1La collecte, la diffusion et la protection de l’information sont trois dimensions incontournables de l’activité d’une entre prise dans une société de l’information qui démultiplie l’accès rapide à des informations, en interne comme en externe. Il est indispensable pour les entreprises de communiquer rapidement de l’information à leurs partenaires ou à l’administration et de soigner la communication vers leurs clients. Il leur est toutefois tout aussi essentiel d’identifier et de protéger les informations sur lesquelles elles ne veulent pas communiquer ou auxquelles elles ne veulent pas ouvrir l’accès, le risque de fuite étant inhérent à ces modes de communication modernes et au fonctionnement actuel du monde des affaires mondialisé.
2Pour autant, les entreprises disposent-elles de l’arsenal suffisant pour respecter ces impératifs ? La législation française, contrairement à celles de certains pays, comme les Etats-Unis qui disposent du « Cohen Act », prend peu en compte la notion de « confidentiel entreprise » dans son dispositif de protection des biens immatériels. Se basant sur ce constat et dans un objectif d’aide aux entreprises de protection de leurs intérêts au bénéfice de leur compétitivité internationale, la Délégation Interministérielle à l’Intelligence Economique (D2IE) s’est attelée, dès sa création en novembre 2009, à ce chantier et propose l’intégration de la notion dans le droit pénal.
3Cet article étudie le concept d’information stratégique des entreprises au travers de sa définition et de son cycle de vie, ainsi que les différents modes de fuite par diffusion mal maîtrisée ou accès indu à cette information. Il expose ensuite la notion de « confidentiel entreprise » que la D2IE défend et la possibilité de son introduction dans le droit national.
Qu’est-ce qu’une information stratégique ?
4Avant de qualifier une information de stratégique, il convient de définir ce qu’est une information. Par quel mécanisme une donnée devient-elle une information ? Une donnée brute est un fait, un nom ou un chiffre, voire un ensemble ou une liste de chiffres, de noms ou de faits. Cette donnée devient une information quand elle est interprétée par une entité ou une personne, qui pourra l’utiliser pour se faire une opinion puis déclencher une action. L’information possède alors une valeur supérieure à la donnée brute. L’interprétation d’une donnée est permise par la connaissance d’un contexte, le croisement avec d’autres données, un traitement de la donnée (des opérations, un tri, un classement, une évolution dans le temps etc.). Par exemple, la valeur d’une action boursière est une donnée, une valeur numérique. Seule, sans connaissance du contexte, elle est d’un intérêt limité. En revanche, si elle est située dans une courbe d’évolution temporelle, elle devient une information pour un actionnaire ou un futur actionnaire, lui permettant de décider s’il veut acheter ou vendre l’action. Une donnée n’est donc une information que pour certains récepteurs, qui en ont besoin à un moment donné, dans un contexte précis, pour une utilisation précise. Ce mécanisme peut être répliqué plusieurs fois, dans une forme d’itération. En effet, l’information peut servir à enrichir un contexte qui permettra l’interprétation de nouvelles données ultérieurement. Elle peut également être croisée avec une ou plusieurs autres informations et fournir ainsi une information de plus haut niveau et de plus grande valeur.
5Comment, quand et pour qui une information devient-elle stratégique ? Une information peut être qualifiée de stratégique quand sa possession donne au détenteur un avantage certain. Sa valeur atteint alors un niveau tel que sa perte, sa diffusion ou sa destruction peut faire perdre l’avantage concurrentiel qu’elle procurait à son détenteur premier. C’est cette notion qui est la base du délit d’initié, où l’ « initié » est celui qui détient une information dite « privilégiée », souvent stratégique. Il y a délit si cette information privilégiée est utilisée pour réaliser des gains en bourse, c’est le délit d’ « initié ». Il y a également délit si cette information est diffusée à des personnes ou entités n’ayant pas droit ou besoin d’en connaître, c’est le délit de « communication d’informations privilégiées ». Ces délits sont punis d’amendes et d’emprisonnement. Cette notion peut se décliner dans de nombreux secteurs, qu’ils soient économiques, industriels, sportifs ou même culturels. Une information est rarement stratégique intrinsèquement, elle le devient pour une entité donnée, dans un contexte donné et pour un objectif précis, qu’il convient d’identifier.
