Sécurité des Systèmes : 5 juin 2013 Cour d’appel de Paris RG n° 11/08746

·

·

Sécurité des Systèmes : 5 juin 2013 Cour d’appel de Paris RG n° 11/08746
Ce point juridique est utile ?

RÉPUBLIQUE FRANÇAISE

AU NOM DU PEUPLE FRANÇAIS

COUR D’APPEL DE PARIS

Pôle 6 – Chambre 9

ARRÊT DU 05 Juin 2013

(n° , 7 pages)

Numéro d’inscription au répertoire général : S 11/08746

Décision déférée à la cour : jugement rendu le 08 Novembre 2010 par le conseil de prud’hommes de PARIS – section encadrement – RG n° 09:13041

APPELANT

Monsieur [K] [R]

[Adresse 1]

[Localité 2]

représenté par Me Denis DUPONCHEL, avocat au barreau de PARIS, J111

INTIMÉE

SOCIÉTÉ CEREP

[Adresse 2]

[Localité 1]

représentée par Me Pierre BREGOU, avocat au barreau de PARIS, P0093 substitué par Me Caroline VOLLOT-BRUNEAU, avocate au barreau de PARIS

COMPOSITION DE LA COUR :

En application des dispositions de l’article 945-1 du code de procédure civile, l’affaire a été débattue le 15 Avril 2013, en audience publique, les parties ne s’y étant pas opposées, devant Madame Christine ROSTAND, présidente, chargée d’instruire l’affaire.

Ce magistrat a rendu compte des plaidoiries dans le délibéré de la cour, composée de :

Madame Christine ROSTAND, présidente

Monsieur Benoît HOLLEAUX, conseiller

Monsieur Jacques BOUDY, conseiller

GREFFIÈRE : Madame Corinne de SAINTE MARÉVILLE, lors des débats

ARRÊT :

– contradictoire

– prononcé par mise à disposition au greffe de la cour, les parties en ayant été préalablement avisées dans les conditions prévues au deuxième alinéa de l’article 450 du code de procédure civile.

– signé par Madame Christine ROSTAND, présidente et par Madame Corinne de SAINTE MARÉVILLE, greffière à laquelle la minute de la décision a été remise par le magistrat signataire.

M. [K] [R] a été engagé à compter du 10 avril 2007, par la SA Cerep, en qualité de directeur des systèmes d’information groupe, niveau 9, échelon B, de la convention collective de l’industrie pharmaceutique, moyennant une rémunération brute annuelle de 90 000 € à laquelle s’ajoutait une prime sur objectif égale à 20 % de sa rémunération brute annuelle.

Suivant avenant du 19 décembre 2007, la rémunération brute mensuelle a été modifiée et fixée à compter du 1er janvier 2008 à 7125 €, soit 85 500 € par an, avec une prime d’expatriation pour tout déplacement en dehors du territoire français de 350 € par jour en Europe et de 500 € par jour pour un déplacement sur tout autre continent, ces primes étant évaluées à 4500 € par an. Il a été convenu que si ce plafond annuel n’était pas atteint, la différence entre ledit plafond et le montant effectivement perçu au titre de la prime d’expatriation au cours de l’exercice civil concerné serait versé sous forme de prime exceptionnelle.

Suivant avenant du 1er mars 2008, la rémunération brute mensuelle a été portée à compter du 1er février 2008 à 7 350 €, soit 88 200 € par an, les autres dispositions contractuelles demeurant inchangées.

En dernier état, la rémunération mensuelle moyenne de M. [R] s’élevait à 9 327,01 euros.

Par courrier recommandé du 23 juillet 2009 avec avis de réception, M. [K] [R] était convoqué à un entretien préalable à une éventuelle mesure de licenciement, fixé au 4 août 2009. Il a été licencié par lettre recommandée du 7 août 2009.

Contestant son licenciement, M. [K] [R] a saisi le conseil de prud’hommes de Paris, qui par jugement du 8 novembre 2010, a condamné la société Cerep à lui verser les sommes suivantes :

– 1 000 € à titre de prime sur objectifs 2007

– 5 141,95 € à titre de rappel de prime sur objectifs 2008

– 16 250,80 € à titre de prime sur objectifs 2009

– 2 239,28 € à titre de rappel de congés payés afférents

ces sommes avec intérêts au taux légal à compter de la date de réception par la partie défenderesse de la convocation devant le bureau de conciliation ;

l’a débouté de sa demande d’indemnité pour licenciement sans cause réelle et sérieuse, a condamné la société Cerep aux dépens et à lui verser la somme de 500 € au titre de l’article 700 du code de procédure civile.

