Les 3 risques de la proposition de loi sur le secret des affaires

On disposera bientôt d'une protection pénale du secret des affairesLa proposition de loi initiée par Bernard Carayon vient d'être débattue et adoptée en première lecture à l'Assemblée Nationale. Alors que le texte était sujet à de très importantes critiques dans sa rédaction initiale, on voit maintenant apparaître une version considérablement améliorée. L'impulsion du député a été décisive et a permis de gommer nombre de défauts du projet originel. Le minimum est donc ici de saluer l'important travail de réflexion qui a été mené.

L'idée majeure de la proposition de loi est de permettre aux entreprises de faire sanctionner par 3 ans d'emprisonnement et 375.000 euros d'amende la diffusion volontaire d'informations couvertes par le secret des affaires.

Pour autant, le texte conserve aujourd'hui 3 problèmes qui résultent, pour l'essentiel, des risques d'abus potentiels dans la mise sous secret.

1. Un risque pour les entreprises utilisatrices de logiciels libres

Le premier point d'ombre tient à ce que la proposition de loi crée une incertitude juridique: peut-elle permettre d'imposer le secret des affaires, là où on avait préalablement pris un engagement de transparence ? Instinctivement le sentiment qui prévaut est  "vraisemblablement non", et c'est probablement la réponse qui prévaudra en droit. Mais toute la question est de savoir avec quelle facilité  une telle réponse pourra émerger.

En fait, le problème concerne les logiciels libres et en particulier les logiciels placés sous licence GPL. En effet, cette licence impose que tout travail dérivé d'un code source initialement placé sous GPL soit également placé sous GPL (principe de contamination - article 2 de la licence). Or, cette obligation n'est pas toujours très bien respectée en pratique. L'histoire rappelle évidemment le différent de longue date qui a opposé Free à la FSF sur la rediffusion de codes source d'IPTables dans la Freebox (voir également le contentieux BusyBox ; à noter qu'aujourd'hui les infractions à la GPL sont de plus en plus suivies). Un risque de dérapage ici tient donc à ce que, sur le terrain, peut naître un sentiment d'impunité quant à la liberté avec laquelle il est possible de recourir au secret des affaires. On peut facilement imaginer que quelqu'un puisse, dans l'affaire précitée, avoir l'idée que pour éviter tout problème juridique, il aurait suffit de tout placer sous secret des affaires. Si la culture d'entreprise commence à se développer autour de l'idée que ce secret peut faire obstacle au respect d'engagements juridiques, les conséquences qui en résultent risquent d'être pour le moins négatives pour les sociétés. La proposition de loi tente activement de limiter ces effets de bords en introduisant plusieurs dérogations à ce qui peut légalement être placé sous le sceau du secret (cf. futur article 325-3 du Code pénal, notamment son 2° et 3°). Toutefois, ces limites sont très circonscrites. Rien n'est dit par exemple, pour ce qui concerne des engagements contractuels antérieurs à l'acte de classification, dont on aurait aimé le bénéfice d'une clarification, sans forcément passer par 5 ans de procédure judiciaire, ne serait-ce que pour avoir l'avis de la Cour de cassation.

Ainsi, il aurait été intéressant d'ajouter une exception dans la loi afin de prévoir que ce secret des affaires ne peut s'appliquer à des engagements de transparence antérieurs, pris par l'entreprise. Cela ne règle pas toutes les dérives potentielles mais elle a l'avantage de permettre régler aisément et rapidement les différents (injonction de faire, procédure simple et gratuite). Son bénéfice majeur serait donc une simplification des procédures en cas de conflits.

2. Un risque de sur-classification et de conflits sociaux aggravé

Un second risque de dérive tient aux abus de classification. Supposons qu'une entreprise décide de classifier le maximum de documents traités afin de se protéger. D'un point de vue strictement juridique, la future loi permettra de classifier un document dès lors que sa divulgation sera "de nature à compromettre gravement les intérêts de cette entreprise". Cette condition peut cependant être appréciée très largement dans la pratique. Considérons la situation suivante, avec un brin de paranoïa : les noms des employés : classifiés, pour éviter le risque de recrutement par la concurrence. Le contenu du travail de chaque employé : évidemment classifié, sinon les entreprises concurrentes risquent potentiellement de copier leur travail. Les communications entre employés : classifiées. Les fournisseurs : classifiés, c'est une des ressources vitales de l'entreprise ! Les noms des clients : classifiés également, quoi de plus sensible que cela, leur divulgation serait assurément critique pour la société ! On constate donc en définitive qu'il existe une assez large liberté de classification. Le corollaire pourtant est pernicieux : plus le volume de classifié augmente, plus les employés risqueront naturellement d'enfreindre la loi. C'est purement mathématique. Ainsi, pour pousser un employé vers l'infraction : il suffit  de tout classifier ! Voici donc la recette magique pour un employeur de mauvaise foi, permettant d'éjecter les employés de son choix, sans remous ni tracas :

  1. Classifier la majorité des informations avec lesquelles l'employé travaille.
  2. Attendre un mois.
  3. Ouvrir les emails de l'employé et constater qu'il a forcément diffusé des informations classifiées à une personne  non autorisée (par exemple quelqu'un au sein de l'entreprise, puisque c'est également sanctionné par la loi).
  4. Lui expliquer ensuite qu'il a commis une infraction pénale très grave, qu'il risque 3 ans d'emprisonnement et 375.000€ d'amende.
  5. Lui dire que l'entreprise lui fait une fleur en ne déposant pas plainte ; donc qu'il ne fera ni de garde à vue, ni de prison (!), mais qu'on ne peut plus lui faire confiance et qu'il n'a plus sa place dans la structure et qu'il doit présenter sa démission immédiatement.