Identifier les informations stratégiques dans une entité et les conséquences d’une perte, d’un vol ou d’un détournement
6Pour être en capacité de protéger les informations stratégiques, sensibles ou confidentielles, il convient tout d’abord de les identifier. Ce sont celles dont la perte, le vol, le détournement ou la diffusion à des personnes indélicates feraient perdre à leur détenteur beaucoup d’argent ou de résultats de son travail. Quantifier la valeur de l’information et, par là-même, sa hauteur stratégique n’est pas un exercice facile. Souvent, la valeur d’une information réside dans l’unicité de son détenteur, c’est la base de la notion de secret. La compagnie américaine Apple® joue beaucoup sur le secret, qui est, paradoxalement, la base de sa communication.
7Pour estimer la valeur stratégique d’une information, il convient d’estimer le type et la hauteur des conséquences de sa perte ou de la perte de l’unicité de détention. Si le secret de la fabrication du Coca-Cola® est resté longtemps si bien gardé, c’est que sa valeur en termes de parts de marché était très élevée.
8Les savoir-faire uniques sont des informations stratégiques évidentes qu’il s’agit d’identifier prioritairement, les atteintes au savoir-faire étant, selon les statistiques policières, le 2ème mode le plus fréquent d’attaques sur les entreprises. Il convient également d’identifier les personnes-ressources, surtout quand elles sont détentrices uniques ou quasi-uniques du savoir ou du savoir-faire. En revanche, identifier dans une entreprise les autres informations stratégiques se révèle parfois malaisé. Disposer de la liste des fournisseurs d’une entreprise peut permettre à un concurrent mal intentionné de bloquer dangereusement les approvisionnements nécessaires ou de comprendre sur quel nouveau développement de produit l’entreprise travaille. Une liste du personnel peut permettre de repérer une personne-clef dans un process.
9Il est évident qu’il ne faut pas se méfier de tout et de tout le monde, mais il s’agit de ne pas considérer une information comme anodine intrinsèquement. La valeur d’une information est proportionnelle aux pertes que son appropriation par une autre entité peut entraîner, soit directement (arrêt d’un process par manque d’approvisionnement), soit indirectement (perte de parts de marché par divulgation d’un savoir-faire à un concurrent). Les conséquences sont, au final, toujours traduites en pertes financières et en pertes d’emplois, mais elles peuvent émaner de plusieurs canaux : la perte d’une avance scientifique, d’un avantage concurrentiel ou d’un leadership au profit de la concurrence, une rupture d’approvisionnement ou une perte de sous-traitants organisées, une perte de clientèle etc. L’identification du caractère stratégique des informations dont elle dispose est un préalable indispensable, mais l’entité doit ensuite en déterminer les points de fuite potentiels dans leur circuit de diffusion et dans leur cycle de vie.
Maîtriser le cycle de vie d’une information
10L’information, dès sa création, entre dans un cycle de vie, qui la mènera jusqu’à sa destruction, son obsolescence ou son archivage, en passant par son utilisation et sa circulation interne ou externe.
11A toutes les étapes de sa vie, une information est stockée sur un ou des supports. On pense naturellement aux supports numériques divers (fixes ou amovibles de types serveurs, disques durs individuels ou partagés, sites web, clés USB ou disques durs externes) ou aux supports « papier » (courriers, dossiers, documentation, tableaux blancs, comptes rendus de réunion, bilans, archives, etc.). La mémoire humaine est également un support d’information, qui contient l’expérience, le savoir, l’historique ou le savoir-faire. Beaucoup de ces supports sortent de l’entité et sont donc sujets à circulation indue de l’information. Certaines informations sont même stockées, par nature, à l’extérieur de l’entité, comme les brevets, dessins et modèles, les articles scientifiques ou de presse …
12Identifier, pour les informations stratégiques, l’ensemble des supports qui peuvent la contenir ou en contenir une partie, puis les modes d’accès à ces supports et les méthodes de diffusion de l’information participe de la démarche de protection. Les accès indus et la diffusion incontrôlée sont autant de points de fuite.
13On n’oubliera pas de vérifier, à l’étape de l’archivage, qu’une information n’est plus stratégique, qu’elle a bien perdu sa valeur. Sinon, il faudra continuer à la protéger, comme dans ses phases de vie active.
Identifier les différents modes de fuite
14A chaque étape de son cycle de vie, il existe de nombreux points potentiels de fuite dans le circuit de l’information. Mais, il ne peut y avoir fuite d’information que quand il y a circulation, en interne comme en externe. On peut caractériser deux grandes catégories de fuite :
- la fuite par accès indu, quand il y a pénétration de l’extérieur de l’entreprise vers l’intérieur,
- la fuite par diffusion, quand le détenteur de l’information l’émet de l’intérieur de l’entreprise vers l’extérieur.
