LE SECRET DES AFFAIRES, OUTIL DE PROTECTION DES ACTIFS NUMÉRIQUES
par Olivier de MAISON ROUGE (*)
Avocat – Docteur en droit
La loi du 30 juillet 2018 relative à la protection du secret des affaires a contribué à donner corps à une référence juridique de sécurisation de l’innovation stratégique au travers d’une définition harmonisée à l’échelon européen, en complément des règles relatives à la sécurité des systèmes d’information et des données personnelles.
Pour Aristote Onassis « Le secret des affaires est de savoir quelque chose que personne d’autre ne sait ». On pourrait encore affirmer que le secret des affaires est un savoir-faire à ne pas faire savoir.
Il en est ainsi des secrets de composition du Coca-Cola, de la Chartreuse ou du Nutella, toujours imités, mais jamais égalés, permettant à leur titulaire de préserver leurs connaissances substantielles.
Au-delà de ces recettes secrètes issues de l’industrie alimentaire, il faut convenir que l’économie a depuis lors enregistré une mutation profonde. La transformation digitale en est la dernière révolution. La dématérialisation de l’économie rend plus diffus aujourd’hui ce qui constitue le patrimoine d’une entreprise : ses hommes, mais aussi leurs idées, leurs savoir-faire, les connaissances stratégiques, leurs réseaux relationnels et commerciaux, leurs méthodes de gestion, les créations numériques, son patrimoine informationnel, c’est-à-dire un ensemble de pratiques non brevetées, résultant de l’expérience, et testées.
Or, l’utilisation croissante et les rapides progrès des nouvelles technologies de l’information fragilisent ce patrimoine malgré l’amélioration des moyens de défense technique. C’est pourquoi une protection juridique adaptée à cette couche informationnelle s’avérait indispensable, l’atteinte et la révélation d’un tel patrimoine immatériel pouvant parfois générer des conséquences dévastatrices irréparables.
En conséquence de quoi, la protection associée à ces nouveaux savoirs-faires se devait d’évoluer pour les embrasser et par là-même assurer un nouveau cadre favorable à l’innovation. C’est dans ce contexte que le secret des affaires a pris corps, outil de sécurité des actifs stratégiques tout à la fois agile et robuste.
I – Le secret des affaires s’inscrit dans un mouvement de sécurité numérique
Le vrai secret est une connaissance que son détenteur rend délibérément inaccessible. (…)
Le secret, suivant le cas, interdit de connaître, de prouver, de diffuser ou de reproduire l’information qu’il protège voire de la modifier, comme lorsqu’un mot de passe empêche le sabotage de données informatiques.[1]
Face à l’émergence aussi soudaine que rapide des géants du numérique et des acteurs du big data, il a été récemment sanctuarisé le primat de la protection des données personnelles précédemment instaurée en France dès 1978 sous l’autorité de la CNIL qui a depuis lors servi de modèle au reste de l’Europe[2]. De même, l’ANSSI[3] est devenue une référence française présente au cœur de la cybersécurité ; il faut encore relever que le SISSE, créé le 29 janvier 2016[4], a pour sa part mission de participer à « la défense de la souveraineté numérique ».
En outre, dans ce même souci de limiter l’accès à des données sensibles, la France a défini certains modes de protection, notamment physiques et logiques, conférant aux entreprises utilisatrices un droit à restriction de la diffusion des informations. Ce sont les Zones à régime restrictif (ZRR)[5] et les Opérateurs d’importance vitale (OIV)[6], qui sont des cadres juridiques spécifiques et contraignants, permettant aux personnes morales privées de sécuriser, sous le contrôle de l’État et sur autorisation des ministères[7], un périmètre donné, en raison, notamment, de la nature des données traitées au cœur de ces citadelles informationnelles[8].
Depuis 5 ans, l’Europe a accompagné ce mouvement et l’a largement amplifié, en intégrant la cybersécurité des données personnelles :
- La directive 2013/40 relative aux attaques contre les systèmes d’information ;
- Le règlement 910/2014 du 23 juillet 2014 sur l’identification électronique et les services de confiance ;
- Le règlement 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel ;
- La directive 2016/1148 du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union (NIS).
A contrario, déniant la légitime protection des informatives privations des entreprises, et ce bien que la jurisprudence européenne – sous le visa de l’article 8 CESDH – les aient consacrées, les informations économiques non divulguées n’étaient toujours pas consacrées. Il a donc fallu l’adoption de la directive 2016/943 du 8 juin 2016 pour y remédier, laquelle a été transposée par la loi du 30 juillet 2018 (désormais article L. 151-1 et suivants du code de commerce).
