Espionnage industriel et commercial :
Protection juridique du patrimoine informationnel des entreprises

Par Eric A. Caprioli, Avocat à la Cour de Paris, Docteur en droit

Le patrimoine informationnel des entreprises présente une valeur économique non négligeable en ce que ces données peuvent être stratégiques pour une entreprise (données clients, prospects, produits, …) et à ce titre confidentielles, voire secrètes. La protection des entreprises contre l’espionnage industriel ou commercial constitue un enjeumajeur pour l’entreprise,mais aussi pour les autorités administratives ou leurs émanations. Si l’on se place par exemple sur le plan de l’intelligence économique on peut constater que l’information doit être protégée mais aussi maîtrisée. Selon Alain Juillet, ancien Haut Responsable à l’Intelligence Economique auprès du gouvernement, l’intelligence économique consiste à maîtriser et protéger l’information stratégique utile, dans le sens où elle donne la possibilité au décideur d’optimiser sa décision.

Un cadre juridique lacunaire

Dans le numérique, les crimes et délits (cybercriminalité, voir la Revue Parlementaire, Dossier Spécial : « Sécurité, Le défi de la performance » notre article, Droit, Cybercriminalité et sécurité des systèmes d’information, p.34) empruntent des contours très diversifiés et en constante évolution ». Ainsi, comme tous les biens, qu’ils soient incorporels ou corporels, l’information mérite protection et sécurité. Le système juridique français comporte de nombreuses qualifications pénales qui peuvent entraîner des sanctions d’emprisonnement et d’amende : l’abus de confiance, le vol, le recel, l’introduction ou les atteintes aux systèmes d’information (STAD), aux données à caractère personnel, les contrefaçons de droits d’auteur, de logiciels, de brevets, de bases de données, les atteintes au secret de fabrique. En outre, les responsabilités contractuelle et délictuelle peuvent être engagées en cas de non respect des politiques de sécurité et de confidentialité, ainsi que des chartes d’utilisation des SI et des clauses contractuelles de non-concurrence ou confidentialité dans les contrats de travail ou les contrats avec les prestataires externes. Toutefois, à l’analyse, on s’aperçoit que les préjudices subis par les entreprises ne sont que peu, mal ou pas réparés. En effet, suite à la censure de l’article 32 de la loi Loppsi 2, avec la proposition de loi de M. Carayon relative à la protection des informations économiques, enregistrée à l’Assemblée nationale le 13 janvier 2011, mais toujours pas adoptée ou encore le projet de M . Besson visant à introduire un marquage « Confidentiel entreprise » censé protéger le secret des affaires et sanctionner les atteintes à celui-ci, mais toujours en attente d’effectivité, l’arsenal législatif français ne comporte pas d’infraction spécifique permettant de sanctionner les atteintes aux informations économiques. Ceci rend donc nécessaire l’anticipation des fuites de données confidentielles et des atteintes par une analyse de risques du système d’information et par la mise en place d’un Système de Management de la Sécurité de l’Information (SMSI), tout en prenant en compte les dimensions organisationnelles et juridiques.

“L’arsenal législatif français ne comporte pas d’infraction spécifique permettant de sanctionner les atteintes aux informations économiques”

Des applications jurisprudentielles limitées voire timides

Les atteintes aux données dont des données à caractère personnel sont de plus en plus nombreuses : Minefe, Sony,…, Renault et encore souvent cachées par les organisations victimes. Pourtant, les violations des données personnelles doivent être notifiées à la CNIL, mais aussi sous certaines conditions aux personnes titulaires desdites données, par les fournisseurs au public de services de communications électroniques sur les réseaux de communications électroniques ouverts au public, y compris ceux prenant en charge les dispositifs de collecte de données et d’identification en vertu de l’ordonnance no 2011-1012 du 24 août 2011 relative aux communications électroniques (JO du 26 août 2011). Cette obligation devrait être généralisée lors de l’adoption de la révision de la directive 95/46 sur la protection des données à caractère personnel.

Des procédures conformes aux exigences légales et réglementaires, en ce y compris des procédures d’alerte pénale ou judiciaire (référé, ordonnances sur pied de requête, saisine d’une juridiction civile ou commerciale) en cas d’atteintes aux systèmes d’information ou à la confidentialité des informations de l’entreprise, doivent être élaborées et appliquées.

Plusieurs affaires judiciaires récentes ont illustré la diversité des moyens juridiques dont disposent les entreprises en matière de protection de leur patrimoine informationnel, mais aussi leurs limites, spécialement en termes de qualification et de sanction.

Ainsi, dans un arrêt du TGI de Versailles du 18 décembre 2007 (n° 0511965021, L. c/ Valéo, v. note E.A. Caprioli, Sécurité des systèmes d’information et stagiaire chinoise, Comm. com. électr. n° 4, avril 2008, comm. 62), une stagiaire chinoise avait accédé et téléchargé sur son disque dur des fichiers confidentiels de la société Valéo en contravention des règles de sécurité pourtant portées à sa connaissance. Cette dernière est condamnée pour abus de confiance (condamnation à un an d’emprisonnement dont 2 mois fermes et 7.000 euros de dommages et intérêts).

