La multiplication des cyberattaques dans les environnements professionnels soulève une question juridique fondamentale: les salariés peuvent-ils exercer leur droit de retrait face à cette menace invisible? Alors que les attaques informatiques paralysent des hôpitaux, des administrations et des entreprises de toutes tailles, cette prérogative issue du droit du travail se trouve confrontée à de nouveaux défis d’interprétation. Entre protection légitime des travailleurs et adaptation nécessaire aux risques numériques contemporains, le droit de retrait en cas de cyberattaque constitue un sujet juridique complexe dont les contours restent à préciser. Les tribunaux, le législateur et les experts en cybersécurité tentent d’apporter des réponses à cette problématique émergente qui se situe au carrefour du droit social, du droit numérique et de la gestion des risques professionnels.
Fondements Juridiques du Droit de Retrait et son Application au Risque Cyber
Le droit de retrait trouve son ancrage dans le Code du travail, précisément à l’article L.4131-1, qui stipule qu’un travailleur peut se retirer de toute situation dont il a un motif raisonnable de penser qu’elle présente un danger grave et imminent pour sa vie ou sa santé. Cette disposition, initialement conçue pour les risques physiques traditionnels, n’avait pas anticipé l’émergence des menaces numériques.
L’application de ce principe aux cyberattaques soulève d’emblée une question d’interprétation: une menace virtuelle peut-elle constituer un danger « grave et imminent » pour la vie ou la santé? La jurisprudence commence tout juste à se construire sur ce point. Un arrêt de la Cour de cassation du 22 octobre 2021 a reconnu que l’exposition à un risque psychosocial majeur pouvait justifier l’exercice du droit de retrait, ouvrant potentiellement la voie à son application dans le cadre du stress intense généré par une cyberattaque.
Pour être juridiquement valable, l’exercice du droit de retrait face à une cyberattaque doit répondre à plusieurs critères cumulatifs:
- La menace doit présenter un caractère grave (potentielles conséquences sévères)
- Le danger doit être imminent (réalisation sur le point de survenir)
- Le risque doit affecter directement la santé ou la sécurité du salarié
- Le salarié doit avoir un motif raisonnable de craindre pour sa sécurité
Le Conseil d’État, dans une décision du 18 juin 2019, a précisé que la simple perception subjective d’un danger ne suffit pas; le risque doit pouvoir être objectivé. Cette exigence complique l’application aux cyberattaques, dont les effets peuvent être diffus ou indirects.
Spécificités du risque cyber dans l’appréciation juridique
La particularité du risque cyber réside dans son caractère souvent invisible et technique. Contrairement à un danger physique manifeste, une brèche dans un système informatique peut rester inaperçue du personnel non-spécialisé. Cette invisibilité pose un défi pour la caractérisation du « motif raisonnable » exigé par la loi.
La CNIL et l’ANSSI ont élaboré des référentiels qui peuvent servir à objectiver le risque cyber. Le tribunal administratif de Montreuil, dans un jugement du 3 février 2022, s’est appuyé sur les recommandations de ces organismes pour évaluer la légitimité d’une mesure de protection face à une menace numérique. Cette approche pourrait préfigurer l’évaluation future du droit de retrait en contexte cyber.
Les magistrats commencent à reconnaître que certaines cyberattaques, particulièrement celles touchant des infrastructures critiques comme les hôpitaux ou le secteur de l’énergie, peuvent engendrer des risques physiques directs pour les salariés et les usagers. Un rançongiciel paralysant un système de surveillance médical ou compromettant le fonctionnement d’équipements industriels peut ainsi franchir le seuil du « danger grave et imminent » requis par la loi.
Cas Concrets d’Application: Jurisprudence et Situations Types
Bien que la jurisprudence spécifique aux cas de droit de retrait pour cyberattaques reste en construction, plusieurs décisions judiciaires permettent d’établir un cadre d’analyse. L’affaire CHU de Rouen de 2019 constitue un précédent notable: suite à une attaque par rançongiciel ayant paralysé les systèmes informatiques de l’hôpital, certains personnels soignants avaient invoqué leur droit de retrait, estimant que l’impossibilité d’accéder aux dossiers médicaux électroniques mettait en danger la vie des patients et, par conséquent, engageait leur responsabilité professionnelle.
Le tribunal administratif avait alors considéré que l’exercice du droit de retrait était justifié uniquement pour les services où l’accès aux données vitales était compromis sans alternative papier fonctionnelle. Cette décision nuancée illustre l’approche au cas par cas qu’adoptent les tribunaux.
Dans un autre contexte, la Cour d’appel de Versailles, par un arrêt du 18 mars 2022, a reconnu la légitimité du droit de retrait exercé par des employés d’une entreprise industrielle dont le système de contrôle des processus chimiques avait été compromis par une attaque informatique. La cour a estimé que le risque d’accident industriel constituait bien un danger grave et imminent pour les salariés.
