Combattre et prévenir les actes de malveillance interne à l’entreprise

Fort heureusement, les actes de malveillance commis par des travailleurs (salariés, mais aussi stagiaires, personnel prestataire, etc.) sont rares et ne sont pas tous en lien avec le terrorisme.

Ils constituent cependant un « risque lourd » qui ne peut être négligé, au regard des conséquences négatives potentielles qui peuvent en découler pour l’entreprise en général.

Le jugement qui vient d’être rendu par le Tribunal correctionnel de Pau le 18 janvier 2016 dans ce que l’on peut appeler « l’affaire des chocolats », largement relayé par les médias, vient illustrer ce sujet (condamnation pénale d’une salariée pour avoir introduit des objets métalliques dans des produits).

Cela appelle plusieurs réflexions concernant la posture à adopter tant sur le mode offensif que défensif :

1. Cerner le comportement malveillant

Face à l’extrême diversité des agissements et des motivations de leurs auteurs, il n’est pas inutile de tenter de circonscrire les critères de l’acte de malveillance.

Il n’existe pas de définition légale spécifique, et le terme de malveillance permet d’englober une multitude de situations.

On peut suggérer ici, en référence à la définition usuelle, que cela consiste en un acte (ou une tentative d’acte), isolé ou répété, commis dans l’intention de nuire à l’entreprise, ses membres, dirigeants, clients ou usagers.

Les agissements concernés peuvent aussi bien être des actions que des abstentions ou omissions d’accomplir certaines tâches ou opérations : la négligence peut ainsi être malveillante si elle révèle cette intention de nuire (exemple de l’exécution volontairement défectueuse du contrat de travail).

Cela suppose de s’attacher en tout premier lieu à la gravité du comportement (indépendamment de son mobile), plus qu’à la gravité de ses conséquences préjudiciables.

Typiquement, cela correspond à l’élément moral nécessaire pour caractériser une infraction pénale, sachant que de très nombreuses qualifications pénales sont ici disponibles (mise en danger, dégradation, etc.).

Généralement, il y aura adéquation entre l’infraction pénale et la notion de faute lourde en droit du travail, caractérisée selon la jurisprudence « par l'intention de nuire à l'employeur, laquelle implique la volonté du salarié de lui porter préjudice dans la commission du fait fautif et ne résulte pas de la seule commission d'un acte préjudiciable à l'entreprise » (cf. Cass. Soc. 22 octobre 2015, n° 14-11291).

C’est tout l’inverse de l’obligation d’exécution loyale et de bonne foi du contrat de travail (cf. C. Trav., L1222-1 ; C. Civ., art. 1134).

Dans la hiérarchie des manquements contractuels, il s’agit du degré le plus élevé de faute pour un salarié.

Celle-ci permet à l’employeur de procéder au licenciement du salarié :

• Même s’il est gréviste (cf. C. Trav., L2511-1), par exemple en cas de séquestration ou de violences, ce qui a récemment défrayé la chronique avec « l’affaire de la chemise arrachée » qui a fait le tour du monde ;
• Sans préavis ni indemnités, y compris les congés payés en cours d’acquisition (cf. C. Trav., L3141-26 al. 2 – la Cour de cassation a toutefois appelé dans son rapport d’activité 2013 à une réforme du texte pour le mettre en conformité avec le droit de l’Union européenne sur le droit aux congés payés) ; 
• Sans bénéfice du droit à la portabilité des garanties complémentaires en matière de prévoyance et de frais de santé (CSS, L911-8).

Surtout, l’addition peut être « salée » pour le salarié, qui, outre les sanctions pénales encourues, peut voir sa responsabilité civile personnelle engagée par son employeur, lequel peut lui demander de l’indemniser soit devant les prud’hommes du fait de la faute lourde, soit devant la juridiction pénale du fait du préjudice causé directement par l’infraction pénale.

Et autant dire que ce préjudice (matériel, économique, financier, moral) peut s’avérer considérable : dans l’affaire des chocolats piégés par exemple, ce ne sont pas moins de 551.000 euros de remboursement qui sont réclamés à la salariée …

Bien entendu, en pratique, l’entreprise risque d’être confrontée à l’insolvabilité du salarié, dont l’assureur déclinera toute couverture, compte tenu du caractère intentionnel du fait dommageable.

2. Réagir face aux actes de malveillance

Dès lors qu’un acte de malveillance est identifié en interne, il appelle l’entreprise et ses dirigeants à réagir en mode de gestion de crise.