Dans une décision du 21 juin 2010 (affaire Michelin, v. commentaire E.A. Caprioli, Une tentative de vente d’informations confidentielles par un ancien salarié, incriminée sur le fondement de l’abus de confiance, Comm. com. électr. n° 3, mars 2011, comm. 31), le TGI de Clermont Ferrand a prononcé une condamnation pour le délit d’abus de confiance d’un ancien salarié qui a tenté de vendre des informations confidentielles qui lui ont été communiquées dans le cadre de son contrat de travail (condamnation à 2 ans d’emprisonnement avec sursis, à une amende de 5 000 euros et à 10 000 euros au titre des dommages et intérêts).

Par ailleurs, avec le jugement civil rendu par le TGI de Béthune le 14 décembre 2010 (Access From Everywhere c/ Éric N, v. commentaire E.A. Caprioli, Responsabilité contractuelle retenue d’un ancien salarié pour la violation d’une clause de confidentialité, Comm. com. électr. n° 5, mai 2011, comm. 48) les juges mettent en valeur la validité et l’impact d’une clause de confidentialité figurant dans un contrat de travail ayant expiré. Ils estiment, en effet, que le fait pour un ancien salarié d’avoir publié sur son blog des informations dénigrant son ancien employeur constitue la violation de cette disposition contractuelle (condamnation à 1 euro au titre des dommages et intérêts, à la publication de la décision dans la limite de 10.000 euros).

Le jugement du tribunal correctionnel de Clermont-Ferrand en date du 26 septembre 2011 (Sociétés X. et Y. / Mme Rose, commentaire à paraître de la revue Comm. Com. Electr. en février 2012) donne également raison à l’entreprise. Les juges décident, en effet qu’est constitutif de vol et d’abus de confiance le fait pour une ancienne salariée de reproduire sur une clé USB, le jour de son départ de l’entreprise, les données confidentielles, afin de les utiliser à des fins personnelles (trois mois d’emprisonnement avec sursis et 3.000 euros de dommages et intérêts).

Enfin, le 20 octobre 2010, la chambre criminelle de la Cour de cassation (n° 09-88.387, Inédit ; v. commentaire E.A. Caprioli, Vol et recel d’informations commerciales, Comm. com. électr. n° 3, mars 2011, comm. 30) a condamné pour délit de recel un employé d’une société de surveillance des locaux (ADT France) qui détenait et utilisait les informations relatives aux fichiers clients de son ancien employeur, tout en sachant que celles-ci provenaient d’un vol. Le vol d’information n’étant toujours pas reconnu en tant qu’infraction à proprement parler, s’agissant du recel, même si plusieurs décisions de fond ont admis le recel d’informations seules (et donc sans support matériel), les juges affirment régulièrement que l’information, en tant que telle, échappe aux dispositions pénales incriminant le recel et que donc seulement les supports physiques peuvent être constitutifs de cette infraction (condamnation à 8 mois d’emprisonnement et 5.000 euros d’amende).

“L’État français ainsi que les entreprises du secteur privé et les autorités administratives gagneraient à ce que soit adopté un cadre juridique spécifique à la protection des informations économiques et techniques”

Par conséquent, l’État français ainsi que les entreprises du secteur privé et les autorités administratives gagneraient à ce que soit adopté un cadre juridique spécifique à la protection des informations économiques et techniques pour contrer les actes de malveillance et les atteintes au patrimoine informationnel des entreprises. A côté de cela, il serait également opportun que la Justice se dote d’une entité spécialisée en matière de cybercriminalité, à l’instar de ce qui existe notamment en matière de terrorisme ou de délits financiers. Les poursuites gagneraient en efficacité et les sanctions prononcées, pénales comme indemnitaires, seraient susceptibles de prendre plus de consistance, ce qui contribuerait, sans doute également, à leur prévention par leur effet dissuasif. Néanmoins, il reste que tout le succès d’une politique de sécurité de l’information réside en la prévention de la survenance des risques identifiés. Ainsi, dans la mesure où la sanction judiciaire n’intervient qu’a posteriori et de façon parfois déroutantes, que la réparation des préjudices est plus qu’aléatoire la meilleure réponse reste toujours l’anticipation des résultats de l’analyse de risques et la mise en oeuvre de mesures techniques, organisationnelles et juridiques encadrées par des documents de sécurité (Politiques de sécurité des systèmes d’information, Politique de confidentialité) dont certains doivent être juridiquement opposables aux salariés, prestataires et stagiaires, comme les chartes informatiques (utilisateurs et administrateurs), contrats de travail et de prestations, engagements de confidentialité, etc… « Celui qui excelle à résoudre les difficultés, les résout avant qu’elles ne surviennent. Celui qui excelle à vaincre ses ennemis triomphe avant que les menaces de ceux-ci se concrétisent. » (Sun Tzu)