Dans cet esprit, le secret des affaires – en ce qu’il revêt la confidentialité des informations économiques non divulguées – permet de renforcer la compétitivité de l’entreprise et de s’inscrire dans un acte d’affirmation de stratégie. Plus prosaïquement, il s’agit de préserver l’avantage concurrentiel de son titulaire dans une économie largement ouverte, dématérialisée et exposée aux risques contemporains.
La source d’inspiration de ce projet de directive trouve son origine dans l’Accord sur les aspects des droits de propriété intellectuelle qui touchent au commerce (ADPIC) qui est une annexe au Traité de Marrakech du 14 avril 1994, instituant l’Organisation Mondiale du Commerce (OMC). Il n’est pas inutile de rappeler que les principes directeurs de cet organisme tendent à la libre circulation des marchandises, au niveau mondial.
Précisément, se voulant l’exception au principe affirmé, l’accord ADPIC crée une catégorie de droits dérogatoires échappant à cette dérégulation. Ce faisant, l’OMC vise nommément la protection des renseignements économiques non divulgués qu’elle range parmi les droits assimilés à la propriété intellectuelle liée au commerce.
II – La protection d’un actif immatériel stratégique
Le texte instaure une norme juridique unifiée afin « d’étalonner » cette notion constituée de R&D, « de savoir-faire et d’informations commerciales non divulguées » pour en reprendre le titre de la directive.
Les secrets d’affaires seraient ainsi identifiés sous trois conditions cumulatives :
- non connus du grand public, ou du secteur professionnel concerné, c’est-à-dire tenus secrets ;
- ayant une valeur commerciale, effective ou potentielle, parce que secrets ;
- et faisant l’objet de mesures spécifiques destinées à les garder confidentiels
Sous cette définition commune et harmonisée, le secret des affaires est présenté comme un outil supplémentaire permettant de renforcer la préservation des actifs informationnels de l’entreprise.
La protection des informations essentielles est désormais assurée en amont par la confidentialité renforcée, rendant indisponible une information par nature volatile, et a posteriori par le juge qui doit préserver le secret.
Ce socle juridique faisait jusqu’à présent défaut en droit car, sauf à s’intégrer à un logiciel, un algorithme n’est pas protégé par le droit. En effet, le droit de la propriété intellectuelle couvre davantage des inventions de nature industrielle et/ou artistique, mais ne recouvre pas l’innovation numérique qui en est absente en tout ou partie. Le droit des logiciels est d’ailleurs un droit récent, davantage considéré comme un droit connexe du droit d’auteur. De même, le droit des producteurs de bases de données, qui pouvait être le cadre juridique des informations stratégiques, est trop restreint et mal appliqué. C’est pourquoi une protection juridique adaptée à ce patrimoine de la connaissance stratégique s’avérait indispensable.
Sur la notion de valeur commerciale, selon le législateur français, il faut entendre, pour son détenteur, « un élément de son potentiel scientifique, technique, de ses intérêts économiques ou financiers, de ses positions stratégiques ou de sa capacité concurrentielle »[9] mais recouvre également les procédés, techniques, formules, algorithmes, cahiers de laboratoires, R&D, organigramme, business plan, concept, … conformément à la Directive qui recherchait la protection de « l’économie de la connaissance » en vue de constituer »[10]
En revanche, à la différence des droits de propriété intellectuelle, son titulaire ne dispose pas de titre délivré par l’INPI, mais doit s’assurer de sa protection afin de conserver son monopole par nature précaire. En cela, pour le vice-Président de l’OMPI[11], « ce type de protection ne nécessite pas de procédure d’enregistrement auprès de l’administration : il s’applique de facto au sein de chaque entreprise (…) qui plus est, le secret d’affaires permet de protéger un volume d’informations bien plus important que ne le permet un brevet ».
Ce faisant, le droit français a donc opté pour un outil agile, simple d’utilisation, peu onéreux et tout à la fois robuste, répondant aux préoccupations légitimes des start-uppers et entrepreneurs de l’industrie du futur, à condition de mettre en œuvre des mesures de sécurité spécifiques.
La loi envisage d’en assurer largement la protection contre l’obtention, la divulgation et l’utilisation illicites et notamment :
– la juridiction saisie pourra ordonner des mesures d’interdiction, notamment provisoires ;
– il sera possible de solliciter des mesures dites « correctives » se traduisant notamment par l’interdiction d’importation de produits fabriqués en violation de secrets d’affaires ;
La procédure judiciaire, souvent présentée comme étant un mode de collecte d’informations confidentielles, pourra être aménagée au moyen de mécanismes permettant d’assurer la préservation des secrets d’affaires :
(i) Création d’un périmètre de confidentialité pour les parties (avocats, experts, témoins).
