Le secret des affaires désormais protégé par la loi en France : pourquoi ? comment ?

Par Valérie Morales, Associée Pôle Contentieux des Affaires.

 

La France s’est dotée récemment d’un dispositif protégeant le secret des affaires : la Loi du 30 juillet 2018 et son Décret du 11 décembre 2018.

L’occasion de faire le point sur le dispositif légal de protection du secret des affaires et de formuler quelques recommandations pratiques à destination des entreprises. 

La protection du secret des affaires : une nécessité pour la compétitivité des entreprises.

Les Etats-Unis et la Chine s’étaient déjà dotés d’un dispositif légal de protection du secret des affaires alors que ce n’était pas le cas de l’Europe avant une Directive du 8 juin 2016[1].  C’est dans le cadre de la transcription de cette Directive en droit interne que la France s’est, à son tour, dotée d’une Loi relative à la protection du secret des affaires, le 30 juillet 2018[2], suivie de son Décret d’application paru le 11 décembre 2018[3].

Jusqu’alors, le droit français ne définissait pas le secret des affaires et ne prévoyait pas de régime spécifique de protection judiciaire permettant de prévenir, de faire cesser ou d’obtenir réparation des atteintes commises en France. 

C’est désormais le cas avec ces deux textes, et il faut s’en féliciter.

En effet, les entreprises investissent dans le développement et la mise en œuvre de savoir-faire et d’informations qui vont des connaissances technologiques aux données commerciales relatives aux clients et aux fournisseurs, aux plans d’affaires ou aux études et stratégies de marché.

Ces savoir-faire et ces informations ne sont pas forcément protégeables par un droit de propriété intellectuelle et la plupart du temps, il est évidemment exclu de les dévoiler : ils doivent demeurer confidentiels car ils constituent la base des capacités de recherche et de développement de l’entreprise. C’est pourquoi ils méritent une protection adéquate.

Dans un environnement mondialisé et ultra-connecté, l’information est devenue une donnée commerciale détachable de son support initial. Les entreprises ont de plus en plus besoin de protéger leurs actifs immatériels et de se prémunir contre l’espionnage industriel, la fuite d’informations sensibles ou la cybercriminalité.

La protection du secret des affaires est donc clairement un outil de compétitivité leur permettant de protéger leurs innovations face à des concurrents indélicats ou à d’anciens salariés déloyaux tout en conservant leur avance concurrentielle.

Qu’est-ce qu’un secret des affaires ?

La Loi du 30 juillet 2018 insère dans le Code de commerce un nouvel article L.151-1 qui définit désormais le secret des affaires par la combinaison de trois éléments.

Il doit s’agir d’abord, d’une information qui « n’est pas en elle-même ou dans la configuration et l’assemblage exacts de ses éléments, généralement ou aisément accessible pour les personnes familières de ce type d’informations en raison de leur secteur d’activité ».

Ensuite, cette information doit revêtir une « valeur commerciale, effective ou potentielle, du fait de son caractère secret ».

Et enfin, elle doit faire l’objet de la part de son détenteur légitime de « mesures de protection raisonnables, compte tenu des circonstances, pour en conserver le caractère secret ».  

Des exemples.

On pense immédiatement aux connaissances technologiques, au savoir-faire technique mais le secret des affaires concerne aussi les données commerciales relatives aux clients, aux fournisseurs, aux coûts d’études et de stratégies de marché par exemple.

Pourront donc relever du secret des affaires : les résultats et l’organisation de la R&D, la stratégie commerciale d’une entreprise, un projet d’acquisition d’une autre entreprise, le lancement d’un nouveau produit, ses fichiers clients ou fournisseurs, ses données commerciales stratégiques, ses méthodes de prospection commerciale, ses volumes de production, ses taux de marge, ses recettes, les informations couvertes par des accords de confidentialité, les avis de son conseil d’administration, ou encore un pacte signé par ses associés.

Quel lien entre le secret des affaires et les droits de propriété intellectuelle ?

Le secret des affaires peut recouvrir des hypothèses qui sont soit non protégées par un droit de propriété intellectuelle ou industrielle (dessins et modèles, marques, brevets, droits d’auteur) soit ont un lien avec un tel droit.

Par exemple, le secret des affaires précèdera chronologiquement le droit de propriété intellectuelle lorsqu’il portera sur les premières expérimentations d’une technologie destinée à être brevetée ensuite, ou les premiers croquis d’un nouveau modèle de sac qui sera ensuite protégé en tant que dessin et modèle.

Le secret des affaires peut aussi concerner des informations non brevetables en elles-mêmes ou des éléments que le fabricant ne souhaite pas décrire et encore moins, révéler à ses concurrents.

En matière d’innovation, une entreprise pourra avoir un intérêt à préférer la protection du secret des affaires plutôt que le dépôt d’un brevet ; même si le secret ne lui accorde qu’une protection mal cadrée (sur le temps et le territoire) et non exclusive, une start-up sera sensible à l’absence de formalités, à l’absence de coûts financiers et aussi à l’absence de publicité qui lui garantira de conserver l’information secrète sans avoir à la publier.

Après tout, la recette du Coca-Cola n’a jamais été brevetée : cela lui a évité de tomber dans le domaine public et ce secret contribue encore aujourd’hui au succès de la marque.

Mais le secret des affaires n’est pas un talisman absolu.

L’adoption de la Directive en 2016 puis de la Loi française en 2018 a suscité de vifs débats : les ONG, les syndicats et les journalistes craignaient que la définition du secret des affaires soit si vaste que n’importe quelle information interne à une entreprise soit alors identifiée comme secrète, ce qui aurait restreint la liberté d’expression et empêché la révélation de scandales par des journalistes ou des lanceurs d’alerte, tels que ceux du Médiator, du Bisphénol A, ou des Panama Papers.

La Loi du 30 juillet 2018 a donc prévu des dérogations au secret des affaires pour permettre de garantir[4] :

(1) le droit à la liberté d’expression et de communication, notamment de la presse ;

(2) le droit à l’information et à la consultation des salariés ou de leurs représentants ;

(3) le droit des lanceurs d’alerte de révéler de bonne foi une faute, un comportement répréhensible ou une activité illégale afin de protéger l’intérêt général ;

(4) la protection d’un intérêt légitime reconnu par le droit de l’Union européenne ou le droit national (ordre public, sécurité publique, santé publique) ;

Et (5) l’exercice des pouvoirs d’enquête, de contrôle, d’autorisation ou de sanction des autorités juridictionnelles ou administratives.

Que faire en cas d’atteinte au secret des affaires ?

La Loi définit les cas d’atteinte par le fait d’obtenir, d’utiliser ou de divulguer un secret sans l’accord de son détenteur légitime[5].

Toute atteinte engage la responsabilité civile de son auteur, les faits se prescrivant par cinq ans à compter de la date des faits[6].

Le législateur a prévu uniquement la compétence des juridictions civiles ou commerciales pour réparer les atteintes au secret des affaires. Toutefois, la victime pourra aussi faire sanctionner les faits par le droit pénal, notamment au titre du vol de données, du recel, ou de l’infraction d’intrusion dans un système informatisé de données, le cas échéant.

L’indemnisation de la victime.

L’une des grandes nouveautés de la Loi est que le régime de protection du secret des affaires s’aligne partiellement sur celui des droits de propriété intellectuelle.

La victime d’une atteinte illicite à son secret des affaires pourra réclamer des dommages et intérêts ainsi que toute mesure proportionnée à la prévention, la cessation et/ou l’interdiction de l’atteinte constatée à ses droits.

La Loi prévoit que ces deux actions (l’indemnisation et les mesures de cessation de l’atteinte) pourront se cumuler[7].

Le tribunal déterminera les dommages et intérêts dus en cas d’atteinte à un secret des affaires en prenant en considération, distinctement, les postes suivants[8]:

1° le préjudice effectivement subi par la victime, incluant les conséquences économiques négatives de l’atteinte au secret des affaires, dont le manque à gagner et la perte subie, y compris la perte de chance ;

2° le préjudice moral causé à la victime ;

3° et les bénéfices réalisés par l’auteur de l’atteinte, y compris les économies d’investissements intellectuels, matériels et promotionnels qu’il a retirées de l’atteinte.

Ce mécanisme s’inspire de l’indemnisation prévue en cas de contrefaçon de droits de propriété intellectuelle et il s’avère donc très innovant en matière de responsabilité civile

De façon tout aussi originale, la Loi prévoit, alternativement, et sur demande de la victime, que le tribunal pourra lui allouer une somme forfaitaire à titre de dommages et intérêts, en tenant compte des droits qui auraient été dus si l’auteur de l’atteinte avait demandé l’autorisation d’utiliser le secret des affaires. Et cette somme forfaitaire ne sera alors pas exclusive du préjudice moral causé à la partie lésée.

