Un guide pour gérer le secret des affaires
Par Jeanne DISSET
L’AFJE s’est associée à l’avocat Olivier de Maison Rouge, à la CCI Paris Ile-de-France et à la Fédération des Industries Mécaniques (FIM) pour construire un guide pratique qui vise « à sensibiliser les entreprises aux enjeux de la protection du secret des affaires ».
C’était un combat très ancien pour l’AFJE d’obtenir une loi sur la protection du secret des affaires pour renforcer la compétitivité des entreprises. L’association estime qu’enfin, avec la loi n° 2018-670 relative à la protection du secret des affaires promulguée le 30 juillet 2018, les entreprises vont pouvoir sécuriser leurs données sensibles. Cependant, les entreprises sous-estiment le champ du secret des affaires : 57% des répondants à une enquête du CROCIS1 estiment ne pas détenir d’informations stratégiques. Si chaque entreprise est totalement libre de la protection, seules les entreprises qui auront mis en place des dispositifs de préservation du secret pourront les faire valoir, notamment vis-à-vis des concurrents et devant les tribunaux. D’où la nécessité de ce guide incitatif « Secret des affaires : comment bénéficier de la protection prévue par la loi du 30 juillet 2018 ? ».
Pragmatisme
« Le texte suppose que les entreprises prennent en main leur protection » écrit Didier Kling, le président de la CCI Paris Ile-de-France dans l’avant-propos. Pour cela, celui-ci se veut simple, court (28 pages), avec des exemples très concrets et des bonnes pratiques, et clairement à destination des TPE/PME/ETI. Il est « bâti sur une chaîne de valeur composée de trois étapes clés (identification des informations confidentielles, classification et organisation de leur protection) ». C’est donc un processus dynamique qui est proposé avec notamment un autodiagnostic. De nombreuses astuces sont immédiatement utilisables sont égrenées dans le guide (points de vigilance au quotidien, mesures à prendre…).
Un des avantages du guide est d’illustrer le secret des affaires en explicitant la notion d’information protégée avec des exemples. Évidemment, une recette, une innovation, un algorithme, la R&D… cela tombe sous le sens. Mais le guide souligne que même un organigramme, le lancement d’un nouveau produit, les taux de marge, le fichier client, les avis du conseil d’administration, des études… peuvent relever du secret. Or ce sont souvent des informations assez partagées dans l’entreprise ou même hors de celle-ci : lors d’appel d’offres, de colloques, avec les stagiaires ou les intérimaires... Sans compter que le secret ne peut être absolu : il existe des secrets spécifiques (d’État, défense, de l’instruction, professionnel…) surtout des intérêts publics supérieurs aux intérêts de l’entreprise : évidemment les autorités qui enquêtent, contrôlent, sanctionnent ne peuvent se voir opposer le secret ; il y a aussi les lanceurs d’alerte, les journalistes et les salariés qui ont droit à certaines communications. Dès lors, comment éviter les fuites ? En fait, ce n’est pas le type d’informations qui en fait des données secrètes, c’est leur protection. C’est donc à l’entreprise d’évaluer ce qui doit être protégé et comment.
Protection raisonnable, notion clé
C’est sur cette notion que le guide est intéressant, car il identifie un processus pour accompagner les entreprises dans la mise en place de la protection. On y retrouve le vocabulaire bien connu des directeurs juridiques et des compliancers : audit, classement, identification, cartographie, ressources… et les outils ! Hétéroclites : des classiques « enveloppes Soleau » ou « LRAR », aux techniques comme « l’horodatage » ou le « cahier de laboratoire », des dépôts auprès « d’un officier ministériel » ou « d’un prestataire spécialisé » (mais pas l’acte d’avocat, à moins d’intégrer l’avocat dans le prestataire spécialisé) jusqu’à la nouveauté « blockchain » et cybersécurité. C’est très (trop ?) large. Les conseils sur les mesures concernant les salariés et les partenaires sont toutefois très instructives et facilement transposables, un vrai bon point.
Cependant…
Le guide ne saurait se suffire à lui-même. En effet, à force d’affirmer qu’avant la loi de 2018, il n’y avait rien, on oublie que les entreprises devaient déjà se protéger, utilisaient déjà nombres des outils listés, que le droit de la propriété industrielle était déjà employé, ou que les lois de blocages (pour éviter des fuites d’informations vers l’étranger) existent et sont même en cours d’évaluation (une mission parlementaire est en cours). Comme si la loi nouvelle était la seule voie de protection des informations sensibles et secrètes. Enfin, le guide explique peu comment faire évoluer la protection d’une donnée : passer du secret à un droit par exemple, de l’idée au brevet… Et il suggère d’utiliser le DPO comme référent dans l’entreprise. Pas sûr que juristes et compliancers soient totalement d’accord !
Téléchargement du guide
Notes
(1) Centre régional d’Observation du Commerce, de l’Industrie et des Services de la CCI Paris Ile de France. Enquête de mai 2018, 412 entreprises répondantes.