Protéger ses secrets d’affaires en huit étapes
Pamela Passman, présidente directrice générale du Center for Responsible Enterprise And Trade (CREATe.org), Washington DC (États-Unis d’Amérique), et ancienne vice-présidente et directrice juridique adjointe de la division Global Corporate and Regulatory Affairs de la société Microsoft.
Partout dans le monde, les cyberattaques destinées à s’emparer d’actifs de propriété intellectuelle ne cessent de faire la une des journaux, contraignant de nombreuses entreprises à renforcer la sécurité de leurs réseaux informatiques pour contrecarrer ces actes de piratage.
Or, la plus grande menace pourrait bien se trouver à l’intérieur même de la société. Dans plus de 85% des procès intentés aux États-Unis d’Amérique auprès de tribunaux fédéraux ou d’État pour violation du secret d’affaires, l’auteur présumé de l’acte d’appropriation illicite était soit un employé de la société, soit l’un de ses partenaires commerciaux. Étonnamment, c’est ce qu’il ressort d’une étude statistique intitulée A Statistical Analysis of Trade Secret Litigation in Federal Courts , la première du genre à se pencher sur cette question.
Dans ce contexte, la question se pose de savoir comment protéger les secrets d’affaires d’une entreprise contre les menaces extérieures et contre d’éventuels auteurs d’atteintes présents à l’intérieur même de la société.
Il est de plus en plus fréquent que la justice exhorte les entreprises à prendre des “mesures raisonnables” pour protéger leurs actifs à caractère confidentiel, une démarche qui implique non seulement de sécuriser les réseaux informatiques mais aussi d’intégrer la protection des secrets d’affaires dans les activités et les procédures de l’entreprise.
Déterminer le champ d’application précis de ces “mesures raisonnables” peut se révéler ardu sachant que les autorités ne donnent qu’une définition très vague du terme. Parallèlement, le droit et la législation ne cessent d’évoluer. Néanmoins, l’étude d’un certain nombre d’affaires judiciaires permet de mettre au jour les principales caractéristiques d’un système de protection efficace du secret d’affaires.
Protéger les joyaux d’une entreprise
Il ressort de l’ouvrage A Statistical Analysis of Trade Secret Litigation in Federal Courts qu’au moment de statuer sur la question de savoir si telle ou telle entreprise avait pris ou non des mesures raisonnables pour protéger ses secrets d’affaires, l’existence d’accords de confidentialité passés avec les employés et les partenaires commerciaux constituait aux yeux de la justice l’un des principaux critères à prendre en considération. Plusieurs procès remportés par les plaignants montrent néanmoins qu’en cas d’atteinte à des actifs incorporels, il est judicieux et vivement recommandé d’avoir pris plusieurs autres mesures de protection pour pouvoir demander réparation en justice.
Pour être complet, tout système de protection doit comprendre les huit catégories suivantes :
- élaboration d’accords, de politiques, de procédures et de registres destinés à justifier des mesures de protection mises en place;
- adoption de mesures de sécurité physique et électronique et de mesures de confidentialité;
- évaluation des risques afin de mettre au jour les lacunes en termes de protection des secrets d’affaires et de les classer par ordre de priorité;
- mise en place de procédures en matière de diligence raisonnable et de gestion par des tiers;
- création d’une équipe chargée de la protection des informations;
- mise en place de programmes de formation et de renforcement des capacités à l’intention du personnel et de tiers;
- suivi et évaluation des efforts déployés au sein de l’entreprise;
- adoption de mesures correctives et amélioration constante des politiques et des procédures.
1. Mettre en œuvre des procédures visant à accroître le nombre d’accords de non-divulgation
Comme l’a confirmé l’étude, conclure des accords de confidentialité ou de non-divulgation avec ses employés et partenaires commerciaux constitue pour l’entreprise une première ligne de défense non négligeable et vivement appréciée par la justice. Les tribunaux ont également établi que la politique générale de l’entreprise jouait un rôle crucial dans le respect de la confidentialité et témoignait de sa volonté de protéger ses secrets d’affaires.
Il conviendrait par ailleurs que les sociétés élaborent des procédures visant à faire respecter leurs politiques internes et à s’assurer que les dispositions en matière de protection et de respect des secrets d’affaires soient dûment consignées. En cas de procès, la mise en place de procédures particulières destinées à renforcer certains aspects des politiques d’entreprise joue souvent en faveur du plaignant. Elles peuvent par exemple consister à demander à tout employé quittant la société de restituer toutes les informations confidentielles en sa possession, à faire porter la mention “confidentiel” sur tel ou tel document ou à éviter qu’un employé ou un tiers donné n’ait accès à l’intégralité d’un procédé ou d’une formule ou à un autre type de renseignement sensible.
