Partage

La protection du patrimoine informationnel de l’entreprise

Quand la dématérialisation prend de plus en plus d’importance, le patrimoine informationnel des entreprises devient un avantage concurrentiel essentiel. Dans ce contexte, le capital immatériel, mal protégé, est vulnérable. Le législateur a épousé cette tendance depuis une dizaine d’années, offrant des voies de recours pour la protection des données, des savoirs et des savoir-faire.

Entre secret et divulgation, une tension permanente traverse en fait notre époque, plus intensément qu’aucune autre. Nos moyens de tout surveiller, de recouper les informations, de pister les trajectoires se démultiplient. La nécessité de préserver l’anonymat, la vie privée, les secrets personnels ou industriels devient à la fois plus impérieuse et plus malaisée à mettre en œuvre. […] Il ne serait pas malvenu de nous souvenir que le secret a ses vertus ¹. » Roger-Pol Droit.

Appréciée au regard de la pratique des affaires, la valeur financière d’une entreprise peut aujourd’hui se baser non seulement sur ses stocks et son matériel d’exploitation mais aussi en considération de ses actifs immatériels que sont les informations essentielles liées à son secteur d’activité, sa R et D, ses savoir-faire, son fichier clients ou fournisseurs, etc.

Ces biens constituent un patrimoine cardinal dans la mesure où il est censé conférer à son titulaire un avantage substantiel sur ses concurrents, dans un contexte de compétition économique acharnée. Ce d’autant que, dans le cadre de cette rivalité économique effrénée, il peut faire l’objet d’une captation illicite, soit par voie de divulgation par des salariés, soit par l’obtention frauduleuse par des tiers, ou encore par espionnage économique.

C’est pourquoi, fort de ce constat de la vulnérabilité de l’information, dans un monde de plus en plus ouvert, où les données sont multipliées sur de nombreux supports, le législateur est venu largement renforcer sa protection. Désormais, les acteurs privés sont fondés à préserver leurs données et à en assurer la confidentialité.

I. La protection civile de l’information

Le régime des pourparlers

Dans ce souci de consacrer certaines informations confidentielles précontractuelles, le législateur a pris soin de protéger diverses données confidentielles échangées lors de négociations, à l’occasion de la refonte du Code civil en 2016.

Il a été inséré un nouvel article 1112-2, lequel dispose que « celui qui utilise ou divulgue sans autorisation une information confidentielle obtenue à l’occasion des négociations engage sa responsabilité dans les conditions du droit commun ». Cette disposition renvoie à la responsabilité prévue par l’article 1240 du Code civil, à l’instar de la concurrence déloyale, et notamment la sanction des détournements d’informations confidentielles précédemment consacrée par la jurisprudence.

La protection par le secret des affaires

La loi no 2018-670 du 30 juillet 2018 relative à la protection du secret des affaires a donné corps à un nouveau régime de protection juridique de l’innovation, notamment à destination des ETI, des PME-PMI et des TPE. Le texte instaure une norme étalon pour « sanctuariser » cette notion « de savoir-faire et d’informations commerciales non divulguées », selon la directive européenne du 8 juin 2016.

Sous l’article L. 151-1 du Code de commerce, les secrets d’affaires sont ainsi identifiés sous trois conditions cumulatives :

1. non connus du grand public ou du secteur professionnel concerné ;
2. ayant une valeur commerciale, effective ou potentielle, parce que secrets ;
3. et faisant l’objet de mesures spécifiques destinées à les garder confidentiels.

La protection des informations essentielles est ainsi assurée en amont par la confidentialité renforcée instaurée par leur titulaire, et a posteriori par le juge qui doit authentifier le secret en cas d’atteinte.

Sur la notion de valeur commerciale, il faut entendre, pour son détenteur, « un élément de son potentiel scientifique, technique, de ses intérêts économiques ou financiers, de ses positions stratégiques ou de sa capacité concurrentielle ² ». Elle recouvre également les procédés techniques, des plans, formules, algorithmes, cahiers de laboratoire, R et D, business plan, concept… conformément à la directive qui recherchait la protection de « l’économie de la connaissance ³ ».

Pour l’ancien vice-directeur général de l’Organisation mondiale de la propriété intellectuelle, « ce type de protection ne nécessite pas de procédure d’enregistrement auprès de l’administration : il s’applique de facto au sein de chaque entreprise. […] Qui plus est, le secret d’affaires permet de protéger un volume d’informations bien plus important que ne le permet un brevet ⁴ ». Ce faisant, le droit français a donc opté pour un outil agile, simple d’utilisation, peu onéreux et tout à la fois robuste, à condition de mettre en œuvre des mesures de sécurité spécifiques : physiques, cyber, etc.

