Une salariée, licenciée pour avoir laissé son mari utiliser sa session informatique professionnelle, vient d'obtenir gain de cause. La cour d'appel de Paris a considéré que son licenciement était sans cause réelle et sérieuse.
INFO Clubic. Il y a plusieurs années, la Mutuelle d'Ivry a licencié l'une de ses employées, après que son mari, salarié de la même entreprise, avait utilisé sa session professionnelle pour accéder au système informatique et à des archives de code source. Un geste considéré comme une violation grave de la charte informatique interne. Après sept ans de procédure, la cour d'appel de Paris n'a pas vu les choses de cette manière, dans son arrêt du 16 avril 2026.
Violation de la charte informatique en entreprise : licenciée pour une session laissée ouverte
Le 13 juin 2019, Richard*, administrateur de projets web à la Mutuelle d'Ivry, vient de signer sa rupture conventionnelle dans l'urgence. Dans la soirée, l'entreprise lui coupe ses accès informatiques. Le VPN, qui lui permettait de se connecter au réseau interne depuis l'extérieur, et son compte Active Directory, sont suspendus. Coupé de ses outils professionnels, et avec des identifiants pro désactivés, il se tourne vers le compte de son épouse, Fanny, elle aussi employée de la mutuelle, pour envoyer un dernier message à ses collègues. Il est alors 23h20.
Le lendemain, nous sommes le 14 juin, le compte professionnel de Fanny est à nouveau utilisé. Richard accède cette fois à des archives Git, le dépôt numérique où l'entreprise stocke tous ses codes sources logiciels, puis se connecte à WeTransfer, le service qui permet d'envoyer et de télécharger des fichiers volumineux. Les mouvements ne passent pas inaperçus, et le prestataire externe chargé de surveiller la sécurité informatique de la mutuelle détecte les connexions et alerte la direction le lundi 17 juin. Un huissier de justice est aussitôt mandaté. Il dresse son constat officiel le 27 juin 2019.
Le 17 juin, Fanny est convoquée à un entretien préalable, procédure obligatoire avant tout licenciement. La salariée est suspendue de son poste dans l'attente de la décision. Le 10 juillet, la sanction tombe : elle est licenciée. Son employeur lui reproche d'avoir communiqué ses identifiants à son mari, car ça lui a permis d'accéder sans autorisation à des données sensibles de l'entreprise, en plus d'avoir trahi la confiance qui lui était accordée. Le licenciement se fait pour cause réelle et sérieuse, une qualification qui sera, plus tard, discutée devant la justice. Mais que se passe-t-il ensuite ?
Un SMS versé au dossier qui change tout
Fanny a contesté les faits dès le départ. Elle n'a jamais donné son mot de passe à son mari, assure-t-elle, indiquant qu'il a simplement utilisé un ordinateur sur lequel sa session était déjà ouverte, sans qu'elle lui ait rien transmis. Et si Richard a consulté les archives de code source de l'entreprise le 14 juin, c'est parce qu'un collègue, Quentin, lui avait demandé de l'aide sur un problème technique, sans savoir que Richard avait entre-temps signé sa rupture conventionnelle.
Pour étayer cette version, la défense produit un SMS, qui montre que Quentin avait bien contacté Richard le soir du 13 juin pour lui soumettre un bug, avec un appel téléphonique convenu le lendemain à 14h13. Or Richard s'est connecté aux archives Git à 12h26, soit près de deux heures avant cet appel, vraisemblablement pour préparer la consultation. Quentin a lui-même confirmé cette version par attestation. Et surtout, aucun téléchargement de fichiers sans lien avec cette demande d'aide n'apparaît dans les rapports d'investigation du prestataire en cybersécurité. On comprend alors que le vent commence à tourner en faveur des époux.
De son côté, la Mutuelle d'Ivry avait également déposé une plainte pénale contre X pour vol et abus de confiance, une démarche qui visait implicitement Richard et son épouse. Mais en janvier 2026, le procureur de la République a classé l'affaire sans suite, estimant que les faits avaient déjà été « sanctionnés administrativement », autrement dit, que les licenciements avaient suffi à répondre aux manquements reprochés. L'argument s'est retourné contre l'employeur, car pour la cour d'appel, cette formulation du procureur confirmait indirectement que les faits n'avaient pas le caractère pénal que la mutuelle leur prêtait.
Malgré une session ouverte et une responsabilité engagée, le licenciement n'est pas justifié
Dans son arrêt du 16 avril 2026, la cour d'appel de Paris confirme ce qu'avaient déjà décidé les prud'hommes en décembre 2022, à savoir que le licenciement de Fanny est injustifié. Les juges reconnaissent qu'en laissant sa session ouverte, elle a bien commis une négligence, et en ce sens, le règlement intérieur de la mutuelle est clair : chaque salarié est responsable de ce qui se passe depuis son compte. Mais une négligence ne suffit pas à justifier un licenciement. Encore faut-il prouver qu'il y avait une intention de nuire. Et ça, l'employeur n'a pas réussi à le démontrer.
Sur le montant de l'indemnité, la cour d'appel va plus loin que les prud'hommes. Elle prend en compte l'ancienneté de Fanny (onze ans dans l'entreprise tout de même), son âge au moment des faits, 44 ans, ainsi que les conséquences sur sa santé. Mais ce qui fait pencher la balance, c'est le contexte familial, car son mari a été licencié au même moment pour les mêmes raisons, et leur fils a perdu sa mission d'intérim dans la foulée. En clair, un seul employeur a mis trois membres d'une même famille au chômage simultanément.
Du coup, l'indemnité accordée à Fanny passe de 16 549 euros à 28 960 euros bruts. Par ailleurs, la mutuelle devra rembourser à Pôle Emploi (désormais France Travail) jusqu'à six mois d'allocations chômage versées à la salariée, une sanction financière supplémentaire prévue par la loi en cas de licenciement abusif. Au-delà de ce cas particulier, il faudra retenir que laisser sa session ouverte peut vous exposer, mais ça ne donne pas forcément à un employeur le droit de vous licencier sans prouver que vous avez voulu lui nuire.
*tous les prénoms ont été modifiés.
