Soustraction de données de l’employeur par l’employé: qu’en est-il pénalement?

Après la fin des rapports de travail, ce devoir de confidentialité (art. 321a al. 4 CO), impose à l’employé une obligation de restitution (art. 339a al. 1 CO). Cette obligation s’étend aux copies de documents, afin notamment de prévenir un risque de violation de secrets d’affaires ou de détournement de la clientèle de l’employeur. Une telle prétention peut exister indépendamment de l’éventuel droit d’interdire à l’ex-employé d’exercer une activité concurrente¹.

La plupart de ces informations et documents sont aujourd’hui conservés de manière digitale par les entreprises. Dans le cadre de l’exécution de son contrat de travail, l’employé a accès à un certain nombre de ces données. Qu’en est-il si un employé emporte une copie de ces informations, par exemple, lors de son départ de l’entreprise? Le droit pénal suisse offre-t-il une protection suffisante à l’employeur?

LA SOUSTRACTION DE DONNÉES AU SENS DE L’ARTICLE 143 DU CODE PÉNAL (CP): QUE DIT LA JURISPRUDENCE?

Selon l’art. 143 al. 1 CP: «celui qui, dans le dessein de se procurer ou de procurer à un tiers un enrichissement illégitime, aura soustrait, pour lui-même ou pour un tiers, des données enregistrées ou transmises électroniquement ou selon un mode similaire, qui ne lui étaient pas destinées et qui étaient spécialement protégées contre tout accès indu de sa part, sera puni d’une peine privative de liberté de cinq ans au plus ou d’une peine pécuniaire.»

Une des conditions de cette infraction semble particulièrement occuper les autorités pénales: une protection «spéciale» contre tout accès indu. Dans un premier cas², très médiatique, il était reproché à un ancien employé de banque, engagé en qualité d’informaticien, d’avoir soustrait de très nombreuses données détenues par la banque employeuse concernant en particulier l’identité de ses clients, leurs avoirs, le montant de leurs investissements ainsi que le type d’investissements effectués, en les transférant et les enregistrant sur ses propres supports informatiques. L’employé avait ensuite tenté de vendre ces données à d’autres banques et organismes étatiques étrangers.

Afin de démontrer un niveau de protection spécial de données en question, l’employeur et l’accusation ont fait état de trois niveaux de protection desquels l’employé se serait joué: la fragmentation des données personnelles des clients, soit le fait qu’elles n’étaient jamais mises en relation avec les données patrimoniales de ceux-ci; le fait que les données étaient soit fictives soit soumises à un programme de cryptage ou d’anonymisation; l’interdiction d’extraction de données, et d’enregistrement sur des supports privés, prévue par la réglementation interne de la banque, applicable aux employés de celle-ci.

Le Tribunal pénal fédéral a considéré qu’aucun des trois niveau de protection n’était suffisant. Selon notre haute Cour, la fragmentation est une mesure insuffisante, puisque l’employé détenait les mots de passe lui permettant d’accéder aux données personnelles et financières de clients depuis n’importe quel poste connecté au réseau de la banque. De plus, une simple recherche par mots clé permettait d’effectuer un rapprochement entre ces deux types de données, rendant la fragmentation inopérante. Concernant le fait que les données étaient fictives, cryptées ou anonymisées, l’instruction n’a pas permis de démontrer que tel était le cas et, enfin, les règles internes de la banque, applicables aux employés, ne constituaient pas une protection suffisante au sens de l’art. 143 CP. L’employé a donc été acquitté du chef d’accusation de soustraction de données au sens de l’art. 143 CP.

Dans un cas récent³, l’employeur prétendait qu’un ancien employé aurait piraté son système informatique, lui permettant ainsi de copier l’intégralité des données confidentielles contenues sur les serveurs du groupe.

L’employeur avait produit des rapports portant sur la boîte email ainsi que sur l’ordinateur professionnels de l’employé, desquels il ressortait notamment que celui-ci aurait enregistré des données sensibles de la société sur Dropbox, qu’il aurait transféré des données entre ses boîtes e-mail professionnelle et privée et que, dans les vingtquatre heures précédant la fin de ses rapports de travail avec la société, il aurait connecté des clés USB et un Blackberry à son ordinateur professionnel.

Tant selon le Ministère public de la Confédération que le Tribunal pénal fédéral, à supposer que l’employé ait transféré un grand nombre de données appartenant à la société, ces rapports n’apportaient aucune information sur les mesures de sécurité mises en place au sein de la société ni sur la protection que l’accusé aurait dû surmonter pour avoir accès aux données. L’employeur n’avait notamment pas été en mesure de démontrer l’existence de procédés techniques mis en place afin d’empêcher un accès aux données de la part de l’employé. De plus, selon les autorités pénales, la clause de confidentialité signée par l’employé et le fait que l’accusé ait été mis en possession des mots de passe pour accéder aux ordinateurs de deux des administrateurs de la société ne constituaient pas des mesures de protection spéciales au sens de l’article 143 CP. L’infraction de soustraction de données (art. 143 CP) n’a donc pas été retenue contre l’employé.

Dans une autre affaire⁴, la Chambre pénale genevoise de recours a considéré que la simple utilisation de son identifiant informatique et de son mot de passe par un employé, même après la fin des rapports de travail, ne suffisaient pas à conclure à une soustraction de donnée au sens de l’article 143 CP. L’autorité pénale a précisé que l’employeur n’avait pas modifié les accès de l’employé à la fin du contrat de travail.

CONCLUSION

À notre sens, la jurisprudence en matière de soustraction de données révèle une protection lacunaire des données confidentielles de l’employeur. À travers leurs décisions, les autorités judiciaires pénales réduisent quasiment à néant les obligations légales et contractuelles de confidentialité (art. 321a al.4 CO) et de restitution (art. 339a al.1 CO). Considérer que de telles obligations ne suffisent pas à constituer des mesures de protection suffisantes au sens du droit pénal porte atteinte à la crédibilité de notre système légal. Rappelons à quel point il peut être compliqué de prouver et obtenir la réparation d’un dommage causé par l’employé à l’employeur dans le cadre d’un procès civil ou la violation d’un secret de fabrication ou commercial (art. 162 CP) dans le cadre d’un procès pénal. Un abaissement du degré de protection requis pour la soustraction de données protègerait réellement l’employeur contre de tels comportements illégaux.

En attendant, les employeurs devront être particulièrement attentifs à la mise en place de mesures de protection techniques très restrictives quant à l’accès à leurs données, sans attendre de soutien satisfaisant ou de véritable effet dissuasif de la part des obligations légales et contractuelles opposables à ce genre de comportements malveillants.

1. ATF 141 III 23.
2. Jugement de la Cour des affaires pénales du Tribunal pénal fédéral SK.2014.46 du 27 novembre 2015.
3. Décision de la Cour des plaintes du Tribunal pénal fédéral BB.2019.248 du 21 janvier 2021.
4. Arrêt de la Cour de justice de la République et canton de Genève ACPR/94/2020 du 5 février 2020.