Protection des secrets d’affaires : comment relever le défi des “dispositions raisonnables”

Octobre 2019

John Hull, Queen Mary Intellectual Property Research Institute, Londres (Royaume-Uni)

Les secrets d’affaires sont largement utilisés par les entreprises de tous les secteurs pour protéger leur savoir-faire et autres informations à valeur commerciale et, à ce titre, stimulent la compétitivité et l’innovation. Compte tenu de leur utilisation et de la valeur commerciale croissantes, quelles mesures pratiques les entreprises peuvent-elles prendre pour protéger les secrets d’affaires?

Selon un rapport de Forrester Consulting publié en 2010 sous le titre The value of Corporate Secrets: How Compliance and Collaboration Affect Enterprise Perceptions of Risk, “entre 70 et 80% des informations des entreprises d’industries fortement axées sur les savoirs – comme le secteur manufacturier, les services d’information, les services professionnels, scientifiques et techniques ou encore le transport – relèvent de secrets d’affaires”. D’autres études, dont celle de la Commission européenne sur les secrets d’affaires et les informations commerciales confidentielles dans le marché intérieur (sections 4.1 et 4.2) , attestent de l’importance des secrets d’affaires. Il ressort de ces études que les entreprises de toutes tailles considèrent le secret aussi important, sinon davantage, que les brevets et les autres formes de propriété intellectuelle.

Les secrets d’affaires présentant la plus grande valeur commerciale résident généralement dans des informations relatives à des offres et contrats commerciaux, dans des listes de clients ou de fournisseurs ou encore dans des renseignements et éléments de planification financière. (photo: PeopleImages / iStock / Getty Images Plus).

Les petites et moyennes entreprises sont les plus enclines à recourir aux secrets d’affaires pour protéger leurs innovations, et ce pour diverses raisons. En résumé, les secrets d’affaires ne font l’objet d’aucune limitation en termes d’objet et ne sont pas tributaires d’une procédure longue ni coûteuse; ils garantissent un lien de continuité entre les garanties pratiques et juridiques et constituent un complément direct aux contrats et mesures de sécurité.

Par ailleurs, les secrets d’affaires présentant la plus grande valeur commerciale ne portent souvent pas sur des objets brevetables. Ils résident généralement dans des informations relatives à des offres et contrats commerciaux, dans des listes de clients ou de fournisseurs ou encore dans des renseignements et éléments de planification financière.

Volonté politique de renforcement de la protection des secrets d’affaires

Compte tenu de la valeur commerciale des secrets d’affaires – et de leur vulnérabilité face aux menaces, notamment de l’intérieur –, le problème de l’appropriation illicite suscite une préoccupation croissante dans de nombreux pays. Ainsi, le nombre de litiges portant sur des secrets d’affaires portés devant les tribunaux a augmenté de manière significative ces dernières années aux États-Unis d’Amérique, où les risques présumés envers les informations confidentielles ont motivé l’adoption, en 1996, d’une loi sur l’espionnage économique et, plus récemment, de la loi de 2016 sur la protection des secrets d’affaires, qui apporte une dimension fédérale à la législation des États en la matière.

La situation est comparable dans d’autres pays. Une étude de la Commission européenne sur les secrets d’affaires et les informations commerciales confidentielles dans le marché intérieur publiée avant l’adoption de la directive européenne sur les secrets d’affaires (directive UE 2016/943) mettait en exergue les inquiétudes des entreprises confrontées à l’appropriation illicite de leurs secrets d’affaires par des sources externes et internes. L’étude révélait qu’au cours de la décennie antérieure 20% des entreprises interrogées avaient été victimes d’au moins une tentative de vol d’informations confidentielles, et près de 40% d’entre elles avaient le sentiment que ce type de menace était en hausse.

Au vu de leur importance pour les entreprises de tous les secteurs, que peuvent faire les responsables politiques pour renforcer la protection des secrets d’affaires? L’Union européenne a pour sa part choisi de faciliter les recours contre les auteurs d’atteintes, partant du principe que, sachant que des procédures sont en place pour préserver et protéger les informations présentant une valeur commerciale, les entreprises se montreraient plus ouvertes aux accords transfrontaliers au sein de l’Union.

Un aspect pratique important qui découle de la définition du secret d’affaires dans la directive européenne a trait aux “dispositions raisonnables” que doivent prendre les entreprises pour protéger leurs informations.

