RÉPUBLIQUE FRANÇAISE

AU NOM DU PEUPLE FRANÇAIS

COUR D’APPEL DE PARIS

Pôle 6 – Chambre 3

ARRÊT DU 08 Juin 2022

(n° , pages)

Numéro d’inscription au répertoire général : S N° RG 19/05532 – N° Portalis 35L7-V-B7D-B74CH

Décision déférée à la Cour : jugement rendu le 20 Mars 2019 par le Conseil de Prud’hommes – Formation paritaire de PARIS Section Encadrement RG n°

APPELANT

Monsieur [R] [H] [Z]

[Adresse 1]

[Localité 4]

représenté par Me Jean-baptiste FARRE, avocat au barreau de PARIS, toque : E2090

INTIMEE

SA CA INDOSUEZ WEALTH FRANCE

[Adresse 2]

[Localité 3]

N° SIRET : B 5 72 171 635

représentée par Me Julien DUFFOUR de l’AARPI AVOCATION, avocat au barreau de PARIS, toque : P0521

COMPOSITION DE LA COUR :

En application des dispositions de l’article 945-1 du code de procédure civile, l’affaire a été débattue le 19 avril 2022, en audience publique, les parties ne s’y étant pas opposées, devant Mme Anne MENARD, Présidente de chambre, chargée du rapport.

Ce magistrat a rendu compte des plaidoiries dans le délibéré de la Cour, composée de :

Madame Anne MENARD, Présidente de chambre

Madame Fabienne ROUGE, Présidente de chambre

Madame Véronique MARMORAT, Présidente de chambre

Greffier : Mme Juliette JARRY, lors des débats

ARRET :

– Contradictoire

– par mise à disposition au greffe de la cour, les parties en ayant été préalablement avisées dans les conditions prévues au deuxième alinéa de l’article 450 du code de procédure civile.

– Signé par Madame Anne MENARD, présidente de chambre et par Juliette JARRY, Greffière à laquelle la minute de la décision a été remise par le magistrat signataire.

Exposé du litige

Monsieur [H] [Z] a été engagée par la société Crédit Agricole Indosuez Wealth le 10 mars 2008en qualité de développeur au sein de la direction des systèmes d’information.

Il percevait en dernier lieu une rémunération mensuelle de 5.013 euros par mois.

Le 29 avril 2016, il a été mis à pied à titre conservatoire et convoqué à un entretien préalable à un éventuel licenciement.

Il a été licencié le 25 mai 2016 pour avoir mis en place sur son ordinateur professionnel un transfert automatique des messages reçus en direction de son ordinateur personnel.

Il a saisi le conseil de prud’hommes de Paris le 1er décembre 2016 et il a été débouté de ses demandes par jugement du 20 mars 2019.

Il a interjeté appel de cette décision le 23 avril 2019.

Par conclusions récapitulatives du 12 juillet 2019, auxquelles il convient de se reporter en ce qui concerne ses moyens, il demande à la cour d’infirmer le jugement de condamner la société Crédit Agricole Indosuez Wealth France à lui payer les sommes suivantes :

50.000 euros à titre de dommages et intérêts pour licenciement sans cause réelle et sérieuse

10.000 euros à titre de dommages et intérêts pour préjudice moral

5.916,80 euros à titre de rappel de salaire

591,68 euros au titre des congés payés afférents

3.500 euros sur le fondement des dispositions de l’article 700 du code de procédure civile

Par conclusions récapitulatives du 10 octobre 2019, auxquelles il convient de se reporter en ce qui concerne ses moyens, la société Crédit Agricole Indosuez Wealth France demande à la cour de confirmer le jugement, de débouter monsieur [H] [Z] de toutes ses demandes, et de le condamner au paiement d’une somme de 3.000 euros sur le fondement des dispositions de l’article 700 du code de procédure civile.

La Cour se réfère, pour un plus ample exposé des faits, de la procédure, des moyens et des prétentions des parties, à la décision déférée et aux dernières conclusions échangées en appel.