Pour constituer des “mesures raisonnables”, les politiques, procédures et registres doivent également faire l’objet d’un suivi régulier. À titre d’exemple, lorsque la société américaine PatientPoint, un service d’information sur la santé, a intenté une action en justice visant à empêcher un ancien employé d’utiliser des informations portant notamment sur la concurrence et les bailleurs de fonds de l’entreprise auxquelles il avait eu accès alors qu’il faisait encore partie du personnel, le tribunal a constaté que la société avait attendu une année avant de lui faire signer un accord de non-divulgation. En outre, ce n’est que six mois après son départ qu’elle lui avait demandé de restituer son ordinateur portable et les informations confidentielles en sa possession.
2. Contrôler l’accès physique et électronique
La plupart des sociétés ont conscience que la sécurité physique et électronique joue un rôle crucial dans la protection des actifs de propriété intellectuelle et la justice exige de plus en plus souvent que des mesures soient prises en la matière. Au Japon par exemple, un tribunal a estimé que, pour que des informations puissent être jugées “confidentielles” et protégées au titre des règles sur la concurrence déloyale applicables aux secrets d’affaires, il incombe aux sociétés de “mettre en œuvre des restrictions d’accès physique et électronique”.
De même, il convient que les sociétés intègrent la protection des données confidentielles dans les systèmes de sécurité informatique, qu’elles prévoient des restrictions d’accès aux différents systèmes et qu’elles les évaluent et les mettent régulièrement à jour.
3. Recenser, évaluer et gérer les risques
Il est difficile de prétendre être victime de vol de secret d’affaires sans avoir au préalable défini quelles informations étaient réputées confidentielles. Il convient donc dans un premier temps de consigner les secrets d’affaires dans un registre interne puis, dans un second temps, d’évaluer les risques en cas de vol. Dans quels domaines les risques de fuite ou de violation sont-ils les plus élevés? Quels sont les services les plus vulnérables? Une fois ces risques recensés, des mesures doivent être prises pour renforcer la sécurité.
Des tribunaux ont estimé que des sociétés faisaient des “efforts raisonnables” pour préserver la confidentialité de leurs données lorsqu’elles prenaient soin de consigner certaines informations précises dans des registres sur leurs secrets d’affaires. Dans une affaire classique remontant à 1991, la société d’électronique Texas Instruments a obtenu gain de cause alors qu’elle poursuivait en justice deux anciens chercheurs qui avaient copié l’intégralité de ses répertoires informatiques avant de quitter la société pour rejoindre la concurrence. Au moment de condamner les deux anciens employés, le tribunal a invoqué le registre sur les secrets d’affaires, entre autres multiples “efforts raisonnables” déployés par Texas Instruments, comme preuve que les technologies et des logiciels de la société pouvaient faire l’objet d’une protection.
4. Mettre en place des procédures et des plans au niveau de la chaîne logistique
Il arrive que des tiers, notamment dans le cadre de coentreprises, des fournisseurs, des distributeurs ou même des clients aient accès aux secrets d’affaires d’une société au titre d’accords de développement de produits, de fabrication ou autre. Ces partenaires pouvant être à l’origine de détournements de secrets d’affaires, il est essentiel de mettre en place des procédures pour protéger ces actifs confidentiels.
Conclure des accords de non-divulgation avec des tiers peut être perçu comme une mesure de protection raisonnable, mais ils ne suffisent pas. Il importe que la protection des secrets d’affaires fasse partie intégrante des critères de diligence raisonnable des sociétés, que ces dernières vérifient constamment les procédures en vigueur pour assurer la confidentialité des informations et qu’elles communiquent régulièrement avec leurs partenaires sur leurs attentes en matière de protection des secrets d’affaires.
