Par Mario Stasi, Bâtonnier, et Hippolyte Marquetty, avocat. Stasi Chatain & Associés
Réflexions autour de la création d’un délit d’atteinte au secret des affaires
À la faveur de récentes affaires d’espionnage industriel et au nom tant de la nécessité économique, que de l’efficacité juridique, la proposition de loi du député Bernard Carayon, visant à sanctionner la violation du secret des affaires, a été adoptée en première lecture par l’Assemblée nationale le 23?janvier 2012. Notre arsenal juridique y gagnera-t-il ?
Depuis plusieurs années, différents observateurs du monde juridique, économique et politique soulignent l’insuffisance du dispositif français de lutte contre les atteintes portées au secret des affaires. On cite souvent, à l’inverse, les États-Unis où le Cohen Act de 1996 permet de réprimer pénalement le vol de toute information confidentielle, quels que soient sa forme, sa nature et son support, qui présente une valeur économique propre, réelle ou potentielle et qui ne consiste pas en des connaissances générales susceptibles d’être facilement et directement constatées par le public. Aussi, alors que la valeur des entreprises paraît reposer toujours davantage sur les éléments dématérialisés de leur patrimoine (brevets, savoir-faire, fichiers clients, données financières, techniques ou scientifiques), l’exposé des motifs de la proposition de loi insiste-t-il sur l’absence de cohérence et d’efficacité des textes dont disposent les entreprises pour protéger leurs secrets d’affaires. En effet, sur le plan civil, la concurrence déloyale se heurte souvent à des difficultés de preuve. Sur le plan pénal, le délit de révélation du secret de fabrique est, par définition, limité aux procédés techniques industriels et ne concerne que les personnes de l’entreprise ; la contrefaçon ne protège pas les méthodes, savoir-faire ou idées ; la mise en œuvre des atteintes aux systèmes de traitement automatisé de données n’est efficace qu’en cas d’intrusion avérée ; enfin, le secret professionnel ne s’applique qu’à un nombre limité de personnes.
Vers une définition et un cadre cohérent de protection
Pour pallier cet éclatement imparfait du dispositif législatif, la proposition de loi sanctionne de trois ans de prison et 375 000?€ d’amende «?le fait de révéler à une personne non autorisée à en avoir connaissance, sans autorisation de l’entreprise ou de son représentant, une information protégée relevant du secret des affaires de l’entreprise, pour toute personne qui en est dépositaire ou qui a eu connaissance de cette information et des mesures de protection qui l’entourent?». Constitueraient «?des informations protégées relevant du secret des affaires d’une entreprise, quel que soit leur support, les procédés, objets, documents données ou fichiers de nature commerciale, industrielle, financière scientifique, technique ou stratégique ne présentant pas un caractère public dont la divulgation non autorisée serait de nature à compromettre gravement les intérêts de cette entreprise en portant atteinte à son potentiel scientifique et technique, à ses positions stratégiques, à ses intérêts commerciaux ou financiers ou à sa capacité concurrentielle et qui ont, en conséquence, fait l’objet de mesures de protection spécifiques destinées à informer de leur caractère confidentiel et à garantir celui-ci ». Par ailleurs, la proposition de loi prévoit des exceptions au principe du secret, telles que les demandes d’information émanant de l’autorité judiciaire ou le signalement de faits susceptibles de constituer une infraction pénale.