Par déclaration faite au greffe le 4 août 2011, M. [K] [R] a interjeté appel de ce jugement.

À l’audience du 15 avril 2013, développant oralement ses conclusions visées par le greffier, M. [K] [R] demande à la cour de confirmer le jugement entrepris en ce qu’il a condamné la société Cerep à lui verser la somme de 22 392,80 euros à titre de rappel de salaire, outre la somme correspondant aux congés payés afférents, de l’infirmer en ce qu’il a dit que son licenciement reposait sur une cause réelle et sérieuse et de condamner la société Cerep à lui verser la somme de 167 652 € à titre de dommages-intérêts ainsi que la somme de 5 000 € par application de l’article 700 du code de procédure civile.

La société Cerep, reprenant oralement ses conclusions visées par le greffier, demande à la cour de confirmer le jugement en ce qu’il a débouté M. [K] [R] de sa demande de requalification du licenciement et des demandes afférentes, de le condamner à lui verser la somme de 1 000 € au titre de l’article 700 du code de procédure civile ainsi qu’aux dépens, subsidiairement, de rapporter l’indemnité de licenciement sans cause réelle et sérieuse au minimum légal, soit 55 887,72 euros.

Pour plus ample exposé de la procédure et des prétentions des parties, la cour se réfère à leurs conclusions visées par le greffier, développées lors de l’audience des débats.

MOTIFS

Le jugement sera confirmé sur les condamnations prononcées à l’encontre de la société Cerep au titre des rappels de salaire et de congés payés afférents, lesquelles ne sont pas contestées en cause d’appel.

Sur le licenciement, il y a lieu de rappeler que selon l’article L.1235-1 du code du travail, en cas de litige relatif au licenciement, le juge, à qui il appartient d’apprécier la régularité de la procédure et le caractère réel et sérieux des motifs invoqués par l’employeur, forme sa conviction au vu des éléments fournis par les parties, au besoin après toutes mesures d’instruction qu’il estime utiles ; si un doute subsiste, il profite au salarié.

Ainsi l’administration de la preuve en ce qui concerne le caractère réel et sérieux des motifs du licenciement n’incombe pas spécialement à l’une ou l’autre des parties, l’employeur devant toutefois fonder le licenciement sur des faits précis et matériellement vérifiables.

La lettre de licenciement qui fixe les limites du litige est ainsi rédigée :

« Vous étiez, en particulier, chargé de la sécurité des systèmes d’information tant en France qu’à l’étranger et vous deviez tout naturellement veiller à éviter toute intrusion externe dans les systèmes de notre groupe, évoluant, comme vous le savez dans le secteur extrêmement concurrentiel de la recherche et de l’industrie pharmaceutique.

Comme il se doit, vous deviez nous rendre compte spontanément et sans délai de tout incident majeur.

Or force a été de constater que vous n’avez pas respecté vos engagements.

Il est apparu, en effet, que notre filiale américaine Cerep INC a fait l’objet d’une intrusion extérieure sur le serveur qui a été découvert en juin 2009, intrusion rendue possible par un manque évident de sécurisation du système même basique.

Nous ne sommes pas en mesure, actuellement, de juger des conséquences de cette intrusion pour le Groupe, ni de l’utilisation qui a été faite des données ainsi récoltées de manière illicite.

Nous n’avons eu connaissance de ces faits que par un tiers le 9 juillet dernier (alors même que l’enquête a démontré que vous en avez été informé dès le 21 juin), ce pourquoi nous vous avions immédiatement interrogé, en vous demandant, en particulier, de nous adresser un bilan des actions menées par vos services pour sécuriser le système informatique.

Cette demande de notre part n’a pas semblé prioritaire pour vous malgré la fragilisation évidente du système informatique et des conséquences dommageables possibles.

Il est aussi apparu que les postes informatiques des membres de la direction, tels celui de la directrice juridique et du nôtre en particulier, n’ont pas été sécurisés permettant à de nombreuses personnes d’avoir accès à des informations très confidentielles et critiques, particulièrement s’agissant d’une société cotée.

