Le 14 juin dernier, l’Assemblée nationale a adopté définitivement la proposition de loi sur le secret des affaires (la «proposition de loi »). Elle transpose en droit français la Directive 2016/943/UE du Parlement Européen et du Conseil du 8 juin 2016 sur la protection des savoir-faire et des informations commerciales non divulguées, dont l’objectif est d’établir un niveau suffisant, proportionné et comparable de réparation dans tout le marché intérieur en cas d’appropriation illicite.
Pour rappel, le droit positif appréhende déjà, mais de manière éparse, le secret des affaires sous le prisme de la responsabilité contractuelle (sanction d’un manquement à une obligation de confidentialité) et de la responsabilité délictuelle via la concurrence déloyale ou encore du droit pénal (la jurisprudence a notamment admis que des informations secrètes pouvaient être l’objet d’un vol ou d’un abus de confiance).
En outre, les règles actuellement applicables offrent d’autres exemples d’informations économiques confidentielles dont la divulgation ou l’usage sont pénalement sanctionnés : on pense au secret de fabrique, aux informations privilégiées ou encore au secret bancaire.
A l’heure où la mobilité des personnes et des informations ne cesse de s’accroitre, l’adoption de ce texte vise donc à favoriser l’innovation et la concurrence en protégeant davantage le patrimoine immatériel d’une entreprise. Ce dernier représente en effet un enjeu économique primordial et, face à l’essor des nouvelles technologies, est continuellement confronté au risque d’une divulgation instantanée et irréversible.
En synthèse, la proposition de loi introduit un nouveau Titre V dans le code de commerce, intitulé « De la protection des secrets des affaires » qui met ainsi en place un régime de responsabilité civile en matière d’atteinte au secret d’affaires. Les futures dispositions précisent tout d’abord l’objet de la protection à savoir une information a valeur commerciale dont on assure la confidentialité par des « mesures raisonnables » (I) et définissent ensuite les actes constitutifs d’une atteinte illicite au secret d’affaires (II) ainsi que l’aménagement des règles procédurales pour préserver le secret d’affaires (III).
1. L’objet de la protection : une information a valeur commerciale dont on assure la confidentialité par des « mesures raisonnables »
Une appréciation large de la notion d’information :
Le législateur a retenu une appréciation large de la notion d’information puisque toute information, sans distinction, peut potentiellement entrer dans le champ d’application du texte et faire l’objet d’une protection. Une telle position apparaît être en conformité avec la réalité du monde de l’entreprise dans lequel le patrimoine informationnel peut correspondre à des informations variées et de nature diverses :
– données de nature techniques (savoir-faire, procédés de fabrications, formules, designs, plans, algorithmes…)
– données commerciales (fichiers clients, études de marketing, fichiers de fournisseurs, stratégies …)
– données comptables et financières
– données organisationnelles (recrutement, information…)
L’exigence de trois critères cumulatifs :
Le texte pose trois conditions cumulatives pour que l’information soit susceptible d’être protégée au titre du secret des affaires :
– la nécessité d’une information secrète
Une information est secrète dès lors qu’elle n’est pas accessible au public et le texte précise d’ailleurs à cet égard qu’une telle information ne doit pas être « généralement connue ou aisément accessible pour les personnes familières de ce type d’informations en raison de leur secteur d’activité ».
Une telle formulation induit nécessairement une appréciation in concreto, d’une part quant au type et à la catégorie d’information, et d’autre part, quant au secteur dans lequel elle s’inscrit.
– la nécessité d’une information ayant une valeur commerciale (effective ou potentielle)
Cette exigence renvoie à la nécessité de ne protéger que des informations « importantes ». Cela supposera, en cas de litige, de déterminer avec précision la valeur de l’information, au jour de l’acte illicite.
– La nécessité de démontrer l’effort du détenteur pour maintenir secrète l’information
Le futur article L.151-1 3°) du code de commerce prévoit que l’information protégée doit faire « l’objet de la part de son détenteur légitime de mesures de protection raisonnables, compte tenu des circonstances, pour en conserver le caractère secret ».
Le texte reste néanmoins silencieux sur les mesures de protection raisonnables attendues de sorte qu’elles sont laissées à la liberté des entreprises et que ce caractère raisonnable sera laissé à l’appréciation des juges qui pourront notamment s’appuyer sur le principe de proportionnalité en fonction des usages du secteur, de la taille de l’entreprise ou de l’importance de l’information.
