Lors d’une visioconférence, un employé effectue plusieurs versements pour plusieurs millions en faveur de compte-tiers sur ordre de son directeur et en présence de nombreux collègues… pour découvrir ensuite qu’il a été la victime d’une arnaque au président. Quid de sa responsabilité ?
L’arnaque au président, c’est-à-dire cette arnaque dans laquelle un employé d’une société reçoit l’ordre – par mail, par courrier, par téléphone – d’une personne se faisant passer pour le directeur de la société de faire plusieurs versements importants en faveur d’un ou plusieurs tiers, n’est pas nouvelle. Mais avec les développements de la technologie, ses variantes sont cependant de plus en plus perfectionnées.
Ainsi, en février, un employé chinois d’une société de design et d’engineering anglaise (Arup – 18.500 employés), participant à un conference call avec son directeur financier et plusieurs collègues, effectuait sur instructions du directeur quinze transactions sur cinq comptes différents pour près de 26 millions de dollars américains. Pour ensuite se rendre compte que le directeur tout comme les collègues étaient générés par la technologie deep fake utilisant l’IA de manière extrêmement réaliste pour reproduire tant le visage que les voix des personnes concernées.
L’employé, qui avait reçu un e-mail mentionnant qu’une transaction secrète devait être effectuée et l’invitant à un conference call, avait initialement suspecté qu’il s’agissait d’un phishing. Cependant, le déroulement du call et le réalisme des participants l’avait convaincu qu’il s’agissait véritablement d’une décision de la société, et il avait effectué les versements.
Si ce cas est révélateur des progrès de la technologie, cette technique de fraude bien connue qui implique parfois des moyens bien plus simples pose inévitablement la question de la responsabilité de l’employé impliqué.
En matière de responsabilité civile, selon l’article 18 de la loi sur les contrats de travail du 3 juillet 1978, un employé ne peut être tenu responsable des dommages qu’il cause à son employeur ou à des tiers dans l’accomplissement de son travail qu’en cas de dol, de faute lourde ou de faute légère habituelle.
Dans l’appréciation de cette notion, il faut tenir compte de la fonction du travailleur, de ses capacités et de ses responsabilités, de l’activité et du profil de l’entreprise ainsi que des circonstances dans lesquelles la faute a été commise.
Dans notre cas, les responsabilités de l’employé et son niveau de fonction et d’éducation a priori élevé imposeraient une appréciation plus stricte mais en même temps les circonstances de la fraude, la complexité technique, le réalisme du conference call tendent à écarter la faute lourde. Sous réserve cependant de l’existence d’instructions claires dans l’entreprise concernant les modalités de versement de sommes (par exemple uniquement par écrit ou avec validation électronique) que l’employé aurait violé.
En matière de licenciement, se posera évidemment la question du licenciement pour motif grave ou même sans motif grave mais pour un motif non manifestement déraisonnable au sens de la CCT 109. L’appréciation du motif grave dépendra aussi clairement des circonstances et du contexte tandis que sous la CCT 109, l’employeur pourrait invoquer même sans faute un comportement du travailleur justifiant une perte de confiance suffisant au moins à valider un licenciement sans faute.