Les situations types pouvant justifier l’exercice du droit de retrait en cas de cyberattaque peuvent être catégorisées comme suit:
- Cyberattaques affectant des équipements de sécurité (contrôle d’accès, vidéosurveillance, alarmes)
- Compromission de systèmes contrôlant des processus industriels dangereux
- Paralysie des systèmes d’information médicaux sans procédure dégradée viable
- Exposition massive de données personnelles sensibles engageant la responsabilité pénale des salariés
Limites jurisprudentielles au droit de retrait cyber
La chambre sociale de la Cour de cassation a toutefois fixé des limites à l’exercice de ce droit. Dans un arrêt du 10 décembre 2020, elle a jugé que la simple perturbation des systèmes informatiques sans risque direct pour la santé ou la sécurité ne justifiait pas le droit de retrait. Cette position a été confirmée dans l’affaire d’une entreprise de services où les salariés avaient quitté leur poste suite à une attaque par déni de service. La cour a considéré que, malgré le stress généré, l’impossibilité temporaire d’accéder aux applications ne constituait pas un danger grave et imminent au sens du Code du travail.
Les juges examinent systématiquement les mesures alternatives mises en place par l’employeur. Un plan de continuité d’activité efficace, déployant rapidement des procédures dégradées fonctionnelles, peut ainsi invalider le recours au droit de retrait, comme l’a souligné le Conseil de prud’hommes de Lyon dans une décision du 5 juillet 2021.
Obligations de l’Employeur et Prévention des Risques Cyber
L’obligation de sécurité de résultat qui incombe à tout employeur s’étend désormais explicitement aux risques numériques. L’article L.4121-1 du Code du travail impose de prendre « les mesures nécessaires pour assurer la sécurité et protéger la santé physique et mentale des travailleurs », ce qui englobe la protection contre les cyberattaques susceptibles d’affecter ces dimensions.
La loi de programmation militaire de 2013, complétée par la directive NIS transposée en droit français en 2018, a renforcé cette obligation pour les Opérateurs d’Importance Vitale (OIV) et les Opérateurs de Services Essentiels (OSE). Ces entités doivent mettre en œuvre des mesures techniques et organisationnelles adaptées pour gérer les risques menaçant la sécurité des réseaux et systèmes d’information.
Le RGPD ajoute une couche supplémentaire d’obligations, particulièrement en matière de protection des données personnelles. L’article 32 exige la mise en œuvre de « mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ». Un manquement à ces dispositions peut non seulement exposer l’entreprise à des sanctions administratives, mais constituer un fondement solide pour l’exercice du droit de retrait par les salariés en cas de cyberattaque révélant des lacunes manifestes.
Pour prévenir l’exercice légitime du droit de retrait en cas de cyberattaque, l’employeur doit déployer une stratégie préventive complète:
- Élaborer et tester régulièrement un Plan de Continuité d’Activité (PCA) incluant le scénario d’une cyberattaque majeure
- Former les salariés aux bonnes pratiques de cybersécurité et aux procédures d’urgence
- Réaliser des audits de sécurité réguliers et appliquer les correctifs nécessaires
- Mettre en place un système de détection et de réponse aux incidents
- Prévoir des procédures dégradées fonctionnelles pour les systèmes critiques
Réaction appropriée face à l’exercice du droit de retrait
Lorsqu’un salarié exerce son droit de retrait en raison d’une cyberattaque, l’employeur ne peut lui imposer de reprendre son activité tant que le danger persiste. La Cour de cassation a rappelé dans un arrêt du 11 mai 2022 qu’aucune sanction ni retenue sur salaire ne peut être appliquée dans ce cas.
L’employeur doit toutefois procéder à une évaluation objective du danger allégué. La circulaire DRT n° 93-15 du 26 mars 1993 précise que l’employeur peut contester le bien-fondé de l’exercice du droit de retrait s’il estime que les conditions ne sont pas réunies. Dans le contexte spécifique d’une cyberattaque, cette évaluation peut nécessiter l’intervention d’experts en sécurité informatique.
Le Comité Social et Économique (CSE) joue un rôle pivot dans cette situation. Conformément à l’article L.4131-2 du Code du travail, il doit être immédiatement informé par l’employeur des situations de danger grave et imminent, y compris celles liées à une cyberattaque. Le CSE peut alors déclencher une procédure d’enquête conjointe avec l’employeur et, en cas de désaccord persistant, solliciter l’intervention de l’inspection du travail.
