13 Décembre 2023
Un tour d’horizon des protections de la base de données
Lire l'article
Une grande partie des informations détenues par les entreprises ont des finalités stratégiques, commercialement parlant. C’est d’ailleurs la raison pour laquelle ces informations sont la plupart du temps conservées secrètes, cachées aux yeux de la concurrence qui, si elle les détenait, pourrait nuire à l’entreprise. C’est ce que l’on appelle le secret d’affaires.
Bien qu’il soit aisé de comprendre ce que recouvre la notion de « secret », celle de secret d’affaires, qui a fait couler beaucoup d’encre, a une acception bien précise. Il faut tout d’abord savoir que le droit français s’est sur ce point fait l’écho du droit européen, qui avait fait émerger la notion. Juridiquement, rien de fondamentalement nouveau, puisque la notion de secret existait déjà, et que sa violation était déjà sanctionnée. Le droit français connaissait en effet plusieurs types de secrets : secret bancaire, secret médical, secret professionnel, délit d’initié… Des informations secrètes détenues par une entreprise pouvaient aussi bien être protégées par le droit des contrats (notamment les obligations de confidentialité et les accords de confidentialité, les fameux NDA) que par le droit de la propriété intellectuelle.
A l’international, l’article 39 des accords ADPIC sanctionne la violation du secret des affaires, mais n’a pas d’effet direct en droit interne. Certaines tentatives avaient vu le jour1 pour unifier et renforcer la protection des secrets d’affaires par la création d’une infraction pénale, mais aucune n’avait prospéré. C’est sur ce point que la directive européenne n°2016/943 du 8 juin 2016 est intervenue. Le texte communautaire avait pour double objectif de mettre en place une protection harmonisée et civile du secret d’affaires et de fixer un seuil minimum de protection liant les Etats. Ainsi, exit la protection par le moyen d’une infraction pénale. La directive – qui devait être transposée en droit français au plus tard le 9 juin 2018 – ne livre pas à proprement parler une définition du secret d’affaires, mais en donne plutôt des critères pour qualifier une information de secret d’affaires. Ces critères sont au nombre de trois.
La transposition en droit interne est finalement intervenue, après une proposition de loi, par le biais d’une commission mixte paritaire ayant abouti au résultat que l’on connaît le 24 mai 2018. Le texte national est très fidèle au texte communautaire, ce qui s’explique par le peu de temps laissé au législateur pour opérer la transposition. Le secret d’affaires fait donc son apparition (au moins sous ce nom) en droit français, plus précisément dans le Code de commerce, dont l’article L.151-1 reprend les trois critères développés par la directive.
Le régime de protection du secret d’affaires est soigneusement défini par le nouveau droit français, qui indique aussi quelles sont les sanctions frappant une violation des dispositions et quelles sont les exceptions au secret d’affaires qui n’est de fait pas absolu.
Lorsqu’une information a été qualifiée de secret d’affaires, un régime désormais unifié s’applique. Ainsi, le Code de commerce définit, à ses articles L.151-3, L.151-4 et L.151-5 les modes illicites d’obtention d’une information constituant un secret d’affaires, au nombre desquels modes on trouve la violation de stipulations contractuelles (ce qui n’est pas réellement nouveau), la violation de dispositions physiques prises par le détenteur légitime de l’information, le comportement déloyal contraire aux usages commerciaux, la divulgation sans le consentement du détenteur légitime du secret ou encore la rupture d’une obligation de confidentialité.
La loi définit le « détenteur légitime » du secret. Outre que ce dernier peut être la créateur de l’information lui-même, l’article L.151-2 du Code de commerce dispose que ledit détenteur est la personne qui a « le contrôle de façon licite » du secret d’affaires. Cette formule sibylline recouvre plusieurs réalités et semble englober les cas où un tiers a découvert le secret de manière indépendante ou après avoir étudié le produit mis à disposition du public.
Le secret d’affaires est aussi protégé sous l’angle procédural. En effet, lorsqu’une partie a introduit une demande visant à faire reconnaître comme confidentiel un secret d’affaires, les avocats ou les représentants des parties à l’instance, le personnel judiciaire, les témoins, les experts et les parties elles-mêmes ont interdiction d’utiliser ou de divulguer le secret d’affaires.
La première sanction afférente à la violation du secret d’affaires est l’engagement de la responsabilité civile de l’auteur de l’atteinte. En effet, l’engagement de la responsabilité pénale a été écartée par les rédacteurs du projet de loi de transposition. La personne ayant porté atteinte au secret d’affaires sera donc condamnée à verser des dommages-intérêt pour la fixation desquels le juge prendra en compte les préjudices économiques, moraux et les bénéfices réalisés par l’auteur de l’atteinte.