MOTIFS

– Sur la demande de rappel de salaire

Monsieur [H] [Z] fait valoir que par courrier du 11 février 2013, son employeur lui a annoncé une augmentation, mais qu’après l’avoir appliquée durant un mois, il a ensuite à nouveau versé son salaire antérieur, durant trois années.

La société Indosuez expose que monsieur [H] [Z] avait bénéficié d’une augmentation accompagnant un changement de fonctions en novembre 2012, et que c’est par erreur que le courrier dont il se prévaut lui a été envoyé deux mois plus tard ; que la situation a été immédiatement régularisée.

La cour observe que, comme l’indique l’employeur, monsieur [H] [Z] n’a jamais retourné l’avenant d’augmentation signé comme il lui était demandé, et qu’il n’a jamais émis la moindre protestation. Ces deux éléments, auxquels s’ajoute un mail du responsable RH au responsable paie lui demandant de rectifier cette erreur, confirment qu’il s’agit bien d’un courrier envoyé par erreur, qui n’est pas constitutif de droits.

Le jugement sera confirmé en ce qu’il a débouté monsieur [H] [Z] de ce chef de demande.

– Sur le licenciement

Aux termes des dispositions de l’article L 1232-1 du Code du travail, tout licenciement motivé dans les conditions prévues par ce code doit être justifié par une cause réelle et sérieuse ; en vertu des dispositions de l’article L 1235-1 du même code, en cas de litige, le juge, à qui il appartient d’apprécier la régularité de la procédure suivie et le caractère réel et sérieux des motifs invoqués par l’employeur, forme sa conviction au vu des éléments fournis par les parties, après avoir ordonné, au besoin, toutes les mesures d’instruction qu’il estime utiles ; si un doute subsiste, il profite au salarié.

Par application des dispositions de l’article L 1232-6 du Code du travail, la lettre de licenciement, notifiée par lettre recommandée avec avis de réception, comporte l’énoncé du ou des motifs invoqués par l’employeur ; la motivation de cette lettre, précisée le cas échéant dans les conditions prévues par l’article L1235-2 du même code, fixe les limites du litige.

En l’espèce, la lettre de licenciement pour faute réelle et sérieuse a été motivée dans les termes suivants :

‘A la suite de l’alerte générée par le système d’analyse des flux sortants des messageries (DLP’ Data Loss Prévention) le 2 mars 2016, l’examen de la messagerie de votre ordinateur professionnel sur le lieu de travail a mis en évidence un paramétrage automatique de transfert des messages mis en place pour tous les messages reçus sur votre boîte professionnelle, exceptés les messages relatifs à un ticket d’incident informatique (redmine), vers une adresse externe à l’entreprise, dénommée « [Courriel 5] ».

Vous avez mis en place un reroutage sur votre poste de travail et la date initiale de mise en place de ce paramétrage n’a pu être déterminée avec précision.

Les messages en réception sur votre boîte professionnelle qui sont reroutés comprennent notamment des échanges sur la gestion d’incidents informatiques, des informations sur nos clients ou nos tiers, des comptes rendus de réunions d’équipe, des informations relatives à la banque et à son fonctionnement, c’est-à-dire des informations strictement confidentielles protégées par le secret des affaires.

A notamment été identifié le reroutage systématique sur l’adresse « [Courriel 5] », des courriels suivants :

– Courriel de [O] [E] du 30 juillet 2015 à 16:45 intitulé “Tr: [Gestiondes appels ‘ Appels #39115] Relevés MASTERCARD M. [L] XXXXX”(nom de client) retransféré sur la messagerie « [Courriel 5] » le30 juillet 2015 à 16:45.

– Courriel de [O] [E] du 3 décembre 2015 à 16:49 intitulé « PTF à contrôler 11468900270» faisant apparaître des noms et adresses de tiers de la Banque.

– Courriel de [B] [Y] du 10/06/2015 à 11:36 « Remontée dans Agora »indiquant un relevé de compte de client.

– Courriel de [T] [M] du 20/10/2015 à 16:08 intitulé « Re : Lignes bloquées » qui contient des noms de clients et le détail de leur portefeuille.

