Le point de vue du juriste d’entreprise

Publié le 14/11/2016

En 2013, une entreprise européenne sur quatre déclarait avoir été victime d’un vol d’informations1. En 2014, une étude a évalué que le vol ou le détournement de secret équivalait en valeur à 3 % du PIB dans les pays industrialisés2. Au regard de ces chiffres, on comprend donc qu’il est essentiel pour les entreprises de bénéficier d’une protection adéquate de ses informations confidentielles ce qui implique, d’une part, l’existence d’un arsenal juridique à la fois adapté et appliqué et d’autre part, la mise en place par ces entreprises de mesures pratiques assurant la bonne protection de leurs secrets.

Confrontées à un environnement globalisé, nombreuses sont aujourd’hui les entreprises qui se doivent de protéger leurs actifs en tenant compte des différents blocs législatifs et judiciaires en place à travers le monde. Au-delà des accords internationaux tel que l’accord ADPIC3 et son article 39 consacré à la question du secret des affaires, chaque grand bloc économique a développé sa propre législation sur cette question.

I – L’incontournable nécessité de législations adaptées

Aux États-Unis tout d’abord, les entreprises évoluent dans un contexte législatif plutôt élaboré avec l’Uniform Trade Secrets Act publié en 1979 et amendé en 1985 ou le Cohen Act de 1996 qui fait du vol de secret un crime fédéral puni de 10 ans d’emprisonnement et de 5 millions de dollars d’amende. Il faut y ajouter le tout récent Defense Trade Secret Act qui instaure une définition unique et large des secrets commerciaux et permet aux entreprises d’engager des procédures en réparation en cas de dommages liés aux vols de secrets commerciaux devant la justice fédérale.

À ce cadre législatif dense s’ajoute le fait que les autorités judiciaires n’hésitent pas à punir sévèrement les contrevenants. Cela a récemment été le cas pour la société Tata Consultancy condamnée à 940 millions de dollars de dommages et intérêts en raison du vol de données lors d’une prestation pour un tiers portant sur un système de gestion de données de santé développé par la société américaine Epic4 ou de la société Caterpillar condamnée à 74 millions de dollars pour vol de secrets à l’un de ses cocontractants, la société Miller5. Ces décisions récentes ne sont pas isolées et s’inscrivent dans la droite ligne d’autres affaires relativement célèbres comme celle ayant opposée la société DuPont à une entreprise sud-coréenne, Kolon Industries, qui s’est vue condamnée par un tribunal à verser plus de 900 millions de dollars avant de réussir à transiger pour un montant de 275 millions de dollars6. En l’espèce, il s’agissait du vol d’informations par un ancien employé de DuPont passé chez Kolon Industries. Ce dernier a d’ailleurs été condamné à 18 mois de prison. Cette double lame législative et judiciaire confère indéniablement aux entreprises américaines un contexte favorable à la protection effective de leur secret d’affaires.

Les États-Unis ne sont d’ailleurs pas isolés dans cette stratégie de forte sécurisation juridique du secret des affaires. C’est par exemple aussi le cas du Japon qui a révisé sa législation consacrée au secret des affaires, l’Unfair Competition Prevention Act, l’année dernière. Cette révision élargit notamment la possibilité de poursuites aux tentatives et aux bénéficiaires de l’appropriation illicite du secret des affaires tout en augmentant les sanctions applicables et en rallongeant la durée de prescription à 20 ans à compter du début de l’utilisation frauduleuse. Le Japon prépare en sus des amendements à sa réglementation douanière lui permettant de stopper les produits résultant de l’utilisation frauduleuse de secrets d’affaires.

Si l’on revient à l’Europe, on constate que la protection est souvent plus faible et peu harmonisée ; en France, au Royaume-Uni et aux Pays-Bas la protection se fait sous l’angle du droit commun alors qu’en Autriche, au Portugal et en Suède il existe des dispositions spécifiques.

Ce contexte international et pan-européen est essentiel lorsqu’il s’agit d’analyser la nouvelle directive « secret des affaires »7. Si l’on peut discuter longuement et avec raison de l’équilibre à trouver entre protection des secrets et transparence, protection des lanceurs d’alerte et journalistes, il semble difficile de contester l’utilité de cette directive pour mettre l’Europe à niveau du reste des économies avancées.

