Le 14 avril 2016, une large majorité du Parlement européen a adopté la proposition de directive sur «la protection des savoir-faire et des informations commerciales non divulgués contre l’obtention, l’utilisation et la divulgation illicites».
Par Sandrine Cullaffroz-Jover, avocate, PwC Société d’Avocats
En réponse à la disparité des régimes juridiques des 28 Etats membres de l’Union européenne, l’adoption de la directive permet de consacrer une définition juridique stable de la notion de «secret d’affaires», et d’instaurer les bases d’un régime harmonisé de protection et de réparation civile permettant de favoriser l’innovation au sein du marché intérieur et de lutter contre l’espionnage industriel (1).
Les nouvelles dispositions ne sont pas sans incidence en matière de gouvernance d’entreprise. Pour se prévaloir valablement des dispositions de la directive, les entreprises européennes seront en effet tenues de prendre les mesures adéquates destinées à protéger leur patrimoine informationnel (2).
1. Dispositions clés du régime de protection du «secret d’affaires»
La directive consacre une définition du secret des affaires qui repose sur trois critères cumulatifs :
1. les informations relevant du secret des affaires sont secrètes en ce sens que, dans leur globalité ou dans la configuration et l’assemblage exacts de leurs éléments, elles ne sont pas généralement connues des personnes appartenant aux milieux qui s’occupent normalement du genre d’informations en question, ou ne leur sont pas aisément accessibles ;
2. les informations ont une valeur commerciale, effective ou potentielle, parce qu’elles sont secrètes ;
3. les informations font l’objet, de la part de la personne qui en a le contrôle de façon licite, de dispositions raisonnables, compte tenu des circonstances, destinées à les garder secrètes.
En ligne avec les Accords Internationaux sur la Protection des Droits Intellectuels (ADPIC) conclus dans le cadre de l’Organisation mondiale du commerce, le périmètre du régime de protection ne vise donc que les informations commerciales ou économiques du patrimoine informationnel des entreprises susceptibles de leur conférer un avantage concurrentiel, mais qui ne peuvent, par leur nature, être protégées par les droits de propriété intellectuelle.
La directive énumère les comportements et pratiques devant être réputés constituer une obtention, une utilisation ou une divulgation illicites du secret d’affaires, et écarte expressément les hypothèses où les informations relevant du secret d’affaires auraient été acquises de bonne foi, notamment du fait d’une découverte ou d’une création indépendante ou par ingénierie inverse.
Par ailleurs, les députés européens ont veillé à ce que le texte de la directive ne crée pas d’obstacles injustifiés à la mobilité des travailleurs, puisque les règles ne limiteront pas l’utilisation de l’expérience et des compétences acquises légitimement au cours de leur carrière. Par conséquent, les entreprises ne pourront imposer de restrictions supplémentaires dans les contrats de travail des employés autres que celles conformes au droit communautaire ou national.
Afin de concilier les objectifs de protection de la directive avec les libertés fondamentales, les instances européennes ont également exclu le droit à réparation au bénéfice des victimes de vol ou de détournement du secret d’affaires lorsque celui-ci a été acquis, utilisé ou communiqué dans les circonstances suivantes :
– l’exercice du droit à la liberté d’expression et d’information ;
– la révélation d’une faute professionnelle ou une activité illégale, à condition que le défendeur ait agi dans l’intérêt public général, tels que la sécurité publique, la protection des consommateurs, la santé publique et la protection de l’environnement ;
– le secret d’affaires a été dévoilé par des travailleurs à leurs représentants dans le cadre de l’exercice légitime des fonctions de leurs représentants, conformément au droit communautaire ou national, à condition qu’une telle révélation s’avère nécessaire pour cet exercice ;
– la protection de tout intérêt légitime reconnu par le droit de l’Union ou le droit national.
Le texte de la directive devrait prochainement être examiné par le Conseil de l’Union européenne en vue de son ultime publication dans le Journal officiel de l’Union européenne. A compter de cette publication, les 28 Etats membres disposeront de deux ans pour transposer la directive dans leur droit national.
2. Effets sur la gouvernance du patrimoine informationnel
Conformément aux nouvelles dispositions, l’application du régime de protection nécessite de caractériser préalablement les éléments permettant d’élever au rang de secret d’affaires l’ensemble des informations stratégiques ayant fait l’objet d’une atteinte. A ce titre, l’entreprise est responsable de prendre en amont «des dispositions raisonnables, compte tenu des circonstances, destinées à les garder secrètes».
Autrement dit, il n’y aura point de secret sans efforts consentis pour en assurer la confidentialité.
Cette exigence s’inscrit juridiquement dans une tradition civiliste où la faute et la négligence de la victime tendent à réduire, voire même à évincer son droit à réparation.
Concrètement, les «dispositions raisonnables» envisagées par le législateur européen doivent s’entendre comme l’ensemble des mesures juridiques, techniques et organisationnelles considérées comme adéquates au regard du niveau de sensibilité des données traitées. L’appréciation des «circonstances» pourra utilement s’effectuer par le biais d’une analyse des risques et des conséquences en cas de compromission.
Pour anticiper la transposition de la directive en droit interne, il est dès à présent recommandé aux entreprises d’adapter leur politique de gouvernance et de veiller à conserver la traçabilité des mesures prises pour sécuriser leur patrimoine informationnel.