Le constat n’est plus neuf : nous
vivons désormais dans une économie de la donnée (ou de l’information). Ainsi,
un article récemment publié dans l’hebdomadaire The Economist était intitulé “The world’s most valuable resource is no longer oil, but data” (la
ressource la plus précieuse dans le monde n’est plus le pétrole, mais la
donnée). (1)
Nous vivons également dans une société
du partage, où internet, les réseaux sociaux et les sites de “peer-to-peer”
remettent en cause la notion de propriété, qu’il s’agisse de la propriété des
données, ou la propriété intellectuelle.
Une grande partie des données
produites ou collectées par les entreprises (données de savoir-faire, données
économiques, données personnelles) reste protégée, et leur divulgation
non-autorisée est sanctionnée. Toutefois, l’entreprise doit mettre en oeuvre
les moyens adéquats pour que cette protection soit effective, sous peine de
voir son image de marque dégradée, de perdre des marchés, ou même de voir sa
responsabilité engagée en cas d’atteinte à la sécurité des données personnelles
de ses salariés et clients. Or, de grands volumes de données confidentielles se
retrouvent en accès libre ou à la vente sur internet. La fuite de données peut
engager la responsabilité de la personne à l’origine de cette fuite (ou vol de
données), mais aussi celle du responsable du traitement en cas de fuite de
données personnelles.
Dans le présent article, nous
identifions les différentes catégories de données protégées et les
règlementations qui leur sont applicables, puis compte tenu des risques
juridiques, économiques et technologiques engendrés par les fuites de données,
nous rappelons la nécessité de définir et déployer une politique de gouvernance
des données et de l’information au sein de l’entreprise. (2)
1. Différentes catégories de
données soumises à des règlementations distinctes
Les données produites et collectées
par les entreprises sont de natures diverses. Celles-ci comprennent notamment
les données industrielles (informations et données relatives aux produits et
services développés et commercialisés par l’entreprise, à ses procédés de
production, à son savoir-faire spécifique, les brevets, les dessins et
modèles), les données économiques (données financières, les marques), les
données commerciales (listes de clients, contrats), enfin, les données
personnelles des salariées et des clients et prospects.
Même si toutes ces données ne sont pas
nécessairement protégées, l’ensemble des données de l’entreprise relèvent de
son identité ou de sa spécificité et permettent de la distinguer de ses
concurrentes. Plus particulièrement, dans une économie de marché, son
savoir-faire lui permet de créer un avantage concurrentiel, économique et
industriel, qui peut être sévèrement altéré en cas de violation de ces données.
1.1
L’évolution de la protection juridique des secrets
d’affaires
Une première catégorie de données
concerne les secrets d’affaires.
La valeur,
et donc la protection des secrets d’affaires, repose en grande partie sur la
confidentialité.
Les secrets d’affaires sont protégés
en droit français, notamment sur le fondement de la concurrence déloyale,
lorsqu’il peut être démontré qu’une personne (concurrent, salarié) a utilisé
des données ou informations d’une entreprise A au bénéfice d’une entreprise B,
et au détriment de la première. L’entreprise A, (victime du “vol” de données)
doit toutefois prouver le détournement de ses données (par exemple, son fichier
clients) et pouvoir démontrer un préjudice commercial (baisse de chiffre
d’affaires, atteinte à son image de marque), en lien avec le détournement de
données.
Suivant le type d’atteinte en cause,
des poursuites pénales peuvent également être engagées sur les fondements
suivants :
-
la violation du secret professionnel (art. 226-13 du code pénal
: “La révélation d'une information à caractère secret par une personne qui
en est dépositaire soit par état ou par profession, soit en raison d'une fonction
ou d'une mission temporaire, est punie d'un an d'emprisonnement et de 15 000
euros d’amende.”),
-
la violation du secret des correspondances (art. 226-15 : “Le
fait, commis de mauvaise foi, d'ouvrir, de supprimer, de retarder ou de
détourner des correspondances arrivées ou non à destination et adressées à des
tiers, ou d'en prendre frauduleusement connaissance, est puni d'un an
d'emprisonnement et de 45 000 euros d'amende.
Est puni des mêmes peines le
fait, commis de mauvaise foi, d'intercepter, de détourner, d'utiliser ou de
divulguer des correspondances émises, transmises ou reçues par la voie électronique ou de
procéder à
l'installation d'appareils de nature à permettre la réalisation de telles
interceptions.”),
-
l’abus
de confiance (art. 314-1 : “(…) le fait par une personne de détourner, au
préjudice d'autrui, des fonds, des valeurs ou un bien quelconque qui lui ont
été remis et qu'elle a acceptés à charge de les rendre, de les représenter ou
d'en faire un usage déterminé.
