Blog
La politique de protection du secret des affaires en quatre étapes - Crédit photo : © Collette Avocat
Crédit photo : © Collette Avocat

Comment mettre en place une politique de protection du secret des affaires ?

Auteur : Hugues Collette
Publié le : 21/07/2020 21 juillet juil. 07 2020


Comment une entreprise peut-elle efficacement sécuriser ses informations les plus sensibles ?


Cette question, tout dirigeant d’entreprise se doit de se la poser avant d’avoir été victime d’une atteinte au patrimoine immatériel de son entreprise.


Un tel événement peut arriver à tout moment de la vie d’une entreprise. Ses conséquences sont souvent désastreuses : pertes financières importantes, perte irrécouvrable de la valeur des actifs informationnels, baisse de la compétitivité de l’entreprise voire désorganisation ou même faillite, atteinte à son image…


Si la large majorité des entreprises prennent des mesures pour sécuriser leurs actifs et se conformer aux réglementations qui leur sont applicables, peu d’entre elles disposent d’une véritable politique de protection dédiée au secret des affaires qui répondent à leurs besoins précis.


La mise en place d’une telle politique de protection du secret des affaires peut être exposée de manière synthétique en quatre étapes.
 

Phase 1 : Comment identifier les informations éligibles à la protection du secret des affaires ?



Au quotidien, les entreprises produisent, détiennent, exploitent, transmettent deux grands types d'informations sensibles : des informations d'ordre technique et des informations d'ordre commercial, économique, organisationnel ou financier.

Ces informations se situent à toutes les étapes de la chaîne de valeur.



Toutes ces informations ne sont pas couvertes par le secret des affaires.


En effet, est qualifiable de secret des affaires au sens de l’article L. 151-1 du code de commerce (Disposition créée par la loi du 30 juillet 2018 ayant transposé la Directive européenne n°216/943 du 8 juin 2016), toute information qui :
 
  • n'est pas, en elle-même ou dans la configuration et l'assemblage exacts de ses éléments, généralement connue ou aisément accessible pour les personnes familières de ce type d'informations en raison de leur secteur d'activité ;
 
  • revêt une valeur commerciale, effective ou potentielle, du fait de son caractère secret ;
 
  • fait l'objet de la part de son détenteur légitime de mesures de protection raisonnables, compte tenu des circonstances, pour en conserver le caractère secret.


La définition légale du secret des affaires est à géométrie variable.


En effet, la notion de secret des affaires n’est pas enfermée dans un cadre précis et ne saurait faire l’objet d’une liste exhaustive : la délimitation du champ des informations bénéficiant du secret des affaires fluctue en fonction de chaque entreprise, de leurs différentes activités, de leur capacité à innover, de l’écoulement du temps, de la diffusion et de l’évolution de la connaissance, ainsi que du contrôle exercé sur lesdites informations par son détenteur.



Afin d’identifier les informations éligibles au secret des affaires au sein d’une entreprise, il convient de mener une enquête en interne afin d’identifier toutes les informations confidentielles, leurs créateurs et utilisateurs, leurs différents supports de conservation et d’exploitation, leurs flux, le degré de complexité du travail nécessaire pour les faire émerger, leurs cycles de protection...


Cette démarche peut se faire par voie de questionnaires soumis à l’ensemble des collaborateurs de l’entreprise afin de pouvoir bénéficier d’une vision transversale des actifs informationnels de l’entreprise. Elle peut également donner lieu à des entretiens avec les personnes clés impliquées dans la chaine de valeur.


En outre, le niveau de vulnérabilité de ces actifs informationnels doit être évalué : il convient de répertorier les mesures qui ont d’ores et déjà été prises pour les protéger.


À cet égard, la documentation autour des solutions souscrites pour protéger l’entreprise des risques contre les attaques physiques, informatiques et juridiques [comme les mesures prises pour respecter la politique sur la réglementation des données à caractère personnel et les programmes de mise en conformité (concurrence, anti-corruption)] permettra d’avoir un premier aperçu de la situation.


Enfin, il est nécessaire d’évaluer les principaux risques encourus par l’entreprise, au vu de son métier et de son environnement économique de ses enjeux stratégiques afin d’orienter et de prioriser les actions à mener. Des entretiens avec les responsables de l’entreprise peuvent être menés à cette fin.


Le risque d’atteinte au secret des affaires est évolutif, transversal et propre à chaque entreprise. Il peut en particulier être lié à la cybersécurité, au reporting extrafinancier, aux mécanismes contractuels encadrant la transmission d’informations (accord de confidentialité dans le cadre de l’exploitation d’un savoir-faire ou lors d’un processus de cocréation d’une innovation…), aux demandes de communication (audit, demande d’informations, inspections, procédures contentieuses, mesures in futurum…) aux facteurs humains (fuites lors d’événements professionnels).


