La protection du secret des affaires : une mise en conformité nécessaire

OLYMPUS DIGITAL CAMERA

Alors qu’en 2018, le sujet d’actualité était le RGPD, le texte relatif à la protection du secret des affaires, adopté en juillet 2018 est passé relativement inaperçu pour ceux qu’il doit le plus intéresser : les détenteurs de tels secrets.

Seule la presse d’investigation ou polémiste et certaines organisations qui surveillent les activités industrielles ou commerciales pour en dénoncer les dérives, réelles ou supposées, se sont emparées de cette réforme pour la dénoncer vivement, craignant qu’elle n’entrave leurs activités ; voire pour en faire un épouvantail emblématique des pratiques qu’elles dénoncent.

Décryptage de l’intérêt de ce texte et de sa mise en œuvre dans le secteur industriel et commercial pour, ou contre, les détenteurs de secrets des affaires… selon la façon dont ils les ont obtenus !

Par Nicolas Courtier, Avocat

C’est le 30 juillet 2018 qu’a été adoptée en France la loi n°2018-670 relative à la protection du secret des affaires transposant la Directive 2016/943 du 8 juin 2016. Cela s’est concrétisé par la création d’un Titre cinq dans le premier Livre du Code de Commerce, intitulé « De la protection du secret des affaires » (articles L. 151-1 à L. 154-1). Ces textes législatifs ont été complétés de dispositions réglementaires issues d’un décret n°2019-1333 du 11 décembre 2018, qui a créé les articles R152-1 à R153-10 du Code de commerce.

Cette loi poursuit trois objectifs : permettre à l’entreprise de protéger ses connaissances stratégiques et ses informations sensibles, faciliter les actions judiciaires pour prévenir ou faire cesser les atteintes au secret des affaires et protéger le secret des affaires pendant les procédures judiciaires.

Une nouvelle souplesse déstabilisante

Les protections existantes ne s’appliquaient pas aux simples informations, mêmes stratégiques et les législations étaient hétérogènes d’un Etat à l’autre. Aucune des dispositions préexistantes ne les protégeaient, ni la propriété intellectuelle, ni le droit de la concurrence, ni le droit de propriété, ni le droit commun de la responsabilité. Le secret des affaires peut aussi être préféré à des protections qui impliquent la divulgation de l’information, comme avec un brevet. Ceci dans un environnement où les atteintes sont de plus en plus courantes ou facilitées, du fait du développement des moyens de communications, de la généralisation de la numérisation et des réseaux. La Directive est donc venue combler ce qui avait reçu le surnom de « trou dans la raquette », en adoptant des critères assez souples mais qui requièrent de l’anticipation. Cette souplesse n’a pas manqué de déstabiliser beaucoup de juristes, mais elle s’inscrit dans la logique de l’évolution du droit européen.

Trois critères cumulatifs

L’information, pour recevoir la qualification de « secret des affaires » et la protection qui en découle doit réunir trois critères cumulatifs : ne pas être généralement connue ou aisément accessible pour les personnes familières de ce type d’informations en raison de leur secteur d’activité, avoir une valeur commerciale, effective ou potentielle du fait de son caractère secret et avoir fait l’objet de mesures de protection raisonnables, compte tenu des circonstances, pour en conserver le caractère secret.

Gouvernance, juridique et technique

Pour que l’information soit restée secrète cela demande d’abord de l’avoir identifiée comme sensible, puis d’être capable d’en démonter la valeur ou le potentiel et d’avoir pris des mesures pour la protéger ; sans oublier de documenter tout ce processus. C’est une logique qui est commune à toutes les actions de compliance telles que pour les actions de mise en conformité au RGPD. C’est une démarche qui relève de la gouvernance et du juridique pour l’organisation des activités et des processus, et de la technique pour sécuriser les systèmes et les réseaux.

Un processus de mise en conformité en six étapes 

Pour faire face à une atteinte à ses secrets des affaires, l’entreprise doit au préalable avoirdésigné un référent ; sensibilisé ses équipes ; identifié les informations confidentielles ; classé les informations confidentielles avec éventuellement l’élaboration d’un registre interne ; élaboré des procédures liées à la confidentialité – référentiel de mesures raisonnables, politique de sécurité du patrimoine informationnel ; et enfin mis en place les outils de sécurisation : contrôler les accès physiques et IT – créer des dispositifs de contrôle de la DICT (Disponibilité, Intégrité, Confidentialité, Traçabilité).

L’atteinte au secret des affaires

La loi définit trois types d’atteintes au secret des affaires (Articles L 151-4 à L 151-6 du Code du Commerce) :

  • L’obtention illicite constituée par un accès non autorisé au secret ou par un comportement déloyal et contraire aux usages en matière commerciale pour y accéder. La Loi prévoit en revanche que ce n’est pas le cas du rétro-engineering autorisé par l’article L 151-3 du Code du Commerce, ni de la découverte identique.
  • L’utilisation illicite ou l’utilisation sans le consentement d’un secret obtenu soit illicitement soit par la production, l’offre ou la mise sur le marché de produits résultant de manière significative d’une atteinte au secret des affaires par une personne qui aurait dû savoir « au regard des circonstances » qu’il avait été obtenu de manière illicite.
  • L’obtention, l’utilisation ou la divulgation d’un secret par une personne qui ne se l’est pas procuré elle-même mais qui aurait dû savoir au regard des circonstances qu’il avait été obtenu de manière illicite.

