Petit guide juridique de protection du secret des affaires.

« Le fait de conserver secrètes les informations sur l’entreprise, et celles détenues par elle, ne puise pas sa source dans une volonté d’occultation née d’une mauvaise conscience sociale de l’entrepreneur français. C’est une attitude purement pragmatique dictée par le bons sens qui amène ce dernier à préserver les informations valorisant son entreprise en les gardant secrètes » Didier Poracchia [1].

Toutes les entreprises, et notamment les plus innovantes, sont de plus en plus exposées à des actes de prédation, qui trouvent leur origine à l’intérieur ou en dehors de l’Union européenne.

Parmi les principales menaces :
 la fuite d’informations sensibles ;
 l’espionnage industriel ;
 la cybercriminalité.

Les évolutions récentes, telles que la mondialisation, le recours croissant à la sous-traitance, le recours aux prestataires externes et l’usage accru des technologies de l’information et de la communication telles que le Cloud (SaaS, IaaS, etc) ou le télétravail, contribuent à la hausse des risques liés à ces procédés.

Dans le cadre de la transition numérique accélérée par la crise sanitaire (Covid19), le phénomène a pris une ampleur considérable à un point tel que, dans certains cas, l’information étant détachable de son support, le tiers n’a pas forcément conscience de frauder.

Jusqu’à la loi de 2018, aucun texte spécifique n’était dédié à la protection des secrets d’affaires.

Définition.

Un secret des affaires suppose l’existence d’une information protégée entre les mains d’un détenteur légitime, laquelle [2], laquelle :

(i) n’est pas, en elle-même ou dans la configuration et l’assemblage exacts de ses éléments, généralement connue ou aisément accessible à une personne agissant dans un secteur ou un domaine d’activité s’occupant habituellement de cette catégorie d’informations ;
et
(ii) revêt une valeur commerciale, effective ou potentielle, parce qu’elle est secrète ;
et
(iii) fait l’objet de la part de son détenteur légitime de mesures de protection raisonnables, compte tenu des circonstances, pour en conserver le secret, notamment en mentionnant explicitement que l’information est confidentielle.

Autrement dit, constitue un secret des affaires :
 Tout ce qui n’est pas connu du secteur professionnel ou du domaine d’activité concerné,
 qui est valorisable compte tenu du fait que cette information est secrète,
 que l’entreprise s’efforce de garder secrète en prenant des mesures de protection raisonnables.

Exemples :
 la R&D;
 la stratégie commerciale ;
 les projets d’acquisition d’entreprise ;
 le lancement d’un nouveau produit ;
 les fichiers clients ou fournisseurs ;
 les données commerciales stratégiques ;
 les méthodes de prospection commerciale ;
 les volumes de production ;
 les taux de marge ;
 les recettes ;
 les procédés originaux ;
 les accords de confidentialité ou de non-concurrence ;
 les formules mathématiques (algorithmes) ;
 les avis du conseil d’administration ou de la direction ;
 un organigramme…
et, plus largement, les savoir-faire et informations commerciales non divulguées, lesquels constituent des actifs immatériels et confèrent à leur titulaire un avantage concurrentiel.

A titre d’exemple, en matière de franchise, concernant la négociation avec les fournisseurs, au titre des accords négociés par le franchiseur au bénéfice des franchisés, il a été jugé que les remises et ristournes commerciales relevaient du secret des affaires que ces derniers n’avaient pas à connaître [3].

Et bien entendu, la protection du secret des affaires ne doit pas permettre de dissimuler des pratiques illicites telles que :
 des manœuvres frauduleuses secrètes ;
 des opérations illégales ;
 des malversations économiques ou financières ;
 des agissements contraires à la loyauté des affaires ou illicites ;
 des actions illégitimes « d’espionnage industriel » ;
 des plans concertés de destruction de l’outil industriel ou de délocalisation massive ;
 des délits d’initiés ; 
 des actes de corruption financière ou culturelle ;
 des actions de blanchiment d’argent ;
 des montages d’évasion fiscale ;
 des ententes commerciales prohibées ;
et plus généralement tout comportement opaque pour dissimuler un comportement frauduleux.

Une protection efficace du secret des affaires suppose en conséquence la mise en place d’une chaîne de valeur composée de trois étapes-clés :
 l’identification des informations confidentielles éligibles au secret des affaires ;
 leur classification confidentielle ;
 l’organisation et le choix de leur protection, par la mise en place d’outils destinés à sécuriser les secrets d’affaires.

Etape 1 : identifier les informations et les ressources de l’entreprise.

 Inventorier les informations sensibles de l’entreprise (orientations stratégiques, études et veille concurrentielle, fichiers clients et prospects, liste des fournisseurs, contrats, données comptables, dossiers du personnel, organigramme, plans, procédés de fabrication, codes sources, algorithmes…) ;
 Recenser les savoir-faire, la R&D, les connaissances techniques de l’entreprise ;
 Identifier les personnes impliquées (dirigeants, responsables métiers, responsables sécurité, responsables juridiques, responsables ressources humaines, responsable intelligence économique, experts-comptables, documentalistes, salarié…) ;
 Recenser les systèmes d’information de l’entreprise (ordinateurs fixes et portables, serveurs, hébergement, accès à internet, messagerie électronique, logiciels, clés USB, Wi-fi, téléphones fixes et portables, photocopieurs, armoires et locaux d’archivage…) ;
 Cartographier l’entreprise et ses partenaires (notamment localiser les différents sites de l’entreprise, en identifiant les filiales et les lieux de production, prestataires) ;
 Evaluer les risques et vulnérabilités.