L'abus de confiance est puni de
trois ans d'emprisonnement et de 375 000 euros d’amende.”),
-
l’atteinte
ou le maintien frauduleux dans un système de traitement automatisé de données
(STAD), (art. 323-1 : “Le fait d'accéder ou de se maintenir,
frauduleusement, dans tout ou partie d'un système de traitement automatisé de
données est puni de deux ans d'emprisonnement et de 60 000 € d’amende.”) (3),
-
l’usurpation
d’identité numérique, par des actions de phishing par exemple, (art. 226-4-1 :
“Le fait d’usurper l’identité
d’un tiers ou de faire usage d’une ou plusieurs données de toute nature
permettant de l’identifier en vue de troubler sa tranquillité ou celle
d’autrui, ou de porter atteinte à son honneur ou à sa considération, est puni d’un an d’emprisonnement et de 15.000 € d’amende.
Cette infraction est punie des
mêmes peines lorsqu’elle est commise sur un réseau de communication au public
en ligne.”) (4).
Des
poursuites peuvent aussi être engagées sur le fondement du vol, de
l’escroquerie, de la contrefaçon (voir ci-dessous).
Cependant, la protection des secrets
d’affaires est aujourd’hui imparfaite, tant en droit français, qu’à
l’international. En effet, chaque pays tend à avoir sa propre définition de la
notion de “secrets d’affaires” et ne leur accorde pas le même niveau de
protection. Des améliorations étaient donc nécessaires.
Plusieurs propositions de lois
relatives à la protection des secrets d’affaires ont été déposées en France,
entre 2009 et 2015. La dernière tentative remonte au projet de loi pour la
croissance (loi “Macron" (5), dans lequel un chapitre sur la protection du secret des affaires avait été
proposé, sans suite.
Finalement, au niveau européen, la
directive sur la protection des savoir-faire et des secrets d’affaires a été
adoptée le 8 juin 2016. (6) L’objet de cette directive est d’établir une définition “homogène” du secret
d’affaires, élaborée de façon à couvrir non seulement le savoir-faire, mais
aussi les informations commerciales et technologiques, sous réserve de leur
valeur commerciale et de l’intérêt à les garder confidentiels.
Le secret d’affaires est défini comme
comprenant : “des informations qui répondent à toutes les conditions suivantes :
a) elles sont secrètes en ce
sens que, dans leur globalité ou dans la configuration et l'assemblage exacts de
leurs éléments, elles ne sont pas généralement connues des personnes
appartenant aux milieux qui s'occupent normalement du genre d'informations en
question, ou ne leur sont pas aisément accessibles,
b) elles ont une valeur
commerciale parce qu'elles sont secrètes,
c) elles ont fait l'objet, de la
part de la personne qui en a le contrôle de façon licite, de dispositions raisonnables, compte tenu des
circonstances, destinées à les garder secrètes." (7)
La directive sur les secrets
d’affaires doit être transposée dans les droits des Etats membres au plus tard
le 9 juin 2018.
1.2
Les développements et inventions protégés par le droit de la propriété
intellectuelle et industrielle
Les données et informations de
l’entreprise comprennent également des documents, produits et services qui font
partie intégrante de son savoir-faire, et sont protégés par le droit de la
propriété intellectuelle. Il peut s’agir de documents produits par la société,
de logiciels, de bases de données, de produits pouvant être protégés par le
droit des dessins et modèles et/ou par le droit des brevets, sous réserve
évidemment de remplir les conditions requises pour bénéficier de cette
protection.
Contrairement aux secrets d’affaires,
les données et informations protégées par le droit de la propriété
intellectuelle ne sont pas confidentielles et ont vocation à être diffusées
et/ou commercialisées. Toutefois, leur diffusion ne doit pas pour autant porter
atteinte à leur protection juridique.
Pour rappel, l’utilisation des
logiciels et des bases de données est soumise à des conditions de licence (même
pour les logiciels open source) ; la reproduction et la réutilisation de
documents est généralement soumise à l’autorisation préalable de leur auteur
(ou de l’entreprise au sein de laquelle ces documents ont été développés) ; et
la fabrication de produits brevetés par un tiers est également soumise à des
accords contractuels.
L’utilisation, la reproduction, la
diffusion non autorisée d’oeuvres protégées par le droit de la propriété
intellectuelle relève de la contrefaçon. (8) En
droit français, le délit de contrefaçon est sanctionné par une amende maximale
de 300.000 euros et puni de trois ans d’emprisonnement.
1.3
Les données à caractère personnel
Enfin, les données à caractère
personnel ont leur propre régime de protection, avec la loi Informatique et
Libertés en France, bientôt remplacée par le Règlement général européen sur la
protection des données (RGPD), devant entrer en application le 26 mai 2018. (9)
Les données à caractère personnel sont
définies comme toutes données pouvant identifier une personne physique,
directement ou indirectement. Ces données comprennent les nom, prénoms,
adresse, date de naissance, numéros de téléphone, de sécurité sociale, de
compte bancaire, les données de biométrie (empreintes digitales, voix), etc.
