Un collaborateur de l’entreprise reçoit l’instruction du Président d’effectuer un virement important à un tiers. L’instruction semble authentique mais c’est une arnaque. La technique de l’escroc est aujourd’hui bien connue : repérage d’un maillon faible dans le service financier de l’entreprise ; demande de confidentialité ; urgence invoquée pour créer un stress chez la victime et lui faire perdre tout sens du discernement ; mission de confiance pour flatter la victime et la valoriser.
L’instruction intervient par un e-mail qui semble vraiment authentique, ou par WhatsApp, et maintenant plus dangereux, au moyen de l’IA : appel téléphonique avec une voix contrefaite et plus que vraie, ou même cyber-criminalité par visio-conférence.
Que disent les décisions de justice récente, lorsque le salarié qui a effectué le virement est ensuite licencié pour faute grave ? (c’est ce qui se passe en général…)
Deux décisions récentes de Cours d’appel. La première à Colmar, le 9 aout 2024 et la seconde à Paris le 20 juin 2024.
Dans la première, le licenciement pour faute grave est considéré comme justifié. Le salarié comptable avait donné un ordre de virement pour 290 000 euros en étant trompé par un e-mail. Pour la Cour, ce salarié n’avait pas respecté les règles internes qui s’appliquaient à lui et avait répondu à une adresse e-mail non répertoriée. En outre, il n’avait pas décelé les fautes d’orthographe figurant dans la demande. Autant de négligences fautives qui justifiaient le licenciement pour la Cour.
Dans la seconde, la Cour d’appel de Paris a jugé également que le licenciement était justifié. Cependant, le responsable comptable qui avait effectué un virement de 196 000 euros au bénéfice d’une société chinoise n’avait pas commis de faute grave. Pourtant, il avait été reproché au salarié plus qu’un défaut de vigilance car la société n’avait pas de partenaire commercial chinois et elle ne procédait pas à des virements internationaux. Surtout jamais d’un montant aussi important. Il lui était également reproché de ne pas avoir été alerté par les nombreuses fautes d’orthographe, alors qu’il ne pouvait ignorer que le Président de la société était particulièrement attentif à l’orthographe.
Cependant, la Cour observa que la société ne fournissait aucun élément probant établissant qu’elle ne faisait aucune opération bancaire en dehors de l’Union européenne et qu’elle ne rapportait pas non plus la preuve du seuil au-delà duquel le salarié devait solliciter et obtenir l’accord d’un supérieur hiérarchique avant de valider un virement.
Surtout, la Cour d’appel de Paris a jugé que le salarié était de bonne foi et qu’il n’avait jamais fait l’objet de la part de la société d’une formation en matière de cybersécurité lui inculquant les réflexes nécessaires pour déceler les fraudes.
Dans cette décision, la cour observe que l’employeur « ne démontre pas avoir mis en place une procédure interne de sécurisation de la validation des flux financiers pour se protéger de ce type d’arnaque ni avoir dispensé une formation à ses salariés sur les risques liés à la cybercriminalité ».
C’est ce point qu’il faut retenir à mon avis, car il existe une obligation légale de formation et d’adaptation des salariés à l’évolution des technologies, qui pèse sur l’employeur (L.6321-1 du Code du travail). L’absence de formation pourra donc exonérer le salarié de sa responsabilité dans certains cas.
Surtout que, dans cette affaire, pour justifier l’absence de faute du salarié, la Cour d’appel a clairement pris en compte la manipulation dont a été victime le salarié : « La Cour observe encore que la manipulation qui est à l’œuvre de la part de l’auteur d’une « arnaque au Président ne peut être ignorée et qu’elle a précisément pour objet de déstabiliser la cible identifiée comme maillon faible ».
Bref, dans cette affaire, le licenciement est validé par la Cour d’appel. Seule la faute grave n’est pas retenue. Indemnité de licenciement et indemnité compensatrice de préavis devront être versées.
Source : Yves Nicol avocat Lyon droit du travail novembre 2024. CA Colmar 09/08/24, RG. CA Paris du 20/06/24, RG 21/09789 . Code du travail article L. 6321-1