Intelligence économique : Bic contre les briquets hors normes

briquets-non-conformes-bic-porte-plainte-contre-la-france-et-l-allemagne

73% des briquets distribués en Europe, 86% en France et en Allemagne, ne sont pas conformes aux normes de sécurité (ISO 9994) et sont donc dangereux tant pour les utilisateurs que pour l’environnement. Aussi, le groupe BIC, victime d’une concurrence asiatique déloyale a porté plainte auprès de la commission européenne.

C’est aussi ça une stratégie d’intelligence économique: exiger que l’Europe s’assure que les importateurs respectent les mêmes règles que celles qu’elle impose aux producteurs locaux. Pour cela, il est nécessaire de mettre en place une veille sur la concurrence et les normes, voire de prendre part à l’élaboration de celles-ci et définir et coordonner des actions de riposte (communication, justice, lobbying…).

Il s’agit d’un travail de longue haleine qui nécessite d’être accompagné par des spécialistes mais la survie d’une marque, d’une entreprise peut passer par cet effort.

Une explosion dans une usine pétrochimique suite a une cyber-attaque

Selon le "New York Times", des hackers ont tenté de causer une explosion dans une usine pétrochimique saoudienne en août dernier (image d'illustration)

http://www.parismatch.com

Une explosion dans une usine pétrochimique saoudienne aurait été évitée de justesse en août dernier. Ce cas illustre parfaitement les risques de confluence entre les cyber-attaques, le terrorisme et les enjeux géostatistiques, économiques et politiques.

Une PME peut être victime de ce type d’attaque, non pour elle même, mais pour les dégâts et les pertes humaines qu’une destruction chez elle peut provoquer dans son environnement.

Il convient, de plus en plus, d’envisager sa cyber-sécurité dans une analyse complète de son environnement, de son écosystème mais également de son environnement géopolitique.

La sûreté n’est pas uniquement de la technique.

Protectionnisme ou politique industrielle ?

Le président américain a mis un terme à la tentative d’OPA de Qualcomm, géant américain des puces électroniques par Broadcom une société d’origine américaine basée à Singapour depuis son rachat en 2015 par le malaisien Hock Tan.

Par ces manières toujours brutales, Trump n’impose pas moins une vision claire des intérêts états-uniens dans le secteur stratégique des semi-conducteurs. C’est aussi un avertissement à des firmes comme Apple, qui, pour beaucoup de spécialistes, soutenait en sous-main son fournisseur asiatique.

L’idéal du libre-echange pur et parfait, érigé en idéologie par l’Europe est bien mort, il faut vite en tirer toutes les conséquences.

article le monde

article l’usine nouvelle

article le journal du geek

conseil de lecture : L’arme des lanceurs d’alerte est devenue celle des puissants

http://www.leparisien.fr

De wikeleaks aux paradises papers, il y a 2 questions que personne ne pose : d’où viennent ces documents, qui a intérêt à leur diffusion. Sans aucun doute, il s’agit d’un travail brillant et acharné de quelques journalistes courageux, il faut le souligner, mais la plupart d’entre eux, par sécurité, travaillent sur des matériaux dont ils ne connaissent pas l’origine initiale.

En matière d’évasion fiscale ou de corruption active, je m’étonne de voir beaucoup de noms d’entreprises européennes et peu d’américaines, il est vrai qu’elles sont plus vertueuses. Pierre Gastineau et Philippe Vasset nous conduisent, dans ce libre, a regarder plus loin que la scène qu’on nous propose.

Nouvelle notion européenne du « secret des affaires », comment les PME et ETI peuvent en tirer partie

Après plusieurs tentatives infructueuses d’introduction de la notion de « secret des affaires » dans le droit français par la loi, c’est finalement par une directive européenne que cette notion, tant attendue par les professionnels, renforcera la capacité de nos entreprises à se protéger de la captation ou de la dégradation de leur patrimoine informationnel, socle de toute création de valeur.

Il s’agit de la directive (UE) 2016/943 du 8 juin 2016 (JOUE L 157 du 15 juin) sur « la protection des savoir-faire et des informations commerciales non divulgués (secrets d’affaires) contre l’obtention, l’utilisation et la divulgation illicites ». Elle devra être transposée au plus tard le 9 juin 2018 dans les droits des états. Dans les mois a venir le corpus juridique français devrait donc s’enrichir de cette notion mais c’est surtout la jurisprudence qu’il sera intéressant de suivre.

