L’hameçonnage, ou phishing, s’est imposé comme la première menace cyber pesant sur les entreprises. Le rapport d’activité 2025 de Cybermalveillance.gouv.fr le place en tête des cybermenaces, tous publics confondus, et indique que 43 % des TPE-PME déclarent en avoir été victimes au cours de l’année. Côté technique, environ 60 % des cyberattaques recensées débutent par une tentative d’hameçonnage. Un seul clic d’un collaborateur sur un faux courriel peut suffire à ouvrir l’accès aux systèmes de l’entreprise et à déclencher des virements frauduleux. 

Se pose alors une cascade de questions : le salarié qui s’est laissé piéger doit-il rembourser ? Que risque-t-il sur le plan disciplinaire ? Quelles sont les obligations de l’employeur ? La banque peut-elle être tenue de restituer les fonds ? Cet article fait le point, en droit français comme en droit luxembourgeois, sous l’angle de la gestion d’entreprise et des relations employeur-employé.

À retenir : 

  • Un collaborateur piégé par un courriel de phishing n’engage pas sa responsabilité financière personnelle, sauf en cas de faute lourde (France) ou de négligence grave (Luxembourg). 
  • L’employeur est le premier garant de la sécurité informatique. Avec l’arrivée de la directive NIS2, un manquement aux obligations de formation et de prévention peut engager la responsabilité personnelle du dirigeant
  • Le RGPD impose de notifier toute violation de données personnelles à l’autorité de contrôle compétente (CNIL en France ou CNPD au Luxembourg) dans un délai strict de 72 heures
  • Le remboursement par la banque est imposé pour une opération non autorisée (dont le fraudeur est à l’origine), mais la récupération des fonds est beaucoup plus complexe si la victime a elle-même validé le virement sous la tromperie. 
  • En cas d’urgence, quatre réflexes juridiques s’imposent sans délai : geler les flux financiers, réinitialiser tous les mots de passe compromis, documenter minutieusement les preuves et déposer plainte. 

L’employé victime de phishing : quelle responsabilité face à l’employeur ?

Lorsqu’une cyberattaque par hameçonnage (phishing) frappe une entreprise suite à l’erreur d’un collaborateur, la question de la responsabilité du salarié devient centrale. En droit du travail, que ce soit en France ou au Luxembourg, la législation cherche un équilibre délicat entre la protection légale du travailleur face aux risques d’exploitation et le pouvoir disciplinaire du chef d’entreprise. 

Le principe d’irresponsabilité financière du salarié

La première crainte d’un salarié qui a cliqué sur un lien frauduleux est de devoir rembourser, sur ses deniers personnels, le préjudice subi par l’entreprise. En réalité, le droit le protège fortement. 

En France, la Cour de cassation juge avec constance que la responsabilité pécuniaire d’un salarié envers son employeur ne peut être engagée qu’en cas de faute lourde, c’est-à-dire d’une faute révélant une intention de nuire à l’employeur. 

Une erreur involontaire, même coûteuse, ne remplit pas ce critère. Elle relève en effet du risque d’exploitation que l’employeur assume en sa qualité de chef d’entreprise. Toute retenue sur salaire à titre de sanction est par ailleurs prohibée par l’article L.1331-2 du Code du travail.

Au Luxembourg, la règle est posée par l’article L.121-9 du Code du travail : l’employeur supporte les risques engendrés par l’activité de l’entreprise, tandis que le salarié ne répond que des dégâts causés par ses actes volontaires ou sa négligence grave. La jurisprudence luxembourgeoise assimile généralement la négligence grave à une faute particulièrement sérieuse, proche de la faute lourde. Cette disposition est d’ordre public : une clause du contrat de travail qui ferait par avance peser sur le salarié la réparation de dommages indépendants de sa faute serait nulle. 

En outre, toute retenue sur salaire admise à ce titre ne peut excéder le dixième de la rémunération (article L.224-3) et sous réserve des conditions strictes prévues par le Code du travail et des mécanismes de compensation légalement admissibles. 

Dans les deux pays, un collaborateur abusé par un courriel de phishing sophistiqué ne peut donc, en pratique, être contraint de payer personnellement.

La sanction disciplinaire : de la négligence simple à la faute grave

L’absence de responsabilité financière ne signifie pas l’absence de toute conséquence. Par conséquent, la voie disciplinaire reste ouverte à l’employeur. Encore faut-il qu’une faute soit caractérisée et que la sanction soit proportionnée. 

En droit français, la faute s’entend de tout agissement considéré comme fautif (article L.1331-1 du Code du travail). Sa gravité s’apprécie au regard de plusieurs paramètres

  • L’existence d’une charte informatique opposable ;
  • La formation préalablement dispensée ;
  • Le degré de sophistication de l’attaque ;
  • La répétition des manquements ;
  • L’ancienneté et les fonctions du salarié. 

