des accès à l’information » et « Security Directive -Information classification », par l’envoi d’informations secrètes ou à tout le moins confidentielles à un consultant externe, à savoir la société S2 SA, avec lequel elle devait travailler partiellement à la mise en place d’un projet appelé « Common Reporting Standards » (Projet CRS). Les informations transmises dépassant celles demandées par le consultant, dont la demande excédait déjà ce qui était nécessaire pour l’accomplissement de sa mission. Ces informations contenaient non seulement des indications relatives aux clients, mais aussi le nom du gérant et le nom de l’apporteur, sans lien avec la mission du consultant, et avaient été envoyées sans aucun moyen de cryptage ni mot de passe.

3 Cet envoi est encore considéré comme pouvant exposer la banque aux sanctions prévues par la loi du 2 août 2002 relative à la protection des données à caractère personnel.

En agissant de la sorte, A a violé les standards de sécurité liés à sa fonction de « Chief Operating Officer », rappelés de manière explicite dans son profil de poste.

Ayant manqué à ses obligations les plus élémentaires, la société S1 a perdu toute confiance en sa salariée et elle n’a eu d’autre choix que de procéder au licenciement de A.

A contesta ces motifs par courrier recommandé de son avocat du 9 décembre 2015.

Elle critiqua la précision des motifs et leur caractère réel et sérieux.

À l’audience du 9 janvier 2017, A actualisa son décompte en chiffrant son préjudice matériel à la somme de 74.495,38 euros et elle augmenta son préjudice moral à la somme de 197.328,84 euros.

La société S1 conclut principalement au débouté de la demande de A et contesta, subsidiairement, les revendications financières. Elle rectifia le salaire mensuel brut de A à la somme de 14.230,76 euros (185.000/13) et requit une indemnité de procédure de 5.000 euros.

Par jugement du 6 février 2017, le tribunal du travail a ;

– reçu la demande ; – dit que le licenciement du 29 octobre 2015 est régulier, – dit la demande de A non fondée, – débouté les deux parties de leurs demandes respectives d’indemnité de procédure, – condamné A aux frais et dépens de l’instance.

Pour statuer comme il l’a fait, le tribunal du travail a, après avoir rappelé les dispositions légales et la jurisprudence en matière de précision des motifs, retenu que les reproches indiqués dans la lettre de motivation satisfont à ces exigences.

Pour la réalité des faits, les juges du premier degré ont procédé à une analyse poussée et exhaustive des mails échangés entre A et B, employé auprès du consultant, par rapport à la demande de production de pièces de ce dernier, durant la période du 16 au 26 octobre 2015, pour conclure que le principe même de l’envoi des données au consultant externe, résulte de l’« engagement letter » signée le 13 octobre 2015 entre la société S1 et le consultant externe, que la phase 1 se déroulant entre octobre et décembre 2015 comportait déjà une analyse de volume (« private

4 individual/legal entity, account value, « number of funds and associated numer of lines in the registers ») en vue de définir les ressources nécessaires pour la phase 2. La communication de données concernant des comptes existants était dès lors nécessaire dès la phase 1 du contrat.

Le tribunal du travail a constaté que les données transférées excédaient le besoin strict de la mission, mais que cela n’importait pas au vu de la relation de confiance nécessaire avec le consultant, qui est soumise aux règles de confidentialité (cf. General Terms and Conditions, S2 , n° 16.3).

Comme les informations transférées sont à qualifier d’informations confidentielles, un cryptage est prescrit (Security Directive- Information Classification, pages 4 et 5 et Directive-Application du secret bancaire et gestion des accès à l’information, no 3.5).

Le tribunal du travail a retenu que A n’a pas rapporté la preuve d’avoir procédé au cryptage avant envoie de ces informations, de sorte que les procédures ont été violées par A, qui, en sa qualité de « Chief Operating Officer » et au vu de la description de son poste, devait « garantir les objectifs maximums de surveillance des risques inhérents à la sécurité de l’information » (point 6 de la description de poste).

La légèreté avec laquelle A a transféré sans cryptage des données confidentielles et sensibles, a fait conclure le tribunal du travail à la régularité du licenciement.