Le juge peut prononcer des mesures préventives et conservatoires pour faire cesser l’atteinte au secret.

La victime d’une atteinte à son secret des affaires peut demander au juge qu’il ordonne toutes mesures proportionnées de nature à empêcher ou à faire cesser l’atteinte, y compris sous astreinte[9], et le tout aux frais de l’auteur de l’atteinte.

Ces mesures peuvent être :

• L’interdiction de la poursuite des actes d’utilisation, de divulgation ou de mise sur le marché ou d’utilisation des produits ;
• La destruction totale ou partielle des documents, objets, matériaux, substances ou fichiers numériques contenant le secret des affaires ou alternativement leur restitution au demandeur ;
• Ou la confiscation des produits résultant de l’atteinte au secret des affaires, leur rappel ou leur écart des circuits commerciaux, ou encore leur modification pour supprimer l’atteinte.

Ces mesures ne sont pas exhaustives, et le juge pourra donc en prononcer d’autres, mais aussi ordonner en complément, l’affichage ou la publicité de sa décision, intégrale ou par extraits, en veillant à protéger le secret des affaires[10], ce qui garantira l’efficacité du dispositif légal.

Des mesures d’interdiction ou de saisie peuvent aussi être ordonnées par le juge du provisoire, saisi en référé ou sur requête par la victime, ce qui permettra de protéger immédiatement le détenteur d’un secret violé, sans lui imposer d’attendre une décision sur le fond[11].

Toutefois, le juge reste le garant du caractère proportionné des mesures et il peut donc les subordonner à la constitution d’une garantie par le demandeur, laquelle servira à indemniser le défendeur ou un tiers du préjudice éventuellement subi si l’action aux fins de protection du secret des affaires est ultérieurement jugée non fondée[12].

Les mesures conservatoires et provisoires sont, en effet, aménagées comme un préalable à l’action au fond que le détenteur du secret devra engager dans les 20 jours ouvrables ou 31 jours civils (si ce délai est plus long), à compter de l’ordonnance prescrivant les mesures, sous peine de caducité des mesures provisoires[13].

Le régime de protection du secret des affaires dans les procès civils et commerciaux.

La Loi et le Décret instituent aussi une protection renforcée des secrets en cours de procès.

Ce régime s’applique dans toutes les procédures civiles ou commerciales où se pose, à titre principal ou incident, la question de la production d’une pièce dont il est allégué le caractère secret : il s‘agira aussi bien des instances au fond que des procédures de recherche de preuves in futurum autorisées avant tout procès au fond[14].

L’objectif était notamment d’aménager un régime de protection du secret des affaires dans un contexte où le recours aux mesures in futurum prévues par l’article 145 du Code de procédure civile a explosé ces dernières années : il est donc devenu impératif d’empêcher qu’elles ne deviennent des mesures de perquisition civile ou fishing expeditions.

Le Décret a donc institutionnalisé certaines pratiques judiciaires qui existaient déjà ; ainsi, elles ne seront désormais plus laissées au bon vouloir des présidents de juridictions saisis par les demandeurs.

La première mesure est l’instauration d’un séquestre provisoire lorsque le juge est saisi d’une demande de mesures d’instruction avant tout procès : il a pour objectif d’éviter la transmission directe des pièces au demandeur. Le juge pourra ainsi d’office ordonner le placement des pièces sous un séquestre provisoire, qui sera ensuite levé si la partie « saisie » n’a pas formulé de demande de modification ou de rétractation dans le mois de la signification de la décision[15]. Les modalités du séquestre ne sont pas spécifiées mais on imagine que la pratique du séquestre chez un huissier sera la règle.

Le nouveau régime légal permet ensuite au juge, quel que soit le type d’instance concernée[16], d’ordonner des mesures de restriction de l’accès aux documents confidentiels, à la fois quant aux personnes et quant au contenu des pièces.

Ainsi, le juge peut prendre connaissance des pièces, soit seul, soit éventuellement avec un expert pour décider de leur communication. Il peut demander l’avis, pour chacune des parties, d’une personne habilitée à l’assister ou la représenter, afin de se prononcer[17], et interdire à cette personne de faire des copies de la pièce[18].  

