IA et arnaque au président : qui est responsable face aux “Deep Fakes” ?

Lors d’une visioconférence, un employé effectue plusieurs versements pour plusieurs millions en faveur de compte-tiers sur ordre de son directeur et en présence de nombreux collègues… pour découvrir ensuite qu’il a été la victime d’une arnaque au président. Quid de sa responsabilité ?

L’arnaque au président, c’est-­à-dire cette arnaque dans laquelle un employé d’une société reçoit l’ordre – par mail, par courrier, par téléphone – d’une personne se faisant passer pour le directeur de la société de faire plusieurs versements importants en faveur d’un ou plusieurs tiers, n’est pas nouvelle. Mais avec les développements de la technologie, ses varian­tes sont cependant de plus en plus perfectionnées.

Ainsi, en février, un employé chinois d’une société de design et d’engineering anglaise (Arup – 18.500 employés), participant à un conference call avec son directeur financier et plusieurs collègues, effectuait sur instructions du directeur quinze transactions sur cinq comptes différents pour près de 26 millions de dollars américains. Pour ensuite se rendre compte que le directeur tout comme les collègues étaient générés par la technologie deep fake utilisant l’IA de manière extrê­mement réaliste pour reproduire tant le visage que les voix des personnes concernées.

L’employé, qui avait reçu un e-mail mentionnant qu’une transaction secrète devait être effectuée et l’invitant à un conference call, avait initialement suspecté qu’il s’agissait d’un phishing. Cependant, le déroulement du call et le réalisme des par­ticipants l’avait convaincu qu’il s’agissait véritablement d’une décision de la société, et il avait effectué les versements.

Si ce cas est révélateur des progrès de la technologie, cette technique de fraude bien connue qui implique parfois des moyens bien plus simples pose inévitablement la question de la responsabilité de l’employé impliqué.

En matière de responsabilité civile, selon l’article 18 de la loi sur les contrats de travail du 3 juillet 1978, un employé ne peut être tenu responsable des dommages qu’il cause à son employeur ou à des tiers dans l’accomplissement de son travail qu’en cas de dol, de faute lourde ou de faute légère habituelle.

Dans l’appréciation de cette notion, il faut tenir compte de la fonction du travailleur, de ses capacités et de ses responsabilités, de l’activité et du profil de l’entreprise ainsi que des circonstances dans lesquelles la faute a été commise.

DroitF.F.F.Livre 6 du Code civil : quelles sont les conséquences pour les administrateurs et les employés ?


Faute lourde ?

Dans notre cas, les respon­sabilités de l’employé et son niveau de fonction et d’éducation a priori élevé imposeraient une appréciation plus stricte mais en même temps les circonstances de la fraude, la complexité technique, le réalisme du conference call tendent à écarter la faute lourde. Sous réserve cependant de l’existence d’instructions claires dans l’entreprise concernant les modalités de versement de sommes (par exemple uniquement par écrit ou avec validation électronique) que l’employé aurait violé.

En matière de licenciement, se posera évidemment la question du licenciement pour motif grave ou même sans motif grave mais pour un motif non manifestement déraisonnable au sens de la CCT 109. L’apprécia­tion du motif grave dépendra aussi clairement des cir­constances et du contexte tandis que sous la CCT 109, l’employeur pourrait invoquer même sans faute un comportement du travailleur justifiant une perte de confiance suffisant au moins à valider un licen­ciement sans faute.

Mots clés

Articles recommandés

4 employés sur 10 ont trop chaud ou trop froid au travail

Méfiez-vous des offres d’investissement présentées comme une alternative aux produits d’épargne classique