Assurer la confidentialité des informations détenues par un salarié

Cette question donne lieu à un abondant contentieux qui nécessite de bien délimiter les marges dont dispose l’entreprise dans ce domaine.

1. L’obligation de confidentialité, une exigence légitime :

Sur le plan juridique, il convient tout d’abord de distinguer plusieurs types d’obligations possibles, telles que secret professionnel, réserve, discrétion et confidentialité.

La confidentialité implique pour le salarié l’interdiction de divulguer à des tiers ou personnes non autorisées des informations à caractère confidentiel. Contrairement au secret professionnel, l’obligation de confidentialité n’est pas sanctionnée pénalement en tant que telle.

Sans doute serait-il excessif de considérer que toute information détenue par le salarié présente un caractère confidentiel. Ainsi, il ne peut être imposé au salarié une confidentialité sur des données que l’entreprise a elle-même rendues publiques, ou qui présentent un caractère manifestement notoire.

Il importe donc de bien définir quel type d’informations peut avoir un tel caractère de confidentialité. A côté des informations générales (p. ex. données relatives au savoir-faire ou aux procédés technologiques, informations concernant la clientèle, etc.), d’autres peuvent présenter ponctuellement un caractère confidentiel (p. ex. lorsque le salarié est associé à un projet spécifique).

En résumé, même si le bon sens commun n’est pas exclu, il est important que le salarié connaisse précisément ce qui est confidentiel et ce qui ne l’est pas.

De manière générale, il est légitime que l’employeur puisse imposer une obligation de confidentialité à l’ensemble de ses collaborateurs, même si en pratique celle-ci sera plus ou moins contraignante en fonction de la nature de l’emploi occupé (cadres dirigeants par exemple) d’une part, et de la nature des informations auxquels le salarié a accès dans le cadre de ses fonctions d’autre part.

2. La nécessité d’encadrer la confidentialité :

Sur le plan légal, l’obligation de confidentialité se rattache à l’obligation générale d’exécution loyale et de bonne foi du contrat de travail (Cf. C. Civ. art. 1134 ; C. Trav. L1222-1), principe auquel la jurisprudence attache une importance particulière aussi bien à l’égard de l’employeur que du salarié, cette obligation étant réciproque.

Si les conventions collectives peuvent parfois aborder la question de l’obligation de confidentialité, c’est surtout sur le plan du contrat de travail, que cette obligation doit être rappelée et définie.

A cet égard, une certaine ingénierie rédactionnelle paraît toujours utile. On constate très souvent qu’en pratique, les contrats de travail contiennent des clauses standardisées, qui de fait ne correspondent pas forcément à la réalité de l’emploi du salarié et des enjeux pour l’entreprise.

Autrement dit, plus l’emploi permet d’accéder à des informations sensibles, plus la clause contractuelle mérite d’être « verrouillée ».

Cela étant, il faut conserver à l’esprit que tout n’est pas possible (cf. respect de la vie privée, de la liberté d’expression, etc.).

La particularité de l’obligation de confidentialité est qu’elle s’applique aussi bien pendant la durée d’exécution du contrat de travail que postérieurement à sa rupture.

La jurisprudence vient ainsi de reconnaître la possibilité pour un employeur de faire interdire à un ancien salarié, après la cessation de son contrat de travail, la publication sur un site internet en violation de sa clause de confidentialité, d’une thèse contenant des informations qu’il avait obtenues dans l’exécution de son contrat de travail, et dont la confidentialité était nécessaire à la protection des intérêts de l’entreprise (Cf. Cass. Soc. 12 février 2014, n° 11-27899).

Précisons qu’à partir du moment où cette clause se borne à interdire à l’ancien salarié de divulguer des informations confidentielles, sans lui interdire d’être embauché par un concurrent, ni limiter sa liberté du travail, la clause de confidentialité ne peut être considérée comme une clause de non-concurrence déguisée (Cass. Soc. 2 octobre 2001, n° 99-42942).

3. Agir pour faire respecter la confidentialité :

La protection du patrimoine immatériel est un enjeu permanent pour l’entreprise qui nécessite de bâtir une politique globale intégrée, à laquelle l’ensemble des services ou départements doit être associé.