Par acte d’huissier du 17 mars 2017, A a régulièrement interjeté appel contre ce jugement du 6 février 2017, lui notifié le 10 février 2017.

Elle demande, par réformation, de ;

– dire que le licenciement est irrégulier ; – condamner l’employeur au paiement de dommages-intérêts à hauteur de 271.824,22 euros, avec les intérêts légaux, se ventilant comme suit, suivant décompte (non joint à l’acte d’appel)

* 74.495,38 euros à titre de préjudice matériel * 197.328,84 euros à titre de préjudice moral.

Elle requit encore une indemnité de procédure de chaque fois 5.000 euros pour les deux instances, sur base de l’article 240 du nouveau code de procédure civile.

A reproche aux juges de première instance d’avoir estimé le cryptage requis pour la transmission de données anonymisées. Elle conteste avoir transmis l’ensemble des

5 fichiers clients de la banque S1 au consultant externe, consultant qui était soumis « au secret professionnel des avocats ».

Elle soulève encore la non-pertinence tant du constat d’huissier versé par la partie intimée à titre de preuve quant aux reproches formulés à son encontre, que de l’attestation testimoniale de T1 .

La société S1 se rapporte à la sagesse de la Cour quant à la recevabilité de l’acte d’appel et demande, à titre principal, la confirmation du jugement entrepris, sinon, à titre subsidiaire, elle conteste le principe et le quantum des préjudices matériel et moral et de l’indemnité de procédure réclamés. Elle requiert une indemnité de procédure de chaque fois 5.000 euros pour chacune des deux instances.

La société S1 insiste sur les faits à l’origine du congédiement de A et notamment de la mise en place du projet appelé « Common Reporting Standard », sur lequel cette dernière travaillait ensemble la société « S2 SA » : le contrat avec ce consultant externe se subdivisait en trois phases, la première étant destinée à fixer les procédures pour les nouveaux comptes applicables à partir de janvier 2016, la deuxième phase fixant une procédure pour les comptes existants et la troisième phase le « reporting » aux autorités fiscales.

Les deux dernières phases ne devant débuter qu’en mars 2016 et courant 2017.

En octobre 2015, la mission était limitée à la phase 1, ne justifiant aucune transmission de l’ensemble des fichiers clients existants auprès de la société S1 . Il était déjà surprenant que l’interlocuteur de A auprès du consultant, B , lui demande, par mail du 16 octobre 2015, de nombreuses informations confidentielles, aussi bien pour l’activité de banque privée que l’activité de banque dépositaire, les deux activités exercées par la société S1. Il était encore plus surprenant que A décide de faire parvenir à B et à deux de ses collègues, les fichiers et informations demandées, mais également des données encore plus détaillées, par mails des 19 et 26 octobre 2015.

La société S1 estime avoir été en droit d’attendre d’un « Chief Operating Manager » de respecter avec la plus grande rigueur l’ensemble des procédures internes, surtout celles ayant trait à la sécurité et à la transmission d’informations, pour ne pas l’exposer à de nombreux risques, incompatibles avec l’exercice du métier de banquier.

La violation de ces règles est d’une particulière gravité pour une personne du niveau de responsabilité de A , après une ancienneté de seulement quatre mois.

Par conclusions déposées au greffe de la Cour en date du 10 octobre 2017, A conteste finalement la précision des motifs, dans la partie motivation, sans en tirer

6 de conséquences dans le dispositif, où elle conclut expressément « Quant au fond, statuer conformément au dispositif de l’acte d’appel du 17 mars 2017 ».

Elle appuie sa version des faits, selon laquelle l’employeur ne rapporte pas la preuve des reproches invoqués à son encontre et qu’il reconnaîtrait que seuls des documents anonymisés ont été continués à un « mandataire » de la société S1, dans un cadre contractuel et légal.

Quant au caractère abusif de son licenciement, A fait valoir, pour la première fois, que la société S1 a voulu se débarrasser d’elle, suite à une inspection de la CSSF en septembre 2015 qui aurait conclu à une notation « désastreuse » de la branche banque de dépôt, dont elle était la seule responsable. La société S1 se serait hâtée de vendre cette structure.

