1. Le cas concret.
Une jeune demoiselle, Mlle B, travaille dans une société X qui intervient sur un marché de transport assez fermé, seuls deux autres opérateurs la concurrencent. Les appels d’offre se gagent ou se perdent sur de très faibles différences : de prix, de délais, de quantités transportées.
Lors d’un diner professionnel, Mlle B se lâche (volontairement ? trop de vin ?) sur ses conditions de travail. Elle estime être manifestement sous-employée, ou plus précisément, sous-payée par rapport à ses éminentes compétences. L’information ne tombe pas dans l’oreille d’un sourd et remonte vers l’un des concurrents de la société X. La société Y appelle ainsi Mlle B et lui propose un « pacte » : si elle donne les tarifs acceptés par la société X sur un marché particulier, elle sera accueillie les bras ouverts, et avec un bien plus beau salaire à la hauteur des fameuses compétences injustement ignorées, au sein de la société Y. Si la société Y a su ne pas être sourde, Mlle B quant à elle n’est pas aveugle. Elle voit ce deal comme une belle opportunité, et surtout elle cherche, trouve et regarde les tarifs en question. Passée à la société Y, elle transmet ces informations, qui permettent alors d’ajuster les offres commerciales un cheveu en dessous de celles de la société X. La société Y gagne ainsi le marché jusqu’alors entre les mains de la société X, qui sera à cause de cela très près de déposer le bilan.
La société X lance alors une procédure pénale pour abus de confiance contre Mlle B estimant que celle-ci lui a dérobé un « secret ».
L’abus de confiance est le fait par une personne de détourner, au préjudice d’autrui, des fonds, des valeurs ou un bien quelconque qui lui ont été remis et qu’elle a acceptés à charge de les rendre, de les représenter ou d’en faire un usage déterminé (Art 314-1 du Code pénal).
Cette infraction implique :
i) une remise volontaire mais précaire (le fait de « confier » n’est pas le fait de « donner », ni de « prendre » qui correspondent à d’autres infractions) ;
ii) d’un bien (matériel ou immatériel) ;
iii) à quelqu’un à qui on donne mission d’en faire une utilisation précise ou tout simplement de le rendre en temps utile ;
iv) et que cette personne, volontairement, s’approprie le bien en violation de « la confiance » donnée par la victime, en en faisant un usage différent de celui prévu ou en refusant de le restituer.
Cette infraction s’applique bien aux « secrets » (Pour un fichier client voir : Cass. crim., 16 nov. 2011, n° 10-87.866 ; pour un projet industriel voir : Cass. crim., 22 sept. 2004, n° 04-80.285).
Encore faut-il que secret il y ait à détourner. C’est la défense que j’ai pu avancer pour Mlle B : celle-ci avait obtenu les informations en cause en 2 clics de souris et en entrant dans un dossier accessible sur le serveur de l’entreprise par…la totalité des salariés. Où est le secret ? En quoi a-t-on confié des secrets à Mlle B à charge pour elle de les garder ? Où cela est-il écrit, acté ? Ni dans son contrat de travail, ni manifestement dans la structure - informatique ou organisationnelle - de l’entreprise. Dès lors non seulement cette information ne semblait pas secrète, privant ainsi l’infraction de son élément matériel - le détournement d’un secret - mais comment pouvait-elle avoir conscience qu’elle « volait » un tel secret, quand l’information est aussi accessible et qu’on ne lui a jamais interdit ni d’y accéder mais pas plus de la communiquer (absence d’élément intentionnel) ?
La relaxe fut, à raison, prononcée.
2. Pourquoi protéger les informations stratégiques ?
La réponse tombe sous le sens au regard de ce qui précède : d’abord cela n’arrive pas qu’aux autres (55% des entreprises auraient été touchées ces dernières années) et surtout ne pas protéger ses informations stratégiques c’est courir à la ruine. Selon un célèbre cabinet d’audit, le coût moyen de la perte de données importantes serait de 5 à 7% du CA.
La réponse se complique lorsque vient la question sous-jacente à la première : qu’est-ce qu’une information stratégique ?
Une définition de cette notion semble difficile, si ce n’est impossible, et n’aurait sans doute pas de véritable sens pratique, permettant à un chef d’entreprise de décider concrètement ce qu’il protège.
A notre sens, doivent donc entrer dans cette catégorie : les datas, les informations, les projets, les documents, les idées, les inventions, de manière plus générale tout élément immatériel difficilement chiffrable en lui-même mais dont la perte aurait des conséquences désastreuses : perte de clients, perte de marchés, perte de chiffre d’affaires, voire perte de l’entreprise (dépôt de bilan).
Y entrent évidemment : les fichiers clients, les réponses aux appels d’offres, les grilles tarifaires, les calculs de marges, les datas collectées, les projets/inventions/idées…
3. Comment protéger les informations stratégiques ?
La complémentarité PEIE/droit pénal de l’entreprise (v. Chronique n°0) inspire plusieurs solutions (liste non exhaustive bien entendu) :
i) en terme de prévention : il faut rappeler aux salariés leurs obligations (par la formation), détecter les personnels sensibles (ayant accès aux infos stratégiques), auditer les contrats de travail (afin qu’il précise la propriété des informations/projets/inventions et rappel le droit applicable en cas de « détournements » de celles-ci) ;
ii) en terme de protection : rédaction des contrats de travail (afin qu’il précise la propriété des informations/projets/inventions et rappelle le droit applicable en cas de « détournements » de celles-ci si ce n’était déjà fait) ; implantation des informations stratégiques dans des dossiers informatiquement verrouillés ; marquage clair des informations stratégiques comme « secrètes » ; mise en place d’une « hiérarchie » d’accès aux informations au regard de leur importance ; charte informatique rappelant les règles d’accès ; surveillance des accès/copies/atteintes informatiques ou physiques à ces informations ; alarmes automatiques en cas d’action non autorisée etc…
Attention de ne pas commettre d’infractions en voulant mettre en place ces solutions permettant d’éviter d’en subir (par ex. ne pas oublier les droits d’information des salariés pour toute mise en place d’une surveillance).
iii) en terme d’action et de réaction face à une atteinte aux informations stratégiques :
en interne : procédure disciplinaire contre le salarié (attention à la prescription courte) pouvant aller jusqu’au licenciement (attention de bien respecter la procédure) + plainte pour abus de confiance (si l’information lui était accessible de droit) ou vol (s’il n’était pas censé avoir accès à l’information) et/ ou atteintes au système informatique ;
en externe : plainte pour vol (attention cette solution, quoiqu’en développement jurisprudentiel - Cass. crim., 20 mai 2015 n°14-81336 et 28 juin 2017, n° 16-81.113 - est vivement critiquée, le vol ne s’appliquant théoriquement qu’aux choses cad aux biens matériels) et/ou atteintes au système informatique.
Mettre en place ces solutions (notamment un fichier informatique sécurisé ou une hiérarchie des accès) ne coûte rien ou pas grand-chose ; les oublier, les rejeter, les repousser à plus tard, peut tout vous faire perdre.
Ecoutons donc H. Bazin : « Celui qui n’a rien à perdre et tout à gagner met en œuvre toute la voracité de l’intelligence ».