Un clic isolé, commis par un salarié qui n’a pas été sensibilisé, ne justifiera généralement aucune sanction sérieuse. À l’inverse, le non-respect réitéré de consignes de sécurité explicites, malgré des formations et des alertes, peut fonder un licenciement.

Au Luxembourg, il convient de distinguer le licenciement avec préavis du licenciement pour motif grave (article L.124-10 du Code du travail), réservé aux faits rendant immédiatement et définitivement impossible la poursuite des relations de travail. 

La même logique de proportionnalité s’applique. Ainsi, la juridiction du travail tiendra compte du degré d’instruction du salarié, de ses antécédents et des circonstances de l’attaque. Le point décisif, des deux côtés de la frontière, est que sans charte informatique ni dispositif de sensibilisation, l’employeur peine à démontrer la faute du salarié. La capacité à sanctionner dépend donc directement du respect, par l’entreprise elle-même, de ses propres obligations.

Les obligations de l’employeur : sécurité, formation et RGPD

On peut voir un formateur donner des conseils à une employée.

Si l’entreprise est la première victime d’une attaque de phishing, le législateur considère l’employeur avant tout comme le garant de la sécurité informatique. Entre le devoir de prévention auprès des salariés, le respect strict du RGPD et l’entrée en vigueur de la directive NIS2, les contraintes légales s’intensifient. En cas de cyberattaque, le manque de préparation de l’entreprise se retourne contre elle : non seulement il empêche de sanctionner le salarié piégé, mais il peut désormais engager la responsabilité personnelle du dirigeant

L’obligation de formation et de mise en sécurité

Face au phishing, l’employeur n’est pas seulement une victime potentielle, il est aussi débiteur d’obligations. Il lui appartient de doter ses équipes des moyens techniques de protection (filtrage, authentification renforcée, sauvegardes) et, surtout, de les former. La sensibilisation régulière, les simulations d’hameçonnage et l’adoption d’une charte informatique (idéalement annexée au règlement intérieur en France pour sécuriser sa force disciplinaire), constituent le socle minimal. 

Sur le plan des données, l’article 32 du Règlement général sur la protection des données (RGPD) impose en outre la mise en œuvre de mesures techniques et organisationnelles appropriées pour sécuriser les traitements. Un employeur qui néglige ces obligations s’expose doublement, car il ne pourra pas reprocher utilement la faute à son salarié et il pourra voir sa propre responsabilité recherchée.

NIS2 et responsabilité personnelle du dirigeant

La directive européenne NIS2 (directive (UE) 2022/2555) marque un tournant. La cybersécurité devient une responsabilité de la direction. Elle concerne désormais 18 secteurs d’activité et distingue les entités essentielles (à partir de 250 salariés ou 50 M€ de chiffre d’affaires) des entités importantes (à partir de 50 salariés ou 10 M€). En France, environ 15 000 entités seraient visées ; au Luxembourg, entre 6 000 et 8 000.

La transposition est en voie de finalisation en France par le projet de loi « Résilience » dont la promulgation est attendue courant 2026 et que pilote l’ANSSI

Au Luxembourg, c’est le projet de loi n° 8364 qui est concerné. Ce dernier a été examiné en séance publique fin avril 2026, sous la supervision du Haut-Commissariat à la Protection nationale et de l’ILR (L’Institut Luxembourgeois de Régulation)

La nouveauté majeure tient à la responsabilité personnelle des dirigeants. En effet, les organes de direction doivent approuver et superviser les mesures de gestion des risques et suivre une formation obligatoire en cybersécurité. À défaut, ils encourent des sanctions individuelles, voire une interdiction temporaire d’exercer des fonctions de direction. Les sanctions financières peuvent atteindre 10 M€ ou 2 % du chiffre d’affaires mondial pour les entités essentielles et 7 M€ ou 1,4 % pour les entités importantes.

Notification RGPD obligatoire sous 72 heures

Un phishing réussi se double très souvent d’une violation de données à caractère personnel, vol d’identifiants, accès à des fichiers clients ou de paie. L’article 33 du RGPD impose alors à l’entreprise, en tant que responsable de traitement, de notifier la violation à l’autorité de contrôle dans les 72 heures après en avoir pris connaissance, la CNIL en France, la CNPD au Luxembourg. 

Lorsque la violation est susceptible d’engendrer un risque élevé pour les personnes concernées, celles-ci doivent également être informées (article 34). Toute violation, même non notifiée, doit être consignée dans un registre interne. Le manquement à ces obligations peut exposer à des amendes administratives pouvant, dans les cas les plus graves, atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial (article 83). Ce délai de 72 heures rend indispensable l’anticipation d’une procédure de réaction.

Recours contre la banque : peut-on récupérer les fonds ?

Pirate informatique non identifiable utilisant un ordinateur portable pour pirater un compte bancaire.

La possibilité de récupérer les sommes détournées dépend d’une distinction juridique essentielle, trop souvent ignorée des victimes.