C'est un peu brutal, mais la pratique nous offrira rapidement de telles dérives. En réalité, ce qui manque dans cette proposition de loi, c'est un contre pouvoir opérationnel, qui permette de limiter ces dérives de sur-classification. Car celles-ci ne vont pas dans l'intérêt des entreprises. La solution est légèrement plus complexe à élaborer que celle envisagée pour les logiciels libres car plusieurs interrogations doivent être posées : quel doit être le rôle des IRP dans ces mécanismes de classification ? Faut-il leur donner un droit de regard sur le volume d'informations classifiées ? Faut-il leur permettre d'avoir accès à ces données afin de vérifier la réalité de leur classification ? Les employés doivent-ils pouvoir saisir une autorité administrative afin de limiter les éventuels abus de classification ? Faut-il leur donner la possibilité de déclassifier d'office des informations en cas d'abus de l'employeur ?

Ce qui paraît certain, c'est qu'une réflexion plus approfondie doit être menée sur ces questions essentielles de relations de travail. Il est dommage que ces points aient été laissés de côté, car le volet pénal avait été très bien traité avec l'assistance d'éminents spécialistes ; il manque ici le regards d'experts en droit du travail pour que la proposition trouve finalement un juste équilibre qui permettra de concilier des forces potentiellement antagonistes.

3. Un risque de compétitivité pour les entreprises

Enfin, le dernier point tient à ce que la loi ne crée pas, à notre sens, une valeur ajoutée suffisamment importante pour les entreprises. D'abord, clarifions les choses : d'un point de vue juridique, les entreprises ont déjà tous les moyens pour faire face à des pillages industriels. La proposition de loi ne servira pas réellement à lutter contre cela. On a pas attendu 2012 pour instaurer l'édifice de la propriété intellectuelle dont c'est avant tout la fonction première (ex. : brevets et droit d'auteur - ce dernier suffisant à lui seul à permettre de sanctionner pratiquement n'importe quelle copie non autorisée de document ; ce à quoi il faut ajouter le droit des bases de données). On peut également recourir aux dispositions relatives à la fraude informatique, à la protection des secrets de fabriques, au vol, au recel... Bref, d'un point de vue juridique, on ne sait plus où donner de la tête...

Ce constat effectué, observons maintenant la pratique : les affaires d'infiltrage sont extrêmement rares, ce que reconnaissent volontiers les spécialistes de ce domaine, et plus rares encore sont les suites judiciaires données à ces affaires ! En fait il y a deux raisons à cela :

  1. Soit parce que, dans la réalité, brandir l'étendard de l'espionnage économique sert avant tout à masquer des défaillances internes ; le meilleur exemple est le fiasco complet de l'affaire Renault (à ce sujet voir l'infographie de l'Express, absolument édifiante) ;
  2. Soit parce, dans les rares cas où les affaires sont effectivement réelles, les entreprises n'ont pas d'intérêt économique à donner des suites judiciaires.

Maintenant, réfléchissons : quelle est la valeur réelle d'un dépôt de plainte pour une entreprise ? Qu'est-ce que cela va lui apporter réellement d'un point de vue économique ? Faisons déjà la liste des coûts : d'abord entre 10 et 20.000 € de frais d'avocat (traitement du dossier, plaidoirie et expertises associées). Ensuite, il y a la mauvaise publicité de l'affaire et le risque de voir une série de documents rendus publics, que l'on a généralement plutôt envie de conserver en privé. Enfin, beaucoup de temps perdu à gérer la procédure : traiter avec les services de police, répondre à leur demande, les laisser librement se balader au sein de l'entreprise, leur transmettre les pièces... Pour quel résultat ? La satisfaction de voir une personne faire de la prison, des années après les faits ? Est-ce si important ? Mais le point le plus délicat est de savoir si tout cela aide vraiment l'entreprise à atteindre ses objectifs essentiels, c'est-à-dire ses objectifs de développement commerciaux ? Est-ce que le fait d'envoyer un collaborateur devant un tribunal correctionnel lui permet  de gagner des nouveaux clients ? Ou même de créer un sentiment positif à l'égard de ses produits et de ses services ? Non, rien de tout cela. C'est la raison pour laquelle, dans ce domaine, les entreprises font ce qu'elles savent le mieux faire : elles essuient leurs pertes le plus rapidement possible et passent à la suite. Ceci afin de rester concentrées sur une donnée essentielle : créer de la valeur ajoutée pour leurs clients.