Appréciation de la Cour A n’ayant plus contesté la précision des motifs à la base de son licenciement, ni dans l’acte d’appel, ni dans aucun dispositif des conclusions qu’elle a fait déposer à la Cour, la Cour se limitera à analyser le caractère réel et sérieux desdits motifs. Il est constant en cause que A a été licenciée avec préavis, assorti de la dispense de travail, par courrier recommandé du 29 octobre 2015 de la société S1 . Les motifs de ce licenciement lui ont été communiqués par courrier recommandé du 26 novembre. Ils peuvent se résumer comme suit : Après un rappel du profil de poste de A , l’employeur affirme avoir eu connaissance, le 26 octobre 2015, de la violation grave par A des procédures internes, dans le cadre de la mise en place du projet appelé CRS (Common Reporting Standards) avec la société S2 SA. Son interlocuteur auprès de cette société tierce aurait été B , par ailleurs un de ses anciens collaborateurs auprès d’un employeur précédent. Le contrat avec le consultant externe était subdivisé en trois phases, la première étant destinée à fixer les procédures pour les nouveaux comptes. À ce stade, rien ne justifiait la transmission de l’ensemble des fichiers clients de la banque S1 . Pourtant, par email du 16 octobre 2015, B a demandé à A de lui faire parvenir les numéros de compte client, le type de compte client, le titulaire du compte (avec noms anonymisés), le pays de résidence du titulaire, le pays de la résidence fiscale du titulaire, l’existence de retenue du courrier (hold mail), le mandat sur compte, le pays de résidence du gérant du compte, le pays de résidence fiscale du gérant du compte, le solde du compte, la devise du compte et le solde du compte en USD. Cette demande excédait le cadre de la mission confiée au consultant externe.

7 Nonobstant cela, A a envoyé le 19 octobre 2015 à B , C et D le fichier « Liste fonds- CRS S1E.XLSX » contenant le nom des fonds, le nom des sous-fonds, la classe des fonds, la devise des parts et le statut (actif ou inactif) du fonds. Ce fichier contenait au total 1948 lignes.

Par un mail du 19 octobre 2015 à T1 , employée au Secrétariat Clientèle de la banque S1, A a demandé d’établir un fichier avec l’ensemble des comptes actifs de clients privés de la banque. T1 a émis des réserves quant à la pertinence à fournir toutes ces informations à un consultant externe, allant jusqu’à refuser de faire le travail demandé. En tant que supérieure hiérarchique de T1 , A lui a ordonné d’établir les listes demandées. Le 19 octobre à 17.35 heures, A a envoyé à B , à C et D, un email contenant les trois fichiers suivants : * 203 ALL Accounts Alive 20151019 SOI.xls * 211 ALL Accounts Alive 20151019.SOI.xls * Liste fonds-CRS S1 E :XLSX (déjà envoyé le 16 octobre 2015). Les deux premiers fichiers contenaient notamment le numéro de société, les numéros de comptes client, la date d’ouverture de compte, la nature (numérique ou nominatif), le type (personnes physiques, personnes morales ou employés de la banque), forme juridique, code gérant, nom du gérant, code apporteur, nom de l’apporteur, code mail destination client, type de gestion, domicile du titulaire (pays), nationalité du titulaire (pays), domicile du bénéficiaire économique (pays), nationalité du bénéficiaire économique (pays) et le montant des avoirs en compte au 16.10.2015.

Par mail du 26 octobre 2015, A a demandé à T1 et E un fichier Excel « consolidé » reprenant également pour les fonds le même type d’information mentionné ci- dessus pour les clients de la banque privée. T1 a envoyé ce fichier à A à 10.34 heures, qui l’a continué à 10.40 heures à B. Toutes ces informations ont été envoyées sans aucun moyen de cryptage ou de mot de passe.