Une définition du secret des affaires

Jusqu’à présent le secret des affaires était protégé par des dispositions diverses du droit français: le contrat qui lie deux parties, le code de la propriété intellectuelle (brevets, droits d’auteur …) et de très nombreuses qualifications de droit pénal (secret professionnel, secret des correspondances, le vol, l’abus de confiance, l’accès ou le maintien frauduleux dans un système de traitement automatisé de données…). Cependant aucune définition n’existait en droit français.

Désormais, en Europe, le secret des affaires sera : « des informations secrètes, ayant une valeur commerciale parce qu’elles sont secrètes et ayant fait l’objet, de la part de leurs détenteurs, de dispositions raisonnables destinées à les garder secrètes ».

dispositions raisonnables destinées à les garder secrètes : ce dernier point est important et fera certainement le bonheur des avocats et des amateurs de jurisprudence. Si vous n’avez rien fait pour protéger votre patrimoine informationnel, vous ne pourrez pas vous prévaloir du secret des affaires devant les tribunaux. Des dispositions raisonnables, c’est d’abord d’identifier vos données stratégiques et de les classifier comme telles, puis d’y apporter un soin particulier dans leur exploitation et leur conservation et, enfin, d’informer et de former vos collaborateurs à des procédures de conservation du secret.

Les cas de violation du secret des affaires

La directive définit trois catégories d’accès au secret des affaires.

  • Les actes sont légaux, en particulier, dans les cas suivants :
    • la (re) découverte indépendante
    • le rétro-ingénierie (par exemple : acheter un airbus pour le démonter et le reproduire…)
    • l’exercice du droit des travailleurs ou de leurs représentants
    •  toute « pratique conforme aux usages honnêtes en matière commerciale » (là encore que de bonheur pour l’étude de la jurisprudence)
  • Les accès aux données sont illégaux quand il y a eu appropriation, utilisation, divulgation, production ou mise sur le marché sans le consentement de détenteur du secret des affaires. Ainsi la publication, même gracieuse d’informations relavant du secret des affaires est sanctionnable.
  • Cette définition large risquait de porter atteinte à la protection des journalistes et des lanceurs d’alertes. Aussi, des dérogations sont prévues pour ceux-ci. Un accès au secret des affaires, même sans le consentement de son propriétaire, n’est pas illégal quand il répond au droit à la liberté d’expression et d’information ou quand il s’agit de la  révélation « d’une faute, un acte répréhensible ou une activité illégale, à condition que le défendeur ait agi dans le but de protéger l’intérêt public général  ou un intérêt légitime reconnu par le droit de l’Union ou le droit national ».

La directive demande également aux états de prendre des dispositions pour que le secret des affaires ne soit pas mis à mal au cours de procédures judiciaires. Les tribunaux devront prendre des dispositions pour que la publication des actes respecte une réelle confidentialité. Quand on voit ce qui est fait au secret de l’instruction, ces vœux peuvent paraître illusoires mais il est vrai que le « renseignement juridictionnel » est un méthodologie largement utilisée par les cabinets d’Intelligence économique, notamment anglo-saxons.

Aux états désormais de transcrire cette directive dans leurs droits nationaux et de fixer des échelles de sanctions. Néanmoins le cadre existe désormais. Les entreprises européennes pourront plus facilement se défendre du pillage par des manœuvres d’intelligence économique ou des actes d’espionnage économique. C’est pourquoi, il est important pour une entreprise, même de petite taille, de prendre les dispositions nécessaires pour pouvoir, un jour, faire valoir ses droits. Pour cela, les PME et les ETI, si elle ne disposent pas en interne de compétences spécifiques, peuvent faire appel à l’assistance d’un spécialiste de la sûreté économique et de la protection des informations.

RGPD, au secours? non restons calmes

www.silicon.fr/RGPD

Débat intéressant hier au club de la presse informatique BtoB mais, comme le compte rendu qui en est fait ici, cela reste, même pour les « experts » un peu touffu.

Pour une PME, une collectivité locale, une ETI, il faut faire simple :

  • désigner un DPO (Data protection Officer) interne ou externalisé,
  • faire l’inventaire (cartographie) des données personnelles demandées et détenues ainsi que de la façon dont celles-ci sont stockées et utilisées,
  • faire l’inventaire des services et produits informatiques utilisés et alimentés en données sur des personnes (clients, employés, …) et s’assurer qu’ils sont conçus pour éviter toute fuite d’informations, à défaut, les faire évoluer. Ne pas hésiter à solliciter vos fournisseurs de solutions informatiques sur la conformité de leurs produits.

En plus de vous mettre en conformité cela renforcera débord la sécurité de vos informations.

Kaspersky, agent des services de renseignement russes ?