Aussi, on regrette que la proposition de loi se soit établie autour d'une solution pénale, dont les bénéfices restent encore nuancés. N'aurait-il pas fallu envisager largement les enjeux d'indemnisation ? Ou des mécaniques permettant de récupérer rapidement de l'atteinte subie par la diffusion de ses secrets ? Autrement dit une perspective plus commerciale que pénale uniquement. Malgré toutes ses qualités actuelles et l'important travail de réflexion mené, il nous semble que la proposition de loi rate ici un rendez-vous important.

 

Voilà les principales dispositions du texte actuel (édité pour aller à l'essentiel et en faciliter la lecture) :

« Art. 325-1. - Constituent des informations protégées relevant du secret des affaires d'une entreprise, quel que soit leur support, les [biens] ne présentant pas un caractère public dont la divulgation non autorisée serait de nature à compromettre gravement les intérêts de cette entreprise (...) et qui ont (...) fait l'objet de mesures de protection spécifiques destinées à informer de leur caractère confidentiel et à garantir celui-ci.

« Ces mesures de protection spécifiques, prises après une information préalable du personnel par le représentant légal de l'entreprise ou par toute personne qu'il aura préalablement désignée par écrit, sont déterminées par décret en Conseil d'État.

« Art. 325-2. - Le fait de révéler à une personne non autorisée à en avoir connaissance, sans autorisation de l'entreprise ou de son représentant, une information protégée relevant du secret des affaires de l'entreprise, pour toute personne qui en est dépositaire ou qui a eu connaissance de cette information et des mesures de protection qui l'entourent, est puni d'une peine de trois ans d'emprisonnement et de 375 000 € d'amende.

« Art. 325-3. - L'article 325-2 n'est pas applicable dans les cas où la loi impose ou autorise la révélation du secret. En outre, il n'est pas applicable :

« 1° À l'autorité judiciaire agissant dans le cadre de poursuites pénales ainsi qu'à toute autorité juridictionnelle ;

« 2° Lorsque le juge ordonne ou autorise la production d'une pièce couverte par le secret des affaires en vue de l'exercice de ses droits par une partie, sauf motif légitime opposé par une partie ;

« 3° À celui qui informe ou signale aux autorités compétentes des faits susceptibles de constituer des infractions ou des manquements aux lois et règlements en vigueur dont il a eu connaissance ;

« 4° Aux autorités compétentes dans l'exercice de leur mission de contrôle, de surveillance ou de sanction.

« Le signalement aux autorités compétentes effectué dans les conditions prévues au présent article ne peut faire l'objet d'aucune sanction disciplinaire.

 

About the author

Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit et consultant. Il travaille en droit des nouvelles technologies depuis plus de 10 ans, dont 6 passees au sein des services du Premier ministre. En savoir plus.

4 comments
David - 4 years ago

À la lecture du 325-3, je constate que la communication d’éléments couverts par le secret des affaires à son avocat ne serait pas couverte. Comment faire donc lorsque l’on a besoin de conseils juridiques avant d’envisager de communiquer des manquements à des autorités compétentes ?

Reply
    Thiébaut Devergranne - 4 years ago

    Bonjour David,

    Merci de votre remarque ! En fait la solution est simple : le conseil juridique, lorsqu’il est exécé par un tiers à une organisation, est soumis, de par la loi, au secret professionnel. Donc dans cette hypothèse vous êtes déjo couverts.

    Reply
Une loi pour licencier sans remous ni tracas » revue du web, Just another weblog - 4 years ago

[…] sur donneespersonnelles.fr]. Pour Thiébaut Devergranne, spécialiste droit des nouvelles technologies, la proposition de loi […]

Reply
Nativité Jean-François - 4 years ago

Bonjour,

Merci pour cet éclairage juridique. Selon moi, ce texte n’est en rien innovant, il est avant tout politique. La protection du patrimoine informationnel stratégique est une bonne idée en théorie, mais qui est déjà largement couverte par les textes existants déjà. Si j’attends bien entendu le décret du Conseil d’État pour me prononcer d’avantage sur la procédure de labellisation en tant que telle des éléments stratégiques et de leur protection (qui sera habilité? Dans quelle mesure? Avec quelles limites? etc.), je suis d’ores et déjà tout de même plus que réservé sur l’efficacité réelle de ce genre de texte et surtout sur son application potentielle par les TPE/PME/PMI qui composent la majeure partie de notre tissu économique. En effet, outre le caractère relativement infime du risque juridique ou financier pour le contrevenant (seul de risque de réputation me parait être une vraie menace), ce qui pose problème c’est surtout la faible prise de conscience en amont des chefs d’entreprises sur l’importance stratégique du patrimoine informationnel…Le tout sécuritaire (qui risque d’être invoqué dans les premiers temps en l’absence de jurisprudence et de compréhension réelle des tenants et des aboutissants de la loi) sera certainement plus bloquant (là je rejoins totalement votre analyse…) que bénéfique. Selon moi, cette loi nécessite effectivement la mise en place d’un accompagnement idoine…

Au plaisir de vous lire!
Cordialement,

Jean-François Nativité

Reply
Click here to add a comment

Leave a comment: