La publication de cette proposition de Directive intervient alors que tant les juristes que les praticiens de la sécurité informatique ou physique débattent de manière énergique et parfois houleuse sur ce sujet. Rappelons que l’Assemblée Nationale a adopté le 23 janvier 2012 un texte qui a fait l’objet de nombreuses critiques et controverses.

Le gouvernement préparerait dans le plus grand secret un nouveau texte et on imagine mal qu’il l’adopte alors qu’une Directive est en préparation. A moins bien entendu de devancer les travaux européens et d’adopter un texte dans le prolongement de la Directive.

Remarque sémantique au préalable : la Commission vise la protection des secrets (au pluriel) d’affaires alors qu’en France, les juristes utilisent le mot secret au singulier, considérant que le pluriel induit l’existence de plusieurs types de secret d’affaires. Cette différence orthographique ne prête pas à conséquence puisque la commission a prévu un unique régime.

Cette proposition a été élaborée avec un processus qui apparaît relativement démocratique, mais qui peut être aisément perverti :

• La commission a commencé à faire un tour d’horizon des différentes législations européennes et a constaté des disparités dans le mode de protection entre les différents pays de l’Union. (étude publiée en janvier 2012)

• Puis elle a élaboré un questionnaire aux entreprises qu’elle a soumis à une critique avant de le diffuser.

• Ce questionnaire, auquel ont répondu près de 600 entreprises, a donné lieu à une étude sur les aspects économiques des secrets d’affaires, publiée en mai 2013.

• Étude rapidement suivie le 28 novembre 2013 de la proposition de Directive.

Résumons donc en 7 points les principaux éléments de cette directive :

1) Les secrets d’affaires sont définis de la manière suivante :

Ce sont « des informations qui répondent à toutes les conditions suivantes :

a) elles sont secrètes en ce sens que, dans leur globalité ou dans la configuration et l’assemblage exacts de leurs éléments, elles ne sont pas généralement connues de personnes appartenant aux milieux qui s’occupent normalement du genre d’informations en question, ou ne leur sont pas aisément accessibles ;

b) elles ont une valeur commerciale parce qu’elles sont secrètes ;

c) elles ont fait l’objet, de la part de la personne qui en a licitement le contrôle, de dispositions raisonnables, compte tenu des circonstances, destinées à les garder secrètes ; »

La formulation apparaît un brin ampoulée pour celui qui n’est pas familier des textes européens. Cette définition reprend celle des « renseignements non divulgués » qui figure dans l’accord sur les ADPIC.
On y retrouve le principe qui est issu de « l’economic espionnage act » américain de 1996 d’où il résulte que l’appropriation illicite d’une information n’est sanctionnée que si l’entreprise a pris des mesures de protection destinée à la garder secrète.

Des débats vont s’engager pour savoir ce que sont les dispositions raisonnables que devront adopter les entreprises et l’on peut également se demander comment l’entreprise pourra montrer qu’une information a une valeur commerciale parce que secrète.

2) La voie pénale est écartée mais pas exclue pour la protection des secrets d’affaires. Mais les obligations qui découlent de la Directive portent sur les aspects civils.

3) L’on retrouve dans la proposition de Directive des mécanismes qui ont fait leurs preuves en matière de propriété intellectuelle :

 ? Indemnisation prenant en compte tant les pertes subies que « les bénéfices du contrefaisant ». Rappelons à cet égard qu’une telle disposition a été adoptée par la loi française du 29 Octobre 2007 pour indemniser les victimes de la contrefaçon. Mais ce texte semble insatisfaisant Le Sénat s’est emparé également du sujet et une proposition de loi a été déposée le 30 septembre 2013 (http://www.senat.fr/leg/ppl12-866.pdf). Est reprise également l’idée de verser au détenteur initial du secret des redevances qui auraient été perçues s’il avait licencié son secret.

 ? Existence des mesures provisoires et conservatoires, sous la forme d’ordonnances de référé ou de saisies conservatoires de produits en infraction (article 9) dont le caractère équitable et proportionné devra être garanti.

 ? Les juges devront avoir la possibilité de prévoir l’interdiction de l’utilisation ou de la divulgation du secret d’affaires, l’interdiction de fabriquer, d’offrir, de mettre sur le marché ou d’utiliser des produits en infraction (ou d’importer ou de stocker de tels produits à ces fins), ainsi que des mesures correctives.
Comme la destruction par le contrevenant de toutes les informations qu’il détient en rapport avec le secret d’affaires obtenu, utilisé ou divulgué de façon illicite, ou leur remise au détenteur initial de ce secret.

4) Le délai pour agir est très court puisqu’il est compris entre un et deux ans à compter de la date à laquelle le requérant a pris connaissance du dernier fait donnant lieu à l’action, ou aurait dû en prendre connaissance ! (article 7). Dès lors, la question de l’articulation avec les textes actuellement utilisés qui prévoit une prescription plus longue va se poser (par exemple article 1382 du Code civil). En d’autres termes, un délai spécial prime-t-il sur une prescription plus longue ?

5) Pour éviter que la protection du secret des affaires ne soit un prétexte à l’enfouissement de certaines affaires, le texte prévoit certains garde-fous. Les dispositions sur le secret d’affaires ne s’appliquent pas lorsque l’obtention, l’utilisation ou la divulgation présumée du secret d’affaires s’est produite dans l’une des circonstances suivantes :

a) Lorsque le secret d’affaire est découvert de manière indépendante par un tiers.

b) En cas de reverse engineering qui trouve donc ses lettres de noblesse et une validation juridique.

c) Lors de l’exercice du droit des représentants des travailleurs à l’information et à la consultation, conformément aux législations et pratiques nationales et à celles de l’Union.

d) de toute autre pratique qui, eu égard aux circonstances, est conforme aux usages commerciaux honnêtes.

e) lors de l’usage légitime du droit à la liberté d’expression et d’information.

f) lors de la révélation d’une faute, d’une malversation ou d’une activité illégale du requérant, à condition que l’obtention, l’utilisation ou la divulgation présumée du secret d’affaires ait été nécessaire à cette révélation et que le défendeur ait agi dans l’intérêt public.

g) lors divulgation du secret d’affaires par des travailleurs à leurs représentants dans le cadre de l’exercice légitime de leur fonction de représentation.

h) lors du respect d’une obligation non contractuelle.

i) lors de la protection d’un intérêt légitime.

6) Le secret des affaires doit être protégé au cours des procédures judiciaires. C’est ce qu’appelait de leurs vœux beaucoup de praticiens.

7) Enfin, toute personne qui intenterait une action injustifiée sur le fondement de l’appropriation illicite du secret d’affaires pourrait être lourdement sanctionné. (article 6).

En conclusions, cette proposition va amener les juristes à travailler de concert avec les directeurs de sécurité et les RSSI puisque la protection légale est subordonnée à une protection physique et numérique. C’est un peu comme si l’on subordonnait la répression des cambriolages à l’exigence de barreaux aux fenêtres et à une porte blindée.

Et il existe peu de juristes formés à la sécurité des entreprises. Quelle sera notamment la formation des magistrats qui leur permettra d’apprécier la pertinence de la sécurité d’un système d’information ? On se souvient de la décision SARENZA où un magistrat avait critiqué de manière fort brutale les mesures de sécurité d’une entreprise (voir à ce sujet :
http://blogs.lesechos.fr/intelligence-economique/vol-de-secret-d-affaires-le-systeme-doit-etre-protege-a13807.html )

www.France-lex.com