En outre, le juge pourra éventuellement ordonner toutes mesures proportionnées – si besoin sous astreinte – visant à faire cesser l’atteinte. Les produits résultant de l’atteinte pourront aussi être rappelés, modifiés, détruits ou confisqués au profit de la partie lésée. Enfin la loi de transposition aménage les règles procédurales pour permettre le respect du secret : un huis-clos peut être prononcé, la motivation de la décision adaptée, la communication des pièces restreinte à certaines parties ou permise sous forme de résumé.
Enfin, lorsque l’auteur de l’atteinte ne savait pas ou ne pouvait savoir que les informations constitutives du secret d’affaires avaient été obtenues illicitement auprès d’une autre personne, les mesures prescrites par le juge pourront être révoquées et pourront être remplacées par le versement d’une prestation compensatoire au bénéfice de la partie lésée.
Le secret, tout secret d’affaires qu’il soit, n’est pour autant pas absolu. En effet, la protection conférée par le droit français ne consiste pas en un droit exclusif attribué au détenteur, mais en une protection contre l’appréhension ou la divulgation frauduleuse. Hors ces cas, l’obtention de secret d’affaires peut être licite. Tel est le cas des découvertes indépendantes, de l’ingénierie inversée effectuée sur l’objet mis à la disposition du public (le démontage et l’étude du fonctionnement ou de la composition dudit produit). De même, les actions requises ou autorisées par le droit interne ou européen peuvent faire obstacle au secret d’affaires : les services fiscaux, sanitaires, douaniers, ne peuvent se voir opposer le secret d’affaires dans le cadre de leur activité. Enfin, l’exercice du droit des représentants des travailleurs à l’information et à la consultation fait obstacle à ce que soit opposé le secret d’affaires.
Un des trois critères que doit remplir l’information pour bénéficier du régime du secret d’affaires est qu’elle doit faire l’objet de « mesures raisonnables » pour la conserver secrète. Mais ni la directive européenne ni la loi française ne définissent ce qu’il convient d’entendre sous ces termes. Il est permis de penser que la technologie blockchain présente toutes les caractéristiques d’une mesure raisonnable de protection du caractère secret de l’information.
En pratique, quelles sont ces fameuses « mesures raisonnables » que ne définissent pas les textes ? Ces mesures peuvent être de natures très différentes. On peut en effet imaginer des mesures physiques dans un premier temps : les informations sensibles, potentiels secrets d’affaires, sont entreposées dans une salle dont l’accès est conditionné à la connaissance d’un code secret ou au port d’un badge. Des mesures informatiques peuvent encore plus facilement être entreprises : protéger par identifiant et mot de passe l’accès aux informations confidentielles, auxquelles seuls quelques salariés ont accès.
A contrario, estampiller un dossier d’un sceau « secret » ou « top secret » ne constitue pas une mesure raisonnable au sens des textes.
Outre qu’elle peut permettre de renforcer les accords de confidentialité (communément appelés non-disclosure agreements, NDA), la technologie blockchain peut aussi constituer une « mesure raisonnable » employée pour conserver l’information secrète.
En effet, la technologie blockchain permet, très simplement, d’horodater un document, peu important son format : ce peut être un fichier texte, son, image, vidéo, fichier numérique 3D, etc… Concrètement, une empreinte numérique du document est calculée, empreinte unique et inintelligible. Celle-ci, comme l’empreinte digitale d’une personne, permet d’identifier le document par comparaison. Or à l’empreinte unique est associée une date infalsifiable et inaltérable, qui est ancrée dans la chaîne avec l’empreinte (qu’on appelle le hash). Le document source, qui n’est donc pas divulgué dans la blockchain, reste parfaitement secret, d’autant qu’il n’y a aucun moyen de remonter du hash vers ce document source, potentiellement sensible.
Enfin, la rapidité de l’ancrage, son intangibilité et son coût compétitif font de la blockchain une mesure (très) raisonnable à employer en complément des autres mesures traditionnellement mises en œuvre. Avec la blockchain, il est possible à la fois de prouver la détention de l’information à une date certaine, mais aussi de prouver que celle-ci a été incluse dans des NDA ou encore fait l’objet d’un savoir-faire, protégé par le droit de la propriété industrielle.
1 Voir les deux tentatives des parlementaires français des 23 janvier 2012 et 16 juillet 2014