Aux termes de l’article 2, alinéa 1 de la directive, et conformément à la définition figurant dans l’Accord sur les aspects des droits de propriété intellectuelle qui touchent au commerce (Accord sur les ADPIC), on entend par secret d’affaires des informations qui répondent à toutes les conditions suivantes :

“(i) elles […] ne sont pas généralement connues des personnes […] qui s’occupent normalement du genre d’informations en question, ou ne leur sont pas aisément accessibles;

(ii) elles ont une valeur commerciale parce qu’elles sont secrètes;

(iii) elles ont fait l’objet […] de dispositions raisonnables, compte tenu des circonstances, destinées à les garder secrètes.”

En conséquence, des informations secrètes du fait de leur inaccessibilité peuvent ne pas satisfaire aux critères visés dans la définition du fait qu’elles n’ont pas fait l’objet, de la part du titulaire, de “dispositions raisonnables” destinées à les protéger. Sachant cela, en pratique, quelles mesures les sociétés peuvent-elles prendre pour satisfaire aux critères des “dispositions raisonnables”?

Les critères posés dans la directive européenne sont proportionnels, en ce sens que les dispositions prises doivent être raisonnables “compte tenu des circonstances”. Selon ce principe, un grand laboratoire pharmaceutique est censé prendre des mesures de protection plus ambitieuses que, par exemple, une entreprise de taille moyenne. Par ailleurs, une disposition jugée raisonnable dans un pays ne le sera pas forcément dans un autre – notamment si la question est soumise à l’appréciation des tribunaux.

La valeur des secrets d’affaires pour les entreprises, petites ou grandes et quel que soit leur secteur d’activité, n’est pas à démontrer. Cependant, à la différence d’autres droits de propriété intellectuelle, les secrets d’affaires perdent leur valeur dès lors qu’ils sont révélés à des concurrents ou rendus publics.

Les “dispositions raisonnables” visées dans la directive européenne sont de toute évidence destinées à contrer la menace pesant sur les secrets d’affaires, que ce soit de l’intérieur ou de l’extérieur. Si les mesures pratiques exposées ci-après satisfont probablement aux critères de la directive, elles peuvent également bénéficier aux entreprises opérant en dehors du contexte européen qui cherchent à mieux préserver leurs actifs les plus précieux.

Mesures pratiques contre les menaces internes et externes

Identification

Les secrets d’affaires se distinguent des autres droits de propriété intellectuelle. À la différence d’un portefeuille de droits, enregistrés ou non – un catalogue d’œuvres publiées, par exemple – un portefeuille de secrets d’affaires, selon la description de Mark Halligan et Richard Weyand dans l’ouvrage Trade Secret Asset Management (2006), est “un nuage incorporel et non fini d’informations stockées sur des supports papier, sur des supports informatiques et dans l’esprit des salariés”.

Définir ce qui constitue un secret n’est pas chose facile, mais c’est crucial s’il est demandé à un tribunal de prononcer une injonction afin d’empêcher un tiers de faire un usage abusif des informations protégées. Comme tout défendeur est en droit de savoir au juste ce qu’il ou elle ne peut pas utiliser, le tribunal attendra du demandeur qu’il définisse l’objet dont il revendique la titularité et qu’il affirme avoir protégé.

La technologie de la chaîne de blocs pourrait régler le problème de la catégorisation et de la définition des informations confidentielles. Le transfert d’éléments de preuve sur un site de stockage sécurisé peut attester de l’enregistrement des données, et notamment du moment où cet enregistrement a eu lieu.

Protection des systèmes informatiques

Les menaces pesant sur les systèmes informatiques (logiciels malveillants, rançonneurs et autres) sont bien connues. Les organisations doivent mettre en œuvre des mesures de sécurité – cryptage, mots de passe, antivirus, pour citer quelques exemples – qui doivent par ailleurs être adaptées au niveau de risque présumé et à la valeur des informations concernées.

Contrôles physiques

La plupart des organisations ont en place des mesures de contrôle des accès. Ici aussi, le niveau de sécurité applicable aux visiteurs et aux salariés dépend du risque qu’ils représentent pour l’organisation. Selon un article récent du Sunday Telegraph, certaines entreprises britanniques envisageraient d’implanter une puce biométrique sous la peau de leurs salariés pour contrôler les accès et protéger les zones sensibles de leurs installations. Quant à savoir si une mesure aussi radicale est proportionnelle au risque, il y a là matière à débat.