Outre la mise en œuvre d’un éventuel plan de continuation d’activité (PCA), la riposte s’articule autour d’une séquence disciplinaire, suivi d’une séquence judiciaire dans laquelle l’entreprise doit être bien accompagnée tant sur le plan de la communication que sur le plan juridique.

Réagir ne signifie toutefois pas surréagir, d’autant que l’enquête interne peut nécessiter une certaine discrétion dans la conduite des investigations.

A ce niveau, l’employeur ne dispose légalement que de moyens de contrôle limités et ne peut pas utiliser des moyens illicites ou procédés déloyaux.

L’enquête pénale suite à un dépôt de plainte permet en revanche d’obtenir des résultats bien plus efficaces. Rappelons qu’ici l’enjeu essentiel se situe en termes de preuves, car aucune faute ou infraction ne peut être imputée à un salarié si celui-ci n’est pas clairement identifié comme auteur, coauteur ou complice des faits (il a le bénéfice du doute aussi bien en tant que prévenu que de salarié, sachant que la décision du juge pénal aura autorité sur le juge civil pour ce qui concerne l’appréciation de la matérialité des faits et de leur imputabilité au salarié).

La preuve de la date à laquelle l’employeur acquiert une connaissance exacte de la réalité, de la nature et de l’ampleur des faits reprochés au salarié est essentielle, car elle marque le point de départ du délai de prescription de 2 mois pour pouvoir agir sur le terrain disciplinaire et convoquer le salarié à un entretien préalable de licenciement (convocation assortie ici d’une mise à pied à titre conservatoire). Ce délai peut également être interrompu par l’engagement de poursuites pénales (C. Trav., L1332-4), jusqu’à la date à laquelle l’employeur a connaissance de la décision de condamnation pénale du salarié. Une plainte simple est en revanche insuffisante.

En tout état de cause, en présence d’une faute lourde, il convient d’être réactif (mais sans confondre « vitesse et précipitation »).

3. Dissuader et prévenir la malveillance interne

La survenance de tels faits interpelle nécessairement l’entreprise au regard de son organisation, de ses process et de son mode de management.

Une analyse des causes et des points de vulnérabilité permet de définir des actions correctrices à apporter pour limiter les risques ou la tentation d’actes malveillants, et leur priorisation.

A côté du renforcement possible des barrières physiques et équipements de contrôle, notamment en matière de qualité, il convient également de s’intéresser au facteur humain.

L’idée est que la meilleure défense réside dans la dissuasion.

Celle-ci peut certainement reposer sur la communication autour de la responsabilité civile et pénale encourue, et l’exercice du pouvoir disciplinaire « pour l’exemple », mais pas seulement.

Il semble utile de travailler sur les causes et de s’intéresser aux raisons ayant pu motiver le(s) passage(s) à l’acte, même si elles ne sauraient bien entendu les légitimer (parfois certaines décisions rendues en matière prud’hommale peuvent néanmoins retenir des « circonstances atténuantes » pour le salarié).

Dans un contexte d’amplification de la défiance dans les relations de travail, et de tensions souvent exacerbées des rapports sociaux liées notamment à des questions de pouvoir d’achat, de conditions de travail, de harcèlement ou de départ de l’entreprise, on peut en effet craindre que certains salariés « à cran »soient tentés d’agir ainsi pour attirer l’attention de leur hiérarchie, voire dans des cas plus extrêmes, par esprit de « vengeance » contre l’entreprise.

Dans ce registre, l’exposition des entreprises aux risques d’actes malveillants liés à l’utilisation des outils informatiques de l’entreprise et de l’internet est de plus en plus forte en pratique comme l’illustre une décision récente (cf. Cass. Crim. 20 mai 2015, n° 14-81336).

Ces évènements de sécurité peuvent être le fait de salariés, avec un très large spectre allant du dénigrement sur les réseaux sociaux  au sabotage (introduction de virus ou de malwares ; destruction de données protégées ; etc.).

A côté de la réglementation indispensable des pratiques via le règlement intérieur et/ou la charte informatique de l’entreprise, il est toujours utile de travailler sur la détection des dérives comportementales et ses indicateurs, et partant de là, d’agir sur l’apaisement des situations.

Dans le contexte actuel, certaines situations apparentées aux risques psychosociaux (RPS) peuvent constituer un facteur de risque d’acte de malveillance sur lequel l’employeur peut avoir une action efficace (et pas forcément coûteuse), notamment via la mise en œuvre d’une démarche que qualité de vie au travail (QVT).

Cela n’empêche bien entendu pas l’entreprise d’adopter une posture de fermeté, et de soutenir ses managers, par exemple en cas de manifestation dans le cadre du travail de phénomènes de radicalisation idéologique.