La récente vague de cyberattaques pose plusieurs problèmes de droit du travail. Récemment une importante gérance immobilière lausannoise a vu ses activités paralysées pendant plusieurs jours à cause d’un rançogiciel (ransomware) ; ses employé-e-s auraient été forcés de prendre des vacances et des congés sur ces jours où il n’était plus possible de travailler, ce qui est totalement illégal. Comme les cybermenaces ne vont certainement pas diminuer, voici un petit aperçu des questions que cela pose en matière de droits et devoirs des personnes concernées. Ces conseils s’appliquent aux contrats de travail de droit privé suisse, mais les principes sont généralement assez similaires pour les contrats de travail de droit public (notamment ceux des employé-e-s communaux-ales).

En cas de cyberattaque :

• Mon employeur est victime d’une cyberattaque et je ne peux plus travailler. Peut-il me forcer à prendre des vacances ou des congés ? Non. Si le poste ou les outils de travail sont inaccessibles ou inutilisables au point que l’exploitation en est perturbée, cela fait partie du « risque d’entreprise » qui doit être assumé par l’employeur seul (art. 324 CO). Ce dernier est alors « en demeure » et doit payer l’entier du salaire. Il est conseillé aux employés d’offrir leurs services (si possible avec une trace écrite comme un courriel) en signalant qu’ils sont disposés à travailler comme d’habitude.
• Mon employeur peut-il me forcer à assumer d’autres tâches qui ne sont pas dans mon cahier des charges ? En principe pas. L’employé ne doit exécuter que les tâches qui ont été convenues dans son contrat (en règle générale dans un cahier des charges). Exceptionnellement et en cas d’urgence, si la collaboration d’un employé est nécessaire pour supprimer une perturbation d’exploitation, il doit assumer ces nouvelles tâches, en raison de son obligation de fidélité (art. 321a CO). Mais si cette situation perdure, cela requiert une modification du contrat, soit d’un commun accord, soit par un « congé-modification » imposé unilatéralement par l’employeur.
• Mon employeur peut-il me licencier ? Si la cyberattaque le met en difficultés économiques et que j’ai un contrat de durée indéterminée (CDI), oui. Il doit respecter le délai de congé et d’éventuelles exigences de forme. S’il doit licencier de nombreuses personnes en même temps, cela peut être un licenciement collectif. Si c’est une grave négligence de l’employé qui a permis la cyberattaque, cela peut être aussi un motif légitime de licenciement, éventuellement avec effet immédiat pour juste motif si c’est une faute très grave. En revanche, une cyberattaque qui empêche l’exploitation de l’entreprise ne justifie pas un licenciement avec effet immédiat. Enfin, un contrat à durée déterminée (CDD) ne peut pas être rompu avant terme, sauf s’il y a un motif légitime de licenciement avec effet immédiat.
• Ais-je droit au chômage partiel (réduction de l’horaire de travail, RHT) ? Oui, pour autant que l’employeur en ait fait la demande et que les conditions des art. 31 et 32 LACI soient remplis. Si l’employeur pourrait faire une demande de RHT mais ne le fait pas, il est en demeure et doit payer l’entier du salaire, même s’il n’a pas de travail à fournir à ses employés ou que la cyberattaque rend impossible toute exécution des tâches.
• Mon employeur ne peut pas payer mon salaire à temps, « à cause de la cyberattaque » : que faire ? L’employeur est tenu de payer le salaire dû à la fin du mois (ou plus tôt s’il en a été convenu ainsi, cf. art. 323 CO). S’il n’est pas en mesure de le faire parce que la cyberattaque ou ses conséquences l’en empêchent, c’est son problème. S’il ne peut pas payer, il faut s’adresser sans attendre à l’assurance-insolvabilité, après avoir mis son employeur en demeure par écrit (= exiger le paiement du salaire sans délai). Un employé dont l’employeur est manifestement insolvable (quelle qu’en soit la raison) peut aussi immédiatement mettre un terme à son contrat de travail et exiger réparation du dommage subi (art. 337a et 337b CO).
• Mon employeur peut-il me confisquer un appareil connecté qui m’appartient pour mener l’enquête ou procéder à des vérifications de sécurité ? Non. Mes appareils m’appartiennent, même si je m’en sers à des fins professionnelles. Mon employeur peut toutefois exiger que je prenne moi-même les mesures de sécurité informatique nécessaires et exiger une preuve que ces mesures ont bel et bien été prises.
• Mon employeur a subi une cyberattaque mais n’a rien dit à ses clients/usagers/assurés/créanciers/fournisseurs et autres personnes concernées : dois-je en informer une autorité de surveillance ? Les médias ? Cela ferait de moi un lanceur d’alerte (whistleblower), ce que le droit suisse protège très mal. D’une manière générale, il est important de se faire conseiller avant d’agir et de signaler ce problème d’abord à l’interne (voie hiérarchique, contrôle interne ou, si cela existe, instance de signalement ad-hoc). Si cela ne sert à rien (par exemple parce qu’on ne reçoit pas de réponse ou parce qu’on a de bonnes raisons de croire que cela ne servira à rien), il est possible de s’adresser à une autorité de surveillance (si elle existe). S’adresser aux médias (ou à une autre instance externe comme une organisation de défense des consommateurs) est très risqué, même si cela est théoriquement possible au cas où l’autorité de surveillance n’interviendrait pas. Souvent, les lanceurs d’alerte perdent leur emploi et, même si un tribunal qualifie ce licenciement d’abusif, ils ne le récupéreront pas.
• Mon employeur annule mes vacances (ou me rappelle pendant) pour faire face à la cyberattaque ; en a-t-il le droit ? Non, sauf si c’est trois mois à l’avance. Exceptionnellement, l’intérêt de l’employeur à faire intervenir d’urgence l’employé peut l’emporter sur l’intérêt de ce dernier à profiter de ses vacances, p. ex. si je suis responsable de la maintenance informatique et que mon contrat prévoit que je peux être tenu d’intervenir n’importe quand en cas d’urgence et qu’aucun remplaçant n’est disponible. Dans tous les cas, mon employeur doit me rembourser les frais que cela engendre et me rendre les jours de vacances annulés.
• Mon employeur exige que je fasse des heures supplémentaires pour faire face aux conséquences de la cyberattaque : en a-t-il le droit ? Oui, pour autant que cela soit raisonnablement exigible (ce qui ne sera par exemple pas le cas si je dois aller chercher mes enfants à la crèche et n’ai pas de tiers de confiance à qui confier cette tâche).
• Suite à un piratage, mes données personnelles détenues par mon employeur ont fuité sur le darknet (ou ailleurs) : que puis-je faire ? L’employeur est responsable (art. 328 CO). Il est tenu de me le dire et de prendre à sa charge tous les frais et dommages que cela pourrait engendrer, par exemple en cas d’usurpation d’identité ou si je dois refaire des documents officiels. Cela est aussi valable pour les données des membres de ma famille que mon employeur détiendrait.
• Puis-je exiger que mon employeur paie la rançon pour éviter que mes données ne se retrouvent sur darknet ou pour que l’exploitation puisse reprendre et ainsi éviter des suppressions d’emploi ? L’employeur est certes tenu de prendre toutes les mesures raisonnables pour éviter qu’un dommage ne survienne et le cas échéant en assumer les coûts. En règle générale, le paiement de la rançon ne sera ni approprié, ni proportionné (voire illégal) et les employés ne peuvent donc pas l’exiger (mais l’employeur devra assumer tous les coûts qui découlent d’une éventuelle fuite de données). En cas de licenciement collectif, une des contrepropositions de la représentation du personnel pourrait être de payer la rançon pour éviter des suppressions d’emploi, mais l’employeur a le droit de la refuser s’il peut justifier pourquoi.
• Mon employeur exige que je téléphone aux clients dont j’ai la charge pour les informer que leurs données ont fuité sur le darknet, dois-je obtempérer ? Si la relation avec la clientèle ou les partenaires fait partie de mon cahier des charges, oui. Il doit me donner au préalable toutes les informations utiles et pas me « lâcher dans la nature ». Si gérer les clients et partenaires mécontents ne fait pas partie de mes tâches habituelles, mon employeur doit me former et me proposer des mesures de soutien. Il ne doit pas tenir compte d’éventuelles remarques de clients fâchés dans mon évaluation.