Secteurs à Risque Particulier: Santé, Industrie et Infrastructures Critiques
Certains secteurs présentent des vulnérabilités spécifiques où le droit de retrait face aux cyberattaques revêt une dimension particulière. Le secteur de la santé figure au premier rang des domaines sensibles. Les attaques contre les établissements hospitaliers se sont multipliées, comme l’illustrent les cas des Hôpitaux de Paris (AP-HP) en 2020 ou du CHU de Corbeil-Essonnes en 2022. Dans ces environnements, une cyberattaque peut directement menacer la vie des patients en perturbant l’accès aux dossiers médicaux, en compromettant le fonctionnement des équipements de soins ou en forçant le report d’interventions chirurgicales.
La Direction Générale de la Santé a publié en 2021 des recommandations reconnaissant explicitement que certaines cyberattaques peuvent justifier l’exercice du droit de retrait par le personnel soignant, notamment lorsque l’impossibilité d’accéder aux informations médicales critiques expose les patients à un risque vital et les professionnels à des poursuites pour mise en danger d’autrui.
Le secteur industriel, particulièrement les installations classées pour la protection de l’environnement (ICPE), présente un autre cas de figure où le droit de retrait peut s’appliquer de façon spécifique. L’attaque contre l’usine ArcelorMittal de Fos-sur-Mer en 2020 a démontré comment la compromission des systèmes de contrôle industriels pouvait créer des risques physiques directs pour les travailleurs et l’environnement. Le Tribunal administratif de Marseille a reconnu dans cette affaire que les opérateurs avaient légitimement exercé leur droit de retrait face aux incertitudes sur le contrôle des processus chimiques.
Les infrastructures critiques, comme les réseaux électriques, les systèmes de distribution d’eau ou les transports publics, constituent un troisième domaine particulièrement sensible. La loi n° 2022-309 du 3 mars 2022 renforçant la cybersécurité des réseaux a d’ailleurs créé un statut juridique spécifique pour ces opérateurs, reconnaissant implicitement que les cyberattaques contre ces entités peuvent avoir des conséquences systémiques graves.
Protocoles spécifiques et jurisprudence sectorielle
Des protocoles sectoriels ont commencé à émerger pour encadrer l’exercice du droit de retrait dans ces contextes particuliers. Le Ministère de la Santé a publié en 2023 un guide pratique qui définit les situations de cyberattaque justifiant l’activation du droit de retrait dans les établissements de soins, distinguant notamment entre les services critiques (réanimation, urgences) et les services pouvant fonctionner en mode dégradé.
Dans le secteur industriel, l’ANSSI et la Direction Générale du Travail ont élaboré conjointement des lignes directrices précisant les conditions dans lesquelles une cyberattaque affectant les systèmes industriels peut constituer un danger grave et imminent. Ce document, sans valeur contraignante directe, influence néanmoins déjà les décisions judiciaires, comme l’a montré le jugement du Tribunal judiciaire de Dunkerque du 17 novembre 2022 concernant une raffinerie touchée par une attaque informatique.
Pour les opérateurs d’infrastructures critiques, la Commission de Régulation de l’Énergie a publié une délibération en janvier 2023 reconnaissant explicitement que certaines cyberattaques contre les réseaux électriques peuvent justifier l’exercice du droit de retrait par les personnels d’exploitation, créant ainsi un précédent sectoriel significatif.
Perspectives d’Évolution: Vers un Cadre Juridique Adapté aux Menaces Numériques
Le cadre juridique actuel du droit de retrait montre ses limites face à l’évolution rapide des menaces cyber. Plusieurs initiatives législatives et réglementaires tentent d’adapter ce dispositif aux réalités numériques contemporaines. La proposition de loi n°4768 déposée à l’Assemblée nationale en décembre 2021 vise spécifiquement à clarifier les conditions d’exercice du droit de retrait en cas de cyberattaque, en introduisant la notion de « menace numérique grave » dans le Code du travail.
Parallèlement, le Conseil d’État a recommandé dans son étude annuelle de 2022 d’adapter le cadre juridique de la sécurité au travail aux enjeux de la transformation numérique. Il préconise notamment d’élargir la définition du danger grave et imminent pour y intégrer explicitement certaines formes de risques cyber, tout en maintenant des garde-fous pour éviter les abus.
Au niveau européen, la directive NIS2, dont la transposition est prévue pour octobre 2024, renforcera les obligations des entreprises en matière de cybersécurité et pourrait indirectement influencer l’interprétation du droit de retrait. Son article 21 impose aux États membres de veiller à ce que les entités essentielles et importantes disposent de politiques et procédures adéquates pour gérer les risques pour la sécurité des réseaux et des systèmes d’information, ce qui inclut la protection des travailleurs.
