Un jugement du tribunal régional supérieur (Oberlandesgericht - OLG) de Munich montre les conséquences fatales que peut avoir la transmission d'e-mails professionnels sur le compte de messagerie privé : Le tribunal a confirmé le licenciement sans préavis d'un membre du conseil d'administration pour violation grave du RGPD.
Licenciement sans préavis après avoir transmis des e-mails confidentiels
La décision de la Cour d'appel de Munich du 31 juillet 2024 (réf. 5 HK O 14476/21) traite de la résiliation extraordinaire sans préavis et de la révocation d'un membre du directoire d'une ancienne société anonyme (AG), transformée entre-temps en société à responsabilité limitée (GmbH). Le plaignant, un ancien membre du directoire, a porté plainte contre la révocation et la résiliation de son contrat de travail au sein du directoire.
L'affaire portait principalement sur le transfert par le membre du conseil d'administration de courriels confidentiels de l'entreprise vers son compte GMX personnel.
Une violation grave du RGPD suffit pour un licenciement sans préavis
Le tribunal a constaté que la transmission répétée d'informations confidentielles sur le compte de messagerie privé du plaignant constituait une violation grave des règles de protection des données, notamment du règlement général sur la protection des données (RGPD). Ces violations constituaient un motif grave de licenciement sans préavis en vertu de l'article 626 du BGB.
"Au détriment du demandeur, il fallait prendre en compte dans la balance le fait que les courriels transmis contenaient des données extrêmement sensibles (plans de commissions, décomptes de salaires et de commissions, procédures de conformité, litiges entre les membres du directoire de la défenderesse), à la confidentialité desquelles la défenderesse avait un très grand intérêt et qui ne se rapportaient pas non plus uniquement à la relation entre les parties, mais concernaient en outre des tiers (notamment l'employé ...), qui pouvaient partir du principe que leurs données ne se retrouvaient pas sur des comptes de messagerie privés comme celui du demandeur", explique le tribunal régional supérieur de Munich.
Même en l'absence de transmission des données à des tiers non autorisés, le tribunal a considéré qu'il s'agissait d'une violation grave de l'obligation de diligence prévue par l'article 93, paragraphe 1, de la loi sur les sociétés anonymes, qui se traduisait notamment par le non-respect des règles de protection des données. Le plaignant avait utilisé son adresse électronique privée dans CC à neuf reprises au moins, sans demander les autorisations correspondantes.
Conseil de lecture : Arrêt de la CJUE sur les amendes RGPD : Quel est le pouvoir d'appréciation d'une autorité de protection des données ?
Après le jugement de l'OLG : conséquences pour les entreprises
La décision de la Cour d'appel de Munich a des conséquences importantes pour les entreprises, en particulier pour leurs conseils d'administration, leurs directeurs et leurs conseils de surveillance :
- Respect strict du RGPD :
Les entreprises doivent veiller à ce que les conseils d'administration et les directeurs respectent strictement les dispositions du RGPD. La transmission non autorisée de données à caractère personnel, notamment d'informations confidentielles sur l'entreprise, peut constituer un motif de licenciement important. Les conseils d'administration sont tenus de prendre les mesures appropriées pour garantir le respect des règles de protection des données au sein de leur entreprise. - Responsabilité des organes de surveillance :
Les conseils de surveillance et les assemblées des associés doivent agir rapidement en présence d'un motif de licenciement et veiller à ce que l'organe collégial soit convoqué sans délai. Un retard peut entraîner l'expiration du délai de deux semaines prévu par l'article 626, paragraphe 2, du BGB, ce qui pourrait compromettre la validité d'un licenciement avec effet immédiat. - Politique interne de sécurité des données :
Les entreprises devraient élaborer des directives internes régissant clairement le traitement des données sensibles. Cela inclut également la définition de sanctions en cas de non-respect. Ces directives devraient être communiquées régulièrement et accompagnées de formations. - Évaluation de la proportionnalité en cas de licenciement :
Le tribunal a confirmé une nouvelle fois que même si un membre du conseil d'administration a travaillé avec succès pendant de nombreuses années, un manquement grave à ses obligations peut justifier un licenciement sans préavis si la confiance de l'entreprise dans le conseil d'administration est détruite. Cela montre qu'il est nécessaire de peser soigneusement les intérêts en présence, en mettant notamment l'accent sur la gravité de la violation des obligations.
Les conseils d'administration doivent également se conformer au RGPD
Le jugement du tribunal régional supérieur de Munich montre clairement que la protection des données joue désormais un rôle central, même pour les conseils d'administration. Les entreprises sont bien avisées d'établir des directives claires sur le traitement des données confidentielles et de contrôler systématiquement leur respect. Pour les conseils d'administration et les directeurs, cela signifie que les violations de la protection des données peuvent avoir des conséquences personnelles et professionnelles considérables - jusqu'au licenciement sans préavis.
Source : OLG München, jugement final du 31.07.2024 - 7 U 351/23 e