Protéger ses informations : rappel synthétique

Cette communication fait suite à l’avis que nous avons donné pendant le premier confinement sur la gestion de la confidentialité en télétravail . Nous avons voulu revenir plus directement sur la protection des informations confidentielles.

Le 14 avril 2016, dans le contexte d’une réflexion déjà menée par la France depuis quelques années, le Parlement européen a adopté la directive dite « secret des affaires ». Transposée en droit interne par la loi du 30 juillet 2018, suivie du décret d’application n° 2018-1126 du 11 décembre 2018, elle vise à instaurer un cadre juridique européen harmonisé, afin de protéger les entreprises du vol ou de la divulgation illicite de certaines de leurs informations. Ce texte apparait aujourd’hui aux articles L. 151-1 & suivant du Code de Commerce.

La directive oblige les États membres à créer des procédures & des réparations rapides, justes & dissuasives en cas de divulgation & initie également une définition de la notion de « secret d’affaires ».

La transposition française apporte, au surplus, une amélioration aux sanctions civiles existantes en palliant la lourdeur procédurale inhérente à la caractérisation du préjudice de droit commun, & en permettant de poursuivre une atteinte au secret d’affaires sur le terrain de la responsabilité contractuelle découlant des accords de confidentialité.

Compte tenu du caractère récent de cette loi, la jurisprudence n’est pas encore beaucoup manifestée & il semble donc utile de préciser certains points sur la rédaction de ces accords.

□ Article 1240 du Code Civil : « Tout fait quelconque de l’homme, qui cause à autrui un dommage, oblige celui par la faute duquel il est arrivé à le réparer. »

Cet article permet de sanctionner la divulgation illicite d’informations sensibles non couvertes par un droit de propriété intellectuelle, portant préjudice à l’entreprise sur le terrain du droit commun de la responsabilité civile délictuelle. Intégrant en partie la notion de concurrence déloyale, ce texte protège les informations échangées, durant la période extracontractuelle seulement, sur le fondement du parasitisme économique (« l’ensemble des actes par lesquels un agent économique s’immisce dans le sillage d’un autre afin de tirer profit sans rien dépenser, de ses efforts & de son savoir-faire. » (voir arrêt). S’agissant de la question de la preuve, l’on se trouve dans le domaine de la responsabilité pour faute (voir arrêt) & la condamnation du divulgateur suppose donc que le demandeur (voir arrêt) caractérise le préjudice subi. Toutefois, un mouvement jurisprudentiel constant considère que l’élément intentionnel se déduit du comportement fautif & n’a donc pas à être démontré (voir arrêt).

□ Article 1112-2 du Code Civil « Celui qui utilise ou divulgue sans autorisation une information confidentielle obtenue à l’occasion des négociations engage sa responsabilité dans les conditions de droit commun. »

Introduit par la réforme du droit des contrats entrée en vigueur au 1er octobre 2016, ce texte vise précisément la période des pourparlers & s’applique aux informations confidentielles obtenues à cette occasion. L’introduction de l’article 1112-2 avait pour but principal de contribuer à l’harmonisation européenne du devoir de « réserve & de discrétion » permettant de sécuriser les négociations (voir Rapport). La responsabilité civile engagée sera, encore une fois, de nature délictuelle. Il faudra de ce fait démontrer l’existence du préjudice & déterminer le caractère confidentiel de l’information divulguée afin d’envisager un dédommagement.

La protection des informations confidentielles bénéficie ainsi d’une considération marquée en droit interne français. Mais il s’agit d’une protection minimale qui ne se substitue pas à un engagement contractuel.

□ La directive 2016/943 du 8 juin 2016 sur la protection des savoir-faire & des informations commerciales non divulgués (secrets d’affaires) contre l’obtention, l’utilisation & la divulgation illicites a été essentiellement adoptée pour harmoniser la protection juridique européenne des activités innovantes des entreprises « contre l’obtention, l’utilisation & la divulgation illicites » (voir Directive UE) de certaines données non protégées par un droit de propriété intellectuelle.

La directive réside dans la met en place des mesures de sauvegarde suffisantes pour prévenir les abus en créant des définitions efficaces concernant : le détenteur du secret d’affaires, le contrevenant, les biens en infraction, & le secret d’affaires lui-même (ibid. Article 2), qui se caractérise par des critères précis.

Par ailleurs, ces dispositions distinguent les conditions d’obtention, licite(ibid. Article 3) & illicite (ibid. Article 4), du secret d’affaires en renforçant notamment la légitimité des accords de confidentialité & en instaurant des procédures de réparation rapides (elles n’excèdent pas 6 ans(ibid. Article 8)), justes & dissuasives.

Ce sont les articles L. 151-1 & suivants du Code de Commerce, issus de la loi du 30 juillet 2018 relative à la protection du secret d’affaires, qui transposent la directive en droit français.

