Les aficionados de la série animée Les Simpson se souviennent certainement de l’épisode où Homer, le père de famille tire-au-flanc, utilise systématiquement la bonne excuse «c’est mon premier jour» pour éviter d’être sanctionné pour chacune des (nombreuses) bourdes qu’il commet sur son lieu de travail (une centrale nucléaire, tout de même). Plus récemment, et dans le monde réel cette fois-ci, Solarwinds, une entreprise qui fournit en logiciel de nombreux organes gouvernementaux étatsuniens, notamment dans le secteur de la défense, a été victime d’un piratage massif. Un logiciel malveillant avait été inséré par des hackers dans un de ses produits-phare. Cette cyberattaque a permis d’infiltrer pas moins de neuf branches du gouvernement américain et plus d’une centaine d’entreprises privées.

Convoqué devant le Congrès, le PDG de Solarwinds a dû avouer que, si les pirates étaient entrés aussi facilement, c’est parce qu’un des mots de passe était «solarwinds123». Et le dirigeant de se défausser immédiatement sur l’auteur présumé de cette négligence, un stagiaire, qui, plus de deux ans auparavant, n’aurait pas respecté les consignes en matière de sécurité informatique.

L’histoire ne dit pas ce qu’il est advenu de l’ancien stagiaire en question. Le chercheur qui a trouvé la faille a d’ailleurs contesté la version de la direction. Mais cette anecdote nous permet de nous pencher sur la responsabilité des employés en droit suisse du travail, et sur les devoir de l’employeur en matière de sécurité.

Quelle responsabilité pour les employés?

En principe, c’est l’employeur qui est responsable des dommages causés par ses employés dans le cadre des tâches qu’il leur a confiées. Il peut toutefois se retourner contre le ou les employés responsables et leur faire payer tout ou partie du dommage subi. Cependant, un employé n’est responsable que des dommages qu’il cause à son employeur en ayant intentionnellement violé ses obligations envers lui.

L’employeur est responsable des dommages causés par ses employés dans le cadre des tâches qu’il leur a confiées.

L’employé peut aussi être tenu responsable des dommages qu’il cause par négligence. Mais, dans ce cas, c’est le degré de gravité de sa négligence qui déterminera s’il doit assumer tout ou partie du dommage causé. Et la gravité de la négligence dépendra notamment de sa formation, de son expérience et de sa position hiérarchique. Ainsi, pour la même négligence, un employé subalterne n’assumera pas le même degré de responsabilité qu’un cadre expérimenté. En outre, le degré de responsabilité d’un employé dépendra de son activité et des consignes de sécurité qu’il a reçues, ainsi que du contexte. Par exemple, si l’employeur exige fréquemment des heures supplémentaires en soirée ou impose des cadences infernales, la responsabilité des employés qui causent un dommage dans ces conditions sera fortement atténuée.

Enfin, un employé ne peut pas être tenu pour responsable des dommages inévitables parce qu’inhérents à son activité: par exemple, dans la restauration, il est tout à fait normal de casser de temps en temps un verre et cela arrive même aux plus adroits. Ce genre de dommage n’a donc pas à être supporté par les employés, même s’il a été causé par négligence (en revanche, le serveur qui casse volontairement un plateau de verres, sera, lui, tenu pour responsable). En général, les tribunaux ne condamnent les employés qui ont causé des dommages par négligence moyenne ou grave à ne rembourser que 25 à 50% des frais, voire rien du tout en cas de négligence légère.

Un employé ne peut pas être tenu pour responsable des dommages inévitables parce qu’inhérents à son activité.

Par ailleurs, en matière de sécurité (notamment informatique), l’employeur a l’obligation de donner des instructions claires, de vérifier qu’elles ont été comprises et que ses employés sont bien en mesure d’accomplir correctement les tâches qu’il leur confie. Lorsque l’employeur donne des instructions de sécurité ou oblige à suivre des cours en la matière, il s’agit de temps de travail rémunéré. Les employés ont toutefois l’obligation de respecter ces consignes.

Et le stagiaire, alors?

Revenons-en à notre stagiaire en informatique. En admettant qu’il soit bien le responsable de la faille, sa position de stagiaire fait qu’il ne saurait en être tenu pour complètement responsable. Certes, il n’a pas respecté les consignes de sécurité informatique. Certes, il est notoire qu’un mot de passe aussi faible peut être facilement craqué. Mais il n’était qu’un stagiaire. Et c’était à son employeur de faire en sorte que des tâches aussi cruciales que celles qui relèvent de la cybersécurité d’un fournisseur d’agences gouvernementales ne soient pas confiées sans supervision à un «simple» stagiaire. Lorsqu’il y a un risque aussi élevé et que les conséquences peuvent être aussi graves, il en va de la responsabilité de l’employeur de ne confier ces tâches qu’à des personnes qui soient en mesure de les assumer et de vérifier qu’elles ont bien été effectuées dans les règles de l’art.

Un employeur est tenu de protéger la personnalité de ses (ex-)employés, même lorsqu’ils commettent des erreurs.

Enfin, le PDG de Solarwinds a, en tout cas selon le droit suisse du travail, commis une autre erreur en se défaussant publiquement sur le stagiaire: un employeur est tenu de protéger la personnalité de ses employés (et ex-employés): même lorsqu’ils commettent des erreurs (y compris avec de graves conséquences). L’employeur ne peut les jeter en pâture aux médias, à plus forte raison dans un contexte de «cancel culture» où le moindre faux pas peut devenir viral sur les réseaux sociaux avec des conséquences dramatiques sur la santé ou la vie sociale des personnes concernées.

Jean Christophe Schwaab
Docteur en droit et auteur de l’ouvrage Le droit du travail en Suisse: 90 questions-réponses issues de la pratique

Pour aller plus loin

• Le droit du travail en Suisse: 90 questions-réponses issues de la pratique de Jean Christophe Schwaab
• Les autres billets de Jean Christophe Schwaab