Les données à caractère personnel sont
la “propriété” de leurs titulaires. Les entreprises collectent toutes des
données personnelles, qu’il s’agisse des données de leurs employés ou des
données de leurs clients et prospects, ou dans le domaine de la santé, des
données de patients. Or, en qualité de responsables de traitement de ces
données, les entreprises sont soumises à des obligations de protection des
données, qui recouvrent notamment l’obligation d’intégrité des données, de
confidentialité et de sécurité.
Ainsi, l’entreprise, responsable de
traitement est tenue de protéger les données personnelles contre la perte, la
destruction ou les dégâts d’origine accidentelle pouvant intervenir.
Le RGPD comprend une série de règles
strictes, incombant au responsable du traitement, concernant la sécurité des
données, sous réserve “de l'état des connaissances, des coûts de mise en
œuvre et de la nature, de la portée, du contexte et des finalités du traitement
ainsi que des risques.”
Cette obligation de sécurité couvre
les données elles-mêmes, les moyens techniques pour assurer leur conservation
et leur accessibilité, et les règles d’accès.
Ainsi, l’article 32 du RGPD dispose
que “1. (…) le responsable du traitement et le sous-traitant mettent en
œuvre les mesures techniques et organisationnelles appropriées afin de garantir
un niveau de sécurité adapté au
risque, y compris entre autres, selon les besoins :
a) la
pseudonymisation et le chiffrement des données à caractère personnel ;
b)
des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la
résilience constantes des systèmes et des services de traitement ;
c) des moyens permettant de
rétablir la disponibilité des données à caractère personnel et l'accès à
celles-ci dans des délais appropriés en cas d'incident physique ou technique ;
d)
une procédure visant à tester, à
analyser et à évaluer régulièrement l'efficacité des mesures techniques et
organisationnelles pour assurer la sécurité du traitement. (…)
4. Le responsable du traitement
et le sous-traitant prennent des mesures afin de garantir que toute personne
physique agissant sous l'autorité du responsable du traitement ou sous celle du
sous-traitant, qui a accès à des données à caractère personnel, ne les traite
pas, excepté sur instruction du responsable du traitement, (…).”
En cas de violation de données à
caractère personnel, et dès lors que cette violation est susceptible
d'engendrer un risque pour les droits et libertés des personnes physiques, le
responsable du traitement est tenu de notifier la
violation à l'autorité de contrôle compétente (en France, la CNIL) dans les meilleurs délais. (art 33 du
RGPD)
Toute violation des dispositions
relatives à la sécurité des données (articles 32 et suivants du RGDP) est
passible d’une amende administrative d’un montant maximum de 10.000.000 d’euros
ou 2% du chiffre d’affaires annuel mondial de l’entreprise. (art 83 du RGPD)
Compte tenu des risque commerciaux et
industriels, ainsi que des risques de mise en cause de la responsabilité de
l’entreprise, il est donc impératif de définir et déployer des mesures de
protection des données et des secrets d’affaires de l’entreprise.
2. Comment protéger l’entreprise
: la mise en oeuvre d’une politique de gouvernance des données
L’entreprise se doit de protéger ses
données contre leur divulgation non autorisée et/ou non maîtrisée.
La divulgation non autorisée des
données peut non seulement avoir pour conséquence des pertes de marché dues à
la perte des avantages industriels et commerciaux de l’entreprise ; mais comme
nous l’avons vu ci-dessus, celle-ci peut également voir sa responsabilité
engagée en sa qualité de responsable de traitement, en cas de divulgation non
autorisée de données à caractère personnel.
Les cas de fuites de données peuvent
être dus à des actes malveillants. Ils sont aussi trop souvent dus à des
négligences au sein de l’entreprise, telles que l’absence de politique de
gestion des informations, des systèmes d’information (SI) défaillants
(pare-feux non à jour, mauvaise gestion des droits d’accès aux équipements et
des mots de passe).
2.1
Définir la politique de protection des données de l’entreprise
A l’ère de l’open space, de
l’aplanissement de la pyramide hiérarchique et de la fin du management en
silos, la définition d’une politique rigoureuse de gouvernance des données
reste indispensable, et ce quelle que soit la taille de l’entreprise. En effet,
tous les collaborateurs et intervenants de l’entreprise n’ont pas vocation à
avoir accès à toutes les données de l’entreprise.
