Le savoir-faire des entreprises représente au moins autant de valeur que leurs brevets ou autres droits de propriété intellectuelle et leur confère un positionnement concurrentiel.
C’est pourquoi face à l’augmentation de l’espionnage industriel facilité par le piratage informatique, les Etat européens se sont enfin décidés à les protéger, comme l’ont fait, avant eux, les Etats Unis et la Chine.
La Directive 2016/943 du 8 juin 2016 « sur la protection des savoir-faire et des informations commerciales non divulguées (secrets d’affaires) contre l’obtention, l’utilisation et la divulgation illicites » consacre la protection du capital intellectuel des entreprises, tout en préservant le statut des lanceurs d’alerte et des journalistes.
L’objectif du texte est de permettre aux entreprises d’obtenir réparation de leur préjudice en cas de vol, d’utilisation ou de divulgation d’informations protégées par le secret des affaires.
Les conditions que doivent remplir ces informations, pour être protégées, sont :
- leur caractère secret, c’est à dire non-connues ou peu facilement accessibles par les milieux concernés ;
- leur « valeur commerciale » ;
- la mise en œuvre de « dispositions raisonnables » de protection de la part de leurs détendeurs, « compte tenu des circonstances ».
Les entreprises devront donc démontrer avoir mis en place des procédures internes suffisantes pour la préservation de leurs informations stratégiques.
Sera responsable d’une obtention ou divulgation d’informations secrètes illicites, non seulement la personne qui en est l’auteur mais aussi celle qui « aurait dû savoir que ledit secret d’affaires avait été obtenu directement ou indirectement d’une autre personne ».
Pour l’évaluation des dommages et intérêts, les entreprises pourront se prévaloir des « conséquences économiques négatives » de cette captation, des « bénéfices injustement réalisés par le contrevenant », et le cas échéant, du préjudice moral subi.
Concernant les sanctions prises par les Etats en cas d’atteintes illicites, elles devront être civiles, effectives, proportionnées et dissuasives.
Enfin, tout en consacrant un droit fondamental, la Directive a tenté de concilier la protection des secrets d’affaires avec d’autres principes : ses dispositions ne doivent « pas entraver les activités des lanceurs d’alertes », ni porter atteinte à « l’exercice du droit à la liberté d’expression et d’information y compris le respect de la liberté et du pluralisme des médias » ou « restreindre la mobilité des travailleurs ».
L’Etat français devra transposer ce texte européen avant le 9 juin 2018 avec, le cas échéant, des dispositions plus protectrices.
Pour rappel, depuis 2012, diverses propositions de loi sur le sujet ont été examinées. La dernière en date, à l’occasion de la loi Macron (pour la Croissance, l’Activité et l’Egalité des chances Economiques) de 2015, anticipait sur l’adoption de la Directive. Ce projet visait « à sanctionner la violation du secret des affaires », par, notamment, une peine d’emprisonnement de trois ans et 375 000€ d’amende.
Il conviendra d’adapter le projet de loi pour prendre en compte les règles impératives européennes suivantes :
- respect de la liberté et du pluralisme des médias,
- respect du droit à l’information des représentants des salariés,
- sanctions civiles à prévoir en cas de simple obtention ou d’utilisation d’informations confidentielles, en sus de celle prévue en cas de la divulgation à un tiers.
En attendant, les entreprises doivent impérativement auditer les dispositions qu’elles ont mises en place pour protéger leurs secrets d’affaires pour s’assurer qu’elles atteignent le niveau de protection minimum requis pour bénéficier du nouveau régime de sanctions.
Cet audit portera sur, outre la sécurité technique, l’identification et la classification des informations confidentielles, les restrictions d’accès, les sauvegardes, la formation du personnel, l’insertion de clauses de confidentialité dans les contrats de travail, les contrats de prestations de services, de partenariat ou autres, et l’existence d’une procédure de signature de contrat de confidentialité avant tout début de discussion.
Le 27 mars 2017