L’intérêt de la mesure : moins juridique que pédagogique
Si ce texte présente un intérêt, c’est d’abord, à notre sens, qu’il permet de vérifier l’utilité des outils répressifs existants qui, contrairement à ce qui ressort trop souvent des débats relatifs à l’introduction de ce nouveau délit, offrent déjà des solutions répressives efficaces dans quasiment tous les cas envisageables. Pour s’en rendre compte, prenons deux hypothèses. Supposons, tout d’abord, qu’un salarié mal intentionné se saisisse, sans en avoir le droit, de données sensibles de son entreprise pour les transmettre à un tiers. Certes, si les éléments dérobés étaient stockés sur un support informatique et non matériel, la qualification de vol de contenu informationnel pourrait, malgré un arrêt allant dans le sens de son admission, faire débat et in fine s’opposer éventuellement aux poursuites pénales. En effet, le vol se définit comme la soustraction frauduleuse d’une chose, donc en théorie d’un bien matériel. Mais alors, il serait possible de retenir l’infraction sanctionnant l’accès et le maintien frauduleux dans un système informatique pour engager des poursuites contre le salarié. De la même manière, le tiers auquel les données frauduleusement obtenues seraient transmises pourrait faire l’objet de poursuites sur la base du recel-détention ou du recel-profit. Supposons à présent que le salarié ait transmis des données confidentielles alors qu’il en aurait eu licitement connaissance dans le cadre de ses fonctions. On serait alors en présence d’un abus de confiance (détournement d’un bien quelconque après remise dans un but déterminé) et ce, ainsi que l’a rappelé l’affaire Michelin, quand bien même il s’agirait de données informatiques et donc immatérielles qui n’auraient in fine pas trouvé acquéreur (la simple détention injustifiée suffisant à caractériser le détournement). La jurisprudence ayant même retenu l’abus de confiance dans le cas de la reprise à l’identique d’un devis détaillant un projet de borne informatique, on peut penser que la seule hypothèse dans laquelle la protection pénale du secret des affaires ne serait pas assurée de manière certaine à ce jour serait celle d’une communication d’informations sans support, consistant en la transmission de données confidentielles mémorisées par l’auteur du détournement. Il n’est toutefois pas exclu, et sans doute au demeurant souhaitable, que la jurisprudence fasse alors du délit d’abus de confiance une interprétation large et efficace, rendant inutile un texte spécifique tel que celui soumis à l’Assemblée. Dès lors, si l’apport juridique de la proposition de loi adoptée nous paraît discutable, celle-ci possède néanmoins une valeur pédagogique et de dissuasion indéniable, invitant sans doute les dirigeants à réfléchir davantage aux enjeux de la protection du patrimoine immatériel de leurs sociétés, tout en attirant l’attention des personnes y travaillant sur leur devoir de loyauté.
Depuis plusieurs années, différents observateurs du monde juridique, économique et politique soulignent l’insuffisance du dispositif français de lutte contre les atteintes portées au secret des affaires. On cite souvent, à l’inverse, les États-Unis où le Cohen Act de 1996 permet de réprimer pénalement le vol de toute information confidentielle, quels que soient sa forme, sa nature et son support, qui présente une valeur économique propre, réelle ou potentielle et qui ne consiste pas en des connaissances générales susceptibles d’être facilement et directement constatées par le public. Aussi, alors que la valeur des entreprises paraît reposer toujours davantage sur les éléments dématérialisés de leur patrimoine (brevets, savoir-faire, fichiers clients, données financières, techniques ou scientifiques), l’exposé des motifs de la proposition de loi insiste-t-il sur l’absence de cohérence et d’efficacité des textes dont disposent les entreprises pour protéger leurs secrets d’affaires. En effet, sur le plan civil, la concurrence déloyale se heurte souvent à des difficultés de preuve. Sur le plan pénal, le délit de révélation du secret de fabrique est, par définition, limité aux procédés techniques industriels et ne concerne que les personnes de l’entreprise ; la contrefaçon ne protège pas les méthodes, savoir-faire ou idées ; la mise en œuvre des atteintes aux systèmes de traitement automatisé de données n’est efficace qu’en cas d’intrusion avérée ; enfin, le secret professionnel ne s’applique qu’à un nombre limité de personnes.