(ii) Restriction dans l’accès aux pièces produites au cours de la procédure.
(iii) Restriction dans l’accès aux audiences.
(iv) Jugement élagué de l’énonciation des secrets d’affaires.
En matière de réparation des dommages, outre le préjudice constaté, le juge pourra également tenir compte des conséquences économiques négatives telles que le manque à gagner ou les bénéfices réalisés par le contrevenant.
Innovation juridique majeure, le secret des affaires présente donc une matrice opérationnelle pertinente en matière de sécurité numérique des actifs immatériels qui reste désormais à déployer au sein de l’entreprise, où, au-delà de la contrainte, il s’agit davantage de faire œuvre de pédagogie et de sensibilisation pour permettre à tout salarié d’avoir conscience de protéger son outil de travail et son emploi car, comme l’énonce Roger-Pol DROIT, « sans le secret des affaires, c’en serait fini de l’industrie, des services, de l’économie »[12].
Notes de lectures :
(*) Olivier de MAISON ROUGE
Avocat (domaines de compétences : numérique, protection des données, secret des affaires, intelligence stratégique et sécurité économique, droit des affaires). Membre associé www.lex-squared.com Docteur en droit. Diplômé de Sciences politiques. Auteur, enseignant.
Professeur associé à l’Ecole des relations internationales (ILERI) et à l’Ecole de Guerre Economique (EGE), intervenant régulier à l’IHEDN et à l’Ecole Nationale de la Magistrature (ENM). Membre du comité d’éthique du syndicat français de l’intelligence économique (SYNFIE) et vice-Président de la Fédération Européenne des Experts en Cybersécurité (EFCSE). Coprésident de la commission Renseignement et sécurité économique de l’ACE (Avocats conseils de l’entreprise).
Rapporteur du Groupe de travail (Ministère de l’Economie et des Finances / SISSE) sur la transposition de la directive n°2016/943 du 8 juin 2016 sur le secret des affaires.
Ayant été amené au cours de sa carrière à défendre des entreprises confrontées aux tentatives d’espionnage économique et ingérences économiques (notamment pillage technologique), il a développé une véritable doctrine en matière de contre-mesures juridiques et de protection du patrimoine informationnel. Il est ainsi un des spécialistes de la sécurité des actifs incorporels et de leur valorisation.
Auteur de nombreux articles et d’ouvrages :
– Cyberisques. La gestion juridique des risques numériques, LexisNexis, 2018
– Penser la guerre économique. Bréviaire stratégique. VA Editions, 2018
– Le droit du renseignement – renseignement d’Etat, renseignement économique, LexisNexis, coll. Actualité, 2016
– Le Droit de l’intelligence économique. Patrimoine informationnel et secrets d’affaires, Lamy, coll. Axe Droit, 2012.
[1] François-Bernard et Edith HUYGHE, Histoire des secrets, Hazan, 2000
[2] A ce titre, il faut se souvenir que la loi informatique et liberté, qui peut paraître très avant-gardiste à l’heure où l’ordinateur domestique n’était pas répandu ; en réalité, le législateur a voulu s’opposer à un projet gouvernemental de fichage électronique national dénommé « Safari ». Clin d’œil de l’histoire, le RGPD applicable 40 ans plus tard vise à freiner l’ingérence électronique des GAFAM (Pour Google, Apple, Facebook, Amazon et Microsoft), Apple ayant son moteur de recherches dénommé « Safari » …
[3] Agence Nationale de Sécurité des Systèmes d’Information
[4] D. n°2016-66, Art. 2 3°
[5] décret n°2011-1425 du 2 novembre 2011, arrêté du 3 juillet 2012 et la circulaire n° 3415/SGDSN/AIST/PST du 7 novembre 2012.
[6] Article R. 1332-1 et s. du Code de la défense en application de l’article 22 de la Loi de Programmation militaire (LPM) n°2013-1168 du 18 décembre 2013[7] Sous l’autorité d’un Haut fonctionnaire de défense et de sécurité (HFDS)[8] Depuis, la Directive (UE) 2016/1148 du 6 juillet 2016 dite NIS a instauré un niveau élevé commun de sécurité des réseaux et des systèmes d’information transposée par la loi du 23 février 2018
[9] Exposé des motifs, proposition de loi déposée à la Présidence de l’Assemblée Nationale le 19 février 2018
[10] Directive, préambule
[11] Pooley James, « Le secret d’affaires : un droit de propriété intellectuelle méconnu », in OMPI magazine, juin 2013
[12] In « Dangereuse transparence », Les Echos, 26 octobre 2011
Laisser un commentaire