Responsabilité des employé-e-s :

• C’est moi qui ai cliqué sur le mauvais lien ou ouvert une pièce jointe infectée ? Suis-je responsable des dégâts ? Cela va dépendre de ma position hiérarchique, de mon expérience, de mon niveau de formation… et de la gravité de ma négligence (art. 321e CO). Ce billet l’explique plus en détail. La responsabilité de l’employé dépendra aussi du degré de sophistication et d’ingénierie sociale de l’attaque : une « arnaque au CEO » (courriel semblant venir du directeur le vendredi à 16h50 demandant de payer rapidement un certain montant) bien ficelée et crédible engagera moins ma responsabilité que « BonjouR c’et la douane veuillez payer 5000 EUR sur ce compte sinon votre coli DHL ne sera pas disrtibué ».
• J’ai diffusé un mot de passe : Suis-je responsable des dégâts ? Cf. la réponse précédente. Diffuser un mot de passe sera dans la plupart des cas considéré comme une faute volontaire ou une grave négligence qui justifie que l’employé responsable répare les dégâts. Si je m’en aperçois et que je ne l’annonce pas sans délai, ma responsabilité s’aggrave.
• J’ai utilisé un mot de passe trop facile du genre « 1234 », « test », « ma date de naissance », « le nom de mon chien » ou « admin » : Suis-je responsable des dégâts ? Très probablement oui, à plus forte raison si c’est pour protéger des données ou des accès que je savais très sensibles.
• Mon mot de passe professionnel a pu être deviné parce que c’est (presque) le même que celui de mon compte facebook/google/amazon, etc. qui, lui, a été piraté : Suis-je responsable des dégâts ? C’est aussi probable du moment que j’ai appris que mon compte privé avait été piraté et que je n’ai pas pris de mesures, notamment changé mes mots de passe et/ou utilisé un mot de passe trop simple pour protéger des données sensibles.
• J’utiliser une adresse mail professionnelle pour me connecter à des services privés (réseaux sociaux, e-commerce, partage de fichier type dropbox) : qu’est-ce que je risque ? D’une manière générale, c’est une mauvaise idée d’utiliser son adresse professionnelle pour ce genre de service, même si c’est on l’utilise dans le cadre professionnel. Si mon employeur m’avait explicitement interdit de le faire, je risque d’être sanctionné, voire, en fonction des circonstances, d’être tenu pour responsable d’éventuel dommage.
• Mon employeur peut-il me licencier si je suis responsable d’une des erreurs ci-dessus ? Si je suis en CDI, ce sera souvent le cas, mais cela va dépendre de mon niveau de responsabilités, de mon expérience et de ma formation. Dans les cas très graves où la confiance est définitivement rompue (p. ex. un responsable informatique qui ne protégerait pas des accès sensibles dans les règles de l’art), le licenciement peut même être avec effet immédiat pour juste motif (art. 337ss CO), y compris en cas de CDD. Dans les autres cas, mon contrat ne prendra fin qu’à l’issue de mon délai de congé.

