La récente relance des discussions sur le statut de l’avocat salarié en entreprise [1] a peut-être été une occasion manquée, si ce n’est de repenser, du moins de concrétiser les évolutions nécessaires des règles de gouvernance de l’information juridique. Or la protection de la confidentialité des informations « critiques » ou « sensibles » vis-à-vis des influences extraterritoriales n’est pas sans évoquer la logique du secret de la Défense nationale. Pour en savoir davantage sur l’opportunité de cette comparaison, nous nous sommes tournés vers Philippe Muller Feuga, Expert en Gouvernance stratégique de l’information, ancien responsable de la Mission « Protection du secret de la Défense nationale » au ministère de l’Économie et des Finances (HFDS/SGDSN) et Nicolas Zubinski, Expert en Sécurité économique et directeur général du cabinet OGMA Intelligence.

Article initialement paru dans le Journal du Village de la Justice n°93.

Pouvez-vous nous rappeler comment fonctionne le « secret défense » et ses niveaux de classification ?

Philippe Muller Feuga : Outil régalien de protection selon la sensibilité de l’information, le secret défense comprend trois niveaux pour quelques mois encore : le « Très Secret-Défense » (TSD), pour les informations et supports qui concernent les priorités gouvernementales en matière de défense et de sécurité nationale et dont la divulgation est de nature à nuire très gravement à la défense nationale ; le « Secret-Défense » (SD) pour ceux dont la divulgation est de nature à nuire gravement à la défense nationale ; et enfin le « Confidentiel-Défense » (CD) pour ceux dont la divulgation est de nature à nuire à la défense nationale ou pourrait conduire à la découverte d’un secret de la défense nationale classifié TSD ou SD [2]. À ces trois niveaux s’ajoute le « Diffusion Restreinte » (DR) qui, sans être un niveau de classification, est l’équivalent de la confidentialité professionnelle d’informations qui, pour l’intérêt général, mais dans l’exercice de certains métiers, n’ont pas vocation à être connues par des tiers. Cette confidentialité diffère du secret des affaires ou d’une information protégée utile à la vie des affaires.

À partir du 1er juillet 2021, le nombre de niveaux de classification du secret de la défense nationale va passer de trois à deux, et perd la référence à la « défense ». Paradoxalement, ce sont les Armées qui souhaitaient cette réforme, voici une dizaine d’années, par souci d’efficacité à l’égard de nos alliés de l’OTAN qui en avaient deux. C’est ce qui a conduit à la rédaction de la nouvelle « IGI 1300 » [3], qui est l’un des trois dispositifs régaliens de protection des intérêts nationaux. Nous avons planché sur cette réforme pour essayer d’arriver à deux niveaux, équivalents aux « secret » et le « top secret » (ou « très secret ») des anglo-saxons. On garde une mention spéciale dès que le très secret relève de la Défense. En outre, le cadre initial de l’ordonnance de 1959 [4] glisse du concept de Défense vers celui de Sécurité nationale. Cette simplification répond à un triple objectif : fluidité de l’information « sensible » échangée entre alliés, dualité des secteurs « stratégiques » ou « vitaux » définis par les DNS [5], et prise en compte de l’essor du cyberespace par la transformation numérique – en rappelant que nous sommes en guerre économique.

Sur un plan pratique, l’un des éléments positifs de la réforme opérée par le décret de 2019 [6], qui entre donc en vigueur en juillet prochain, est de réduire au premier niveau le nombre de documents « marqués » pour en faciliter la gestion. Autrement dit, une partie du Confidentiel Défense sera déclassifiée, l’autre passera au niveau 1 « Secret », et une partie du Secret Défense ou du Très Secret Défense va être au niveau 2 « Très Secret ».

Nous avons mis avec cette réforme une limite temporelle au secret défense en vue d’une déclassification plus rapide, et consolidé le régime de responsabilité, notamment pour impliquer le supérieur de l’officier de sécurité. S’agissant du fonctionnement, s’ajoute à la classification de l’information, la qualité de la personne qui peut ou non y accéder. Cette dualité est rappelée par les principes « droit d’en savoir » et « besoin d’en connaître » : le « droit d’en savoir » recouvre l’habilitation de la personne à connaître, dans le cadre de sa mission, des informations d’un certain niveau de classification ; tandis que le « besoin d’en connaître » est un élément circonstancié.