□ Définition du secret d’affaires :

Les informations visées ne doivent pas être « dans leur globalité ou dans la configuration & l’assemblage exacts de leurs éléments […] généralement connus des personnes appartenant aux milieux qui s’occupent normalement du genre d’informations en question, ou ne leur sont pas aisément accessibles. » Il s’agit donc de données généralement inconnues dans l’environnement professionnel de l’entité détentrice des informations sensibles.

En second lieu, elles doivent « avoir une valeur commerciale parce qu’elles sont secrètes ». Sur ce point, le législateur précise que cette valeur peut être « effective ou potentielle » (article de loi). Malgré cette volonté marquée de protection, l’on peut craindre que certains renseignements économiques y échappent.

Enfin, les informations protégées doivent faire « l’objet, de la part de la personne qui en a le contrôle de façon licite, de dispositions raisonnables, compte tenu des circonstances, destinées à les garder secrètes ». Ce troisième critère exige la mise en œuvre d’un minimum de mesures de sécurisation. L’on constate ici une ressemblance flagrante avec les « renseignements non divulgués » figurant dans l’accord sur les droits de propriété intellectuelle qui touchent au Commerce de l’Organisation mondiale du commerce (OMC).

Si ces dispositions ne précisent pas, en tant que telles, ce qui constitue véritablement un secret d’affaires, la Commission européenne énonçait initialement des indications beaucoup plus précises :

– Protégées

• Études de marketing ou de marché
• Réseaux commerciaux
• Notes de stratégie
• Plans de recrutement ou d’acquisitions
• Méthodes de gestion ou d’organisation
• Sources d’approvisionnement & quantités produites
• Fichiers clients & fournisseurs
• Informations sur l’organisation interne de l’entreprise
• Accords commerciaux
• Politiques de rémunération
• Idées, savoir-faire, informations & pratiques « non protégées par des droits de PI »
• Actifs économiques dont la valeur économique n’est pas contestable

– Non protégées

• Chiffre d’affaires
• Statuts & le pacte d’associés
• Informations historiques de plus de 5 ans
• Données statistiques agrégées
• Objet & montant des aides publiques

□ L’obtention, utilisation ou divulgation doivent être illicites :

Au moment de la rédaction de la directive, les États membres se sont posé la question de savoir dans quelle mesure, l’obtention, la divulgation ou l’utilisation devaient être illicites : « si un élément de malhonnêteté́ est nécessaire, les critères d’intention ou de négligence grave ne devraient pas être requis pour qu’il y ait comportement illicite. » (Proposition de directive du Parlement européen & du Conseil sur la protection des savoir-faire & des informations commerciales non divulgués (secrets d’affaires) contre l’obtention, l’utilisation & la divulgation illicites – Orientation générale, Bruxelles, 14 mai 2014).

Si l’article 3 de la directive du 8 juin 2016, transposé à l’article L. 151-3 du Code de Commerce énonce les modes d’obtention licites d’un secret d’affaires, l’article 4 de la directive, transposé quant à lui, par l’article L. 151-4 & suivants, énumère les hypothèses dans lesquelles l’obtention, l’usage ou encore la divulgation d’un secret d’affaires, sans le consentement de son détenteur, sont considérés comme illicites. C’est notamment le cas, lorsqu’il s’agit « d’un accès non autorisé à tout document, objet, matériau, substance ou fichier numérique » contenant directement ou par déduction des informations secrètes ou encore « de tout autre comportement considéré, compte tenu des circonstances, comme déloyal & contraire aux usages en matière commerciale. ». L’illicéité est ainsi retenue en l’absence d’accord du détenteur légitime du secret, quel qu’en soit l’expression.

L’importance donnée à ce défaut de consentement (article L.151-5) constitue donc un élément important du dispositif, qui renforce encore l’intérêt de contractualiser la protection du secret.

Prévoir la signature d’un accord de confidentialité pourra permettre de compenser les incertitudes résiduelles liées au caractère abstrait de la définition commerciale du secret d’affaires, et, en cas de litige, facilitera l’engagement de la responsabilité contractuelle du divulgateur, sans qu’il soit nécessaire de rapporter la preuve du préjudice…sous réserve d’observer quelques bonnes pratiques.

□ Bien définir les contours :

• Ni trop largement…

En effet, une jurisprudence constante considère que « la généralité des termes des engagements de confidentialité les rend difficiles à mettre en œuvre en raison de la quasi-impossibilité de prouver qu’une information banale & non spécifique ni précisément identifiée utilisée dans le cadre d’une activité concurrente a été acquise dans le cadre des discussions entre les partenaires. » (Cour d’appel de Paris, 25 mai 2011, n° 08/15529, Cour d’appel de Versailles, 24 novembre 2015, n° 14/08171). Une définition trop large ne permet pas d’établir un lien indiscutable entre la donnée divulguée & les échanges au cours de laquelle elle l’a été.