II – L’indispensable nécessité d’un traitement stratégique et pratique du secret des affaires

Si les législations applicables varient d’un bloc à l’autre, un élément est invariable pour la plupart des entreprises qu’elles soient françaises, américaines ou japonaises : une politique interne de diffusion et de protection de leurs secrets est un élément essentiel pour assurer leur compétitivité.

Ce sujet doit être appréhendé à plusieurs niveaux, le premier étant l’échelon stratégique.

À ce niveau, la question préalable qui se pose est souvent de savoir si l’on garde le secret ou si on le partage. En effet, l’importance toujours plus grande de l’actif numérique ou dématérialisé, entraîne une modification des processus d’innovation et des stratégies associées avec notamment le recours de plus en plus massif à l’open innovation dont le partage de l’information est l’une des pierres angulaires. Développer efficacement des savoir-faire et technologies et en tirer les profits associés ne repose donc pas forcément sur la conservation du secret mais sur son partage, au moins partiel.

La question stratégique suivante qui se pose régulièrement est celle de la protection de l’avancée technique par le brevet ou par le secret. Comme l’ont mis en évidence différentes études8, nombreuses sont les entreprises, notamment les petites, qui favorisent la protection par le secret à celle par le brevet.

Cela s’explique par différents éléments, notamment la durabilité potentiellement plus longue d’une protection par le secret que d’une protection par le brevet ainsi que le coût ou la difficulté d’obtenir une protection efficace par le droit des brevets en particulier dans certains domaines tel que l’informatique.

Il est aussi fréquent de scinder la protection en associant une partie protégée par le brevet et une autre protégée par le secret.

Une fois déterminée la stratégie associée au secret, il s’agit d’en assurer efficacement la protection.

Cette protection se décline généralement en plusieurs strates.

La première strate est l’identification et la qualification des secrets d’affaires ainsi que l’évaluation de l’impact pour l’entreprise d’un vol ou d’une utilisation frauduleuse du secret. Sont en général aussi identifiées les sources de risques potentiels (états, concurrents, employés, activistes).

La deuxième strate est la mise en place des procédures adaptées notamment liées à la sécurité informatique, aux risques humains ou à la communication à des tiers.

Concernant la sécurité informatique, le développement du cloud computing et l’hébergement de données sensibles sur des serveurs externalisés nécessite la mise en place de contrats contenant des dispositions spécifiques en termes de niveau de sécurité, de confidentialité d’audit ou de réversibilité mais aussi en termes de responsabilité pour l’hébergeur. Côté technique, pour les données sensibles stockées sur le cloud il est courant de les crypter et de les siloter.

Le risque le plus important reste le risque humain. C’est d’ailleurs ce risque qui a fait l’objet des jurisprudences les plus marquantes en France, qu’il s’agisse de l’affaire Michelin dans laquelle le tribunal correctionnel de Clermont-Ferrand a condamné le 21 juin 2010 un ancien salarié de la manufacture pour tentative de divulgation de secrets d’affaires sur le fondement de l’abus de confiance à deux ans de prison avec sursis et 5 000 € d’amende9, ou l’affaire Valeo, dans laquelle une stagiaire chinoise a été condamnée par le tribunal correctionnel de Versailles sur le même fondement à un an d’emprisonnement dont deux mois ferme et 7 000 € de dommages et intérêts, le 18 décembre 200710.

Sur le plan contractuel, le risque est traité par l’inclusion de clauses de discrétion ou de confidentialité. Une clause de non-concurrence est aussi souvent ajoutée en respectant les dispositions fixées par le Code du travail.

Sur le plan pratique il peut aussi être prévu un processus particulier d’identification et d’alerte de comportement suspects, en particulier en cas de séparation délicate. Ce processus se devra aussi de respecter les limites et conditions prévues par l’article L. 1121-1 du Code du travail, en particulier sa proportionnalité eu égard au but recherché, et devra faire l’objet d’une déclaration à la Cnil.

Concernant la communication de secrets à des tiers, il est courant de recourir à des non-disclosure agreements ou accords de confidentialité autonomes, qui peuvent être unilatéraux ou réciproques.

