Par une décision n°2018-768 du 26 juillet 2018 du Conseil constitutionnel, le Conseil constitutionnel a validé la loi n°2018-670 du 30 juillet 2018 relative à la protection du secret des affaires, permettant au législateur français de transposer la directive 2016/943 du 8 juin 2016 sur la protection des savoir-faire et des informations commerciales non divulgués (secrets d’affaires) contre l’obtention, l’utilisation et la divulgation illicites.
Mathias Avocats a ainsi étudié le cadre législatif et présente ses réflexions au sujet de la protection du secret des affaires tel qu’organisé par les législateurs européen et français.
Que désigne la notion de « secret des affaires » ?
La définition du secret des affaires dans la directive (article 2) s’inspire de l’accord sur les aspects des droits de propriété intellectuelle qui touchent au commerce, dit accord « ADPIC » (article 39). La loi reprend cette définition en prévoyant trois critères cumulatifs pour qu’une information puisse bénéficier de la protection au titre du secret des affaires (article L. 151-1 du Code de commerce) :
- « Elle n’est pas, en elle-même ou dans la configuration et l’assemblage exacts de ses éléments, généralement connue ou aisément accessible pour les personnes familières de ce type d’informations en raison de leur secteur d’activité » ;
- « Elle revêt une valeur commerciale, effective ou potentielle, du fait de son caractère secret » ;
- « Elle fait l’objet de la part de son détenteur légitime de mesures de protection raisonnables, compte tenu des circonstances, pour en conserver le caractère secret ».
La définition ci-dessus ne nous paraît pas exempte de critiques, notamment en termes de clarté. En effet, quelle interprétation faire de ce premier critère ? Qui sont les « personnes familières de ce type d’informations en raison de leur secteur d’activité » ? Outre la qualité contestable du texte, n’aurait-il pas été plus judicieux de s’inspirer de la notion de « l’homme du métier » bien connue des spécialistes de la propriété intellectuelle et à laquelle les magistrats français qui auront à connaître du contentieux relatif au secret des affaires auraient pu se référer ? En outre et comme préconisé par le Conseil d’Etat dans son avis du 15 mars 2018 sur la proposition de loi, le caractère « potentiel » de la valeur commerciale de l’information a été ajouté afin de reprendre la définition intégrale de la directive (considérant 14). Nous pouvons cependant nous interroger sur la pertinence de cet ajout car une simple idée non appliquée de manière concrète serait protégeable, sans compter les probables difficultés lorsqu’il s’agira de prouver que cette information a potentiellement une valeur commerciale. Enfin, les « mesures de protection raisonnables, compte tenu des circonstances » devront donner lieu à une interprétation devant les juridictions.
Pour ce qui concerne le type d’information en tant que tel, aucune limite n’est posée. Cela peut donc être des informations stratégiques telles que des études de marché ou des fichiers relatifs aux clients et aux fournisseurs ; des informations techniques telles que des procédés de fabrication, des prototypes ou des résultats issus du département recherche et développement ; ainsi que des informations de nature financière telles que les coûts de production.
Le détenteur légitime du secret est « celui qui en a le contrôle de façon licite » (article L. 151-2 du Code de commerce). Le législateur a ensuite précisé que l’obtention licite d’un secret – et non plus « contrôle » comme dans l’article de loi précédent – se faisait soit par une découverte ou une création indépendante, soit par « l’observation, l’étude, le démontage ou le test d’un produit ou d’un objet qui a été mis à la disposition du public ou qui est de façon licite en possession de la personne qui obtient l’information, sauf stipulation contractuelle interdisant ou limitant l’obtention du secret. ». Dans le second cas et plus particulièrement dans l’hypothèse de l’étude d’un logiciel, il conviendra d’articuler cette disposition avec l’article L. 122-6-1 du code de la propriété intellectuelle qui traite du droit de décompilation.
Quelles mesures de protection mettre en place ?
Pour rappel, pour qu’une information puisse être couverte par le secret des affaires, son détenteur doit en conserver le caractère secret avec des « mesures de protection raisonnables ». Comment évaluer le caractère « raisonnable » ? In fine, cela relève du pouvoir souverain d’appréciation des juges du fond. Cependant, avant d’envisager le pire, des outils et des bonnes pratiques peuvent être mis en œuvre, adaptés selon la taille de la structure ou son secteur d’activité. Il sera ainsi pertinent de procéder à la mise en place d’une politique de sécurité du patrimoine informationnel.
A ce sujet, si l’organisme applique le principe d’accountability consacré par le Règlement général sur la protection des données (RGPD), la rédaction de cette politique pourra être grandement facilitée. En effet, dans cette hypothèse, il est probable qu’une procédure relative à la sécurité des données à caractère personnel ait déjà été diffusée ou, à tout le moins, écrite. Ainsi, de nombreuses mesures physiques ou techniques seront communes aux deux objectifs que sont la préservation du secret des affaires et la protection des données personnelles. Par ailleurs, un référent pour la gestion du secret des affaires pourra être désigné sur le modèle du Délégué à la Protection des Données (ou Data Protection Officer).
Dans tous les cas, la première étape consistera à procéder à une cartographie des informations que l’entreprise souhaite protéger au titre du secret des affaires. Bien entendu, il s‘agira de sélectionner les informations pouvant être protégées. Ainsi, celles qui auraient déjà été divulguées ne seront pas concernées. De même que celles protégées par un droit de propriété intellectuelle. Par ailleurs, il sera intéressant de rédiger une procédure d’habilitation et de contrôle d’accès à l’information protégée au titre du secret des affaires. Ce sera à nouveau l’occasion de vérifier si une procédure similaire a été mise en œuvre concernant les données à caractère personnel afin de s’en inspirer. De manière générale, les démarches de mise en conformité au RGPD et de protection du patrimoine informationnel peuvent être menées simultanément.
Ces procédures, politiques et cartographies seront utiles en cas de contentieux à l’occasion duquel des preuves de la mise en place de « mesures de protection raisonnables » pourraient être demandées. En revanche, alors même que le législateur reconnaît que les PME accordent une grande importance au secret des affaires et en sont même bien plus tributaires que les grands groupes (considérant 2 de la directive), il n’est pas certain que des startups ou petites entreprises innovantes organisent en amont la protection de leur patrimoine informationnel. Quelles en seront les conséquences lors de contentieux au cours desquels leur sera demandé la preuve de ces mesures de protection ?
Mathias Avocats se tient à votre disposition pour vous accompagner dans l’élaboration d’une stratégie du patrimoine informationnel de votre entreprise.