L’ensemble des informations récoltées lors de cette première phase permettra d’élaborer une stratégie de protection des données sensibles de l’entreprise, au regard de sa situation actuelle, de ses besoins propres et des moyens qu’elle entend se donner pour réduire son risque.
 

Phase 2 : Comment classifier les informations sensibles ?



Les actifs informationnels critiques d’une entreprise ont des degrés de confidentialité variables puisque la valeur de ces actifs est amenée à fluctuer.


La valeur de ces actifs dépend en effet de plusieurs paramètres dont leur contenu, le statut et le nombre de personnes qui en ont accès, de l’écoulement du temps, de l’état d’avancement du ou des projets dans le cadre desquels ils sont utilisés.


Pour trouver un équilibre entre le souci de préserver la confidentialité d’une information et celui d’exploiter cette même information dans un cadre opérationnel ou stratégique, les entreprises recourent à un mode de classification des informations, selon leur degré de confidentialité.


Cet exercice doit se faire avec discernement pour être crédible et éviter une surprotection. Chaque information est alors marquée de la classe à laquelle elle appartient.



A chaque classification correspond un niveau de protection et un niveau d’accréditation. Ces classifications ne sont pas rigides : une même information peut passer de l’une à l’autre lorsque son degré de confidentialité est réajusté.


L’opération consistant à mettre en place cette classification permettra à l’entreprise de mieux appréhender la valeur de ses actifs informationnels, encore aujourd’hui largement sous-estimée par nombre d’entreprises.


En effet, cette opération nécessite de hiérarchiser la valeur de ces actifs informationnels en sélectionnant ceux qui ne bénéficient pas de protection spécifique et ceux qui bénéficient de l’un des différents niveaux de classification.


Ainsi, plus cette étape est approfondie et plus les responsables de l’entreprise seront en mesure d’apprécier sa valeur, à travers ses actifs cruciaux que sont les actifs informationnels.


Cette opération de classification n’est pas faite une fois pour toutes puisqu’elle doit constamment évoluer pour refléter de manière correcte la valeur des actifs informationnels de l’entreprise.


Une véritable politique de gouvernance nécessitera d’assurer la traçabilité de l’information lors de ses flux.


Cet enjeu est crucial : s’il est rendu complexe du fait de l’éparpillement en contenu et en périmètre de l’information, une politique de gouvernance est indispensable pour exercer un contrôle permanent sur l’information, de sa genèse à son déclassement en information non sensible, détecter le plus rapidement possible une éventuelle atteinte au secret des affaires et réagir de manière efficace à une telle atteinte.

 

Phase 3 : Comment mettre en place des mesures de sécurité appropriées et proportionnées ?



Une politique de protection du secret des affaires revêt une triple dimension de sensibilisation, de protection préventive et curative du secret des affaires.


Dans sa dimension de sensibilisation, elle vise à élever le niveau de conscience du risque afférant au secret des affaires au sein des employés de l’entreprise et à faire adopter des conduites adaptées afin de réduire le risque de fuite involontaire.


Dans sa dimension de protection préventive, elle repose sur le triptyque sécurité physique, sécurité informatique, sécurité juridique. Elle se déploie tant au sein de l’entreprise, à travers une variété de mesures (mesures d’accès aux locaux, clauses de confidentialité et de cession de créations au sein des contrats de travail, règlement intérieur, messagerie et serveur sécurisés…), qu’à l’égard des tiers (accords de confidentialité conclus avec les associés et les partenaires commerciaux, bonnes pratiques lors des échanges professionnels notamment lors d’événement types salons).


L’efficacité d’une telle politique de protection du secret des affaires repose avant tout sur le fait qu’elle réponde aux besoins concrets de l’entreprise et sur le fait qu’elle s’articule avec les mesures de sécurité et les programmes de conformités (règles de concurrence, réglementation sur la protection des données à caractère personnel, réglementation anticorruption…) existants.


Dans sa dimension de protection curative, elle porte sur la gestion de crise à travers des scenarii et des procédures élaborées en amont pour détecter une atteinte, identifier son auteur, réduire le dommage et obtenir réparation de l’atteinte subie.


C’est la mise en place concrète des mesures de sécurité prévues dans le cadre de cette politique de protection du secret des affaires qui mettra en mesure l’entreprise de se préconstituer des preuves du contrôle qu’elle exerce sur ces informations et partant remplir la troisième condition de l’article L. 151-1 précité.


Une fois la qualification de secret des affaires remplie, et son opposabilité assurée, l’entreprise pourra bénéficier du régime légal de protection attaché au secret des affaires qui offre d’indéniables atouts par rapport au régime de responsabilité civile de droit commun.