Mesures de prévention :

• Dois-je suivre toutes les mesures de prévention imposée par mon employeur, même si elles me paraissent exagérées ou inutiles ? Oui. L’employé doit suivre les directives de son employeur (art. 321d CO).
• Mon employeur prend le problème à la légère, dois-je lui demander de prendre des mesures ? Oui, en raison de mon obligation de fidélité (art. 321a CO).
• J’ai découvert une faille de sécurité informatique, dois-je la signaler ? Oui, en raison de mon obligation de fidélité (art. 321a CO).
• Mon employeur ne prend pas les mesures nécessaires et fait courir de gros risques à ses clients ou à d’autres personnes, dois-je en informer le Conseil d’administration ? Le contrôle interne ? Une autorité de surveillance ? Les médias ? Le signaler à l’interne, certainement. A une autorité de surveillance, oui, du moment que je peux partir de l’idée que le signalement interne ne mènera à rien. Aux médias, c’est fortement déconseillé, mais cela peut être justifié si le signalement interne ne donne rien, si l’autorité de surveillance ne fait rien (ou n’existe pas). Dans tous les cas, il est fortement recommandé de se faire conseiller par un spécialiste. Comme expliqué plus haut, les lanceurs d’alerte sont malheureusement très mal protégés en droit suisse.
• Mon employeur peut-il consulter le contenu d’un appareil qui m’appartient pour « prévenir les cyberattaques » ? Même si Crédit Suisse tente de s’en arroger le droit, l’employeur ne peut pas consulter un appareil privé, même utilisé à des fins professionnelles. Il peut en revanche exiger que des mesures de sécurité soient prises, pour autant qu’il puisse démontrer que l’utilisation de cet appareil cause un réel risque.
• Mon employeur peut-il surveiller le contenu de mes courriels pour « prévenir les cyberattaques » ? Les messages privés (même sur la messagerie professionnelle) : non. Les messages professionnels : oui, à certaines conditions, notamment si cela a été annoncé et qu’il s’agit d’une mesure proportionnée. Plus d’information sur la page du Préposé fédéral à la protection des données.
• Mon employeur peut-il utiliser un logiciel de surveillance pour « prévenir les cyberattaques » ? En principe pas si cela a pour objectif ou effet de surveiller le comportement des employés (art. 26 OLT 3), mais il existe bien entendu des exceptions, notamment dans certaines branches soumises à des obligations légales particulières (sécurité, finance, secret médical, etc.). Cf. ce guide du Préposé fédéral à la protection des données.
• Mon employeur m’envoie à un cours sur la sécurité informatique ; cela a-t-il lieu sur mon temps de travail payé ? Oui (art. 5 al. 3 OLT 3).
• Par flemme, je néglige les méthodes de prévention connues du grand public (ne pas utiliser de mot de passe trop facile, ne pas en changer régulièrement, ouvrir des pièces jointes suspectes sans désactiver les macros, utiliser mon adresse pro pour des sites externes ou à des fins privées, etc.) : qu’est-ce que je risque ? J’engage ma responsabilité et pourrais être tenu pour responsable d’un éventuel dommage subi par mon employeur. En effet, ma responsabilité dépend de ma formation, mon niveau hiérarchique et de mon expérience. Or, désormais, la cybersécurité est un sujet très débattu et les conseils en la matière sont largement accessibles.

S’il y a une question en lien avec le droit du travail en cas de cyberattaque dont je n’ai pas traité ou si quelque chose n’est pas clair, s’il vous plaît, dites-le moi par courriel : jcs arobase schwaab point ch !