En agissant ainsi, A a violé de façon manifeste et délibérée, en particulier la « Directive-Application du secret bancaire et gestion des accès à l’information », entrée en vigueur le 13 octobre 2008 et la « Security Directive-Information Classification », entrée en vigueur en juillet 2013.

A a encore violé les standards auxquels un « Chief Operations Officer » est mesuré, standards se trouvant rappelés dans son profil de poste. Ce constat serait encore plus flagrant pour une banque d’origine suisse, dont la réputation et le fonds de commerce sont basés sur la discrétion.

La banque S1 rajoute que cet envoi a finalement violé la loi du 2 août 2002 relative à la protection des personnes à l’égard du traitement des données à caractère personnel, qui expose la banque à un risque de sanction.

8 La société S1 conclut au manquement grave de A à ses obligations les plus élémentaires, de sorte qu’elle ne peut plus lui faire confiance.

Comme en première instance, A critique la réalité des motifs ainsi indiqués.

La Cour se réfère à la motivation longue, précise et judicieuse du tribunal du travail quant à la réalité des motifs gisant à la base du licenciement prononcé le 29 octobre 2015 à l’égard de A , pour la faire sienne.

Il ressort en effet des pièces versées en cause que suite à la réception du premier mail envoyé par B de la société S2 SA le vendredi 16 octobre 2015 à 12.21 heures, A demande, par mail du 16 octobre 2015 à 14.23 heures, à six de ses collègues (F, G, H, I, J et K) de préparer les documents requis « pour mardi ».

Par mail du lundi 19 octobre à 11.39 heures, A envoie les documents demandés à B, en précisant « Il manque encore les points en vert, je te les envois au plus vite ». Elle met D et C en copie.

Vendredi 23 octobre 2015 à 15.04 heures, B demande par mail à A l’obtention des mêmes informations des codes 203 et 211 pour les comptes ouverts au nom des fonds. Il indique en avoir fait la demande directement à T1 , qui lui a demandé de passer par A pour autorisation.

A lui réplique le lundi 26 octobre 2015 à 10.19 heures en ces termes : « OK pour moi ». T1 expédie ladite liste à A le 26 octobre 2015 à 10.34, qui la continue à 10.40 heures à B .

En date du 26 octobre 2015, vers 11.30 heures, A continue ces mails à son supérieur Bruno Carboni.

La réalité de l’envoi desdits mails avec leurs pièces jointes est finalement confirmée par le procès-verbal de constat dressé par l’huissier de justice suppléant Luc Konsbruck de Luxembourg en date du 12 mai 2016.

Les mails en cause des 19 et 26 octobre 2015 se trouvent annexés audit constat, pour en faire partie intégrante. Les fichiers joints aux mails ont été examinés par l’huissier de justice, qui certifie que les versions papier originales et les versions noircies correspondent et que la version noircie a été remise à l’avocat de la société S1.

L’huissier a encore constaté que les fichiers « 203ALL, 211ALL et 212ALL contiennent les informations suivantes : n° de société, n° client, date d’ouverture du compte, nature du compte, type de compte, forme juridique du client, n° du gérant

9 interne, nom du gérant interne, n° de l’apporteur, nom de l’apporteur, code envoi de la correspondance, type de gestion, domicile du titulaire du compte, nationalité du titulaire du compte, domicile de l’ayant droit économique, nationalité de l’ayant droit économique, montant des avoirs en compte et date des montants des avoirs en compte ».

Au vu de tout ce qui précède et indépendamment de savoir si la communication de ces fichiers était nécessaire dès la phase 1 de l’exécution du contrat entre la société S1 et le consultant externe S2 SA, il est établi que les fichiers transférés contiennent des informations hautement confidentielles.

La Cour constate que la société S1 a toutefois mis en place des procédures quant aux informations confidentielles. En apposant sa signature sous le contrat de travail du 12 mai 2015, A a expressément reconnu la disposition reprise au point « 15 » dudit contrat de travail, à savoir « la salariée s’engage à se conformer à la législation en vigueur là où elle sera appelée à remplir les obligations lui incombant au titre du présent contrat de travail. La salariée s’engage à respecter les Procédures et Directives en vigueur (…)».