Les risques de divulgation
d’informations sont multiples et comprennent par exemple :
-
la communication non autorisée par des employés, ex-employés,
consultants, intérimaires, stagiaires, ou prestataires, à des tiers (clients,
concurrents, …), que cette communication soit malveillante ou négligente,
-
les discussions ou réunions d’affaires entre collègues, et les entretiens
téléphoniques, dans des espaces publics (restaurant, train, avion),
mais aussi, tous détournements de
nature informatique, tels que :
-
les fuites de données sur internet (serveurs non ou mal protégés), et les
cyberattaques informatiques (hacking), ou
Les différentes parties prenantes de
l’entreprise doivent contribuer à la définition de la politique de gouvernance
des données : la direction des systèmes d’information (DSI), mais également les
directions juridique, financières, RH, marketing, ventes, le cas échéant
R&D.
La sensibilisation doit comprendre des
règles relatives à la destruction (suppression) de documents, et des règles
absolues relatives à l’interdiction de mettre des données et informations en
ligne, sur des systèmes ouverts.
Enfin, il convient d’être
particulièrement attentif à la gestion des départs de l’entreprise et des fins
de contrats, afin de minimiser les fuites de données (secrets d’affaires,
listes de clients, listes de contrats, etc.).
Cette politique pourra comporter une charte
de gouvernance des données qui, telle que la charte informatique, devrait être
distribuée et signée par chaque collaborateur et intervenant dans l’entreprise.
L’objet de ce document est de sensibiliser chaque collaborateur à la valeur des
données et du savoir-faire de l’entreprise. L’entreprise peut même compléter
cette action de sensibilisation avec un tutoriel consacré à la bonne gestion
des données.
2.2
Définir les règles techniques de protection des données de l’entreprise
La politique de protection des données
de l’entreprise doit également comprendre des règles techniques. Celles-ci se
recoupent largement avec les règles devant figurer dans la charte informatique
de l’entreprise.
Ces règles comprennent notamment :
-
la gestion des identifiants et des mots de passe,
-
la clôture
des comptes utilisateur dès le départ d’un employé, consultant, etc.,
-
les règles
applicables à l’utilisation, par les intervenants dans l’entreprise (employés,
consultants), de leurs propres appareils - ou politique de BYOD (Bring your own
device),
mais également les règles applicables
aux collaborateurs de la DSI :
-
une obligation de confidentialité renforcée,
-
les règles
de mise en oeuvre des nouvelles versions des logiciels utilisés, y compris des
pare-feux,
-
les règles
applicables à l’utilisation des services en cloud et des accès à ces services,
-
les conditions d’accès (physique et technique) aux serveurs, etc.
Des volumes massifs de données
confidentielles, secrets d’affaires mais aussi données personnelles, dérobées,
copiées, voire même fuitées, se retrouvent sur internet, en accès libre ou
stockées dans le “dark web” et disponibles à la revente par des malfaiteurs. La
mise en oeuvre, au sein de l’entreprise, d’une politique robuste de protection des
données a une double finalité : sensibiliser les collaborateurs à la valeur du
savoir-faire et des données de leur entreprise, et minimiser les fuites de
données. La définition et la mise en oeuvre
d’une politique de protection des données est enfin un moyen pour l’entreprise,
et ses dirigeants, de limiter leur responsabilité en cas de violation de
données personnelles.
* * * * * * * * * * * *
(1) “The world’s most valuable resource is no longer oil, but data” in The Economist, 6 mai 2017
(2) Pour rappel, une “donnée” est généralement
considérée comme un élément brut, non interprété ; alors qu’une “information” est
une donnée interprétée, analysée. Les textes ne font pas nécessairement la
distinction entre ces deux notions et nous utilisons ici le terme donnée pour
couvrir indifféremment les notions de donnée et d’information.
(3) Loi n°88-19 du 5 janvier 1988, dite Loi Godfrain, modifiée par
la loi n°2012-410 du 27 mars 2012 relative à la protection de
l'identité
(4) Loi n°2011-267 du 14 mars
2011 d'orientation et de programmation pour la performance de la sécurité intérieure
(5) Loi n°2015-990 du 6 août 2015 pour la croissance,
l’activité et l’égalité des chances économiques (Loi “Macron”)
(6) Directive (UE) 2016/943 du Parlement européen et du Conseil du 8 juin 2016 sur la
protection des savoir-faire et des informations commerciales non divulgués
(secrets d'affaires) contre l'obtention, l'utilisation et la divulgation
illicites
(7) Directive du 8 juin 2016, art 2. Définitions
(8) La contrefaçon est définie à l’article L335-2
du code de la propriété intellectuelle
(9) Règlement (UE) 2016/679
du Parlement européen et du Conseil du 27 avril
2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données,
et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD)
(10) Voir à ce sujet “Le facteur humain est de plus
en plus au coeur des cyberattaques”, in L’Usine Digitale, 9 juin 2017
Bénédicte DELEPORTE
Avocat
Deleporte Wentz Avocat
www.dwavocat.com
Juin 2017