Messages les plus consultés

jeudi 3 octobre 2013

La protection du patrimoine informationnel de l’entreprise : un tour d’horizon

Une entreprise produit et collecte une multitude d'informations et de données de nature commerciale, industrielle, technique, comptable, scientifique, etc. Selon le secteur d'activité de l'entreprise, une partie de ces informations peut être considérée comme stratégique et sensible, constitutive du savoir-faire spécifique à l’entreprise. Ces informations ont donc une valeur patrimoniale considérable.

Dans un monde économique où la concurrence est exacerbée, le savoir-faire développé par l’entreprise conditionne sa pérennité. Toutes les entreprises, quels que soient leur taille ou leur secteur d’activité, sont concernées.

Plusieurs affaires d’espionnage industriel ont été rapportées dans les médias ces dernières années. Parmi celles-ci, on rappellera l’affaire Renault en 2011 où trois cadres auraient divulgué des informations sensibles à l’extérieur de l’entreprise, l’affaire Motorola en 2010 où un ex-employé aurait informé un équipementier télécom chinois pendant plusieurs années, en 2007, une ex-employée de Coca-Cola reconnue coupable d’avoir tenté de vendre des secrets commerciaux à son concurrent Pepsi, ou encore l’affaire Valéo en 2005 dans laquelle une stagiaire chinoise avait téléchargé et transféré à l’étranger des données confidentielles de l’entreprise.

Notre article a pour objet de faire un tour d’horizon des comportements à risque, pouvant résulter dans des fuites, des pertes, des divulgations ou des vols de données confidentielles, et des bonnes pratiques à déployer pour sensibiliser les salariés à la sécurité de l’information.


1. Les comportements à risque et leurs conséquences

Il existe toute une panoplie de comportements à risque pouvant aboutir à des divulgations d’informations confidentielles de l’entreprise. Ces comportements proviennent de personnes internes ou externes à l’entreprise : salariés, ex-salariés, stagiaires, consultants, partenaires commerciaux ou tiers.


    1.1 Les principaux types de comportements à risque


        1.1.1 Le comportement des salariés
La divulgation d'informations stratégiques de l’entreprise est souvent due à la négligence des salariés, plus rarement à une fraude d'un salarié ou ancien salarié. Les quelques exemples ci-après illustrent ces comportements, issus de l’environnement et des comportements quotidiens au travail :

    - L’ordinateur professionnel laissé sans surveillance, ou non verrouillé en l’absence de son utilisateur. Un ordinateur portable non attaché par un câble anti-vol et/ou laissé sans surveillance, dans l’entreprise ou lors d’interventions à l’extérieur de l’entreprise peut être très facilement subtilisé. Un ordinateur dont l’écran n’est pas verrouillé après quelques minutes de veille permet à toute personne d’accéder aux données sans manoeuvre particulière ;

    - La divulgation par des salariés d’informations confidentielles sur un blog et/ou via les réseaux sociaux : les salariés doivent être très vigilants concernant les informations publiées sur internet relatives à leurs activités professionnelles, telles que projets en cours de développement, négociations commerciales, rupture de contrats, situation financière de l’entreprise avant la publication des comptes, etc. ;

    - Le défaut de sécurité du système d'information, non protégé par un système anti-virus à jour ou dont les mots de passe ne sont pas assez robustes ou non changés régulièrement ;

    - Le piratage informatique par un salarié ou un ex-salarié qui s’introduit dans le système informatique de l’entreprise pour détruire ou détourner des données, alors que les accès au STAD (identifiant et mot de passe) ne sont pas modifiés régulièrement.

        1.1.2 Le comportement des stagiaires
Les stagiaires, notamment les jeunes issus de grandes écoles de commerce ou d’ingénieur, sont souvent amenés à travailler sur des projets innovants et pointus pendant leur stage en entreprise. Ces projets sont évidemment confidentiels, et doivent rester très encadrés par l’entreprise.

    - La diffusion et la mise en ligne de rapports de stage sur internet : certains étudiants diffusent leur rapport de stage au-delà de leur professeur, notamment en les mettant en ligne sur des sites web spécialisés. On peut ainsi trouver sur ces sites des rapports contenant des informations économiques ou technologiques sensibles. Il est donc recommandé de valider les rapports de stages pour notamment limiter leur diffusion ou demander que les informations confidentielles soient supprimées avant mise en ligne.

    1.2 L’espionnage industriel

Les manoeuvres, que l’on peut globalement qualifier d’espionnage industriel, peuvent provenir de partenaires commerciaux, français ou étrangers, voire de tiers avec lesquels l’entreprise n’a pas de contacts directs.

        1.2.1 Le comportement de partenaires commerciaux
    - La clé USB infectée par un programme malveillant : le fait de connecter une clé USB confiée par un tiers (pour permettre d’imprimer un document par exemple), à l’ordinateur professionnel du collaborateur, peut résulter en la propagation d’un virus, ou d’un programme malveillant d’aspiration des données stockées sur cet ordinateur ;

    - Le faux contrôle de sécurité de l'ordinateur portable : le cadre d’une société française, en déplacement chez un partenaire commercial à l’étranger a dû remettre son ordinateur au service de sécurité de l’entreprise partenaire pour un “contrôle de sécurité”. Le “contrôle” avait pour objet réel d’aspirer les données stockées sur cet ordinateur.