La personne qui invoque la protection du secret des affaires devra, à peine d’irrecevabilité, remettre au juge à la fois, la version confidentielle intégrale de la pièce, ainsi qu’une version non confidentielle ou un résumé, et enfin, un mémoire précisant, pour chaque information ou partie de la pièce en cause, les motifs de sa confidentialité[19].

Le juge statue, sans audience, sur la communication de la pièce et ses modalités[20].

Il refuse la production si elle n’est pas nécessaire à la solution du litige[21].

Le juge peut aussi limiter la communication de la pièce à certains de ses éléments, en ordonner la production sous forme de résumé ou en restreindre l’accès, pour chacune des parties, au plus, à une personne physique et une personne habilitée à l’assister ou la représenter[22].

De manière générale, est aussi créée une obligation de confidentialité qui pèse sur toute personne ayant eu accès à la pièce confidentielle dans le procès, et cette obligation perdure à l’issue de la procédure, sauf s’il est jugé en définitive que la pièce n’était pas couverte par un tel secret ou qu’elle a cessé de l’être entretemps[23].   

Préconisations et conseils pratiques à destination des entreprises.

Le dispositif de protection du secret des affaires institué par la Loi n’est applicable que si au préalable, le détenteur du secret a mis en œuvre des mesures de protection raisonnables pour sécuriser les informations stratégiques. Toutefois, ni la Loi ni le Décret ne décrivent le type de mesures jugées « raisonnables », ce qui soumettra leur appréciation aux tribunaux.

D’où l’intérêt pour le détenteur de l’information d’organiser en amont de telles mesures, qui peuvent être techniques ou contractuelles, afin de s’en faciliter la preuve en justice le cas échéant.

Ces mesures pourraient commencer par un diagnostic d’identification des éléments sensibles de l’entreprise :

- l’inventaire des informations (fichiers clients, fichiers prospects, liste des fournisseurs, contrats, données comptables, plans, procédés de fabrication, codes sources…),

- l’analyse du schéma de fonctionnement ou de production de l’entreprise et de chacun de ses métiers,

- le recensement des systèmes et supports d’information de l’entreprise (ordinateurs, messagerie électronique, accès à internet, clés USB, logiciels, wi-fi, téléphones, armoires, locaux d’archivage…),

- le recensement des savoir-faire, de la R&D, des connaissances techniques de l’entreprise,

- le recensement des droits de propriété intellectuelle (marques, brevets, dessins et modèles, droits d’auteur),

- la cartographie des risques pour détecter les moments de vulnérabilité, métier par métier.

Il pourrait être judicieux de prévoir des moyens de traçabilité et de conservation des preuves pour formaliser et dater les informations confidentielles au fur et à mesure de leur apparition.

Sur le plan technique, des mesures de restriction des accès aux systèmes informatiques, aux documents considérés comme confidentiels, de cryptage des données sensibles, peuvent être prises pour démontrer la volonté de conférer un caractère secret à ces informations.

L’entreprise aura intérêt à rappeler sa politique de sécurité dans son règlement intérieur, une note de service ou un règlement de sécurité des informations remis à chaque salarié lors de son entrée.

Ces mesures peuvent être couplées avec des clauses contractuelles prévoyant la confidentialité de certaines informations dans les contrats signés avec les prestataires, des accords de confidentialité pour interdire ou réglementer la divulgation d’informations à des tiers ou sous-traitants, ou encore des clauses de confidentialité et non-concurrence dans les contrats de travail.

A noter ici que ce dispositif légal ne dispensera pas les entreprises d’une certaine vigilance, par le recours à la protection contractuelle. Des clauses de confidentialité se révèleront spécialement nécessaires pour être certain de conserver le caractère secret de certaines informations qui pourraient ne pas entrer dans la définition de l’article L.151-1 du Code de commerce, notamment les informations n’ayant pas a priori une « valeur commerciale, effective ou potentielle » ; tel pourrait être le cas d’un pacte d’actionnaires par exemple.

De manière générale, les mesures de protection du secret des affaires pourront être envisagées aussi à l’occasion de la mise en place du Règlement Général sur la Protection des Données (RGPD) puisque bien souvent, la protection du secret des affaires et la sécurité des données à caractère personnel se recouperont.

Ce peut être alors l’occasion de nommer un référent pour la gestion du secret des affaires, qui pourra aussi être le délégué à la protection des données (Data Protection Officer ou DPO).