Cette approche du « secret » coïncide avec la gestion de la « confidentialité » dans les entreprises qui ne sont pas soumises à la conformité régalienne [7]. La protection de l’information repose sur deux éléments : la nature de l’information (ou sa sensibilité) et la qualité de la personne, ce qui détermine les « droits d’accès » gérés par les administrateurs des systèmes d’information. C’est sensiblement la même problématique que le secret professionnel de l’avocat ou le legal privilege : si d’un côté, il s’agit de protéger les intérêts fondamentaux de la Nation, qui ne se limitent pas à la Défense, de l’autre, c’est la pérennité de l’entreprise qui est en jeu.

Les règles de gouvernance de l’information juridique pourraient-elles s’inspirer de ce type de classification, simplifié à deux niveaux ou non d’ailleurs ?

Nicolas Zubinski : Oui, tout à fait. Comme l’a expliqué Philippe, le secret-défense est essentiellement un référentiel juridique décrivant des règles de gouvernance des informations : sans ces règles, l’État est fragilisé. Par analogie, il en est de même pour toute entité ayant des informations sensibles. L’information juridique est bien souvent une information critique pour son utilisateur car sa divulgation peut, selon les cas, remettre en cause les intérêts de la personne, physique ou morale d’ailleurs, qu’elle concerne.

L’inspiration vient de ce que la classification du secret-défense est une méthode de qualification de l’information, en fonction du risque que fait peser sa divulgation sur la personne ou son environnement. Il s’agit pour une entreprise, par exemple, de s’interroger sur les effets que produirait la divulgation d’un devis, d’un rapport, de documents financiers, de protocoles de négociation, etc. Le risque le plus connu est évidemment financier, ou indemnitaire, mais d’autres sont parfois encore plus problématiques : réputationnel, concurrentiel, atteinte à un actif essentiel du patrimoine immatériel, etc.

Dans tous les cas, il s’agit de protéger une information critique, que ce soit par des protocoles de communication, des moyens techniques ou bien encore des règles de bonnes pratiques. Au sein d’une organisation, il s’agit d’une forme de démarche qualité et sécuritaire, appliquée à des informations essentielles et critiques. Pour faire un parallèle avec le secret défense, il s’agirait d’émettre des règles d’habilitation (soit d’un avocat, soit d’un juriste) et d’opposabilité de l’information (notamment au parquet). Or, dans un contexte de conflictualité économique croissante, les litiges et contentieux sont des moyens très efficaces d’acquisition de l’information critique des opérateurs économiques. Malheureusement, le droit français permet encore l’orchestration d’un « espionnage légalisé ».

Cette information juridique est manipulée et détenue par des techniciens du droit. Mais pour le moment seuls les avocats bénéficient d’une protection renforcée de cette information du fait de leur secret professionnel. Et si les communications entre le client et l’avocat sont couvertes par ce secret, ce n’est pas le cas des communications internes du client. Or, nous sommes bien d’accord, que dans ces travaux préparatoires se trouve également de l’information juridique stratégique. Il y a ici une faille abyssale dans la protection de l’information juridique. Qu’il s’agisse de l’avocat en entreprise ou le legal privilege reconnus à certains juristes d’entreprises, ce sont deux voies intéressantes pour combler ce déficit de protection.

D’un point de vue plus opérationnel, pour les informations des entreprises notamment, il y a un intérêt à utiliser des « petits » niveaux de classification. Il ne s’agit alors pas tant d’avoir une protection juridique qui peut faussement rassurer, que d’amorcer une logique de gouvernance de l’information partagée avec le Comex ou le Conseil d’administration. Les niveaux de classification permettent d’appliquer des règles de gestion de l’information, qu’elles soient organisationnelles (règles de partage et de gestion de l’information) ou techniques (déploiement d’environnement numériques sécurisés). Plus généralement, et c’est là le propre de la « sécurité de l’information » : appliquer selon les risques identifiés un régime d’accès et de diffusion de l’information (qui sont les expéditeurs et destinataires), déterminer les moyens de stockage et transmission (physique, dématérialisée, chiffrement, etc.), et y associer un régime de conservation de l’information (suppression instantanée, suivi de consultation, etc.). Autant dire que ces enjeux sont bien connus des juristes, des avocats et des dirigeants.