La loi envisage d’en assurer largement la protection contre l’obtention, la divulgation et l’utilisation illicites. Un juge peut ordonner des mesures d’interdiction, notamment provisoires, et il est possible de solliciter des mesures dites « correctives », se traduisant notamment par l’interdiction d’importation de produits fabriqués en violation de secrets d’affaires.

La procédure judiciaire, souvent présentée comme étant un mode de collecte d’informations confidentielles, peut également être aménagée afin d’assurer la préservation des secrets d’affaires :

1. Création d’un périmètre de confidentialité pour les parties (avocats, experts, témoins).
2. Restriction de l’accès aux pièces produites au cours de la procédure.
3. Restriction de l’accès aux audiences.
4. Jugement élagué de l’énonciation des secrets d’affaires.

En matière de réparation, outre le préjudice constaté, le juge peut également tenir compte des conséquences économiques négatives, telles que le manque à gagner ou les bénéfices réalisés par le contrevenant.

II. La protection pénale du patrimoine informationnel

Au-delà de cette protection civile, l’arsenal pénal a également été durci pour réprimer l’atteinte au patrimoine informationnel de l’entreprise. Cela vaut tant par l’évolution des atteintes aux données que par le détournement des informations.

La protection des secrets de fabrication

S’agissant des secrets de fabrication, l’article L. 621-1 du Code de la propriété industrielle (et l’article L. 1227-1 du Code du travail) stipule que : « Le fait pour un directeur ou un salarié de révéler ou de tenter de révéler un secret de fabrication est puni d’un emprisonnement de deux ans et d’une amende de 30 000 €. »

Cet article pose néanmoins trois conditions cumulatives :

1. ce texte ne s’applique qu’à un secret de fabrication qui serait une connaissance technique, à l’exclusion de toute information ;
2. l’auteur de l’infraction doit être un salarié à l’exclusion de toute autre personne ;
3. et que l’acte soit une divulgation ou une tentative de divulgation, ce qui exclut son exploitation par un concurrent.

Cet article ne donnant pas la définition du secret de fabrication, il convient de s’en remettre à la jurisprudence qui, dès 1935, a entendu ainsi qualifier « tout procédé de fabrication, offrant un intérêt pratique ou commercial, mis en œuvre par un industriel et gardé secret à l’égard de ses concurrents ⁵ ». Compte tenu de ces conditions restrictives, un tel dispositif a souvent été mis en échec devant les tribunaux.

Le vol de données

Dans le cas du vol – qui semble être la qualification la plus appropriée –, qui se définit comme étant la soustraction frauduleuse du bien d’autrui ⁶, il demeure néanmoins une ambiguïté d’application juridique.

En effet, le vol se traduit dans les faits par la disparition du bien du patrimoine de la victime, et son transfert dans l’actif du voleur. D’aucuns estiment dès lors que le vol ne peut porter que sur des biens matériels à l’exclusion, par opposition, de tout bien immatériel. Par exemple, pour une copie numérique, réalisée sur une clef USB, le fichier d’origine demeure en possession de la victime. Il n’y a donc pas déplacement d’un patrimoine à l’autre.

Ainsi, la cour d’appel de Paris ⁷ a, dans un premier temps, estimé de manière restrictive que : « Il est, en outre, manifeste que ces opérations de copiage, n’ayant entraîné aucun transfert dans la possession des données informatiques, ne sauraient être à elles seules constitutives d’une soustraction. » De même, la cour d’appel de Grenoble a jugé que « le vol d’information ne peut être appréhendé par la loi pénale qu’à travers le vol de son support matériel ⁸ ». Ainsi, les tribunaux ont longtemps été hostiles à la reconnaissance du vol informationnel, à l’exception de constructions « exotiques » autour du « vol d’usage ⁹ » ou « vol de temps-machine ¹⁰ ».

Un revirement a toutefois été opéré en 2003, la Cour de cassation ayant retenu le vol de données informatiques, relevant que « le fait d’avoir en sa possession […], après avoir démissionné de son emploi pour rejoindre une entreprise concurrente, le contenu informationnel d’une disquette support du logiciel [X], sans pouvoir justifier d’une autorisation de reproduction et d’usage du légitime propriétaire, qui au contraire soutient que ce programme source lui a été dérobé, caractérise suffisamment la soustraction frauduleuse de la chose d’autrui et la volonté de s’approprier les informations gravées sur le support matériel ¹¹ ». Cette décision pour le moins novatrice s’est vue être confirmée par la juridiction suprême, sauf revirement.

