Refuser de donner son mot de passe lors d’un arrêt maladie serait seulement un problème de désobéissance ? Bullshit.

En substance, un agent en arrêt maladie refuse de donner son mot de passe de session à sa hiérarchie. Et se voit sanctionner administrativement pour désobéissance hiérarchique, fait appel au TA qui donne raison à la hiérarchie ; la sanction est donc maintenue.

Les arguments de l’agent utilisés pour refuser de communiquer son mot de passe peuvent surprendre :

– l’absence d’une charte informatique ; cela fait un peu léger ;
– la production seulement d’une copie écran de sa messagerie pour prouver que les données sont sur les serveurs de l’entreprise et non sur son PC ; on comprend que le juge ait balayé l’argument, et d’ailleurs l’exemple du logiciel ASA Périmètre ci-dessous semble infirmer cet argument ;
– la communication de son mot de passe à sa supérieure hiérarchique permettrait à tout le service d’effectuer des actions informatiques en son nom ; le juge semble avoir balayé l’argument ;
– le cassage du mot de passe par un prestataire informatique (voir plus bas) rendrait sa vie privée accessible (tiens ! justement, la charte informatique en question, je serais curieux d’y jeter un coup d’œil).

Mais surtout (et c’est le point de bascule de ce dossier), l’agent « ne conteste pas que seul son poste de travail permet d’effectuer la mise à jour du logiciel ASA Périmètre et d’accéder au logiciel Vis Dgi ». Ça sent à plein nez le logiciel qui nécessite un certificat installé en direct sur le PC avec un mot de passe (et l’agent a certainement choisi le même que son mot de passe de session), ce qui explique que son absence bloquait tout. D’ailleurs, dans la suite du jugement, il est indiqué que l’employeur a dû faire appel à un prestataire informatique, je suppose pour casser le mot de passe de session, indispensable pour débloquer le certificat de mise à jour, si c’est bien l’explication technique.

En filigrane, on soupçonne surtout que le courant ne devait pas extrêmement bien passer entre l’agent et sa hiérarchie (il est fait mention de faits de harcèlement et de menaces, que le juge n’a d’ailleurs pas retenus), sans pouvoir déterminer si le jugement en est ou non la cause ni qui en est à l’origine. Mais il y a tout de même plusieurs points qui interrogent, sans que le jugement puisse être remis en question, du reste, car ils concernent plutôt les aspects opérationnels de l’affaire.

D’abord, on parle d’un agent en arrêt maladie, qui n’était absolument pas tenu de décrocher son téléphone (et je pense que c’est ce qui se passera par la suite). Sa hiérarchie aurait fait quoi alors ? Envoyer le Swat chez lui pour récupérer le mot de passe de session ? Et si l’agent s’était tué en parapente, la hiérarchie aurait fait comment ? Elle aurait sorti les bougies, la boule de cristal et les tables tournantes ?

Encore plus drôle : et si (ou plutôt QUAND) l’entreprise a (ou aura) déployé du MFA en interne, ça lui fait (fera) une belle jambe d’avoir le code PIN sans la carte, ou le mot de passe sans le terminal OTP.

On poursuit : si l’histoire de certificat avec mot de passe précédemment évoqué correspond à ce qui s’est réellement passé (et je dis bien SI), à quel moment la hiérarchie a tilté sur le fait qu’une partie du fonctionnement du service reposait sur un logiciel, installé sur un seul PC, avec un seul certificat (j’imagine non sauvegardé) et dont le mot de passe était connu d’une seule personne sans être référencé dans un KeePass ou équivalent ? D’ailleurs, même si je m’égare dans cette hypothèse de certificats, force est de constater que d’après la hiérarchie le fonctionnement du service reposait en partie sur un logiciel dont le mode de fonctionnement nécessitait la connaissance d’un secret détenu par l’agent seul.

Dit autrement, et à ce stade, avec 15 guillemets et du conditionnel au carré dans toutes les phrases, il n’est pas exclu que l’agent en question ait voulu enquiquiner son employeur, mais il n’est pas exclu non plus que ce dernier ait été un tantinet léger dans la maîtrise de ses assets, de ses risques, bref de son outil de travail.

Dit encore autrement et avec le prisme 27001, le juge a émis un avis sur les faits (c’est son travail), mais le sujet n’est pas qu’un agent refuse de communiquer son mot de passe quand il est absent, le fond du problème (la root cause, si vous préférez) est à chercher dans les processus de management et pas ailleurs – je peux vous citer une bonne demi-douzaine de manquements aux 93 mesures de l’annexe A dans ce seul exemple.

[1] https://acteurspublics.fr/articles/fonction-publique-le-manque-de-cooperation-numerique-equivaut-a-de-la-desobeissance-fonction-publique-quand-un-mot-de-passe-est-a-lorigine-dun-avertissement-fonction-publique-quand-un-mo/

[2] https://www.doctrine.fr/d/TA/Marseille/2025/TA89931E3CFABB17D4EA06