Ainsi à titre d’exemple, a-t-il été possible à partir des postes de deux assistantes, dont l’une partie en congés, d’accéder, sans notre mot de passe ou celui d’un administrateur réseau, à l’entier contenu de notre poste de travail qui contient des données dont certaines, par sécurité et confidentialité, n’ont pas à être dans les serveurs.

Dans le même ordre d’idées, aucune procédure de sauvegarde externe et cryptée n’a été mise en place pour protéger ces données locales.

Ces faits s’opposent à la poursuite de l’exécution de votre contrat de travail et nous contraignent à vous licencier ».

Il résulte des éléments du dossier et des déclarations des parties que :

– le 19 juin 2009, M. [R] était informé par M. [M] [P], manager informatique local de la société Cerep INC, filiale américaine de la SA Cerep et en charge la sécurité informatique sur le site de [Localité 3] (U.S.A), qu’un ancien salarié de la société Cerep INC, M. [N] qui avait occupé les fonctions d’administrateur, s’était connecté frauduleusement à plusieurs comptes de messagerie de salariés de la société Cerep

– le 22 juin 2009, M. [M] [P] assurait M. [R] qu’il vérifiait si M. [N] avait accédé à d’autres serveurs que celui de la messagerie et qu’il avait changé les mots de passe d’accès à ces serveurs

– le 9 juillet 2009, M. [Y] [L], président du conseil d’administration de la société, était informé par Mme [H] [V], salariée de la société Cerep INC, que la messagerie de certains salariés avait été consultée par M. [N] qui avait ainsi révélé des informations auquelles il avait eu accès

– le même jour, M. [Y] [L] demandait par courriel des informations complémentaires sur cet incident à M. [R], alors en congés, en s’interrogeant sur les raisons qui l’avaient motivé à ne pas tenir la direction générale informée de cet événement et en le priant de lui adresser un bilan des actions menées par ses services pour sécuriser le site informatique

– M. [T] répondait aussitôt qu’« après avoir immédiatement pris des informations sur ce sujet auprès de [M] (M. [P]) dès que j’en ai été informé, les éléments tels que formulés dans votre mail ne m’ont pas été rapportés avec une telle gravité »; il ajoutait qu’il avait demandé le jour même de mettre en ‘uvre un certain nombre d’actions et qu’il répondrait plus précisément aux questions posées à son retour de congé ; il assurait son employeur que le chantier du changement des mots de passe avançait mais qu’un certain nombre de problèmes n’avaient pas permis d’avancer aussi rapidement que prévu.

– le 17 juillet 2009, M. [P] adressait par courriel à M. [R] le résultat de l’enquête de police dont il ressortait que M. [N] n’avait commis aucune infraction pénalement réprimée ainsi que les conclusions de l’enquête interne et la liste des actions mises en ‘uvre sur le site de [Localité 3]

– par courriel du 19 juillet 2009, adressé à M. [Y] [L], M. [R] informait celui-ci des résultats de l’enquête menée par l’officier de police à [Localité 3] et lui communiquait la liste des actions en cours sur le sujet et leur statut.

La société Cerep fait valoir que M. [N] lorsqu’il travaillait dans l’entreprise, occupait le poste de technicien administratif système et avait donc accès à tout le réseau informatique, serveurs centraux et serveurs de messagerie inclus ; qu’il a utilisé les noms d’utilisateur d’une vingtaine d’employés de la société, a espionné les échanges internes et externes au sein de l’entreprise sur une période allant du 9 juin 2008 (soit un mois après son départ de la société) au 18 juin 2009, a consulté des informations confidentielles et informé certains salariés avant même la communication officielle par la société, a utilisé les noms d’utilisateur et mot de passe des salariés, lesquels n’avaient pas été modifiés depuis son départ ; que compte tenu de l’importance de cet incident, M. [R] aurait dû le prévenir sans attendre.

La société Cerep considère qu’en sa qualité de directeur des systèmes d’information, M. [R] était chargé de la politique technique en matière de sécurité du système d’information comme le stipule son contrat de travail, qu’il avait donc pour obligation contractuelle notamment de s’assurer qu’aucune intrusion d’un système informatique n’était possible, y compris par d’anciens salariés et qu’il aurait dû s’assurer qu’au départ de M. [N] son compte avait été immédiatement désactivé.