– Courriel de [C] [F] du 11/09/2015 à 16:59 intitulé « Atelier de Fabrication Vs Licensing » qui contient une présentation avec des informations confi dentielles concernant des entités du Groupe et leur politique achats sur les outils de développement. Retransféré sur la

messagerie « [Courriel 5] » le 11/09/2015 à 16 :59.

– Courriel de [I] [X] du 29/03/2016 à 12:56 intitulé « Compte rendu réunion DSI du 29 mars 2016 » retransféré sur la messagerie «[Courriel 5] » le 29/03/2016 à 12:56.

Vous avez supprimé ce paramétrage automatique, et ce sans avertir votre hiérarchie, le 1 er avril 2016, à la suite du mail de M. [A] [G] envoyé le même jour informant l’ensemble des collaborateurs sur l’utilisation de la solution de prévention de fuite de données DLP et le rappel, entre autres, de ne pas transférer ses mails professionnels sur sa boîte aux lettres privée.

Ces faits génèrent trois constats qui doivent être retenus à votre encontre :

– l’atteinte à la protection des données confidentielles échangées qui sont la propriété de la banque, en ce que ces informations étant divulguées à l’extérieur des systèmes d’information, elles ne bénéficient plus de la protection des systèmes et sont susceptibles à tout moment d’être accessibles à quiconque ;

– l’automaticité de ce transfert de mails (à l’exception des mails « redmine ») vers une adresse email externe qui empêche toute sélection et tout discernement quant au contenu et à la nature des courriels transférés, de sorte que toutes les données ont été transférées indépendamment de leur degré de sensibilité et de leur confidentialité ;

– du fait enfin de la dissimulation à votre hiérarchie d’une faute dont vous aviez conscience de par votre fonction et vos connaissances en informatique mais également puisque vous avez supprimé ce paramétrage automatique le 1 er avril 2016, à la suite du mail de M. [A] [G] envoyé le même jour informant l’ensemble des collaborateurs, entre autres, sur l’interdiction de ne pas transférer ses mails professionnels sur sa boîte aux lettres privée.

Ce faisant, vous avez contrevenu à l’article 5 du chapitre 1 de notre règlement intérieur, et vous avez également violé les articles 7.1 ‘ 7.2 ‘ 7.3.2 et 7.4 de la Charte sécurité informatique de la banque, intégrés dans le code de conformité et de bonne conduite, de même que l’article 11.2.3 de la Directive relative à l’usage des messageries électroniques.

Vous aviez pourtant été alerté sur le caractère impératif du respect de ces dispositions : le Code de conformité et de bonne conduite est diffusé aux collaborateurs à leur embauche avec le dossier d’accueil. Plus particulièrement vous avez validé le 6 novembre 2013 le module de formation e-learning « prévention de la fraude en banque privée » qui rappelle l’importance de se référer et de consulter à nouveau si nécessaire les règles internes à l’entité et celles du groupe Crédit Agricole en matière de conformité.

Vous avez reconnu durant l’entretien préalable la matérialité de ces faits, de même que l’adresse « [Courriel 5] » était une adresse personnelle.

Ces agissements sont constitutifs d’une faute. En conséquence, CA Indosuez Wealth (France) prononce votre licenciement disciplinaire en application de l’article 27 de la Convention collective’.

Monsieur [H] [Z] soutient que l’employeur aurait engagé les poursuites disciplinaires de manière tardive.

Aux termes de l’article L.1332-4 du code du travail, aucun fait fautif ne peut donner lieu à lui seul à l’engagement de poursuites disciplinaires au-delà d’un délai de deux mois à compter du jour où l’employeur en a eu connaissance, à moins que ce fait ait donné lieu dans le même délai à l’exercice de poursuites pénales ; sous cette réserve, le licenciement disciplinaire prononcé à raison de faits connus depuis plus de deux mois par l’employeur est sans cause réelle et sérieuse.

En l’espèce, il ressort des échanges de mails produits, et n’est d’ailleurs pas contesté, que l’employeur a eu connaissance des faits fondant le licenciement le 2 mars 2016. Il a convoqué le salarié à un entretien préalable le 29 avril 2016, soit avant la fin du délai de deux mois dont il disposait pour le faire, de sorte que la procédure disciplinaire n’a pas été engagée tardivement.

