LE CONSEIL D'ÉTAT VALIDE LE LICENCIEMENT D'UNE SALARIÉE PROTÉGÉE POUR TRANSFERT MASSIF DE DONNÉES CONFIDENTIELLES

La protection des salariés investis d’un mandat représentatif est un pilier de notre droit social, conçu pour faire écran aux pressions patronales. Cependant,, nous devons rappeler avec fermeté que ce statut n’est pas une zone de non-droit.

L'arrêt rendu par le Conseil d’État le 20 février 2026 vient poser une limite claire : la protection du salarié s'efface devant la violation grave du secret professionnel et de la sécurité des données.

Dans cette affaire opposant l'association Centre Hélène Borel à une salariée, assistante sociale, la Haute juridiction précise qu'une « faute d'une gravité suffisante » est caractérisée dès lors que le transfert de données, même justifié par un droit à la défense, devient massif et indiscriminé. L’enjeu de cette décision réside dans la définition de la proportionnalité : jusqu’où un élu peut-il aller pour constituer ses preuves sans se mettre en péril ?

Rappel des faits

Dans le secteur médico-social, la confidentialité n'est pas une simple clause de style ; c'est une obligation déontologique et légale absolue.

Une salariée, craignant un réaménagement de son poste de travail par son employeur, a transféré sur son mail personnel des informations sensibles relatives à des résidents vulnérables.

En découvrant les pratiques de la salariée, l'employeur a soulevé des manquements que le Conseil d'État a jugés d'une gravité exceptionnelle.

Les faits établis sont sans appel :

• La redirection massive : Plusieurs centaines de courriels professionnels ont été transférés vers une sphère privée.

• L’implication d’un tiers (facteur aggravant) : La salariée a redirigé ces flux non seulement vers sa propre boîte mail, mais également vers celle de son conjoint.

• La nature des données : Le contenu incluait des données nominatives et sensibles sur les résidents, protégées par le secret professionnel.

• La connaissance du risque : Point crucial relevé par le Conseil d'État, l'intéressée avait été explicitement sensibilisée aux enjeux de sécurité informatique et de protection des données.

Ces agissements violaient un arsenal contractuel et réglementaire complet :

• Article 9 du contrat de travail : Respect strict du secret professionnel (Art. L. 411-3 du CASF).

• Article 2 du règlement intérieur : Interdiction de divulguer les activités de l'établissement à des tiers.

• Charte informatique : Interdiction de rendre accessibles des données confidentielles à des tiers sans autorisation.

Rappel de la procédure

Le parcours d'un salarié protégé est jalonné par un « double contrôle ».

D'abord, l'administration (Inspecteur du travail puis éventuellement le Ministre du travail) vérifie l'absence de lien avec le mandat et évalue la gravité des faits.

Ensuite, le juge administratif exerce un contrôle de légalité sur cette qualification juridique.

• 30 avril 2020 : L'inspectrice du travail refuse le licenciement, estimant la faute insuffisante.

• 4 décembre 2020 : La Ministre du Travail, saisie en recours hiérarchique, annule ce refus et autorise la rupture du contrat.

• 24 mai 2023 : Le Tribunal Administratif de Lille annule la décision ministérielle.

• 19 juin 2024 : La Cour Administrative d’Appel (CAA) de Douai confirme l'annulation, minimisant la faute au regard des craintes de la salariée pour son poste.

• 20 février 2026 : Le Conseil d’État censure l'arrêt de la CAA pour erreur de qualification juridique des faits.

La décision du Conseil d'État

Le Conseil d’État rétablit une hiérarchie des normes : la sécurité des données sensibles prime sur la subjectivité des craintes d'un salarié.

En censurant la CAA de Douai, il adresse un message clair aux défenseurs des travailleurs.

• La rupture du secret par le tiers : Le Conseil d'État démontre que la redirection vers le conjoint est une faute majeure. Juridiquement, le conjoint est un « tiers non autorisé ». Peu importe l'absence d'intention malveillante de ce dernier ; le seul fait de rendre des données de résidents accessibles hors de l'institution rompt la chaîne du secret professionnel.

• Le rejet du mobile subjectif : La CAA avait tenté de tempérer la faute par la crainte de la salariée de voir son poste modifié. Le Conseil d'État évalue cette approche comme erronée : même si ces craintes étaient fondées (ce qui n'était pas le cas ici), elles ne sauraient légitimer une violation d'une « particulière gravité » des obligations légales (Art. L. 411-3 du CASF).

• Le critère du "Strictement Nécessaire" : Le droit à la défense permet certes de produire des documents confidentiels en justice, mais le Conseil d'État explique que ce droit ne s'exerce que de manière chirurgicale. Le transfert massif et préventif de centaines de mails est disproportionné.

Cette position consacre une convergence jurisprudentielle forte avec la Cour de cassation (notamment les arrêts n° 24-12.055 et 21-18.577), unifiant ainsi le droit du travail sur la question des preuves numériques.

Pour les élus du CSE et les défenseurs syndicaux, cet arrêt impose une révision des stratégies de constitution de preuve. Ne pas respecter ces règles, c'est offrir à l'employeur les clés de votre propre licenciement.

Recommandations stratégiques :

• Proscrire l'usage des messageries privées : Ne transférez jamais de documents de la BDESE ou des données de bénéficiaires sur un mail personnel, et encore moins sur celui d'un proche. L’obligation de discrétion (Art. L. 2315-3 du Code du travail) est opposable pendant toute la durée de confidentialité fixée par l'employeur.

• Privilégier le "Coffre-fort" sécurisé : Pour vos preuves, utilisez des supports cryptés ou, mieux, confiez les documents sensibles directement à votre avocat. La justice admet la production de documents dont le salarié a eu connaissance, mais elle sanctionne l'appropriation massive et le stockage hors cadre professionnel.

• L'alibi de la défense ne couvre pas l'imprudence : L'obligation de loyauté contractuelle persiste, même en période de conflit. La protection du secret professionnel est une obligation de résultat pour le salarié, particulièrement s'il a été formé (sensibilisé) à ces enjeux.

À RETENIR : La protection exceptionnelle du salarié protégé ne constitue pas une immunité contre les fautes liées à la sécurité des données. La redirection massive de mails vers un tiers — même le conjoint — est une faute d'une particulière gravité que le droit à la défense ne peut couvrir. Pour que l'exception de défense soit retenue, le transfert doit rester strictement nécessaire, proportionné et confidentiel. Tout abus de cette faculté expose le salarié à une validation de son licenciement par les plus hautes juridictions.