Enfin, elle reproche au salarié de ne pas avoir mis en place une procédure de sauvegarde externe cryptée pour la protection des données locales notamment pour les dossiers internes du poste local du président.

M. [R] soutient que contrairement à ce qu’il est dit dans la lettre de licenciement, le serveur de l’entreprise n’a pas fait l’objet d’une intrusion extérieure mais seulement d’une simple consultation de messageries ; il souligne que les serveurs internes qui contiennent des informations clés sont distincts de celui dédié à la messagerie et que seule une connexion aux messageries de plusieurs salariés a été opérée à partir de l’utilisation du logiciel Outlook Web Access, destiné à permettre à tous les salariés de consulter leurs messages à l’extérieur de l’entreprise sans que cela puisse présenter un quelconque danger pour le serveur de l’entreprise puisqu’à partir de ce serveur Outlook, ils ne peuvent avoir accès aux autres serveurs ni à l’intranet.

Il fait valoir que la consultation des messageries ne constitue pas une défaillance du système de sécurité en tant que tel mais le résultat d’un non-respect des procédures de base par les salariés de la filiale américaine ; que s’agissant seulement de la connexion frauduleuse d’un ancien salarié de la société Cerep grâce à sa connaissance des noms et mots de passe qui n’avaient pas été modifiés, l’intrusion évoquée doit être relativisée, aucun acte de piraterie ne démontrant une quelconque perméabilité du système.

Il ajoute enfin qu’il n’existe aucune preuve montrant qu’il aurait été possible à partir des postes de deux assistantes d’accéder, sans mot de passe d’administrateur réseau, au contenu du poste du président de la société.

Il est constant que le logiciel Outlook joue le rôle d’intermédiaire entre le poste utilisateur connecté à Internet et le serveur de messagerie se situant sur le réseau intranet principal et que la connexion frauduleuse de l’ancien salarié de la société Cerep a été possible grâce à sa connaissance des noms et surtout des mots de passe qui n’avaient pas été modifiés. Ces agissements ne caractérisent pas une intrusion dans le système informatique mais sont la conséquence d’une défaillance dans la protection de l’accès aux messageries des salariés que seul un changement de mot de passe aurait pu garantir d’ une connexion provenant d’ un ancien employé qui par ses fonctions d’administrateur système connaissait les mots de passe de ses anciens collègues.

En effet, il n’est pas démontré que d’autres serveurs que celui utilisé pour la messagerie interne aient fait l’objet d’une intrusion.

Il n’est pas démontré non plus que M. [R] avait pour mission d’assurer les changements de mots de passe du site informatique de l’entreprise aux États-Unis qui, sur place, était sous la responsabilité d’un manager informatique, lequel a d’ailleurs immédiatement rendu compte des évènements au directeur des systèmes d’information et opéré le changement des mots de passse des utilisateurs de la messagerie sur le site.

En cette qualité, il appartenait à l’appelant de conduire une stratégie informatique, c’est-à-dire de déterminer les actions nécessaires pour garantir la sécurité et faire face aux risques, selon les missions énumérées au contrat de travail, consistant notamment à :

– prendre part à la définition et la mise en ‘uvre de la stratégie de Cerep

– construire et soutenir l’alignement du système d’information sur la stratégie d’entreprise

– accompagner les évolutions de l’entreprise au niveau du système d’information

– définir et soutenir la politique technique en matière de sécurité du système d’information.

Dans le cadre des responsabilités qui lui étaient ainsi confiées, il n’est pas établi que M. [R] devait intervenir directement sur le terrain et le fait qu’il ait jugé inopportun d’informer sans délai l’employeur alors que les premières informations recueillies sur l’incident ne laissaient pas penser à une atteinte à la sécurité informatique des données de la société, peut s’analyser comme une conduite prudente dans l’attente de réunir tous les éléments permettant d’apprécier les conséquences de ces connexions abusives.

L’information complète fournie à l’employeur dans le courriel du 19 juillet 2009 après avoir vérifié qu’aucun message n’avait été détruit, que M. [N] n’avait pas tenté d’accéder à la messagerie des membres du comité de direction de la société et qu’il ne s’agissait pas d’actes criminels montre que l’incident n’a pas eu de conséquences dommageables pour l’entreprise. Il apparaît en outre qu’à cette date, toutes les mesures avaient été prises sur le site de [Localité 3] pour assurer la sécurité de la messagerie interne.

