Une migration de serveurs mal sécurisée a exposé les fiches de paie de tous les salariés d'une entreprise varoise, provoquant jusqu'à des violences entre collègues. Six ans plus tard, la cour d'appel a reconnu une violation du RGPD et validé un licenciement.

Des fiches de paie oubliées sur un vieux serveur, un conflit qui s'embrase et la justice qui tranche. Les choses ont mal tourné entre deux salariés d'une même entreprise. © Pormezz / Shutterstock
Des fiches de paie oubliées sur un vieux serveur, un conflit qui s'embrase et la justice qui tranche. Les choses ont mal tourné entre deux salariés d'une même entreprise. © Pormezz / Shutterstock

Dans son arrêt du 6 mars 2026, consulté par Clubic, la cour d'appel d'Aix-en-Provence a eu à s'exprimer sur le cas d'une entreprise varoise qui, dix ans plus tôt, avait changé de logiciel de gestion et transféré ses données vers de nouveaux serveurs. Les anciens, mal sécurisés, sont restés branchés au réseau, et des bulletins de salaire confidentiels y dormaient, accessibles sans le savoir. Trois ans plus tard, un collègue a découvert les documents tout à fait par hasard. Mais il en a découlé de la jalousie, des altercations, un licenciement et un passage devant le tribunal, jusque devant la cour d'appel aixoise.

Une migration qui expose des données salariales confidentielles

En 2016, une entreprise varoise spécialisée dans la mécanique de précision décide de moderniser son logiciel de gestion, l'ERP CEGID, en passant de la version 13 à la version 15. Pour transférer les données vers les nouveaux serveurs, les équipes désactivent temporairement les protections informatiques, le temps de trier, nettoyer, déplacer les fichiers. Sauf que les anciens serveurs, eux, restent branchés au réseau de l'entreprise pendant des mois.

En mai 2019, un collègue régleur chargé entre autres de la maintenance informatique du site effectue une recherche sur l'ancien serveur. Sur une banale requête dans l'explorateur Windows, il tape quelques mots dans la barre de recherche, et un fichier anonyme remonte. Il l'ouvre et tombe sur les bulletins de salaire de tous les employés de l'entreprise, datant d'avant 2016. Il prévient aussitôt sa hiérarchie ; et le fichier est supprimé dans l'heure.

Le régleur, appelons-le Mickaël*, a eu le temps de lire. Et ce qu'il découvre l'agace : son collègue Ronan, opérateur en maintenance dans l'entreprise depuis 2005, gagne selon lui beaucoup trop bien sa vie pour le travail fourni. Il ne garde pas cette opinion pour lui. Les remarques fusent, les rumeurs circulent dans les ateliers, pendant les pauses cafés et dans les vestiaires. Entre les deux hommes, la tension monte.

Main courante, bousculade, licenciement et un peu de RPGD : l'escalade documentée pas à pas

La pression se fait de plus en plus forte. Ronan se plaint plusieurs fois à sa direction du comportement de Mickaël, il évoque notamment les piques sur son salaire, le mépris au quotidien. Mais personne ne réagit. Le 9 janvier 2020, presque inexorablement, la situation dérape : Ronan menace son collègue de venir le retrouver le soir même pour « régler ça d'homme à homme. » Mickaël, inquiet, se rend au commissariat deux jours plus tard pour déposer une main courante.

Preuve qu'il ne blaguait pas, le 14 janvier, Ronan passe aux actes. Il pousse violemment son collègue, qui heurte une machine derrière lui. Trois collègues doivent s'interposer pour les séparer. Mickaël est placé en arrêt de travail, l'incident est officiellement reconnu comme accident du travail, et l'homme sera suivi par une psychologue pour syndrome post-traumatique. Ronan, lui, est suspendu le soir même. En apprenant la nouvelle, il glisse même à son responsable : « Tu sais que je vais finir en prison avec ces conneries. »

Ce dernier est en tout cas licencié pour faute grave, le 28 janvier 2020, mais il refuse d'en rester là. Il saisit le conseil de prud'hommes de Toulon en faisant valoir deux choses : d'abord, que c'est l'exposition accidentelle de son salaire (il évoque une violation du RGPD) qui est à l'origine de tout ; ensuite, qu'il a lui-même été victime de harcèlement moral. En 2021, les représentants du personnel de l'entreprise prennent même sa défense, demandant à la direction de reconsidérer le licenciement et évoquant « un possible complot » contre lui. Mais la direction refuse.

Le RGPD est l'un des enjeux du dossier. © Romain Talon/Shutterstock
Le RGPD est l'un des enjeux du dossier. © Romain Talon/Shutterstock

La violation du RGPD reconnue, et le licenciement confirmé

La cour d'appel d'Aix-en-Provence a rendu son verdict dans son arrêt du 6 mars 2026. Sur la question des données personnelles, les juges sont clairs : peu importe que Mickaël soit tombé sur les fiches de paie par accident, il n'avait pas le droit d'y accéder. C'est bien une violation du RGPD et de cette réglementation européenne qui oblige les entreprises à protéger les données personnelles de leurs salariés. L'entreprise l'avait d'ailleurs elle-même reconnu en avril 2020, dans sa réponse à la CNIL.

La cour ne va pas plus loin dans ses concessions à Ronan. Sur le harcèlement moral, les témoignages produits sont jugés trop vagues. Pour les juges, aucun fait concret, répété et démontré ne leur permet de conclure qu'il en a bien été victime. Sur le licenciement, en revanche, l'employeur aura été plus convaincant. Pour la cour, les deux altercations, les déclarations au commissariat, et les témoignages de collègues forment un dossier suffisamment solide pour justifier un renvoi pour faute grave.

En appel, la justice confirme donc entièrement la décision rendue en 2022. Ronan perd sur toute la ligne. Il n'obtiendra aucune indemnité, aucun dédommagement et devra même verser 1 000 euros de frais à son employeur. Reste la leçon du jour pour les entreprises. Une migration informatique mal sécurisée peut avoir des conséquences humaines et judiciaires qui durent des années. Entre la faille et le verdict final, il s'est écoulé six ans.

*tous les prénoms ont été modifiés.