Protection des informations, un exemple concret a Heathrow

http://www.silicon.fr/securite-it-cle-usb

Des informations ultra-confidentielles sur la sécurité de l’aéroport de Heathrow ont été retrouvées dans les rues de Londres sur une clé USB. Cette négligence aurait pu avoir des conséquences catastrophiques. Déjà, par précaution, elle impliquera le renouvellement complet des procédures et des installations de sécurité ainsi compromises.

Cette affaire illustre une règle essentielle en matière de protection des informations : toute donné sensible doit être classifiée (« tagger ») et toute donnée classifiée doit faire l’objet d’un suivi : qui y a accès, sur quelle support est-elle, où est ce support ?…..

Nouvelle notion européenne du « secret des affaires », comment les PME et ETI peuvent en tirer partie

Après plusieurs tentatives infructueuses d’introduction de la notion de « secret des affaires » dans le droit français par la loi, c’est finalement par une directive européenne que cette notion, tant attendue par les professionnels, renforcera la capacité de nos entreprises à se protéger de la captation ou de la dégradation de leur patrimoine informationnel, socle de toute création de valeur.

Il s’agit de la directive (UE) 2016/943 du 8 juin 2016 (JOUE L 157 du 15 juin) sur « la protection des savoir-faire et des informations commerciales non divulgués (secrets d’affaires) contre l’obtention, l’utilisation et la divulgation illicites ». Elle devra être transposée au plus tard le 9 juin 2018 dans les droits des états. Dans les mois a venir le corpus juridique français devrait donc s’enrichir de cette notion mais c’est surtout la jurisprudence qu’il sera intéressant de suivre.

Une définition du secret des affaires

Jusqu’à présent le secret des affaires était protégé par des dispositions diverses du droit français: le contrat qui lie deux parties, le code de la propriété intellectuelle (brevets, droits d’auteur …) et de très nombreuses qualifications de droit pénal (secret professionnel, secret des correspondances, le vol, l’abus de confiance, l’accès ou le maintien frauduleux dans un système de traitement automatisé de données…). Cependant aucune définition n’existait en droit français.

Désormais, en Europe, le secret des affaires sera : « des informations secrètes, ayant une valeur commerciale parce qu’elles sont secrètes et ayant fait l’objet, de la part de leurs détenteurs, de dispositions raisonnables destinées à les garder secrètes ».

dispositions raisonnables destinées à les garder secrètes : ce dernier point est important et fera certainement le bonheur des avocats et des amateurs de jurisprudence. Si vous n’avez rien fait pour protéger votre patrimoine informationnel, vous ne pourrez pas vous prévaloir du secret des affaires devant les tribunaux. Des dispositions raisonnables, c’est d’abord d’identifier vos données stratégiques et de les classifier comme telles, puis d’y apporter un soin particulier dans leur exploitation et leur conservation et, enfin, d’informer et de former vos collaborateurs à des procédures de conservation du secret.

Les cas de violation du secret des affaires

La directive définit trois catégories d’accès au secret des affaires.

  • Les actes sont légaux, en particulier, dans les cas suivants :
    • la (re) découverte indépendante
    • le rétro-ingénierie (par exemple : acheter un airbus pour le démonter et le reproduire…)
    • l’exercice du droit des travailleurs ou de leurs représentants
    •  toute « pratique conforme aux usages honnêtes en matière commerciale » (là encore que de bonheur pour l’étude de la jurisprudence)
  • Les accès aux données sont illégaux quand il y a eu appropriation, utilisation, divulgation, production ou mise sur le marché sans le consentement de détenteur du secret des affaires. Ainsi la publication, même gracieuse d’informations relavant du secret des affaires est sanctionnable.
  • Cette définition large risquait de porter atteinte à la protection des journalistes et des lanceurs d’alertes. Aussi, des dérogations sont prévues pour ceux-ci. Un accès au secret des affaires, même sans le consentement de son propriétaire, n’est pas illégal quand il répond au droit à la liberté d’expression et d’information ou quand il s’agit de la  révélation « d’une faute, un acte répréhensible ou une activité illégale, à condition que le défendeur ait agi dans le but de protéger l’intérêt public général  ou un intérêt légitime reconnu par le droit de l’Union ou le droit national ».

La directive demande également aux états de prendre des dispositions pour que le secret des affaires ne soit pas mis à mal au cours de procédures judiciaires. Les tribunaux devront prendre des dispositions pour que la publication des actes respecte une réelle confidentialité. Quand on voit ce qui est fait au secret de l’instruction, ces vœux peuvent paraître illusoires mais il est vrai que le « renseignement juridictionnel » est un méthodologie largement utilisée par les cabinets d’Intelligence économique, notamment anglo-saxons.

Aux états désormais de transcrire cette directive dans leurs droits nationaux et de fixer des échelles de sanctions. Néanmoins le cadre existe désormais. Les entreprises européennes pourront plus facilement se défendre du pillage par des manœuvres d’intelligence économique ou des actes d’espionnage économique. C’est pourquoi, il est important pour une entreprise, même de petite taille, de prendre les dispositions nécessaires pour pouvoir, un jour, faire valoir ses droits. Pour cela, les PME et les ETI, si elle ne disposent pas en interne de compétences spécifiques, peuvent faire appel à l’assistance d’un spécialiste de la sûreté économique et de la protection des informations.