L’importance du respect des règles informatiques en place chez l’employeur

L’importance du respect des règles informatiques en place chez l’employeur

Résumé : L’arbitre a confirmé le congédiement d’un responsable de la sécurité informatique à la Ville de Montréal en raison du non-respect de la Directive portant sur l’utilisation des appareils et des services technologiques.

Dans l’affaire Ville de Montréal^[1], l’arbitre a confirmé le congédiement d’un chargé d’expertise et de pratique principal au sein de l’équipe de la sécurité informatique en raison du non-respect de la Directive portant sur l’utilisation des appareils et des services technologiques (ci-après « Directive »).

 I. Contexte factuel

Le plaignant a été embauché à la Ville en juin 2017. Au départ, il a travaillé dans la direction architecture et sécurité informatique et par la suite, à la direction de la sécurité informatique et de la gestion des risques. Il détenait un poste de professionnel syndiqué. Conséquemment, il jouissait d’une très grande autonomie professionnelle.

Dans le cadre de ses activités professionnelles, le plaignant détenait une habilitation de sécurité du SPVM. Au cours de sa carrière à la Ville, il a participé à la mise en œuvre du programme de sécurité de la Ville et au développement des processus de bonnes pratiques informatiques. Il était membre du comité qui a rédigé la Directive. Qui plus est, il a élaboré des capsules d’information en matière de sécurité informatique. D’ailleurs, l’une d’entre elles présentait la Directive à l’effet qu’il faut s’abstenir de transmettre de l’information à l’extérieur de l’environnement technologique de la Ville.

Lors de son témoignage, le plaignant a reconnu qu’il est interdit de transmettre toute information confidentielle ou nominative hors de l’environnement technologique de la Ville, et ce, sans avoir obtenu l’approbation de la Ville.

Au cours de l’année 2015, le plaignant avait une adresse courriel Gmail. C’est à cette adresse que fut trouvé l’archivage personnel du plaignant en 2019. En 2019, le directeur du service a appris que le plaignant se faisait des archives complètes sur sa boîte courriel Gmail (à l’extérieur de l’environnement de la Ville). C’est dans ce contexte que le directeur a expédié un courriel à l’équipe au complet, dont le plaignant, pour les aviser qu’il est interdit d’envoyer des courriels sur un courriel personnel.

Il ressort de la preuve que le plaignant expédiait des documents confidentiels appartenant à la Ville et des courriels de toutes sortes. Toutefois, selon le plaignant, la Directive ne visait pas les courriels personnels sur l’environnement de la Ville.

Le 26 juin 2019, la Ville décide de mettre en place un plan de redressement dont l’objectif était de permettre au plaignant d’améliorer certaines compétences comportementales afin qu’il devienne un leader auprès de ses collègues. Dans le cadre du plan de redressement et des rencontres qui étaient tenues, la Ville lui a demandé d’installer un logiciel sur l’appareil mobile de la Ville, chose qu’il a d’abord refusé de faire, mais qu’il a finalement acceptée à reculons.

De plus, le plaignant a créé un Dropbox personnel afin d’y mettre certaines données obtenues dans le cadre de son travail. L’employeur a appris plus tard la création de la boîte Dropbox et a demandé une enquête auprès du Bureau du contrôleur général afin de valider si l’employé respectait la Directive.

Suite à l’enquête, le Bureau du contrôleur général a rendu son rapport et a conclu au non-respect de la Directive. Ceci a mené au congédiement du plaignant, lequel était basé sur les éléments suivants :

• Avoir copié ou enregistré les données de la Ville sur son système infonuagique personnel;
• Avoir détenu des documents sensibles et confidentiels sur sa boîte Gmail;
• Ne pas avoir respecté la Directive;
• Avoir utilisé des dispositifs de stockage USB pour copier des données;
• Avoir fait preuve d’insubordination en refusant de respecter les directives de ses supérieurs.

 II. Analyse

Après analyse, l’arbitre conclut que la Ville a prouvé tous les manquements. Il n’a pas retenu la version du plaignant suivant laquelle il avait le droit d’envoyer des courriels sur son adresse personnelle, ni son explication à l’effet que le courriel envoyé par son supérieur à toute l’équipe n’était pas suffisamment clair.

Également, le plaignant prétendait que ses collègues avaient utilisé leur courriel personnel dans le cadre de leur travail. L’arbitre retient qu’il n’y a pas de preuve démontrant que la Ville aurait fait preuve de tolérance pour des fautes similaires et que si d’autres collègues ont commis des fautes, ils auront à répondre de leurs actes.

Quant à la proportionnalité de la sanction, l’arbitre retient plusieurs facteurs aggravants, dont :

• Le plaignant détenait un poste professionnel pour lequel il jouissait d’une grande renommée;
• Il avait une expertise qui se situait principalement en sécurité informatique;
• Il était responsable de certaines pratiques spécifiques à la sécurité informatique;
• Il a fait partie du groupe ayant rédigé la nouvelle Directive;
• Il a été formellement avisé par ses supérieurs qu’il ne pouvait exfiltrer des données à l’extérieur de l’environnement de la Ville;
• Malgré l’avis, il a conservé des copies dans ses archives 2019;
• Lors de la rencontre disciplinaire et de l’audience, il n’a manifesté aucun remords ou repenti.

Ainsi, l’arbitre souligne que bien que la sanction soit sévère, il n’appartient pas au tribunal de faire preuve de clémence en lieu et place de l’employeur. Il confirme ainsi le congédiement.

 III. Conclusion

À l’époque actuelle où les enjeux liés à la sécurité informatique sont nombreux, l’employeur est certainement en droit d’adopter des règles strictes pour protéger ses données et à prendre les mesures nécessaires pour les faire respecter. Un employé dont les fonctions touchent directement la sécurité informatique ne pouvait ignorer l’importance de ces règles et les conséquences possibles liées à leur non-respect. De plus, l’absence de remords a été fatale dans l’analyse du bien-fondé du congédiement.