Sécurité documentaire

Au sein des organisations et au-delà, une grande quantité d’informations est enregistrée et diffusée sous forme de documents. Classifier “confidentiels” les documents papier ou électroniques est une mesure élémentaire mais importante que les entreprises auraient tort de négliger. Cette pratique leur permet de démontrer qu’elles ont appelé l’attention sur la nécessité de dissimuler les informations concernées.

Colloque de l’OMPI sur les secrets d’affaires et l’innovation

L’OMPI organise un colloque sur les secrets d’affaires et l’innovation à son siège situé à Genève (Suisse) les 25 et 26 novembre 2019. Ce colloque s’intéressera au rôle des secrets d’affaires dans un paysage de l’innovation en constante mutation.

Politique d’application des droits

Le recours à des mesures d’application des droits contre un tiers qui a acquis des secrets d’affaires de façon illicite ou les a divulgués peut donner à penser que les efforts raisonnables déployés ont échoué. Cela n’est pas tout à fait justifié. Il existe toujours un risque d’utilisation abusive ou de divulgation par un tiers déterminé ou malintentionné en dépit de tous les efforts du titulaire des droits.

Avoir en place une politique d’application des droits est une chose, l’utiliser efficacement en est une autre, compte tenu du coût et des risques liés aux poursuites judiciaires. Cependant, une organisation qui poursuit les auteurs d’atteintes donne à savoir qu’elle est déterminée à prendre les mesures nécessaires pour protéger ses droits.

Mesures d’atténuation des menaces internes

D’abondantes preuves empiriques attestent que la principale menace pesant sur les secrets d’affaires vient de l’intérieur. Ainsi, une enquête menée en 2010 par Iron Mountain auprès de salariés européens a révélé que 66% des personnes interrogées s’étaient approprié ou s’approprieraient des informations auxquelles elles avaient contribué. Les données client sont le type d’informations le plus ciblé à cet égard. Soixante-douze pour cent des répondants estimaient que ces informations leur seraient utiles dans le cadre d’un nouvel emploi. Cela étant dit, les employeurs portent une part de responsabilité dans cet état de choses. De fait, 57% seulement des employeurs interrogés ont indiqué que les informations étaient expressément indiquées comme confidentielles, 34% admettant du reste ne pas être au fait des politiques de l’entreprise en matière de protection des données.

Quelles mesures les organisations peuvent-elles prendre pour atténuer les menaces internes?

Contrats de travail

Il est essentiel d’établir un contrat de travail contenant des clauses relatives à la protection des secrets d’affaires. Pour la plupart des salariés, un contrat standard est suffisant, mais si un employé est chargé d’élaborer des contenus confidentiels ou a accès à des informations sensibles, il convient d’inclure des clauses contractuelles plus adaptées au risque potentiel qu’il représente pour l’entreprise.

Certains régimes juridiques, notamment celui du Royaume-Uni, autorisent les contrats de confidentialité restreignant le droit d’un ancien salarié de travailler dans le même domaine d’activités, dans la même région ou pour des concurrents spécifiques pendant une période donnée. Ces restrictions protègent l’ancien employeur du risque inévitable d’utilisation abusive de ses secrets par un salarié qui le quitte pour monter sa propre entreprise ou pour rejoindre un concurrent. Les contrats de confidentialité doivent refléter les restrictions locales relatives à ce type de clauses, le niveau de risque pour l’organisation, ainsi que le risque et le coût d’application des droits.

Politique de confidentialité

Les entreprises ont souvent des politiques distinctes en ce qui concerne, d’une part, la création et la propriété des actifs de propriété intellectuelle (notamment du point de vue du respect et de l’utilisation des droits de propriété intellectuelle de tiers) et en ce qui concerne, d’autre part, la confidentialité. L’adoption d’une politique générale en matière de confidentialité constitue une pratique commerciale saine par laquelle les entreprises peuvent démontrer qu’elles ont alerté leurs salariés de l’importance de respecter la confidentialité.

