L’accusation fantôme : quand la preuve numérique innocente plutôt que condamne

En bref

  • Un employé accusé d’avoir volé la liste des clients de son employeur
  • L’analyse forensique révèle qu’il n’a jamais copié le fichier
  • Le véritable coupable ? Celui qui avait porté l’accusation
  • Comment une expertise rigoureuse a évité une grave injustice

Le contexte

Dans un cabinet comptable d’une ville moyenne du Québec, l’ambiance est à couteaux tirés. Après quinze ans de bons et loyaux services, un comptable senior annonce son départ pour un poste chez un concurrent local. Une décision professionnelle légitime, pensait-il.

Mais quelques jours avant son dernier jour de travail, son supérieur — le directeur adjoint — l’accuse formellement d’avoir volé le fichier maître contenant les coordonnées de plusieurs centaines de clients. La direction, sous le choc, mandate immédiatement un avocat. L’employé est congédié pour faute grave. On parle de poursuites, de dommages considérables.

Le cabinet comptable, qui compte une dizaine d’employés, voit sa relation de confiance brisée. La clientèle représente des décennies de travail. Si elle devait être « volée » par un employé déloyal, c’est la survie même de l’entreprise qui serait en jeu.

Le problème

L’accusation repose sur des éléments troublants, du moins en apparence. Le directeur adjoint affirme avoir vu l’employé brancher une clé USB à son poste de travail peu avant son départ. Les systèmes de l’entreprise montrent que le fichier maître des clients a été ouvert ce jour-là.

Pour l’avocat mandaté par le cabinet, le cas semble clair. Mais avant de procéder aux poursuites civiles, il souhaite une preuve solide — quelque chose de bétonné pour le tribunal. Il demande une expertise forensique indépendante.

La mission : analyser le poste de travail de l’employé congédié et confirmer que les données clients ont bien été copiées sur un support externe.

Un mandat qui semblait être une simple formalité de confirmation. Ce n’était pas le cas.

L’enquête

Investigation forensique numérique

L’analyse forensique débute par l’examen du registre Windows du poste de travail. Effectivement, une clé USB a bien été connectée à la machine un vendredi de fin d’après-midi — quelques jours avant le départ de l’employé. Le modèle, la capacité, l’heure précise : tout est enregistré par le système d’exploitation.

Jusque-là, l’accusation tient.

L’étape suivante consiste à examiner les logs du serveur de fichiers. Ces journaux enregistrent chaque accès aux documents partagés. Le fichier maître des clients a effectivement été ouvert depuis le poste de l’employé, deux minutes avant que la clé USB ne soit branchée.

La coïncidence temporelle est troublante. Mais une coïncidence n’est pas une preuve.

C’est dans les métadonnées du fichier que la première surprise apparaît. Le document a été ouvert en lecture seule. Aucune opération de copie n’a été effectuée. Aucun transfert vers un support externe n’est enregistré dans les logs système. La clé USB ? Elle contenait des photos de famille que l’employé voulait récupérer avant de quitter — rien de plus.

Mais l’analyse ne s’arrête pas là. Une expertise forensique complète implique d’examiner toutes les pistes, pas seulement celles qui concernent l’accusé.

En fouillant les courriels supprimés du serveur Exchange — une procédure standard dans ce type de mandat —, une découverte inattendue émerge. Trois mois plus tôt, le directeur adjoint avait envoyé l’intégralité du fichier maître des clients vers son adresse Gmail personnelle. Puis il avait soigneusement effacé le courriel de sa boîte professionnelle.

Soigneusement, mais pas assez. Les systèmes de messagerie conservent des traces que seule une analyse forensique peut révéler.

Le puzzle prenait une forme très différente de celle anticipée.

Le dénouement

Email supprimé reconstruit

Les conclusions de l’expertise ont été présentées à l’avocat mandant, puis à la direction du cabinet. L’employé congédié n’avait jamais exfiltré de données. Il avait simplement consulté le fichier clients — comme il le faisait quotidiennement dans le cadre de son travail.

Le véritable auteur de la fuite était celui qui avait porté l’accusation.

L’enquête a révélé que le directeur adjoint avait transmis la liste de clients au concurrent local plusieurs mois auparavant, dans le cadre de négociations pour son propre départ. Lorsque l’employé accusé a annoncé qu’il partait — par coïncidence — pour le même concurrent, le directeur adjoint y a vu une opportunité : faire porter le chapeau à quelqu’un d’autre.

L’employé a été réhabilité. Le directeur adjoint a été congédié et fait maintenant l’objet de poursuites civiles. Le cabinet comptable a pu prendre des mesures pour protéger sa clientèle.

Ce qu’il faut retenir

Cette affaire illustre un principe fondamental de l’expertise forensique : ne jamais partir d’une conclusion pour chercher des preuves. L’analyse doit être exhaustive, impartiale et suivre les données — pas les suppositions.

Les systèmes numériques enregistrent bien plus que ce qu’on imagine. Un fichier « supprimé » ne l’est jamais vraiment. Un courriel effacé laisse des traces. Et la différence entre « consulter » et « copier » un document peut être prouvée avec précision.

Pour les entreprises et les avocats, cette histoire rappelle l’importance de mandater une expertise indépendante avant de tirer des conclusions. Une accusation mal fondée peut détruire une réputation et exposer l’employeur à des contre-poursuites coûteuses.

La preuve numérique ne ment pas — à condition de savoir la lire.

Note : Cette histoire est inspirée de cas réels mais a été anonymisée et modifiée pour protéger la confidentialité des parties. Les détails spécifiques ont été altérés à des fins éducatives.