Pourquoi considérez-vous que le secret est nécessaire dans un État de droit ?

Philippe Muller Feuga : Le secret est partie intégrante de l’État de droit, et le renforce de deux façons : tout d’abord, il protège une information dont la divulgation porterait atteinte à l’intérêt général. C’est le cas des secrets régaliens, dans lequel on retrouve le secret défense ; mais il existe d’autres secrets comme le secret médical, le secret bancaire et le secret professionnel des professions juridiques réglementées (avocat, notaire, etc.) sans lesquels les métiers concernés ne pourraient être exercés. La transparence a ses limites, ce qui protège la démocratie. En fondant un régime juridique avec une possibilité de recours auprès d’autorités administratives et judiciaires, pour lever le secret, l’État de droit est respecté, car il s’agit de prévenir et de corriger les abus [8].

Mais la transparence n’exclut pas l’importance du rôle de l’État dans la préservation des informations stratégiques, donc du « secret ». Ces deux éléments ne sont nullement contradictoires. On est bien loin de l’opacité du « secret du Roi » et de ses « lettres de cachet », ou de la « Raison d’État » qui peut exister dans des pays autoritaires. Le secret est moins une question de dissimulation, que celle d’une gestion de l’information, des personnes qui en sont détentrices, et des lieux où ils sont stockés. A contrario, que serait un État qui pourrait frapper du secret n’importe quelle information et l’opposer à tous ? Certainement pas un État de droit…

Protéger l’information juridique avec le secret, c’est aussi se dire que vous n’allez pas instrumentaliser notre propre droit, et empêcher le pillage de l’information stratégique des entreprises. Et c’est une problématique que l’on retrouve dans le dossier Airbus (janvier 2020). Sous couvert d’investigations anticorruption, ce contentieux a permis le transfert d’un certain nombre de secrets commerciaux aux États-Unis. Le Royaume-Uni était dans la même situation avec le dossier BAE en 2007, et les magistrats avaient choisi d’opposer le secret pour éviter un pillage de l’information commercial stratégique.

Loin de moi l’idée d’avaliser les pratiques corruptives. Je veux surtout souligner la balance des intérêts généraux dans ce type d’instrumentalisation et leur impact sur la souveraineté d’une Nation : opposition entre l’éthique (ou Idealpolitik) et la défense de l’intérêt national (Realpolitik). Le dossier Airbus est symptomatique : voir les magistrats du parquet et du siège s’unir contre le transfert des informations commerciales aurait été une belle occasion de renforcer la souveraineté de l’État français – et même pour la Commission européenne, de soutenir Airbus face aux États-Unis, en l’absence de toute souveraineté européenne –, tout en valorisant le lien entre le Secret et l’État de droit.

Ce que permet le régime juridique du secret dans l’État de droit, en accord avec les magistrats du PNF sensibilisés aux risques multiples, souvent cachés de la guerre économique, c’est justement d’empêcher la fuite de ce type d’information, tout en autorisant, par ailleurs, les poursuites. En habilitant les magistrats et en les formant aux grands enjeux géopolitiques relatifs à la sécurité économique et à la souveraineté numérique qui facilite grandement la constitution de dossiers à charge (source de la preuve), ceux-ci pourraient mener à bien leur mission sans pour autant remettre en cause la confidentialité des informations stratégiques.

Mais rappelons que l’affaire Airbus intervenait à un moment charnière pour le jeune PNF (créé en 2014) qui devait démontrer son indépendance et son efficacité en matière de lutte contre la corruption. Peut-être qu’aujourd’hui les choses seraient différentes. Nous pouvons sanctionner légitimement les pratiques corruptives sans pour autant autoriser le pillage de nos informations stratégiques.

Propos recueillis par A. Dorange Rédaction du Village de la Justice