L’abus de confiance : le détournement d’informations confidentielles

Tel que défini par l’article 314-1 du Code pénal : « L’abus de confiance est le fait par une personne de détourner, au préjudice d’autrui, des fonds, des valeurs ou un bien quelconque qui lui ont été remis et qu’elle a acceptés à charge de les rendre, de les représenter ou d’en faire un usage déterminé. » Le délit se trouve constitué par le détournement d’une chose pour un usage déterminé, en tout cas contraire à ce pour quoi elle a été préalablement remise.

Il doit y avoir eu préalablement la remise d’une chose, c’est-à-dire que le véritable propriétaire de la chose se dépossède, au moins temporairement, d’un bien au profit d’une personne déterminée. Il y a ensuite constitution de l’abus de confiance par le détournement lorsque l’affectation contractuellement prévue n’est pas respectée ¹², excluant néanmoins le simple usage abusif ¹³.

En ce sens, divers cas de concurrence frauduleuse avaient pu être constitutifs d’abus de confiance, s’agissant du détournement de listes, de fichiers et de documents techniques au profit d’un tiers, dès lors que ces éléments étaient établis sur des documents préalablement confiés au salarié ¹⁴. Un détournement de contrats commerciaux avait également été reconnu comme un abus de confiance, sous la réserve toutefois que le délit était constitué par la remise des éléments sur papier, l’infraction pénale ne couvrant pas « les stipulations juridiques qui en constituent la substance juridique ¹⁵ ».

Néanmoins, dans la mesure où l’article 314-1 du Code pénal nomme volontairement de manière équivoque « un bien quelconque », certains tribunaux ont ainsi pu estimer qu’un tel secret de l’entreprise pouvait faire l’objet de ce détournement. Ainsi, la Cour d’appel de Paris a considéré que l’envoi par un salarié de fichiers par e-mail à destination de son nouvel employeur était constitutif d’un détournement de documents au sens du texte pénal ¹⁶.

La position s’est depuis lors affirmée au travers de plusieurs arrêts de la chambre criminelle, et encore récemment. En l’espèce, un salarié démissionnaire, avant de rejoindre son nouvel employeur, pendant sa période de préavis, avait téléchargé « un grand nombre de données issues d’une base informatisée à usage interne de l’entreprise ». La chambre estime ainsi que « le prévenu a, en connaissance de cause, détourné en les dupliquant, pour son usage personnel, au préjudice de son employeur, des fichiers informatiques contenant des informations confidentielles et mis à sa disposition pour un usage professionnel ¹⁷ ».

Dans un cas précedent, un employé, pendant l’exécution de son contrat de travail, a tenté de capter le savoir-faire de son employeur (borne informatique de gestion) et de présenter un devis à un client en son nom ¹⁸. À la lueur de cette analyse, le droit pénal général, bien qu’ayant été adopté pour d’autres circonstances, dans sa récente évolution, suffit à sanctionner les atteintes aux données confidentielles.

Extraction de données et cyberdélinquance

Modifié par la loi du 13 novembre 2014 (article 16), l’article 323-3 du Code pénal est devenu : « Le fait d’introduire frauduleusement des données dans un système de traitement automatisé, d’extraire, de détenir, de reproduire, de transmettre, de supprimer ou de modifier frauduleusement les données qu’il contient est puni de cinq ans d’emprisonnement et de 150 000 € d’amende. » Ce faisant, le législateur a voulu intégrer la notion d’extraction de données informatiques afin de constituer légalement le vol de données. Auparavant, seules la suppression ou la modification étaient susceptibles de poursuite.

Depuis lors, plusieurs décisions ont été rendues sur cette nouvelle rédaction du Code pénal. Dans une affaire, un fichier clients d’un site Internet avait été prélevé par un tiers qui « aspirait » de nombreuses coordonnées de contacts à distance. Alors que ce dernier avait été relaxé en première instance pour des faits supposés d’introduction informatique, il a cependant été condamné pour l’extraction de données, d’une part, et la collecte illicite de données personnelles (article 226-18 du Code pénal), d’autre part ¹⁹. Dans un autre cas où le voleur était en possession des codes d’accès et n’avait donc pas pénétré frauduleusement le système, la chambre criminelle de la Cour de cassation a ici retenu le vol de fichiers informatiques ²⁰.

En conséquence, vol (article 311-1 du Code pénal) et extraction de données (article 323-3 du même code) sont donc alternatifs aux yeux des tribunaux et forment quasi indistinctement le même corpus juridique destiné à sanctionner la collecte frauduleuse de données confidentielles du patrimoine informationnel de l’entreprise.

Imprimer Envoyer par mail Réagir à l'article