Un décret du 18 février 2022 et un arrêté du 16 mars 2022 sont entrés en vigueur le 1er avril 2022 et viennent compléter la loi n°68-678 du 26 juillet 1968 dite « loi de blocage ».
Cette loi interdit la communication de documents ou renseignements d’ordre économique, commercial, industriel, financier ou technique par les personnes physiques ou morales établies en France :
- aux autorités publiques étrangères lorsqu’une telle communication est « de nature à porter atteinte à la souveraineté, à la sécurité, aux intérêts économiques essentiels de la France ou à l’ordre public » (article 1) ;
- aux autorités judiciaires ou administratives étrangères dans le cadre d’une procédure judiciaire ou administrative, sous réserve de traités ou accords nationaux (article 1bis).
Le non-respect de ces interdictions de communication constitue une infraction, faisant encourir une peine d’emprisonnement de six mois et une amende de 18 000 euros.
A l’heure actuelle, en France, une décision a été rendue par la Cour de cassation quant à l’application de la loi de blocage (Cass. Crim. 12 décembre 2007, 07-83.228). En l’espèce, il s’agissait d’une collecte par un avocat de renseignements sur les circonstances dans lesquelles le conseil d’administration d’une société avait décidé du rachat d’une autre société a été considéré comme entrant dans le champ d’application de la loi de blocage. Ces renseignements ont été considérés par la Cour comme étant d’ordre économique, financier ou commercial. En conséquence, ils ne pouvaient pas être collectés pour être reproduits dans le cadre d’une procédure étrangère.
Quels sont les situations concernées par cette loi ? Comment réagir face à une demande de communication de données par une autorité étrangère ?
Dans quelles situations la loi de blocage s’applique-t-elle ?
De manière générale, la loi de blocage s’applique dans le cadre de demandes de communication extraterritoriales.
A titre d’illustration, les demandes formulées dans le cadre des procédures de Discovery américaines pourraient entrer dans le champ d’application de cette loi. Il s’agit des phases d’investigation et d’instruction préalables au procès civil et commercial, qui autorisent les autorités administratives et judiciaires américaines et leurs agents, y compris les avocats, à réclamer la communication de données relatives aux entreprises visées.
Ou encore, il pourrait également s’agir de demandes formulées en application du « Clarifying Lawful Overseas Use of Data Act » (Cloud Act). En effet, le Cloud Act offre la possibilité aux autorités américaines d’accéder aux données stockées à l’étranger par les entreprises américaines, en dehors de procédure judiciaire internationale. En d’autres termes, le Cloud Act facilite l’accès aux données par les autorités américaines sans que les autorités compétentes du pays étranger ne soient intervenues, ni informées de la demande d’accès.
Comment réagir face à une demande de communication ?
Les dispositions de la loi de blocage peuvent être utilisées comme un moyen de défense de l’entreprise, notamment lorsque les demandes de communication portent sur des documents ou renseignements stratégiques.
En effet, les nouveaux textes confèrent au Service de l’Information Stratégique et de la Sécurité Economique (SISSE), autorité créée en 2016 et rattachée au ministère de l’Économie et des Finances, la mission de centraliser l’information concernant de telles demandes et l’accompagnement des entreprises dans l’application de la loi de blocage.
En cas de demande de communication, les entreprises concernées doivent saisir le SISSE afin de lui transmettre un dossier comportant un certain nombre d’éléments, et notamment :
- le numéro d’immatriculation de l’entreprise concernée par la demande,
- l’organigramme de cette entreprise,
- la description de ses activités,
- les principaux concurrents français et étrangers, etc.
Dans le cadre de l’instruction du dossier, le SISSE pourra déterminer si l’importance de l’entreprise et la sensibilité des données réclamées justifient de l’application de la loi de blocage. Dans l’affirmative, le SISSE a la charge de le justifier auprès de l’autorité étrangère émettrice de la demande et de la diriger, dans le cadre de procédures judiciaires notamment, vers les canaux de coopération judiciaire existant en France. Dans la négative, l’entreprise concernée devra s’exécuter auprès de l’autorité étrangère.
Quelles actions mettre en place en amont de toute demande de communication ?
Il est essentiel pour les entreprises de mettre en œuvre une procédure adaptée à leurs secteurs d’activité en vue de gérer les demandes éventuelles des autorités étrangères. Une telle procédure pourrait notamment inclure :
- l’actualisation des contrats à enjeux stratégiques (clauses de confidentialité, de non-débouchage, sortie du contrat, etc.),
- l’identification des informations d’ordre économique, commercial, industriel, financier ou technique à protéger.
Concernant l’identification des informations à protéger, l’entreprise pourrait s’interroger sur les questions suivantes :
- L’information est-elle couverte par un secret protégé par la loi française (secret bancaire, secret des affaires, secret défense, secret professionnel avocat-client, etc.) ?
- La communication de cette information à une autorité étrangère porterait-t-elle atteinte à la souveraineté, à la sécurité, aux intérêts économiques essentiels de la France ou à l’ordre public ?
- La divulgation de l’information porterait-t-elle préjudice à la vie de l’entreprise (impacts techniques, d’image, sur la confiance des actionnaires, d’un client ou d’un partenaire important, etc.) ?
Indépendamment de ces questions, il pourrait également être utile de s’appuyer sur les recommandations du SISSE relatives à l’identification des informations stratégiques à protéger. L’Association française des entreprises privées et le Mouvement des Entreprises de France ont également publié un guide d’identification des données sensibles, en partenariat avec le SISSE. En effet, quelle que soit sa taille, l’identification des informations stratégiques est essentielle pour toute entreprise.
Enfin, rappelons que les documents objet de demandes de communication peuvent contenir des données à caractère personnel. Le règlement général sur la protection des données encadre les transferts vers des pays tiers, y compris dans le cadre de procédures judiciaires (article 48 relatif aux transferts en cas de décision de justice ou émanant d’une autorité administrative étrangère).