Conseil d’Etat, 30 juillet 2025, n°495234
Un salarié protégé « data manager » se voit reprocher d’avoir redirigé temporairement l’ensemble des courriels reçus sur sa messagerie professionnelle vers des adresses électroniques personnelles.
L’employeur considérant qu’il s’agit d’une méconnaissance de ses obligations contractuelles et des règles de sécurité nécessaires à la protection des données personnelles et sensibles traitées par l’entreprise, engage une procédure disciplinaire et obtient de l’inspection du travail l’autorisation de licencier le salarié, confirmée par le ministre du Travail.
Le tribunal administratif saisi et la cour administrative d’appel annulent la décision de l’inspection du travail. Pour la CAA, l’employeur ne démontrait pas que le salarié aurait cherché à détourner des données sensibles pour les communiquer à des tiers ou en faire un usage illicite, ni que la faute aurait entraîné un préjudice pour l’entreprise. Elle souligne que le salarié cherchait à « assurer l’intégrité de ses échanges électroniques » eu égard aux « tensions vives au sein de l’entreprise et de la défiance vis-à-vis de certains représentants syndicaux », alors qu’il disposait d’une ancienneté importante et d’un passif disciplinaire vierge.
A tort pour le Conseil d’Etat, qui considère que même si le salarié n’a pas cherché à détourner des données sensibles, cette redirection « était susceptible de compromettre des données personnelles », un risque auquel il était particulièrement sensibilisé. Le Conseil d’Etat souligne l’existence d’avenants aux termes duquel il reconnaissait « la confidentialité des données à caractère personnel auquel son poste lui donnait accès » et « s’engageait à prendre toutes précautions (…) dans le cadre de ses attributions afin de protéger la confidentialité des informations auxquelles elle a accès ».