        1.2.2 Les tiers à l’entreprise
    - L’accès aux locaux sous couvert de maintenance informatique ou l’audit imprévu : des tiers à l’entreprise peuvent être admis dans les locaux pour des motifs apparemment “légitimes”. Ce type de personne a généralement quelques informations sur les prestataires tiers de la société et arrivent à convaincre les personnes de l’accueil qu’elles sont appelées dans le cadre d’une mission précise, telle que la maintenance informatique ou un audit administratif ou contractuel par exemple. Les procédures d’accès dans les locaux doivent donc être strictement contrôlées, notamment par une vérification d’identité et la confirmation de la mission par un responsable de l’entreprise ;

    - Le nouveau salarié (ou intérimaire) “infiltré” : des tiers peuvent se faire embaucher en vue d’avoir accès à des informations confidentielles de l’entreprise, pour les communiquer à un concurrent, puis discrètement quitter l’entreprise avant la fin de la période d’essai.

    1.3 Les risques et les conséquences pour l’entreprise

Tous ces exemples, tirés de faits réels ayant fait l’objet d’enquêtes en France et à l’étranger, et dans certains cas ayant abouti à des sanctions pénales, créent un grave préjudice pour l’entreprise, en termes économiques et d’image de marque.

Les risques et conséquences de ces divers comportements sont la divulgation, intentionnelle ou non, d’informations, documents, secrets de fabrication sensibles et/ou confidentiels à des tiers, concurrents commerciaux ou technologiques, français ou étrangers. Les conséquences peuvent être substantielles pour l’entreprise et résulter en perte de données ou de documents, mise hors service des ressources informatiques en cas de propagation de virus par exemple, atteinte à l'image de marque de la société ou à sa e-réputation, perte de chiffre d’affaires, perte de marchés, mise en cause de la responsabilité de l'entreprise pour atteinte à la sécurité de son système informatique avec perte de données personnelles, etc.

En conséquence, il est essentiel de mettre en oeuvre une politique interne de sensibilisation des salariés à la richesse informationnelle de l’entreprise, à la confidentialité des données et documents utilisés, et aux comportements à adopter au quotidien pour assurer un meilleur niveau de protection de ces données.


2. Les bonnes pratiques visant à protéger la richesse informationnelle de l'entreprise

Ces bonnes pratiques s’articulent autour de deux axes complémentaires : la mise en place d’une politique de sensibilisation des salariés et l’utilisation des outils juridiques appropriés.

    2.1 La mise en place d'une politique de sensibilisation à la sécurité économique et informatique

Cette politique de sensibilisation à la sécurité s’articule en plusieurs points :

    - La nomination d’un responsable sécurité, dont tout ou partie de la fonction consistera à élaborer une politique interne de sécurité (charte de sécurité), entérinée et sponsorisée par la direction de l’entreprise ;

    - L’identification des données et documents à protéger, par catégorie d’information, par département (finance, marketing, commercial, juridique, etc.), la durée de leur protection et les règles d’archivage physiques et dématérialisé ;

    - Le recensement des ressources IT de l’entreprise, et la définition d’une politique de gestion de ces ressources (charte informatique) ;

    - La sécurisation du système informatique de l’entreprise avec, en parallèle, le déploiement de la politique de sécurité informatique ;

    - La sécurisation des locaux, notamment par un contrôle des accès aux locaux de l’entreprise, la gestion des badges d’accès par catégories de personnes (employés, intérimaires, consultants, visiteurs, etc.) ;

    - La gestion du facteur humain par la sensibilisation à la sécurité de l’information, l’encadrement professionnel des stagiaires, la définition des règles de collaboration avec les partenaires commerciaux et les consultants, l’accompagnement des visiteurs, etc.

    - La protection de l’information à l’extérieur de l’entreprise, en déplacement, dans les lieux publics et les transports, en définissant des règles de conduite relatives à l’utilisation des équipements, aux réunions de travail dans des lieux ouverts au public ou dans les transports (train, avion) ;

    - La veille internet afin de détecter des fuites d’information et de surveiller l’e-réputation de l’entreprise.

Cette politique de sécurité doit être accompagnée des “outils” juridiques qui permettront de protéger cette information.

    2.2 Les outils juridiques permettant de protéger le patrimoine informationnel de l'entreprise

Le droit sert d’outil indispensable dans un but de protection de l'information de l'entreprise.

        2.2.1 La protection de la propriété intellectuelle
Bien que les idées, méthodes, théories, concepts et informations brutes ne soient pas des oeuvres protégeables par le droit de la propriété intellectuelle, il n’en est pas de même des créations ou oeuvres de l’esprit. Les marques, dessins et modèles, et brevets sont protégés par le droit de la propriété intellectuelle et industrielle. Les noms de domaine sont protégés pendant une durée d’un à 3 ans renouvelable.

Toute utilisation non autorisée d’une marque enregistrée, d’un modèle déposé ou d’un brevet est constitutive d’une contrefaçon, sanctionnée pénalement.