Dans le « profil de poste » signé par A en date du 22 septembre 2015, il est précisé en page une qu’elle « supervise les activités des départements et services (…) Informatique (…) Sécurité ». En page deux, il est énoncé qu’elle est responsable de la « coordination de la fonction de Security Off ice, en garantissant les objectifs maximums de surveillance des risques inhérents à la sécurité de l’information » et qu’elle doit avoir « une parfaite connaissance des spécificités informatiques applicables aux activités des fonds d’investissement et de la banque privée ». Elle doit finalement « se tenir informée des pratiques de marché et tendances business et techniques, des nouvelles technologies et des développements spécifiques, tant au niveau du Groupe qu’au niveau local ».

A avait donc connaissance et a même expressément accepté le respect des obligations reprises d’une part dans la « Directive-Application du secret bancaire et gestion des accès à l’information » qui traite en son point « 3.5 » de l’accès aux emails. On peut y lire que « les emails contenant des informations confidentielles et sortants de la Banque sont à proscrire en raison de l’absence de confidentialité liée aux échanges par Internet (…) Les employés qui doivent échanger des données pouvant porter atteinte au secret bancaire, s’organisent avec la Sécurité pour l’installation de solution de chiffrement ». Le point « 3.8 » indique que « chaque collaborateur veillera à ne pas entraîner des risques inconsidérés faisant courir un risque de réputation à la Banque ».

Des obligations sont d’autre part contenues dans la « Security Directive- Information Classification ».

10 En envoyant, sans aucun moyen de cryptage, ni même sans aucun mot de passe, des données très confidentielles vers l’extérieur de la société S1, A a non seulement violé les procédures mises en place par son employeur, mais elle a ébranlé la confiance nécessaire de ce dernier, notamment eu égard au poste à responsabilité qu’elle occupait et à sa faible ancienneté au sein de la société S1. Elle a en effet été engagée par contrat du 12 mai 2015, ayant pris effet le 6 juillet 2015, a près son agrément auprès de la CSSF. Par application du point « 5 », alinéa deux du contrat de travail, elle se trouvait partant en période d’essai, qui ne se terminait que quatre mois après l’entrée en vigueur du contrat.

Il s’ensuit que tant la réalité que le sérieux des motifs sont rapportés et que le licenciement du 29 octobre 2015 est justifié. Le jugement a quo est dès lors à confirmer en ce qu’il a déclaré non fondées les demandes en indemnisation de A .

Les indemnités de procédure Chaque partie requiert une indemnité de procédure à hauteur de 5.000 euros pour chacune des deux instances, sur base de l’article 240 du nouveau code de procédure civile. La Cour relève que la partie qui succombe dans son action ne peut se prévaloir des dispositions de l’article 240 du nouveau code de procédure civile, de sorte qu’il n’y a pas lieu d’allouer une indemnité de procédure à A , ni pour la première instance, ni pour l’instance d’appel. Au vu de l’issue du litige, la demande de la société S1 est fondée pour la somme de 1.000 euros. PAR CES MOTIFS : la Cour d’appel, troisième chambre, siégeant en matière de droit du travail, statuant contradictoirement, sur le rapport oral du magistrat de la mise en état, déclare l’appel recevable;

le dit non fondé, confirme le jugement,

rejette les demandes A sur base de l’article 240 du nouveau code de procédure civile,

dit recevable et fondée la demande de la société anonyme S1 (EUROPE) sur base de l’article 240 du nouveau code de procédure civile à concurrence de 1.000 euros,

partant, condamne A à payer à la société anonyme S1 (EUROPE) la somme de 1.000 euros sur base de l’article 240 du nouveau code de procédure civile,

condamne A aux frais et dépens de l’instance, avec distraction au profit de la société en commandite simple Allen & Overy, représentée par Maître Gilles Dall’Agnol, avocat à la Cour, demeurant à Luxembourg, affirmant en avoir fait l’avance.

La lecture du présent arrêt a été faite en la susdite audience publique par Madame la présidente de chambre Ria LUTZ, en présence du greffier Isabelle HIPPERT.