Première hypothèse : l’opération de paiement non autorisée 

Dans ce cas, le fraudeur a lui-même réalisé le paiement à l’aide de données dérobées (identifiants, numéro de carte bancaire, etc.). 

En France, les articles L.133-18 à L.133-24 du Code monétaire et financier, qui transposent la directive européenne sur les services de paiement (DSP2), imposent à la banque de rembourser immédiatement, au plus tard à la fin du premier jour ouvrable suivant la contestation. 

La banque ne peut s’y soustraire qu’en rapportant la preuve, qui lui incombe, d’une fraude ou d’une négligence grave de l’utilisateur. Si elle n’a pas exigé d’authentification forte, le remboursement est intégral et sans franchise (article L.133-19, IV). La contestation doit intervenir dans un délai de treize mois (article L.133-24). Si les fonds ont été détournés vers un compte hors EEE, le délai légal de forclusion tombe à 70 jours (qui peut être contractuellement étendu à 120 jours maximum). 

Le Luxembourg applique le même régime, issu de la loi du 10 novembre 2009 relative aux services de paiement, modifiée par la loi du 20 juillet 2018 ; la CSSF est l’autorité compétente et reçoit les réclamations des utilisateurs.

Seconde hypothèse : le virement autorisé sous l’effet de la tromperie

Ici, c’est la victime elle-même qui, manipulée, a validé le virement. C’est le cas lors de fraude au faux conseiller bancaire, arnaque au président ou bien encore de fausse facture avec changement de RIB. 

L’opération étant juridiquement « autorisée », le mécanisme de remboursement automatique ne s’applique pas et la récupération des fonds est nettement plus difficile. La jurisprudence récente tend toutefois à protéger les victimes : la Cour de cassation a jugé que communiquer un code de validation à un faux conseiller ne constitue pas automatiquement une négligence grave et que la validation par authentification forte ne crée pas de présomption irréfragable de consentement, la charge de la preuve restant sur la banque

La négligence grave avérée demeure néanmoins exclusive de tout remboursement. En présence d’enjeux importants, une analyse juridique au cas par cas est indispensable pour identifier un éventuel manquement de la banque à ses obligations de vigilance ou de sécurité.

Les 4 réflexes juridiques à connaître en cas d’urgence

En matière de fraude, chaque heure compte. Quatre réflexes doivent être déclenchés sans délai.

  • Geler les flux financiers : Contacter immédiatement la banque pour faire opposition, bloquer le compte et tenter un rappel des fonds (« recall »), avant que l’argent ne quitte les comptes de réception. Réinitialiser sans attendre tous les accès et mots de passe compromis.
  • Documenter et conserver les preuves : Sauvegarder les courriels frauduleux, les journaux de connexion, les captures d’écran et horodatages. Cette documentation conditionne aussi bien la contestation bancaire que la qualification, ou l’exclusion, d’une faute du salarié.
  • Déposer plainte : Les faits sont pénalement qualifiables d’escroquerie (article 313-1 du Code pénal français ; article 496 du Code pénal luxembourgeois) et d’accès frauduleux à un système de traitement automatisé de données (article 323-1 du Code pénal français ; article 509-1 du Code pénal luxembourgeois). En France, un signalement complémentaire peut être effectué via la plateforme THESEE ou le site Cybermalveillance.
  • Activer les notifications réglementaires : Notifier la violation de données à la CNIL ou à la CNPD dans les 72 heures si des données personnelles sont concernées, déclarer l’incident au titre de NIS2 le cas échéant, puis adresser à la banque une contestation formelle et écrite dans le délai imparti.

Le respect scrupuleux et immédiat de ces quatre étapes est déterminant pour limiter l’hémorragie financière et maximiser les chances de succès de vos futurs recours légaux

Réactivité et accompagnement juridique, les clés face au risque cyber 

On peut voir deux personnes se serrer la main lors d'un accord contractuel.

Être victime de phishing place l’entreprise à la croisée du droit du travail, du droit bancaire et de la protection des données. Face à un tel incident, plusieurs enseignements majeurs s’imposent. 

Tout d’abord, le salarié piégé n’a en principe pas à réparer personnellement le préjudice financier. Ensuite, l’employeur assume le risque d’exploitation et doit répondre à des obligations toujours plus strictes en matière de sécurité, de formation et de gouvernance. Enfin, la banque peut être tenue de rembourser les sommes détournées, mais sous des conditions qui dépendent étroitement du contexte de l’attaque.

C’est précisément la qualification juridique des faits, négligence simple ou grave, opération autorisée ou non, qui scellera l’issue du dossier. Il est donc crucial d’agir rapidement et de s’entourer d’experts. Face à ces enjeux, un accompagnement juridique adapté permet de sécuriser les procédures internes, de gérer les obligations réglementaires et de défendre les intérêts de l’entreprise en cas de fraude.