Sur le fond, Monsieur [H] [Z] fait valoir en premier lieu que la preuve des griefs contenus dans la lettre de licenciement ne serait pas rapportée.

Toutefois, l’employeur verse aux débats l’attestation de monsieur [V], qui indique avoir observé la mise en oeuvre d’un transfert automatique des messages professionnels de monsieur [H] [Z] vers une adresse extérieure à la banque. L’employeur produit également différents messages transférés, qui portent sur des données personnelles de clients, tels que leurs numéros de cartes mastercard, leurs relevés de compte, le détail de leur portefeuille.

L’interdiction de faire sortir quelque document professionnel que ce soit est très explicitement rappelée dans le règlement intérieur de la banque et dans le code de conformité et de bonne conduite. Ces documents ont été portés à la connaissance du salarié, qui a signé chaque année entre 2013 et 2016 le certificat annuel de conformité par lequel il stipule : ‘Je confirme que j’ai bien lu et compris les règles de conformité annexées au règlement intérieur d’Indosuez Private Banking’.

Il en résulte que l’employeur rapporte bien la preuve de ce que monsieur [H] [Z], parfaitement informé de ses obligations en la matière, a fait sortir de la banque au moyen d’un re-routage automatique de nombreuses données confidentielles relatives aux clients de l’établissement.

Monsieur [H] [Z] fait par ailleurs valoir qu’il n’aurait pas été correctement informé de la mise en place de l’outil DLP, par lequel l’employeur a eu connaissance du re-routage des message.

Il se prévaut des dispositions de l’article L1222-4 du code du travail aux termes desquelles ‘aucune information concernant personnellement un salarié ne peut être collecté par un dispositif qui n’a pas été porté préalablement à sa connaissance.

L’outil DLP, dont la finalité est de ‘se prémunir et éviter la fuite massive de données sensibles’a fait l’objet d’une déclaration à la CNIL le 10 décembre 2015.

Ce dispositif, qui n’était pas spécifiquement destiné à la surveillance des salariés, collectait des données à destination du service de la sécurité des système d’information. A ce titre, il n’avait pas à être porté à la connaissance des salariés et ne nécessitait pas la consultation du comité d’entreprise.

Monsieur [H] [Z] soutient enfin que la sanction ne serait pas proportionnée, au regard notamment de ce que son supérieur hiérarchique n’a pas été sanctionné, alors qu’il était informé du re-routage mis en place depuis longtemps.

Il ne résulte nullement des pièces versées aux débats par monsieur [H] [Z] que son supérieur hiérarchique aurait été informé de la mise en place d’un transfert systématique de ses mails vers son adresse personnelle.

Au regard des fonctions exercées par monsieur [Z], il ne pouvait qu’être particulièrement informé de ses obligations au regard de la sécurité informatique. Son comportement a fait courir aux données des clients de la banque un risque important de divulgation, dès lors que son adresse personnelle ne permettait plus de bénéficier de la sécurité mise en place par la banque pour protéger la confidentialité d’informations telles que les numéros de carte et relevés de portefeuille.

Il s’agit de manquements grave à ses obligations professionnelles, justifiant le licenciement pour faute qui a été prononcé.

Le jugement sera donc confirmé en ce qu’il a débouté monsieur [H] [Z] de ses demandes au titre de la rupture du contrat de travail.

PAR CES MOTIFS

La cour, statuant par arrêt contradictoire prononcé publiquement par mise à disposition au greffe de la cour, les parties ayant été préalablement avisées dans les conditions prévues par l’article 450 du code de procédure civile,

Confirme le jugement.

Vu l’article 700 du code de procédure civile,

Condamne monsieur [H] [Z] à payer à la société CA Indosuez Wealth France en cause d’appel la somme de 2.500 euros sur le fondement des dispositions de l’article 700 du code de procédure civile.

Déboute les parties du surplus de leurs demandes.

Condamne monsieur [H] [Z] aux dépens de première instance et d’appel.

La Greffière La Présidente