Par exemple : « Par informations confidentielles on entend : les informations de toute nature, qu’elles soient orales ou écrites & quels que soient leur forme & le support utilisé, communiquées directement ou indirectement par une ou plusieurs partie(s) à une ou plusieurs autre(s) partie(s), & relatives aux discussions. »

•  …Ni trop strictement…

A l’inverse, une clause délimitant trop strictement les informations confidentielles sous forme de liste exhaustive peut s’avérer inefficace en cas de litige portant sur la divulgation préjudiciable d’une donnée initialement non mentionnée dans cette liste.

Par exemple : « Par informations confidentielles on entend : toutes informations expressément désignées comme confidentielles par l’une des parties. »

• …Trouver un compromis

Une solution intéressante pourrait consister à opérer en deux étapes : dans un premier temps, établir une liste initiale, dans un article ad hoc ou en annexe de l’accord, avec les informations dont l’on sait, par avance, qu’elles doivent être tenues secrètes ; dans un second temps, compléter le dispositif en identifiant ponctuellement, comme étant confidentielle, telle ou telle communication, par exemple, avec un marquage visuel.

Par exemple : « Seront considérées comme confidentielles les informations de toute natures inscrites sur la liste annexée au présent accord. Seront également considérées comme confidentielles, bien que ne figurant pas sur la liste initiale, les informations de toute nature, qu’elles soient orales ou écrites & quels que soient leur forme & le support utilisé communiquées directement ou indirectement par une ou plusieurs partie(s) à une ou plusieurs autre(s) partie(s) & relatives aux discussions, qui auront été identifiées distinctement comme confidentielles ou secrètes. »

• Par ailleurs, il peut être également pertinent de circonscrire négativement la définition des informations confidentielles afin de matérialiser davantage leurs contours. En pratique, pour le détenteur des données, cela règle la difficulté probatoire en reportant la charge de la preuve sur l’autre partie. 

« Ne seront pas considérées comme informations confidentielles les informations pour lesquelles le Bénéficiaire pourra matériellement démontrer qu’elles :

1. Étaient déjà dans le domaine public avant leur divulgation à ou leur accès par le Bénéficiaire, ou le sont devenues après leur divulgation à ou leur accès par le Bénéficiaire, sans violation du présent accord ; ou,
2. Étaient déjà connues par le Bénéficiaire avant leur divulgation par le Titulaire à l’exception de celles qui auraient déjà été communiquées ou auxquelles le Bénéficiaire aurait déjà eu accès, en vertu d’un autre accord de confidentialité ; ou,
3. Ont été développées par le Bénéficiaire indépendamment de son accès aux informations confidentielles ; ou,
4. Ont été légalement obtenues par le Bénéficiaire, d’un tiers non soumis à une obligation de confidentialité envers le titulaire, dans des circonstances permettant licitement leur utilisation. »

• Prévoir une obligation de ne pas faire

Il s’agit là d’une pratique intéressante puisqu’une obligation de ne pas faire équivaut à une obligation de résultat, dont le non-respect, donne lieu à des dommages & intérêts, sans nécessité de prouver le préjudice subi. La Première Chambre Civile de la Cour de Cassation, dans un arrêt du 1er mars 2017 fondé sur l’ancien article 1145 du Code Civil le confirme ainsi : « si l’obligation est de ne pas faire, celui qui y contrevient doit des dommages & intérêts par le seul fait de la contravention. » (voir arrêt).

Par exemple : « La fourniture du Matériel au titre du présent contrat repose sur la condition déterminante que le Partenaire s’engage à ne pas chercher, par ingénierie inverse, par désassemblage ou par toutes autres analyses, à connaître la méthodologie, la composition, la formulation, les procédés ou toute autre information relative à la fabrication ou la production du Matériel. »

• Ajouter une clause de non-usage

En pratique, si certaines informations confidentielles peuvent être illicitement obtenues ce qui constitue une violation de l’obligation de secret, elles peuvent aussi être utilisées. La distinction entre divulgation & utilisation correspond aux deux formes distinctes d’atteinte au secret d’affaires prévues par l’article 1112-1 du Code Civil.

En effet, l’obligation de secret ou de non-divulgation ne couvre pas expressément l’utilisation qui serait faite de l’information correspondante & serait alors parfaitement inefficace pour en protéger le titulaire contre l’usage qui en serait fait par l’autre partie, tant au cours des échanges précontractuels que par la suite, notamment en cas d’échec de ces derniers. C’est pourquoi l’ajout d’une clause de non-usage s’avère très utile.

Par exemple : « En dehors du cadre du projet & de la technologie, chacune des parties renonce, sauf accord exprès préalable de l’autre partie, à exploiter ou utiliser, directement ou indirectement, & à quelque fin que ce soit, les informations confidentielles reçues du divulgateur. Toute utilisation des informations confidentielles, à d’autres fins que celles relatives au projet & de la technologie, devra faire l’objet, le cas échéant, de la signature préalable d’un accord spécifique fixant les termes & conditions d’une telle utilisation. »