Procédures vis-à-vis du personnel

Assurer une communication efficace avec toutes les personnes prenant part aux activités de l’organisation est tout aussi important que les clauses contractuelles et les politiques d’entreprise. À cet effet, l’employeur peut, par exemple, prévoir un entretien destiné à présenter les procédures de l’entreprise aux nouveaux salariés. Il est crucial de sensibiliser les salariés à l’importance de la confidentialité. Tenir un registre de participation des salariés à ces formations garantit en outre qu’ils ne pourront pas prétendre a posteriori qu’ils n’étaient pas au courant de l’approche de l’entreprise en matière de confidentialité. Dans le même ordre d’idées, faire passer un entretien de départ est l’occasion pour l’employeur de rappeler aux salariés qui le quittent qu’ils sont tenus de respecter la confidentialité des informations auxquelles ils ont eu accès dans le cadre de leur emploi. Ces procédures ont pour objectif global d’instaurer une culture de confidentialité au travail, afin que les salariés aient conscience de la valeur que l’entreprise attache à ses actifs.

Surveillance des activités des salariés

L’expérience montre que les salariés, du reste peu avisés, déterminés à s’accaparer des informations confidentielles de leur employeur ont tendance à les copier sur un dispositif portable ou à les transférant sur un compte de messagerie électronique personnel. Or, les employeurs ont le droit, dans les limites de la législation nationale sur la protection des données, de surveiller l’usage des systèmes électroniques de l’entreprise par leurs salariés. Les logiciels de prévention des pertes de données, de plus en plus populaires, permettent de détecter les flux de données inhabituels ou les accès sortant de l’ordinaire et d’identifier en amont les fuites de données potentielles. Un employeur peut ainsi interpeller un salarié fautif avant son départ, preuves à l’appui.

Mesures d’atténuation des menaces externes

Contrats

La plupart des contrats passés avec des tiers comportent des clauses de confidentialité, mais celles-ci contiennent trop souvent des formulations standard. Ces clauses méritent d’être mûrement réfléchies et doivent être adaptées au risque lié à l’accès aux secrets commerciaux par le tiers en question.

Les accords de non-divulgation – la forme d’accord commercial la plus répandue – doivent eux aussi être rédigés minutieusement et en tenant compte du risque présumé de divulgation des informations visées.

Vérification préalable

Les secrets d’affaires sont une forme d’actif particulièrement fragile. Une fois divulgués (ou “rendus accessibles”), leur valeur s’évanouit ou, à tout le moins, diminue radicalement. C’est pourquoi il est tellement important de procéder à une vérification rigoureuse de la fiabilité d’un partenaire commercial potentiel et du niveau de risque qu’il représente pour l’organisation. Il est en outre probable que ces dispositions soient jugées “raisonnables” dans le cadre de la directive européenne sur les secrets d’affaires.

La valeur des secrets d’affaires pour les entreprises, petites ou grandes et quel que soit leur secteur d’activité, n’est pas à démontrer. Cependant, à la différence d’autres droits de propriété intellectuelle, les secrets d’affaires perdent leur valeur dès lors qu’ils sont révélés à des concurrents ou rendus publics. Les “dispositions raisonnables” requises en vertu de l’Accord sur les ADPIC et, plus récemment, de la directive de l’Union européenne sur les secrets d’affaires, ne doivent pas être vues exclusivement comme des obstacles juridiques à surmonter. En prenant les dispositions décrites dans cet article, les entreprises peuvent s’assurer qu’elles satisfont aux critères de rigueur et, peut-être plus important encore, elles sont mieux en mesure de protéger leurs actifs les plus précieux.

Le Magazine de l’OMPI vise à faciliter la compréhension de la propriété intellectuelle et de l’action de l’OMPI parmi le grand public et n’est pas un document officiel de l’OMPI. Les désignations employées et la présentation des données qui figurent dans cette publication n’impliquent de la part de l’OMPI aucune prise de position quant au statut juridique des pays, territoires ou zones concernés ou de leurs autorités, ni quant au tracé de leurs frontières ou limites territoriales. Les opinions exprimées dans cette publication ne reflètent pas nécessairement celles des États membres ou du Secrétariat de l’OMPI. La mention d’entreprises particulières ou de produits de certains fabricants n’implique pas que l’OMPI les approuve ou les recommande de préférence à d’autres entreprises ou produits analogues qui ne sont pas mentionnés.