Toutefois, en dépit des mesures de protection édictée par l’entreprise, il peut se produire que des informations confidentielles soient divulguées ou acquises de manière illicite et qu’en conséquence, l’entreprise décide d’engager une action devant les tribunaux. Aussi, les entreprises devront s’attacher à mettre en œuvre une politique de prévention formalisée aux fins non seulement d’éviter la divulgation des informations mais aussi pour être en mesure d’en justifier à l’occasion d’une action en justice.
Dans cette optique, différentes modalités sont susceptibles d’être mises en place par les entreprises :
– mesures générales de sécurité physique et informatique (contrôle d’accès aux locaux via des badges ou cartes d’accès ainsi qu’aux outils informatiques via des habilitations spécifiques et la tenue de registre) ;
– mesures d’organisation ;
– mesures précontractuelles et contractuelles (accord de confidentialité dès le stade des négociations, clause de confidentialité dans les contrats de travail et plus généralement dans les contrats avec tout intervenant) ;
– mesures de contrôle des flux d’information en interne et en externe ;
– marquage des informations confidentielles ;
– mesures de sensibilisation du personnel (sur les techniques d’espionnage, sur le risque informatique, sur l’importance du secret pour l’entreprise) ;
Les premières décisions seront vivement attendues notamment pour tracer les contours de la notion d’information et des mesures raisonnables attendues de la part des entreprises.
2. Les actes constitutifs d’une atteinte illicite au secret d’affaires :
Les futures dispositions du code de commerce entendent donc désormais sanctionner l’auteur d’une violation du secret d’affaires. A ce titre, elles prévoient que l’acteur qui obtient, utilise ou divulgue une telle information, sans le consentement du détenteur légitime – entendu comme celui qui a le contrôle, de façon licite, de l’information – mettra en jeu sa responsabilité civile.
S’agissant de la notion de détenteur légitime, les dispositions énoncent qu’est considéré comme détenteur légitime la personne dont la connaissance du secret résulte d’une découverte, d’une création indépendante ou ayant procédé à l’ingénierie inverse. Ces personnes ne peuvent voir leur responsabilité engagée.
Les actes illicites sont ensuite visés – obtention, utilisation et divulgation – et, il convient de relever que le critère déterminant est celui de l’absence de consentement du détenteur du secret d’affaires. Notons que le texte entend distinguer les actes directs des actes indirects. Dans ce dernier cas, il sera alors nécessaire de démontrer un élément subjectif à savoir la connaissance du caractère illicite de l’obtention de l’information.
La perspective de cette transposition a suscité de nombreuses inquiétudes et a été largement décriée notamment par les journalistes et, c’est pourquoi, le texte pose une série d’exceptions à la mise en jeu de la responsabilité. La proposition de loi prévoit ainsi notamment que le secret des affaires n’est pas opposable lorsque l’obtention, l’utilisation ou la divulgation de l’information est intervenue pour exercer le droit à la liberté d’expression ou exercer le droit d’alerte.
3. L’aménagement des règles procédurales pour préserver le secret d’affaires
Le futur article L. 152-1 du code de commerce énonce que « Toute atteinte au secret des affaires telle que prévue aux articles L. 151-4 à L.151-6 engage la responsabilité civile de son auteur ». Aussi, dès lors qu’un opérateur estimera avoir subi une atteinte tenant à la violation du secret d’affaires, il pourra solliciter en justice des mesures provisoires et conservatoires, des injonctions ou l’octroi de dommages intérêts.
Enfin, la proposition de loi aménage les règles procédurales de manière à préserver le secret d’affaires en cours de procédure. Le juge aura notamment la possibilité de limiter la communication d’une pièce aux parties, d’ordonner sa communication sous forme de résumé ou d’en restreindre l’accès à certaines personnes. Il aura également la faculté de décider que les débats auront lieu en chambre du conseil et pourra adapter la motivation de sa décision ainsi que sa publication aux nécessités de la protection du secret des affaires.
Le Conseil constitutionnel saisi le 26 juin 2018 par plus de soixante députés, en application de l’article 61 alinéa 2 de la Constitution, est désormais amené à se prononcer sur la proposition de loi.