Salarié parti avec des données de l’entreprise : que peut faire le dirigeant ?

Un risque interne massif, encore sous-estimé

Dans les PME françaises, la majorité des atteintes au patrimoine informationnel ne provient ni d’attaques externes ni d’opérations sophistiquées. Elles trouvent leur origine dans des situations banales : un départ volontaire, une rupture conflictuelle, une fin de période d’essai ou un licenciement.

Fichiers clients, devis, bases CRM, documents techniques, procédures internes, historiques de prix ou stratégies commerciales sont souvent accessibles sans restriction réelle. Dans beaucoup d’organisations, le salarié partant conserve des copies par simple facilité, parfois sans intention immédiate de nuire. Le problème surgit lorsque ces informations réapparaissent chez un concurrent, dans une nouvelle structure ou dans un contentieux.

À ce stade, le dirigeant découvre une réalité brutale : sans cadre juridique et organisationnel préalable, il est très difficile d’agir efficacement après coup.

Vol de données : une qualification pénale souvent inadaptée

Le réflexe pénal est fréquent. Il est pourtant rarement pertinent.

L’article 311-1 du Code pénal définit le vol comme la soustraction frauduleuse de la chose d’autrui. Or, la donnée informatique, par nature immatérielle, pose un problème juridique récurrent.

La Cour de cassation, chambre criminelle, 20 mai 2015, n°14-81.336, a clairement posé le principe selon lequel la simple copie de données informatiques, sans soustraction du support matériel, ne caractérise pas nécessairement le délit de vol. Cette position s’inscrit dans une jurisprudence constante.

Concrètement, un salarié qui copie des fichiers sur une clé USB ou un cloud personnel, tout en laissant les originaux en place, échappe le plus souvent à la qualification pénale de vol. Les plaintes déposées sur ce fondement sont fréquemment classées sans suite.

Abus de confiance : une voie pénale conditionnelle

L’abus de confiance, prévu à l’article 314-1 du Code pénal, constitue une alternative plus adaptée dans certains cas. Il suppose que des biens ou informations aient été remis au salarié à charge d’en faire un usage déterminé et qu’ils aient été détournés de leur finalité.

La Cour de cassation, chambre criminelle, 16 décembre 2014, n°13-85.983, a admis que des données immatérielles puissent constituer l’objet d’un abus de confiance, dès lors que leur utilisation excède le cadre autorisé.

Cette qualification reste toutefois exigeante. Il faut démontrer que le salarié connaissait les limites de son usage, que celles-ci étaient formalisées et que le détournement est intentionnel. En l’absence de règles internes claires, l’élément intentionnel devient difficile à établir.

Concurrence déloyale : le levier le plus opérationnel

Sur le terrain civil, l’action en concurrence déloyale fondée sur l’article 1240 du Code civil demeure la plus utilisée et la plus efficace.

La Cour de cassation, chambre commerciale, 18 février 2020, n°17-31.536, a confirmé qu’un ancien salarié peut engager sa responsabilité civile lorsqu’il exploite, au profit d’un concurrent ou de sa propre entreprise, des informations confidentielles obtenues chez son ancien employeur, même en l’absence de clause de non-concurrence.

Trois éléments doivent être réunis : un comportement fautif, un préjudice et un lien de causalité.

La faute peut résider dans l’appropriation d’informations non publiques, leur utilisation déloyale ou leur divulgation. Le préjudice est souvent économique. Le lien de causalité repose sur des faisceaux d’indices.

Cette voie contentieuse suppose cependant de démontrer le caractère confidentiel des informations, ce qui renvoie directement aux mesures mises en place par l’entreprise avant le départ.

Secret des affaires : une protection conditionnée

Depuis la loi du 30 juillet 2018, le Code de commerce (articles L151-1 à L151-9) offre une protection spécifique au secret des affaires. Mais cette protection n’est ni automatique ni déclarative.

Pour être protégée, l’information doit être non publique, avoir une valeur économique et faire l’objet de mesures de protection raisonnables. La jurisprudence est particulièrement stricte sur ce dernier point.

La Cour d’appel de Paris, 28 janvier 2021, n°19/09593, a refusé la qualification de secret des affaires à une entreprise qui n’avait pas mis en place de dispositifs concrets de protection et de sensibilisation interne. L’absence de clauses, de classification des documents et de restrictions d’accès a été déterminante.

Le secret des affaires protège ce qui est activement protégé. Rien de plus.

La preuve, point de bascule de tous les contentieux

Dans la quasi-totalité des dossiers, la difficulté principale n’est pas juridique mais probatoire. Les PME manquent de journaux d’accès, de traçabilité, de procédures de départ formalisées et de séparation des usages professionnels et personnels.

Les juridictions exigent des preuves loyales, proportionnées et licites. La Cour de cassation, chambre sociale, 25 novembre 2020, n°17-19.523, a rappelé que des preuves issues de dispositifs de contrôle non portés à la connaissance des salariés peuvent être écartées, même en présence d’un comportement fautif.

Une réaction improvisée après le départ peut donc détruire les chances de succès contentieux.

RGPD et responsabilité organisationnelle

Lorsque les données concernées incluent des données personnelles, le dirigeant est également exposé au regard du RGPD. L’article 32 impose la mise en œuvre de mesures techniques et organisationnelles appropriées.

La CJUE, 14 décembre 2023, aff. C-340/21, a rappelé que le responsable de traitement doit être en mesure de démontrer l’effectivité de ces mesures. L’absence d’organisation, de procédures et de contrôle peut constituer un manquement, indépendamment de l’intention.

Ce que ces affaires révèlent réellement

Dans la majorité des cas, le problème ne réside pas dans la malveillance d’un individu, mais dans l’absence de gouvernance de l’information. Le salarié n’a pas « volé » un secret. L’entreprise n’a pas su définir, protéger et tracer ce qui devait l’être.

Le départ d’un salarié agit comme un révélateur brutal. Il met en lumière des fragilités structurelles que l’entreprise ignorait ou repoussait.

Lorsqu’un salarié quitte l’entreprise avec des données, le droit offre des outils. Mais ces outils ne compensent jamais l’absence d’anticipation. Sans règles internes, sans protection effective et sans capacité de preuve, le dirigeant agit à découvert.

Ce risque n’est ni exceptionnel ni marginal. Il est structurel, silencieux et parfaitement évitable. À condition de le traiter avant qu’il ne devienne un contentieux.