5. Prévoir des formations à l’intention des employés et des fournisseurs
Il est essentiel de former les employés et les collaborateurs externes de façon à ce que ces deux groupes d’acteurs sachent comment gérer ce type d’information. Faute d’avoir pris ces mesures élémentaires – qui peuvent ne pas relever des activités habituelles de formation en entreprise – certaines sociétés n’ont pas pu être placées sous la protection de la loi. Ainsi, contrairement à plusieurs autres entreprises qui, grâce aux procédures en matière de formation qu’elles avaient mises en place, avaient remporté des procès pour vol intentés à l’encontre d’anciens employés, la justice a estimé que la filiale américaine de la MBL Corporation n’avait pas pris les dispositions nécessaires pour informer ses employés “des éventuelles informations jugées confidentielles”, ce qui fut un facteur déterminant dans la décision du tribunal de classer l’affaire.
6. Créer une équipe spéciale en charge des secrets d’affaires
Des problèmes apparaissent lorsque personne au sein d’une entreprise n’assume la responsabilité générale de protéger les secrets d’affaires et d’autres informations confidentielles. La justice n’a pas vu d’un bon œil le fait que certaines sociétés n’aient pas pris l’initiative de confier la responsabilité de la protection des secrets d’affaires à une personne ou à un groupe précis. Les meilleures pratiques montrent par ailleurs qu’il est judicieux de créer des équipes pluridisciplinaires composées de membres capables de garantir que les mesures en matière de protection des secrets d’affaires sont bien respectées.
Lorsqu’un ancien employé fut accusé de violation de secret d’affaires pour avoir exploité la liste de clients d’un cabinet comptable, l’affaire fut classée dès lors qu’il apparut que le public avait également accès aux noms des clients. Cette liste de noms était en effet consultable depuis le bureau d’accueil de la société, depuis les bureaux des employés, depuis des ordinateurs auxquels une autre entreprise installée dans le même bâtiment avait accès, depuis des ordinateurs dont les mots de passe étaient ouvertement affichés ou communiqués d’un bureau à l’autre, et depuis plusieurs autres endroits accessibles au grand public et au personnel d’entretien. Personne ne semblait avoir été chargé de protéger ces informations.
7. Apporter constamment des améliorations
Il est malheureusement fréquent que la question de la protection de secrets d’affaires ne soit abordée qu’à des moments cruciaux de la vie d’une société, par exemple lors de la création d’une nouvelle coentreprise. Or, il conviendrait que des mesures de protection soient constamment en vigueur, qu’elles fassent l’objet d’un suivi annuel et que les procédures soient régulièrement mises à jour pour en assurer la cohérence et le respect.
En outre, au fur et à mesure qu’une entreprise se développe, ses procédures et politiques évoluent. Les plans en matière de protection des secrets d’affaires devraient eux aussi être adaptés en conséquence. Dans le cadre de poursuites pour violation de secrets d’affaires, pour établir si la société plaignante avait pris ou non des “mesures raisonnables” visant à protéger ses secrets d’affaires, la justice a vérifié si des mesures correctives avaient été mises en œuvre. Élaborer un plan d’intervention rapide, analyser les causes profondes de la situation et assurer un suivi figurent également parmi les autres pratiques optimales en la matière.
8. Faire de la protection des secrets d’affaires une priorité
De nos jours, les cybermenaces, la numérisation de l’information, la complexité des chaînes logistiques et la mobilité des employés d’une société et d’un continent à l’autre exposent les sociétés à un risque accru de détournement de leurs précieux secrets d’affaires.
Pour protéger ces données sensibles, il est essentiel que les entreprises renforcent leur sécurité et, plus important encore, qu’elles mettent en place des systèmes permettant de garantir la protection des secrets d’affaires. Adopter cette démarche les aide à la fois à atténuer les risques et à satisfaire à l’exigence concernant la prise de “mesures raisonnables” en cas de violation présumée de secrets d’affaires. Y renoncer peut mettre en péril leurs revenus, leur réputation et leur avantage concurrentiel.
Liens
Le Magazine de l’OMPI vise à faciliter la compréhension de la propriété intellectuelle et de l’action de l’OMPI parmi le grand public et n’est pas un document officiel de l’OMPI. Les désignations employées et la présentation des données qui figurent dans cette publication n’impliquent de la part de l’OMPI aucune prise de position quant au statut juridique des pays, territoires ou zones concernés ou de leurs autorités, ni quant au tracé de leurs frontières ou limites territoriales. Les opinions exprimées dans cette publication ne reflètent pas nécessairement celles des États membres ou du Secrétariat de l’OMPI. La mention d’entreprises particulières ou de produits de certains fabricants n’implique pas que l’OMPI les approuve ou les recommande de préférence à d’autres entreprises ou produits analogues qui ne sont pas mentionnés.