Etape 2 : classifier les données confidentielles.

 La loi propose notamment de mentionner explicitement qu’une information est confidentielle [4]. Mais l’entreprise pourrait affiner cette classification en hiérarchisant les informations. Elle pourrait ainsi leur attribuer un code reflétant le niveau de classification selon différents critères : public, sensible, critique, stratégique (par exemple C0, C1, C2, C3) ;
 Cela permet en outre de délimiter le rang des personnes ayant accès à ces informations.

Etape 3 : mettre en place des outils pour sécuriser le secret des affaires.

L’entreprise a le libre choix des moyens à mettre en œuvre pour définir sa politique de sécurité des informations.

3.1. Mesures physiques ou techniques pour formaliser et dater les informations confidentielles :

 Prévoir un moyen de traçabilité et de conservation des preuves dans l’éventualité d’une action judiciaire (c’est-à-dire prouver qu’à une date certaine, l’entreprise détenait bien les informations) :
 Enveloppe Soleau : celle-ci se compose de deux compartiments dans lesquels le déposant glisse les copies identiques du descriptif des informations. L’un des compartiments, cacheté et daté, est archivé par l’Institut national de la propriété industrielle (INPI) pour une durée de cinq ans, renouvelable une fois. L’autre copie, également cachetée et datée, est renvoyée au déposant, qui doit la conserver sans l’ouvrir. Cette enveloppe peut être commandée en ligne auprès de l’INPI [5] ; le service de dépôt en ligne e-Soleau permet également de bénéficier d’un archivage sécurisé et certifié AFNOR ;
 Dépôt privé auprès d’un officier ministériel (huissier ou notaire) ;
 Envoi d’une lettre recommandée à soi-même ;
 Cahiers de laboratoire ;
 Horodatage électronique ;
 Archivage numérique ;
 Blockchain.

 Sécuriser les systèmes d’information et d’intranet :

Il faut chiffrer les données, fermer les bureaux, cacher les écrans… une entreprise, qui a de plus en plus d’informations à protéger, peut travailler avec un cloud interne, à condition de ne pas y incorporer une information hypersensible.

Créer des leurres identifiés et identifiables dans le support de l’information pour faciliter la preuve de la fraude : l’idée astucieuse consiste à intégrer sciemment une erreur sans conséquence sur le produit attestant que même l’erreur a été reprise par celui qui a enfreint les droits du détenteur du secret des affaires.

3.2. Mesures spécifiques aux salariés de l’entreprise :

 Mettre en place une gestion rigoureuse aux accès aux systèmes informatiques (habiliter les collaborateurs à accéder à des données définies en fonction de leur mission et de leur statut, prévoir une politique stricte en matière de mot de passe) ;
 Insérer dans les contrats de travail des clauses de confidentialité, et éventuellement une clause de non-concurrence ;
 Rédiger et diffuser une charte éthique générale et une charte informatique ;
 Rappeler la politique en matière de secret des affaires dans : un accord collectif, le règlement intérieur, une note de service, un règlement de sécurité des informations, un livret de sécurité remis à chaque salarié entrant dans l’entreprise… ;
 Sensibiliser régulièrement les salariés (réunions, formations…).

3.3. Mesures spécifiques aux partenaires de l’entreprise :

Il est recommandé de sélectionner et travailler avec des partenaires (sous-traitants, prestataires informatiques, services Cloud, d’audit, d’assurance, transporteurs…) dans un cadre contractuel.

Prévoir notamment :

 Des accords de confidentialité (pour interdire la divulgation et l’usage non autorisé d’informations confidentielles qui ont été communiquées à l’occasion d’une négociation ou d’un contrat) ;
 Des clauses de non-concurrence et de non-débauchage ;
 Une clause générale dans le contrat de licence imposant au licencié la mise en œuvre de moyens matériels de protection du secret (une restriction d’accès, des salles sécurisées, la sensibilisation de son personnel, une procédure à appliquer en cas de départ d’un employé, la sécurité informatique…) :
 Des clauses d’audit.

Dernière préconisation : nommer un référent dans l’entreprise en charge de la question du secret des affaires.

Force est de constater que la loi du 30 juillet 2018 sur la protection du secret des affaires intervient après deux textes récents aux conséquences importantes pour les PME et les ETI : d’une part, la loi du 9 décembre 2016 relative à la lutte contre la corruption et à la modernisation de la vie économique et d’autre part, le règlement européen du 27 avril 2016 relatif à la protection des données personnelles (dit RGPD), applicable depuis le 25 mai 2018.

Dans ce contexte, le Data Protection Officer (DPO ou délégué à la protection des données - DPD) pourrait également être, pour les entreprises visées par ces textes, le référent de premier niveau dans le traitement des alertes prévu par la loi du 9 décembre 2016 (Sapin 2), ainsi que la personne en charge de la gestion d’une politique de sécurité des informations sensibles qui répondent à la définition du secret des affaires. Deux ou trois activités, selon la taille de l’entreprise, pour une même fonction.