Le manque évident de sécurisation du système ne peut être sérieusement reproché à l’appelant alors qu’il avait présenté le 19 mars 2009 l’état des chantiers sécurité à l’employeur en précisant notamment que la révision de la politique de la gestion des mots de passe, lancée en décembre 2008 était en cours mais soulignait que la mise en ‘uvre des chantiers sécurité se heurtait aux ressources limitées en effectif du service informatique et qu’il justifie de ses échanges avec M. [P] sur la prévention des risques avant l’incident ainsi que de l’état d’avancement du projet de changement des mots de passe administratif pour les comptes globaux et les comptes locaux de serveurs au mois d’avril 2009, mené avec le concours d’un consultant externe.

Enfin, le test effectué à partir des postes de deux assistantes sur lequel est fondé le grief du défaut de sécurisation des postes informatiques des membres de la direction ne repose sur aucun élément objectif et matériellement vérifiable. Certes, le niveau insatisfaisant de sécurité générale avait été relevé par le consultant externe Provadys qui a identifié de très nombreuses vulnérabilités sur les serveurs qui composent le système d’information de la société mais ce constat était nécessairement connu de la direction qui avait par ailleurs approuvé le plan d’action sécurité proposé par M. [R] en octobre 2008 qui était en cours de mise en oeuvre . Il est en outre établi que seuls les administrateurs réseaux du service informatique avaient accès aux postes de membres de la direction et connaissance de ce réseau masqué.

Il n’est démontré sur ce point aucune négligence imputable à M. [R].

Il n’est pas plus démontré qu’il n’y avait aucune procédure de sauvegarde externe et cryptée pour protéger les données locales comme énoncé dans la lettre de licenciement, l’appelant n’étant pas utilement contredit quand il affirme avoir mis en place les outils nécessaires à la sécurisation des documents des membres du comité de direction et donc du président de la société.

Le licenciement est en conséquence sans cause rélle et sérieuse.

Aux termes de l’article L.1235-3 du code du travail, si un licenciement intervient pour une cause qui n’est pas réelle et sérieuse et qu’il n’y a pas réintégration du salarié dans l’entreprise, il est octroyé au salarié à la charge de l’employeur une indemnité qui ne peut être inférieure aux salaires des six derniers mois.

A la date du licenciement,M. [R] percevait une rémunération mensuelle brute moyenne de 9 327,01 euros et bénéficiait d’une ancienneté de plus de deux années au sein de l’entreprise. Il n’est pas contesté qu’il n’a pu retrouver d’emploi avant plusieurs mois et a dû solliciter le bénéfice d’allocations de chômage. Il convient d’évaluer à la somme de 65 000 euros le montant de l’indemnité allouée au titre du licenciement sans cause réelle et sérieuse en application de l’article L.1235-3 du code du travail.

Par application de l’article L.1235-4 du code du travail, le remboursement par la société Cerep à Pôle emploi des indemnités de chômage payées à M. [R] à la suite de son licenciement, sera ordonné dans la limite de six mois.

La société Cerep sera condamnée aux dépens et versera à M. [R] la somme de 3 000 € en application des dispositions de l’article 700 du code de procédure civile.

PAR CES MOTIFS

LA COUR,

INFIRME partiellement le jugement ;

Statuant à nouveau,

CONDAMNE la société Cerep à verser à M. [K] [R] la somme de 65 000 € à titre d’indemnité pour licenciement sans cause réelle et sérieuse ;

CONFIRME le jugement déféré pour le surplus ;

Ajoutant,

ORDONNE le remboursement par la société Cerep à Pôle emploi des indemnités de chômage payées à M. [R] à la suite de son licenciement, dans la limite de six mois ;

CONDAMNE la société Cerep à verser à M. [R] la somme de 3 000 € en application des dispositions de l’article 700 du code de procédure civile ;

CONDAMNE la société Cerep aux dépens.

LA GREFFIÈRE LA PRÉSIDENTE

 


0 0 votes
Évaluation de l'article
S’abonner
Notification pour
guest
0 Commentaires
Le plus ancien
Le plus récent Le plus populaire
Commentaires en ligne
Afficher tous les commentaires
Chat Icon
0
Nous aimerions avoir votre avis, veuillez laisser un commentaire.x