Le chef informatique d'une banque a été licencié après la découverte d'un serveur vulnérable lors de tests d'intrusion. La cour d'appel de Paris a jugé ce licenciement sans cause réelle et sérieuse et condamné l'entreprise.
[INFO Clubic] Gabriel*, responsable IT d'une grande banque pendant près de treize ans, fut licencié en février 2021 au terme d'une procédure qui l'a tenu écarté de son poste pendant plus d'un an. Sa direction lui reprochait plusieurs manquements allégués, dont un serveur bancaire laissé sans mise à jour de sécurité, donc non patché, qui lui avait déjà valu un avertissement. La Cour d'appel de Paris lui a donné raison dans un arrêt rendu le 21 mai 2026.
Offre partenaire
Votre petite entreprise a de grandes ambitions. Protégez-là contre les pirates. Et développez sereinement votre activité !
Offre partenaire
Un pentest révèle un serveur bancaire vulnérable, le début des ennuis pour le responsable IT
Dans cette affaire qui met au centre des débats la responsabilité en cybersécurité en entreprise, commençons par les faits. Gabriel a intégré la banque en 2008 comme technicien informatique, avant d'être promu en 2011 à la tête du département Support et Infrastructure. Son quotidien consistait à piloter les systèmes d'information, et s'assurer que les serveurs soient à jour et protégés. Un mandat central dans un secteur bancaire où la moindre faille peut coûter très cher.
En juin 2017, la direction lui demande d'appliquer des patchs de sécurité sur l'ensemble des serveurs. Il confirme par e-mail, le 28 juin, avoir fait le nécessaire. Plus de deux ans plus tard, en novembre 2019, un prestataire chargé de tests d'intrusion (pentest) découvre pourtant un serveur toujours exposé à un virus classé au niveau de danger « critique ». Il alerte aussitôt la banque.
La banque adresse donc un avertissement à Gabriel, nous sommes le 11 décembre 2019. Pour sa défense, il produit un courrier électronique du 27 septembre dans lequel il signalait l'obsolescence d'un serveur et proposait son remplacement. Mais les juges lui reprochent d'avoir omis de mentionner les risques de cybersécurité, et d'avoir davantage présenté la chose comme un souci de confort que comme une vulnérabilité critique à traiter d'urgence.
Du harcèlement moral allégué à la mise à pied conservatoire, une affaire qui déraille
Le mois suivant l'avertissement, en janvier 2020, la banque convoque le responsable informatique à un entretien préalable obligatoire avant tout licenciement pour faute grave, et l'écarte de son poste dans l'attente, ce qu'on appelle une mise à pied conservatoire. Le 27 janvier, Gabriel se rebiffe et dénonce des faits de harcèlement moral de la part de son supérieur, Christian, et une dégradation continue de ses conditions de travail.
La banque saisit donc son comité social et économique (CSE), qui confie l'enquête au cabinet Deloitte. Dans son rapport daté du mois de décembre 2020, il notera l'absence d'un harcèlement moral avéré. Mais le cabinet décrit néanmoins un environnement problématique fait de surcharges de travail, de « méthodes de communication incisives », de cris et d'insultes. Entre Gabriel et Christian, selon le rapport, « c'était la guerre ».
C'est finalement le 2 février 2021, soit plus d'un an après l'entretien préalable et la mise à pied, que la banque notifie le licenciement pour « motif personnel ». Les griefs retenus ne portent d'ailleurs pas sur le serveur non patché, mais sur deux autres faits, à savoir une installation internet défaillante dans une agence, et la disparition de données d'une base de données inactive.
Pourquoi ni le Covid ni l'enquête Deloitte n'ont sauvé la banque en appel
Dans son arrêt, la cour d'appel de Paris a requalifié le licenciement. Peu importe la mention de « motif personnel » dans la lettre, la convocation évoquait explicitement une « sanction disciplinaire pouvant aller jusqu'au licenciement pour faute grave ». Ce caractère disciplinaire rend applicable l'article L.1332-2 du code du travail, qui impose une notification dans le mois suivant l'entretien préalable.
Ni le Covid ni l'enquête Deloitte ne sauveront l'employeur. Les ordonnances de 2020 sur l'urgence sanitaire n'accordaient qu'un délai supplémentaire de deux mois, ce qui est loin de justifier une année entière d'attente. Et l'enquête ne portait que sur les allégations de harcèlement, pas sur les manquements reprochés au salarié. Elle ne pouvait donc pas suspendre le compte à rebours légal.
Au final, la banque a été condamnée à verser 40 000 euros pour licenciement injustifié à son ancien responsable IT, mais aussi 6 000 euros pour ne pas l'avoir traité de bonne foi malgré ses alertes répétées sur ses conditions de travail, et 3 000 euros pour la manière particulièrement éprouvante dont le licenciement a été conduit. Soit 52 000 euros. En revanche, l'avertissement reçu pour le serveur mal sécurisé, lui, reste valable.
*tous les prénoms ont été modifiés.