Vers une définition et un cadre cohérent de protection
Pour pallier cet éclatement imparfait du dispositif législatif, la proposition de loi sanctionne de trois ans de prison et 375 000?€ d’amende «?le fait de révéler à une personne non autorisée à en avoir connaissance, sans autorisation de l’entreprise ou de son représentant, une information protégée relevant du secret des affaires de l’entreprise, pour toute personne qui en est dépositaire ou qui a eu connaissance de cette information et des mesures de protection qui l’entourent?». Constitueraient «?des informations protégées relevant du secret des affaires d’une entreprise, quel que soit leur support, les procédés, objets, documents données ou fichiers de nature commerciale, industrielle, financière scientifique, technique ou stratégique ne présentant pas un caractère public dont la divulgation non autorisée serait de nature à compromettre gravement les intérêts de cette entreprise en portant atteinte à son potentiel scientifique et technique, à ses positions stratégiques, à ses intérêts commerciaux ou financiers ou à sa capacité concurrentielle et qui ont, en conséquence, fait l’objet de mesures de protection spécifiques destinées à informer de leur caractère confidentiel et à garantir celui-ci ». Par ailleurs, la proposition de loi prévoit des exceptions au principe du secret, telles que les demandes d’information émanant de l’autorité judiciaire ou le signalement de faits susceptibles de constituer une infraction pénale.
L’intérêt de la mesure : moins juridique que pédagogique
Si ce texte présente un intérêt, c’est d’abord, à notre sens, qu’il permet de vérifier l’utilité des outils répressifs existants qui, contrairement à ce qui ressort trop souvent des débats relatifs à l’introduction de ce nouveau délit, offrent déjà des solutions répressives efficaces dans quasiment tous les cas envisageables. Pour s’en rendre compte, prenons deux hypothèses. Supposons, tout d’abord, qu’un salarié mal intentionné se saisisse, sans en avoir le droit, de données sensibles de son entreprise pour les transmettre à un tiers. Certes, si les éléments dérobés étaient stockés sur un support informatique et non matériel, la qualification de vol de contenu informationnel pourrait, malgré un arrêt allant dans le sens de son admission, faire débat et in fine s’opposer éventuellement aux poursuites pénales. En effet, le vol se définit comme la soustraction frauduleuse d’une chose, donc en théorie d’un bien matériel. Mais alors, il serait possible de retenir l’infraction sanctionnant l’accès et le maintien frauduleux dans un système informatique pour engager des poursuites contre le salarié. De la même manière, le tiers auquel les données frauduleusement obtenues seraient transmises pourrait faire l’objet de poursuites sur la base du recel-détention ou du recel-profit. Supposons à présent que le salarié ait transmis des données confidentielles alors qu’il en aurait eu licitement connaissance dans le cadre de ses fonctions. On serait alors en présence d’un abus de confiance (détournement d’un bien quelconque après remise dans un but déterminé) et ce, ainsi que l’a rappelé l’affaire Michelin, quand bien même il s’agirait de données informatiques et donc immatérielles qui n’auraient in fine pas trouvé acquéreur (la simple détention injustifiée suffisant à caractériser le détournement). La jurisprudence ayant même retenu l’abus de confiance dans le cas de la reprise à l’identique d’un devis détaillant un projet de borne informatique, on peut penser que la seule hypothèse dans laquelle la protection pénale du secret des affaires ne serait pas assurée de manière certaine à ce jour serait celle d’une communication d’informations sans support, consistant en la transmission de données confidentielles mémorisées par l’auteur du détournement. Il n’est toutefois pas exclu, et sans doute au demeurant souhaitable, que la jurisprudence fasse alors du délit d’abus de confiance une interprétation large et efficace, rendant inutile un texte spécifique tel que celui soumis à l’Assemblée. Dès lors, si l’apport juridique de la proposition de loi adoptée nous paraît discutable, celle-ci possède néanmoins une valeur pédagogique et de dissuasion indéniable, invitant sans doute les dirigeants à réfléchir davantage aux enjeux de la protection du patrimoine immatériel de leurs sociétés, tout en attirant l’attention des personnes y travaillant sur leur devoir de loyauté.