Il est recommandé de surveiller les marques de l’entreprise et celles des concurrents, en mettant en place une surveillance via un conseil en propriété industrielle par exemple, et en élaborant une politique de marque cohérente répondant à l'image de la société, ses produits et services.

En cas de contrefaçon, concurrence déloyale, plagiat ou parasitisme, il ne faut pas hésiter à réagir en préservant les moyens de preuve (constat d’huissier), puis si l’action est justifiée, en lançant des poursuites judiciaires à l’encontre des contrefacteurs ou du concurrent “indélicat”.

        2.2.2 La protection du savoir-faire
La protection du savoir-faire passe dans un premier temps par la mise en place des bons outils et techniques contractuels, afin de faciliter les moyens de défense en cas de violation de ses engagements par l’autre partie.

    - L’accord de confidentialité et la clause de confidentialité dans les contrats commerciaux : les futurs partenaires ont intérêt d'organiser contractuellement, dès le stade des pourparlers, le respect de la confidentialité des informations échangées. Dans un contrat commercial, la clause de confidentialité met à la charge de son débiteur, ou des deux parties, une obligation de secret concernant des informations communiquées (techniques, commerciales, financières) pendant la durée du contrat, voire le silence sur l'existence de négociations ou d'une relation contractuelle. Cette clause permet d'ériger automatiquement en faute la divulgation d'une information. Même s'il est souvent difficile de rapporter la preuve de la violation de l'obligation de confidentialité, cette clause a le mérite de la dissuasion ;

    - La clause de non-concurrence prive le co-contractant de la faculté d'exercer une activité professionnelle susceptible de concurrencer celle de l'autre, pendant la durée des relations contractuelles, et éventuellement après leur expiration, sur un territoire déterminé ;

    - La clause de non-sollicitation de personnel, par laquelle deux entreprises s'interdisent réciproquement de débaucher tout ou partie de leurs collaborateurs, a pour objet d'éviter le débauchage massif de collaborateurs aux compétences spécifiques.

        2.2.3 La protection des données numériques : la charte informatique
La charte informatique (ou charte technologique) est un document interne à l’entreprise, dont la finalité première est de préciser les règles applicables à l’utilisation des équipements et logiciels mis à la disposition des salariés, afin d’assurer la bonne gestion des ressources et la sécurité des réseaux et données de l’entreprise.

La mise en place d’une charte technologique au sein de l’entreprise a un double objectif : i) la nécessaire information des salariés sur les utilisations autorisées des technologies, et ii) les sanctions éventuellement applicables en cas de non-respect de ces règles, le tout dans un souci de bonne gestion des ressources et de sensibilisation des salariés à la sécurité des réseaux et des données de l’entreprise.

Pour être et rester efficace, la charte informatique doit être revue et mise à jour régulièrement afin de suivre les évolutions technologiques et les usages.

Il est recommandé de l’annexer au règlement intérieur de l’entreprise (dans le respect des dispositions du droit social) afin de la rendre opposable aux salariés, ainsi qu’aux intérimaires et consultants pendant la durée de leur mission dans l’entreprise.


La protection du patrimoine informationnel est l’affaire de tous dans l’entreprise et la sensibilisation des salariés aux enjeux de la maîtrise de l’information passe par la mise en oeuvre de bonnes pratiques reposant sur les deux axes de la politique de sensibilisation et des outils juridiques appropriés.

Il convient enfin de mentionner la proposition de loi sur la protection des informations économiques, discutée en première lecture à l’Assemblée Nationale le 23 janvier 2012. Ce texte a pour objet d’instaurer un nouveau délit d'atteinte au secret des affaires. La divulgation d'informations de nature commerciale, industrielle, financière, scientifique, technique ou stratégique, compromettant gravement les intérêts d'une entreprise (atteintes à son potentiel scientifique et technique, à ses positions stratégiques, à ses intérêts commerciaux ou financiers ou à sa capacité concurrentielle) serait ainsi punie de 3 ans d'emprisonnement et 375.000€ d'amende. (1)

L’objectif est de construire une protection juridique efficace pour l’ensemble des informations et des connaissances de l’entreprise. Malheureusement, cette proposition de loi remonte à la précédente législature et n’est plus à l’ordre du jour du Parlement actuellement. On peut cependant espérer qu’elle ne restera pas lettre morte, et que l’on disposera d’un arsenal juridique spécifique dans un avenir proche, permettant de combattre les atteintes aux informations sensibles de l’entreprise de manière plus efficace.

                                                       * * * * * * * * * * *

* Article rédigé suite à une conférence donnée au Salon APS (Alarmes, Protection, Sécurité), sur la sécurité de l’information, le 26 septembre 2013.

(1) Proposition de loi de M. Bernard Carayon visant à sanctionner la violation du secret des affaires, n°3985, déposée le 22 novembre 2011, voir dossier législatif : http://www.senat.fr/dossier-legislatif/ppl11-284.html


Bénédicte DELEPORTE
Betty SFEZ
Avocats

Deleporte Wentz Avocat
www.dwavocat.com
Octobre 2013