Bien entendu, la sécurité des systèmes d’information est au cœur des préoccupations (gestion des accès, utilisation des outils informatiques, etc.). Dans ce cadre, l’élaboration d’une charte informatique est essentielle, étant rappelé qu’en tant qu’annexe du règlement intérieur, celle-ci doit être soumise aux mêmes règles de procédure de mise en place que le règlement intérieur lui-même, sous peine d’être inopposable aux salariés, et donc inopérante.

Si la confidentialité évoque directement le risque de sanction, il ne faut pas éluder l’importance de la sensibilisation et de l’information du personnel.

A l’heure de l’utilisation massive des réseaux sociaux et d’internet, cet aspect ne doit pas être négligé, et les salariés auteurs d’indiscrétions seront d’autant moins excusables qu’ils auront été effectivement informés au préalable. Tout collaborateur doit savoir que lorsqu’il parle de sa « journée de travail », il doit être prudent à ne pas révéler d’informations qui seraient susceptibles d’entraîner des répercussions sur son entreprise. Là encore, le bon sens ne suffit pas toujours…
Par exemple, évoquer simplement la perspective d’un projet de réorganisation peut susciter des inquiétudes en interne, voire même créer un avantage pour la concurrence en recherche d’« intelligence économique ».

En cas de manquement, l’employeur dispose alors d’une panoplie d’actions possibles.

Si le salarié est en poste, il s’agira de la mise en œuvre du pouvoir disciplinaire, étant précisé qu’il est toujours nécessaire de faire preuve de discernement dans le choix de la sanction. Cela étant, il est fréquent que le manquement à l’obligation de confidentialité soit sanctionné sur le terrain de la faute grave (voire de la faute lourde en cas d’intention de nuire à l’entreprise), après mise à pied conservatoire.

Tout l’enjeu se situe alors sur le terrain de la preuve des manquements, sachant que le doute profite au salarié et que l’employeur ne peut jamais se contenter de simples soupçons ou d’alléguer une « perte de confiance ».

La question de la recevabilité des preuves tirées de l’exploitation des outils informatiques donne lieu à un abondant contentieux, notamment autour de la question du caractère « personnel » des fichiers ou des documents créés par le salarié sur le matériel informatique de l’entreprise.

La phase de la rupture du contrat de travail est bien souvent un moment particulièrement sensible du point de vue de l’obligation de confidentialité, c’est d’ailleurs la raison pour laquelle les entreprises mettent en œuvre fréquemment une dispense d’exécution du préavis par exemple (à noter qu’il vient d’être jugé à ce sujet que le fait d’interdire à titre provisoire et conservatoire à un salarié exerçant des fonctions commerciales, « par mesure de précaution », de rencontrer les fournisseurs et les clients y compris dans le cadre de l’exécution de ses fonctions est constitutif d’un manquement suffisamment grave de l’employeur à ses obligations et peut justifier une prise d’acte de la rupture du contrat de travail aux torts exclusifs de l’entreprise produisant les effets d’un licenciement sans cause réelle et sérieuse - cf. Cass. Soc. 19 février 2014, n° 12-28153).

En effet, à la problématique de confidentialité s’ajoute fréquemment celle du détournement de fichiers ou de documents et de leur exploitation judiciaire notamment, ce qui donne souvent lieu à des poursuites pénales à l’encontre du salarié pour délit de vol.

Postérieurement à la rupture, le risque principal de « fuites d’informations » pour l’entreprise est que son ancien salarié utilise les informations qu’il détient au profit d’un concurrent de l’entreprise. En pratique, on touche alors aux limites de l’obligation de confidentialité dans la mesure où il est extrêmement difficile de prouver une telle violation.

Lorsque celle-ci participe d’une concurrence déloyale, l’entreprise victime dispose de nombreux moyens d’action, notamment dans le cas de l’utilisation des procédures de référé visant à faire cesser un trouble manifestement illicite, puis d’action en réparation du préjudice causé à ses intérêts.