En effet, la détermination du préjudice indemnisable découlant d’une atteinte au secret des affaires va au-delà du principe de réparation intégrale du préjudice puisqu’elle intègre comme paramètre les « bénéfices réalisés par l'auteur de l'atteinte au secret des affaires, y compris les économies d'investissements intellectuels, matériels et promotionnels que celui-ci a retirées de l'atteinte » (article L. 152-6 du code de commerce), ce qui est l’une des innovations majeures de la loi du 30 juillet 2018 sur la protection du secret des affaires.
 

Phase 4 : Comment assurer le suivi de cette politique de protection ?



La politique de protection du secret des affaires ne peut pas être immuable puisque les actifs informationnels de l’entreprise sont en constante évolution.


Un soin particulier devra être fourni pour former en continu l’ensemble des équipes de l’entreprise sur cette problématique, afin de faire respecter les mesures de contrôle et de sécurité. Une vigilance accrue devra être portée sur les périodes où les risques sont les plus élevés. 


Le référent dédié à la protection du secret des affaires peut être désigné afin d’assurer le suivi dans la mise en oeuvre de la politique de protection du secret des affaires.



La mise en œuvre d'un mécanisme de détection d’anomalies nécessite un outil technologique adapté.


Au-delà des mises à jour régulières, la politique de confidentialité pourra être revue et améliorée en fonction du développement de l’entreprise et de ses enjeux juridiques. Les performances d’une telle politique de protection doivent pouvoir être évaluées.
 

Remarques conclusives



Le bénéfice de la mise en place d’une politique de protection du secret des affaires est indéniable.


Comme tout programme de conformité, il participe d’une démarche volontaire des entreprises qui les appelle à plus de précaution, de vigilance et de responsabilité, dans une démarche vertueuse.


Parfaitement ajustable aux choix de l’entreprise, une telle politique est opportune, quelle que soit la taille de l’entreprise : elle favorise l’innovation et donc la compétitivité de l’entreprise. Elle ne saurait en rien écarter tout risque d’atteinte, mais offre aux entreprises une réduction du risque et une amélioration de la capacité à faire face à une future atteinte.


Mis en perspective avec les conséquences désastreuses qu’entraînerait une atteinte au secret des affaires, la mise en place et le suivi d'une telle politique de protection du secret des affaires apparaissent comme un bon investissement qui permettra à l’entreprise de se positionner comme partenaire de confiance auprès de ses interlocuteurs.


De surcroît, un audit indépendant rendu dans le cadre de la mise en place d’une politique de protection du secret des affaires pourra, dans une version plus synthétique, devenir un document précieux pour valoriser l’entreprise, lors d’un éventuel projet de cession.



A cet égard, si vos actifs informationnels sensibles (tel que le savoir-faire) sont vulnérables, le Cabinet COLLETTE AVOCAT est en mesure de vous apporter ses conseils et son assistance, à la lumière de son expertise en matière de secret des affaires, dans le cadre du Forfait protection du secret des affaires.
 

Historique

<< < 1 2 3 4 5 > >>
Information sur les cookies
Nous avons recours à des cookies techniques pour assurer le bon fonctionnement du site, nous utilisons également des cookies soumis à votre consentement pour collecter des statistiques de visite.
Cliquez ci-dessous sur « ACCEPTER » pour accepter le dépôt de l'ensemble des cookies ou sur « CONFIGURER » pour choisir quels cookies nécessitant votre consentement seront déposés (cookies statistiques), avant de continuer votre visite du site. Plus d'informations
 
ACCEPTER CONFIGURER REFUSER
Gestion des cookies

Les cookies sont des fichiers textes stockés par votre navigateur et utilisés à des fins statistiques ou pour le fonctionnement de certains modules d'identification par exemple.
Ces fichiers ne sont pas dangereux pour votre périphérique et ne sont pas utilisés pour collecter des données personnelles.
Le présent site utilise des cookies d'identification, d'authentification ou de load-balancing ne nécessitant pas de consentement préalable, et des cookies d'analyse de mesure d'audience nécessitant votre consentement en application des textes régissant la protection des données personnelles.
Vous pouvez configurer la mise en place de ces cookies en utilisant les paramètres ci-dessous.
Nous vous informons qu'en cas de blocage de ces cookies certaines fonctionnalités du site peuvent devenir indisponibles.
Google Analytics est un outil de mesure d'audience.
Les cookies déposés par ce service sont utilisés pour recueillir des statistiques de visites anonymes à fin de mesurer, par exemple, le nombre de visistes et de pages vues.
Ces données permettent notamment de suivre la popularité du site, de détecter d'éventuels problèmes de navigation, d'améliorer son ergonomie et donc l'expérience des utilisateurs.