En l’absence d’accords de confidentialité séparés, on trouve dans les contrats des clauses de confidentialité. Ces dernières sont assez normées et s’articulent généralement de la manière suivante :

  • une première partie où l’on définit ce que l’on considère, ce qui constitue une information confidentielle. Il peut s’agir d’une définition ouverte ou fermée ;

  • ensuite les cas d’exclusion : domaine public, demande d’une autorité, etc. ;

  • puis la portée des obligations des parties et la durée ;

  • enfin quelquefois, des stipulations cherchant à rendre la clause autonome du reste du contrat.

La troisième strate de protection est la sensibilisation des employés à cette question du secret des affaires et aux procédures mises en place.

La dernière strate est l’élaboration d’un plan de réaction. Il s’agit de prédéterminer non seulement les actions offensives qui peuvent être entreprises mais aussi les actions défensives.

Concernant les actions offensives, les juristes prédéterminent les différentes actions qui pourraient être entreprises en cas de violation : mise en jeu de la responsabilité contractuelle, délictuelle, de la responsabilité pénale ? Devant quelle juridiction ? Quel conseil contacter ? Quelle communication associée ?

Pour ce qui est des actions défensives, à la liste de questions qui précède et qui s’applique a contrario, s’ajoute la gestion des demandes des autorités judiciaires, par exemple la gestion d’une procédure de discovery initiée par une autorité anglo-saxonne, car s’il existe bien une loi dite de blocage11 en France, son efficacité est plutôt limitée.

Si la question du secret des affaires n’est pas nouvelle, elle prend pour les entreprises une importance grandissante notamment en raison de l’évolution des moyens technologiques facilitant les échanges d’informations et par ricochet de l’augmentation importante des législations applicables. Les moyens, en particulier les moyens juridiques, dédiés à cette question par les entreprises sont donc très certainement appelés à croître.

Notes de bas de pages

  • 1.
    Selon les données fournies par la Commission européenne.
  • 2.
    CREATe.org-PWC, « Economic Impact of Trade Secret Theft : A framework for companies to safeguard trade secrets and mitigate potential threats », févr. 2014.
  • 3.
    Accord sur les aspects des droits de propriété intellectuelle qui touchent au commerce adopté le 15 avril 1994, et entré en vigueur le 1er janvier 1995.
  • 4.
    Epic Systems Corporation vs. Tata Consultancy Services Limited and Tata America International Corporation, Western District of Wisconsin, case number 14-cv-748-wmc.
  • 5.
    Miller UK Ltd v. Caterpillar Inc, U.S. District Court, Northern District of Illinois, n° 10-03770.
  • 6.
    Not. : E.I. Du Pont de Nemours & Co. v. Kolon Industries Inc., 12-01260, U.S. Court of Appeals for the Fourth Circuit (Richmond). U.S. v. Kolon Industries, 12-cr-00137, U.S. District Court, Eastern District of Virginia (Richmond).
  • 7.
    Directive du Parlement européen et du Conseil sur la protection des savoir-faire et des informations commerciales non divulgués (secrets d’affaires) contre l’obtention, l’utilisation et la divulgation illicites.
  • 8.
    Par exemple : Arundel A., « The Relative Effectiveness of Patents and Secrecy for Appropriation », Research Policy, 2001, vol. 30, p. 611-624. Cohen W., Nelson R. and Walsh J., « Protecting Their Intellectual Assets : Appropriability Conditions and Why US Manufacturing Firms Patent (or Not) », Working Paper n° 7552, National Bureau of Economic Research, Cambridge, US, 2000.
  • 9.
    TGI Clermont-Ferrand, ch. corr., 21 juin 2010 : Dr. pén. 2010, comm. 116, par Véron M. ; Comm. com. électr. 2011, comm. 31, Capprioli E. A.
  • 10.
    TGI Versailles, 6e ch. corr., 18 déc. 2007, n° 0511965021, L. c/ Valéo : Comm. com. électr. 2008, comm. 62, Caprioli E. A.
  • 11.
    L. de blocage n° 80-538, 16 juill. 1980, modifiant L. n° 68-678, 26 juill. 1968.
LPA 14 Nov. 2016, n° 119v6, p.66

Référence : LPA 14 Nov. 2016, n° 119v6, p.66

Plan
X