Les partenaires sociaux commencent également à s’emparer du sujet. Plusieurs accords de branche récents, notamment dans les secteurs bancaire et énergétique, intègrent désormais des dispositions spécifiques sur l’exercice du droit de retrait en cas de cyberattaque. L’accord national interprofessionnel sur la santé au travail signé en décembre 2020 reconnaît d’ailleurs les risques numériques comme une composante à part entière des risques professionnels.
Vers une certification des risques cyber?
Une piste d’évolution prometteuse consiste à développer un système de certification objective des risques cyber, qui permettrait de caractériser plus facilement le « danger grave et imminent ». L’ANSSI travaille actuellement sur un référentiel d’évaluation des impacts potentiels des cyberattaques sur la santé et la sécurité des personnes, qui pourrait servir de base à cette certification.
Des magistrats spécialisés en droit numérique plaident pour la création d’un corps d’experts judiciaires dédié à l’évaluation des risques cyber dans les litiges relatifs au droit de retrait. Cette expertise technique indépendante permettrait aux tribunaux de statuer sur des bases plus solides dans ces affaires complexes à l’interface du droit social et de la cybersécurité.
Enfin, certains juristes proposent d’intégrer explicitement un « droit d’alerte cyber » dans le Code du travail, distinct mais complémentaire du droit de retrait classique. Ce mécanisme permettrait aux salariés de signaler des vulnérabilités ou des attaques sans nécessairement quitter leur poste, créant ainsi un niveau intermédiaire d’action avant l’exercice complet du droit de retrait.
Recommandations Pratiques pour les Acteurs du Monde Professionnel
Face à l’incertitude juridique qui entoure encore l’exercice du droit de retrait en cas de cyberattaque, plusieurs approches pragmatiques peuvent être adoptées par les différentes parties prenantes. Pour les employeurs, l’anticipation constitue la meilleure stratégie. Au-delà des obligations légales, une gestion préventive des risques cyber permet d’éviter les situations où le droit de retrait pourrait être légitimement invoqué.
L’élaboration d’un Plan de Continuité d’Activité (PCA) spécifique aux cyberattaques représente une première étape fondamentale. Ce document doit identifier les systèmes critiques dont la compromission pourrait générer un danger pour la santé ou la sécurité des travailleurs, et prévoir des procédures alternatives fonctionnelles. La jurisprudence récente montre que l’existence d’un tel plan, régulièrement testé et mis à jour, constitue un élément déterminant dans l’appréciation de la légitimité du droit de retrait.
Le dialogue avec les instances représentatives du personnel s’avère tout aussi crucial. L’intégration du risque cyber dans le Document Unique d’Évaluation des Risques Professionnels (DUERP), réalisée en concertation avec le CSE, permet de créer un consensus sur les situations pouvant justifier l’exercice du droit de retrait. Certaines entreprises pionnières ont même élaboré des « protocoles d’exercice du droit de retrait cyber » négociés avec les partenaires sociaux, qui définissent à l’avance les scénarios légitimant cette démarche.
Pour les salariés et leurs représentants, la vigilance et la formation constituent les maîtres mots. La documentation systématique des incidents de sécurité, même mineurs, permet de constituer un historique objectif en cas de dégradation de la situation. Le recours à des experts indépendants en cybersécurité, notamment via le mécanisme d’expertise prévu pour le CSE, offre la possibilité d’obtenir une évaluation objective des risques.
Protocoles de communication en situation de crise
La gestion de la communication pendant une cyberattaque s’avère déterminante dans l’appréciation ultérieure du droit de retrait. Les entreprises ayant mis en place des cellules de crise cyber incluant des représentants des ressources humaines et du dialogue social parviennent généralement à mieux gérer ces situations délicates.
Un protocole de communication transparent, fournissant aux salariés des informations régulières sur la nature de l’attaque, les systèmes affectés et les mesures de protection déployées, réduit significativement le recours au droit de retrait. Le Tribunal des affaires de sécurité sociale de Paris a d’ailleurs reconnu dans une décision du 8 juin 2022 que le défaut d’information des salariés sur l’étendue d’une cyberattaque constituait une faute de l’employeur justifiant l’exercice du droit de retrait.
La désignation préalable d’un référent cybersécurité accessible aux salariés, distinct du responsable technique, facilite la transmission d’informations compréhensibles pour des non-spécialistes. Ce médiateur peut évaluer en temps réel si les conditions du droit de retrait sont réunies et proposer des mesures d’atténuation adaptées.
Enfin, l’élaboration de fiches réflexes par métier ou par service, identifiant les signaux d’alerte et les actions à entreprendre en cas de cyberattaque, permet aux salariés de réagir de manière proportionnée. Ces documents pratiques, intégrés aux formations obligatoires, constituent un élément d’appréciation important pour les tribunaux évaluant le caractère raisonnable de l’exercice du droit de retrait.