Ce droit devant néanmoins, selon la logique habituelle du droit européen, être « mis en balance » avec les autres droits fondamentaux. Tel que la liberté de la presse ou la liberté d’information, ce qui invalide une partie des craintes à l’égard de l’usage qui pourrait en être fait pour « museler l’information ». Ou le droit de révéler « dans le but de protéger l’intérêt général et de bonne foi, une activité illégale, une faute ou un comportement répréhensible », ce qui protège les lanceurs d’alerte (Article L 151-8). Des protections existent aussi pour les salariés et leur représentants (Article L 151-9). Dans tous les cas les juges peuvent ordonner la divulgation lorsqu’ils l’estiment nécessaire et proportionnée.

Des mesures pour faire stopper l’atteinte

Si une entreprise estime avoir subi de telles atteintes, dans un délai de cinq ans, elle peut rechercher la responsabilité civile de leur auteur pour obtenir une indemnisation dont les modalités de fixation sont détaillées par le texte (Article L 152-6).

Cette législation ne prévoit pas de sanctions pénales en plus des indemnisations mais une batterie de mesures qui peuvent être réclamées au juge pour faire stopper l’atteinte. A titre d’exemple, il est possible d’interdire les actes de production, d’offre, de mise sur le marché ou d’utilisation des produits concernés, d’ordonner la destruction totale de tout objet contenant le secret des affaires ou la remise au demandeur, de rappeler des circuits commerciaux les produits résultant de l’atteinte, etc.

Les mesures peuvent donc être particulièrement importantes et coercitives, certaines peuvent être demandées en référé. Ceux qui ont obtenu le secret des affaires litigieux de bonne foi mais en ayant appris par la suite qu’il provenait à l’origine d’une obtention illicite peuvent bénéficier d’aménagements. La sanction peut faire l’objet d’une publicité mais le texte demande au juge de veiller alors à ne pas, ce faisant, accroître la diffusion du secret ! (Article L152-7 alinéa 2). A l’inverse, le texte prévoit expressément la sanction d’un usage abusif de cette notion (Article L152-8).

Les actions préalables pour prouver l’atteinte

Il est possible de demander au juge, sur requête, un constat d’huissier – accompagné généralement d’un expert informatique – pour constater l’existence de l’atteinte au secret des affaires (Article 145 du Code de Procédure Civile). Il s’agit d’une action très forte car la requête n’est pas contradictoire et le constat bénéficie donc d’un effet de surprise. La propriété privée ne lui est opposable, l’huissier peut bénéficier de l’assistance des forces de l’ordre. L’huissier et l’expert ont accès à tout le système d’information dans le cadre de l’intervention, néanmoins impératif, fixé par l’ordonnance. La confrontation avec la protection de la vie privée et des données à caractère personnel est donc évidente, de même qu’avec celles des propres secrets d’affaires de celui qui subit la mesure.

La partie réglementaire du Code anticipe ce type de difficultés et l’Ordonnance peut prévoir, même d’office, une mise sous séquestre provisoire des pièces qui font l’objet du constat par l’huissier. Elle est généralement demandée pour convaincre le juge de signer l’Ordonnance. Or le second alinéa de l’Article R153-1 du Code de Commerce prévoit que dans un délai d’un mois à compter de la signification de la décision, la mesure de séquestre provisoire est levée et les pièces sont transmises au requérant si le juge n’est pas saisi d’une demande de modification ou de rétractation.

L’entreprise qui subira un tel constat devra donc pendant le déroulement même des opérations prévenir en urgence son conseil, signaler à l’huissier la présence de données à caractère personnel, de données relevant de la vie privée ou de ses propres secrets des affaires. Si elle en a désigné un, le Délégué à la Protection des Données devra être informé et consulté sans délai afin qu’il puisse faire valoir la protection des droits des personnes dont les données à caractère personnel se retrouvent dans le périmètre du constat.

Et, immédiatement après le constat, s’il y a matière, celui qui l’aura subi devra demander à son conseil de contester le bienfondé de la mesure par une action en rétractation ou de contester son périmètre par une action en modification, en veillant à respecter le délai d’un mois.

La protection du secret des affaires durant le procès

Enfin, la loi a organisé la protection du secret des affaires dans le cadre des procédures où normalement, en application du principe majeur du contradictoire, tout doit s’échanger. Le déroulement du procès peut donc être aménagé pour permettre la préservation du secret, avec des procédures spécifiques pour les demandes de communication ou de production de pièces.

Pour cela le juge va pouvoir prendre seul connaissance de la pièce considérée comme secrète ou décider de limiter sa communication dans le cadre de l’affaire, décider de réaliser une audience non publique ou adapter son jugement, sa motivation et les modalités de sa publication afin d’éviter la publication du secret. Le juge peut imposer des obligations de confidentialité pour les personnes ayant accès au dossier.

La conformité, une question globale

La compliance d’une organisation est une question globale. La valeur et la sécurité de son patrimoine immatériel, dont les secrets des affaires font partie, dépend de sa capacité à organiser son système d’information en tenant compte de la diversité des contraintes techniques et juridiques qui s’appliquent.

Il faut donc anticiper pour définir ce sur quoi il sera possible, si nécessaire, ultérieurement de demander la protection. La loi ne donne donc pas de définition précise car la logique n’est pas d’attendre de rencontrer un problème pour maîtriser l’information et se donner les moyens, de la défendre, comme d’en préserver la valeur. C’est à l’entreprise de définir « ses » secrets des affaires, ce qu’aucune définition ne pourrait faire, sauf à rendre la notion trop étroite. Cela demande de réaliser un travail de mise en conformité dont peu d’entreprises ont, pour l’heure, conscience.