Le gouvernement américain n’autorise plus l’usage des antivirus et logiciels de sécurité de Kaspersky

Le célèbre anti-virus installé sur des millions d’ordinateurs dans le monde est désormais interdit dans l’administration américaine. Il serait un outil des services russes. C’est ce que croit les autorités états-uniennes (bien placées pour parler d’agents d’influence russes…) et ce qu’affirme Bloomberg dans un récent article.

Sur un sujet aussi sensible, aussi régalien que la sécurité numérique, comment imaginer un instant que les tout puissants services de renseignement russes s’intéressent à une entreprise privée dont le siège social est à Moscou !

Même les américains ont le droit d’être parano ! A moins d’y voir un lien avec le conflit que kaspersky a avec Microsoft !

La loi Sapin II : une opportunité pour les entreprises,

https://portail-ie.fr/analysis/1593/jdr-loi-sapin-ii-et-pratique-des-affaires-quelles-consequences-pour-lentreprise-33

 

 

 

 

 

Depuis, le 1er juin 2017, toute entreprise de plus de 500 salariés et d’un chiffre d’affaires supérieur à 100 millions d’euros exerçant toute ou partie de son activité en France, devra s’être dotée d’outils et de mesures appropriés à la lutte contre les manquements à la probité. Il s’agit en particulier :

  • de l’adoption d’un code de bonne conduite,
  • de mise en place d’outils d’audit et d’alerte interne,
  • de la réalisation d’une cartographie des risques,
  • de formations spécifiques.

Plus qu’une contrainte supplémentaire, ces nouvelles normes doivent être considérées comme une protection des entreprises françaises face aux menaces concurrentielles « non conventionnelles » (atteinte à la réputation, mise en cause par des juridictions étrangères, sanctions internationales….).

Néanmoins, si les grandes entreprises pourront organiser des compétences internes qui souvent existent déjà, les ETI en ont rarement les moyens et devront externaliser ces nouvelles fonctions. Le choix de l’intervenant, qui aura accès à des informations sensibles de l’entreprise, sera important. La confiance devra être un critère de choix majeur.

Les nouvelles obligations de compliance des entreprises,

De nouvelles dispositions législatives s’imposent désormais aux entreprises françaises en matière de compliance. Il s’agit des dispositions anti-corruption de la loi Sapin II qui entreront en vigueur à partir du 1 juin 2017 ainsi que des mesures imposées par la loi du 27 mars 2017 sur l’obligation de vigilance des sociétés mères.

Ces innovations sont souvent présentées comme des opportunités de développement nouvelles et surtout comme des outils pour lutter contre l’impérialisme juridique états-uniens (voir article : https://www.linkedin.com/pulse/le-droit-américain-comme-arme-de-guerre-économique). Néanmoins, si les grandes entreprises disposent de compétences pour mettre en place ces obligations nouvelles, il en est tout autrement des structures de tailles plus modestes, typiquement les ETI. Sans parler de distorsion de concurrence au bénéfice des grosses structures, celles-ci peuvent quand même y trouver un avantage concurrentiel.

La Loi Sapin II s’applique à toute entreprise de plus de 500 salariés et d’un chiffre d’affaires annuel supérieur à 100 millions d’euros exerçant toute ou partie de son activité en France.

Ces entreprises devront mettre en place des outils et des mesures destinés à lutter contre les manquements à la probité. Il s’agit en particulier :

  • d’intégrer au règlement intérieur de l’entreprise un code de conduite décrivant les comportements à proscrire ;
  • de mettre en place des formations à destination des cadres et des personnels de la société les plus exposés ;
  • de mettre en place un dispositif d’alerte et d’écoute interne;
  • de réaliser des contrôles comptables internes ou externes, pour permettre la détection de comportements à risques ;
  • d’établir une cartographie des risques propre à l’environnement et à l’activité de chaque entreprise ;
  • de mettre en place des procédures d’évaluation de la situation des clients, des fournisseurs et des intermédiaires ;

La loi Sapin II instaure également une Agence Française Anti-corruption dont le rôle sera de participer à la mise en application de la réglementation.

La loi relative au devoir de vigilance des sociétés mères s’applique, quant à elle, aux entreprises de plus grandes tailles (5 à 10 000 salariés dans le groupe en direct et dans les filiales selon que le siège social est en France ou à l’étranger).

