Blogue

« Secret des Affaires » : la loi renforce la protection des données sensibles

Cogeco Peer 1

avril 30, 2012

Share:    

Le 23 janvier 2012 était votée à l’Assemblée Nationale la loi sur le « secret des affaires » proposée par Bernard Carayon, député du Tarn. Cet avocat, élu de la « France profonde » mais qui a connu plusieurs cabinets ministériels et quelques grandes entreprises, a produit des rapports parlementaires sur la mondialisation et le patriotisme économique, mais il s’est fait surtout connaître pour son intérêt pour l’intelligence économique, c’est à dire le renseignement et la protection des informations sensibles dans l’univers des entreprises, en focalisant particulièrement son attention sur les technologies de l’information.

Inspiré du « Cohen Act » américain, le texte qu’il a proposé et fait adopter, vise à doter les entreprises françaises de règles susceptibles d’empêcher leurs concurrents d’entrer en possession d’informations sensibles par des moyens illégaux et de nuire ainsi à leurs intérêts. L’article unique de la loi élargit la notion de confidentialité pour prendre mieux en compte ce qui constitue le patrimoine dématérialisé de l’entreprise, c’est à dire, au delà des hommes qu’elle emploie, « leurs idées, leurs savoir-faire, leurs réseaux relationnels et commerciaux, leurs méthodes de gestion », et plus largement le « patrimoine informationnel, c’est-à-dire un ensemble de pratiques non brevetées, résultant de l’expérience, et testées ».

Le texte précise que « ces mesures de protection spécifiques, prises après une information préalable du personnel par le représentant légal de l’entreprise ou par toute personne qu’il aura préalablement désignée par écrit et destinées à garantir la confidentialité des informations, sont déterminées par décret en Conseil d’État.

Cette implication de l’Etat a aussi pour but de faire prendre conscience aux responsables d’entreprises, grandes et petites, qu’il est nécessaire et urgent d’engager ou de renforcer des actions d’intelligence économique, ou, tout du moins, de protection des données et actifs immatériels qu’énumère Bernard Carayon dans le préambule de son projet de loi : « les informations essentielles liées à son secteur d’activité, au développement de sa recherche et développement non brevetable, à son fichier clientèle ou fournisseurs, à sa connaissance de données stratégiques, à son taux de marge ».

Toujours dans son préambule, le député du Tarn pointe « l’utilisation croissante et les rapides progrès des nouvelles technologies de l’information et de la communication (qui) fragilisent ce patrimoine malgré l’amélioration des moyens de défense technique ». Il désigne donc bien la sécurité des moyens informatiques comme l’arme défensive majeure des entreprises tout en énonçant par le menu les nombreuses lacunes de l’arsenal législatif et réglementaire français :

– la loi Godfrain du 5 juillet 1988 sur les intrusions informatiques, qui n’est efficace qu’en cas d’intrusion avérée ;

– la législation sur le droit d’auteur (art. L. 111-1 et suivants du code de la protection intellectuelle) et le droit des producteurs qui ne permet pas de protéger efficacement l’accès et l’utilisation des bases de données ;

– la législation sur les brevets (cf. art. L. 611-1 et suivants et art. L. 613-1 à L. 613-7 du code de la propriété intellectuelle) qui ne protège pas les méthodes, les savoir-faire, ou les idées ;

– le secret de fabrication (cf. art. L. 621-1 du code de la propriété intellectuelle) qui ne s’applique qu’aux personnes appartenant à l’entreprise ou aux salariés et à ce qui est brevetable ;

– la législation sur la protection des logiciels qui ne s’étend pas jusqu’à la protection des informations traitées par le logiciel considéré ;

– le secret professionnel ne s’applique qu’à un nombre limité de personnes : la législation actuelle ne permet pas de protéger en amont l’ensemble des secrets d’affaires, des fichiers et des données stratégiques : la duplication illicite – comme la copie d’un fichier sur clé USB, représente un vol, même si le fichier d’origine reste en possession de la victime.

– la législation relative à la concurrence déloyale et aux clauses de non-concurrence qui ne s’applique que dans des conditions difficiles à réunir et peu contraignantes pour le contrevenant ;

– la loi Informatique et libertés de 1978 qui ne protège que les informations nominatives.

Ces textes ayant essentiellement pour vocation de réparer des dommages commis et non de réprimer l’agissement préjudiciable, il était effectivement nécessaire de mettre en place des mesures plus dissuasives que ce que fait la loi Carayon. Ces mesures seront effectives lorsque le ou les décrets d’application seront publiés. En attendant, les responsables de la sécurité informatique doivent se mobiliser et garder en tête de liste de leurs priorités la protection des données et des moyens informatiques de leur entreprise, que ceux-ci soient gérés en interne ou externalisés chez un hébergeur classique ou un infogérant à qui sont déléguée la majorité des procédures de protection.

En interne, il faut mettre en place une vraie politique de sécurité informatique, avec un code des bonnes pratiques imposé à tous les collaborateurs, en commençant par la gestion des codes et mots de passe. Il faut communiquer régulièrement et expliquer le pourquoi de mesures souvent vécues comme des contraintes et les risques encourus par les entreprises qui ne prennent pas au sérieux la sécurité informatique.

Il faut faire régulièrement auditer, par un spécialiste extérieur, le système d’information interne et celui de l’hébergeur infogérant, en faisant pratiquer des entretiens, des tests d’intrusion, des analyses approfondies de configuration. On doit également évaluer les risques encourus en suivant des méthodologies normalisées. Dans ces démarches, on peut aussi s’appuyer sur un référentiel comme celui de L’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI). La pratique de l’hébergement en Cloud, de la mutualisation des infrastructures et des applications métier ou de protection doit aussi pousser à la plus extrême vigilance.

Le « Cohen Act » américain

La loi fédérale dénommée « Economic Espionage Act » ou « Cohen Act » assure la protection des entreprises et des particuliers contre le vol du secret d’affaires en réprimant lourdement (peines maximales : 10 ans d’emprisonnement, 5 millions de dollars d’amende) les contrevenants. Elle définit le secret des affaires comme « toute forme et tout type d’information financière, commerciale, scientifique, technique, économique, industrielle, incluant modèles, plans, compilations, mécanismes, formules, dessins, prototypes, méthodes, techniques, procédés, procédures, programmes ou codes, qu’elle se présente sous forme matérielle ou immatérielle, qu’elle soit ou non stockée, compilée, ou mémorisée physiquement, électroniquement, graphiquement, ou par écrit ».


Contactez-nous

Vous aimeriez savoir comment tirer le maximum de votre infrastructure de données ? Contactez l’un de nos experts en solutions d’infrastructure dès aujourd’hui et découvrez ce qu’Aptum peut faire pour vous !

Obtenir un devis