Cette loi impose, cette fois, de mettre en place un plan de vigilance comportant des mesures «  propres à identifier les risques et à prévenir les atteintes graves envers les droits humains et les libertés fondamentales, la santé et la sécurité des personnes ainsi que l’environnement », résultant des activités de la société … ainsi que des activités des sous-traitants ou fournisseurs avec lesquels est entretenue une relation commerciale établie »,

Ce plan doit permettre de mettre en place, entre autre, :

  • Une cartographie des risques destinée à leur identification, leur analyse et leur hiérarchisation ;
  • Des procédures d’évaluation régulière de la situation des filiales, des sous-traitants ou fournisseurs ;
  • Des actions adaptées d’atténuation des risques ou de prévention des atteintes graves;
  • Un mécanisme d’alerte et de recueil ;

Au delà du risque légal, les entreprises sont désormais confrontées aux risques réputationnels, aux conséquences souvent bien plus importantes que les sanctions judiciaires et, de toute façon, cumulées avec celles-ci. Se conformer de façon efficace et pro-active à ces lois est également un moyen de se protéger et d’afficher un comportement responsable et durable.

Les entreprises de tailles intermédiaires ne doivent pas hésiter à faire appel à des spécialistes extérieurs pour transformer ces obligations légales en opportunités.

Les directions juridiques en entreprises, les débats du Cercle Montesquieu vu sous l’angle de la sécurité économique,

Le Cercle Montesquieu, association des directeurs juridiques, organisait le 25 avril 2017 son colloque annuel. Ce fut l’occasion de débats très intéressants notamment sur la judiciarisation croissante de la vie économique et sur l’évolution du droit des affaires. La loi Sapin II a souvent été au cœur des débats et des préoccupations. S’ils s’adressaient avant tout à des juristes, ces échanges pouvaient également être abordés sous l’angle de la sécurité économique et de la sécurité des informations.

Les débatteurs se sont accordés à stigmatiser la complexification de notre droit, la sur-interpretation des transcriptions des directives européennes, voir la contradiction des normes et exigences des régulateurs, qui conduisent à l’excès de sollicitations des juges et à la rupture de la confiance directe, chacun craignant à tout moment un procès de la part d’un partenaire, d’un client ou d’un associé.

Beaucoup ont salué les intentions de la loi sapin II, qui en renforçant la lutte, en France, contre la corruption pourrait empêcher la justice américaine de sanctionner des entreprises françaises comme elle l’a fait, à maintes reprises, en se basant sur le Foreign Corrupt Practices Act (FCPA). Les promoteurs de la loi espèrent que le principe « non bis in idem » (jamais deux fois pour la même chose) sera respecté et appliqué par les juges américains.

Pourtant, rien n’est moins sur, ce principe étant surtout porté par des conventions européennes. Par ailleurs, il est nécessaire de garder en mémoire que le droit américain est utilisé comme une arme d’intelligence économique, notamment parce que le gouvernement américain, peut utiliser ses services de renseignement pour faire appliquer ces normes juridiques et surtout parce que les procédures engagées se concluent souvent par un « deferred prosecution agreements » (DPA) qui place l’entreprise incriminée sous surveillance pendant 1 à 3 ans et l’oblige à fournir des documents et des informations internes, voire à accepter la mise en place d’un contrôleur externe. Ceci est, bien entendu, l’occasion de collecter des données sensibles et stratégiques au profit des entreprises états-uniennes. Une analyse en « contre intelligence économique » doit donc accompagner la démarche juridique.

(voir notre article précédent : https://www.linkedin.com/pulse/le-droit-américain-comme-arme-de-guerre-économique)

Il a été aussi beaucoup question de « compliance » (mais malheureusement sans évoquer de façon plus large la due diligence), certains regrettant d’ailleurs que cette fonction tende à s’émanciper des directions juridiques. Cette évolution tendancielle du droit s’inscrit, là aussi, dans une logique de concurrence des normes avec le droit américain et transforme progressivement la conduite de nos affaires.

Il n’a pas été évoqué l’implication et du lobbying des ONG anglo-saxonnes dans la diffusion de ces normes, cela aurait également été intéressant a mettre en parallèle (voir sur ce sujet : https://www.linkedin.com/pulse/les-ong-une-arme-économique-du-capitalisme).

Il a été souligné que l’obligation de compliance, notamment quand il s’agit de l’obligation de vérifier la compliance d’un tiers partenaire, peut être considérée comme un transfert de charge de l’action publique sur l’entreprise. Cela induit des coûts supplémentaires et, concrètement, de renforcer et spécialiser les équipes juridiques ce que ne peuvent pas toujours faire les PME et ETI. Il y a là un véritable risque de distorsion de concurrence au bénéfice des grosses structures, même s’il est toujours possible de faire appel à des consultants extérieurs.

Cette journée de débat a, au final, mis en évidence, toute l’actualité des directions juridiques dans les entreprises mais également leurs besoins de s’ouvrir vers des spécialités voisines.

Merci à Nicolas Guerin, président du Cercle Montesquieu, pour l’organisation de cette journée.