La fuite par accès indu
15Identifier les points de fuite potentiels revient donc pour l’entreprise, tout d’abord, à lister les points d’accès aux supports de l’information, quels que soient les types de support, (numériques, papiers, mémoire humaine …), et à identifier les fragilités de ces points d’accès. Certains établissements ont défini un parcours dit « de notoriété », qui décrit clairement les seules zones qu’une personne extérieure à l’entité sera autorisée à parcourir. Ce principe d’organisation, s’il ne protège pas contre tous les types d’attaques, est assez performant. Il permet de détecter rapidement toute présence non souhaitée dans un atelier, un bureau d’études ou une salle d’archives.
16Selon les statistiques des services du ministère de l’Intérieur, les atteintes physiques sur les sites sont, en fréquence, le 5ème type d’attaques sur les entreprises. Le mode d’intrusion le plus courant dans les entreprises est l’« intrusion consentie », celle d’une personne ou d’une entité que l’entreprise a librement accepté de laisser pénétrer. C’est d’ailleurs, en fréquence, le 3ème type d’attaques recensées contre les entreprises.
La Chine se compare à l’international, en matière de R&D. La France est-elle une cible pour la Chine ?
Ce diagramme appelle plusieurs remarques :
- On note tout d’abord que le document est édité en anglais, il contient donc des messages à destination de l’Occident, que nous nous devons d’entendre.
- On remarque ensuite que la Chine a une marge de progression forte en matière de recherche fondamentale, c’est un pays encore en plein développement industriel. Cela veut dire aussi que la Chine compte sur les autres pays pour développer la recherche fondamentale, dont les résultats sont, généralement, publics et non protégés.
- La France, d’après la Chine, montre une grande faiblesse : le monde académique français valoriserait peu dans l’industrie les résultats de sa recherche. La Chine affecte moins de 40% des efforts de R&D français au développement industriel, quand elle affecte 36% à la recherche appliquée. Que deviennent donc les résultats de cette recherche française appliquée si bien dotée selon la Chine ?
- Le choix de la France, comme seul pays européen utilisé pour la comparaison, probablement parce qu’il est emblématique au titre de ce déficit de valorisation, montre combien la France est une cible de choix pour les transferts de la technologie universitaire.
17Il s’agit tout autant de visiteurs indiscrets que de stagiaires qui, souvent involontairement, incluent des informations stratégiques dans leurs rapports de stage ou de procédures de contrôle et de labellisation organisées sous forme d’audits intrusifs, comme peuvent le faire les services douaniers de certains pays pour les entreprises exportatrices. Le téléphone est un point d’accès relativement facile à de l’information. Peu de personnes vérifient l’identité de l’interlocuteur qui les appelle et peut ainsi se faire passer pour une autorité interne ou externe quelconque. Il suffit à l’intrus de calmer la méfiance éventuelle de son interlocuteur en citant les noms de tel ou tel directeur et sa légitimité sera vite assurée. C’est beaucoup plus fréquent qu’on ne pourrait le penser !
18Les intrusions informatiques et autres vols d’ordinateurs sont le 4ème mode, en termes de fréquence, d’agression sur les entreprises françaises. Ici, deux types de fragilité sont à identifier :
- les points d’accès aux stockages numériques fixes d’information, qui, s’ils sont mal sécurisés, permettent un accès frauduleux aux données de l’entité qui les détient,
- les fragilités de ces « extensions » de l’entreprise vers l’extérieur, que constituent les ordinateurs portables et autres supports numériques amovibles.
19Le plan de sécurité des systèmes d’informations de l’entreprise doit prendre en compte ces différents aspects.
La fuite par diffusion mal contrôlée
20L’identification des points de fuite de l’information comprend également un autre volet, qui est la diffusion de l’information vers l’extérieur.
21Le vol de supports numériques amovibles appartient à la catégorie « intrusion ». En revanche, leur perte tient plutôt de la diffusion d’information vers l’extérieur, même si elle est involontaire. Un support perdu ou oublié peut être récupéré par n’importe qui.
22De la même façon, les conversations entre collègues ou sur téléphones portables dans les trains, les aéroports ou les ascenseurs, sont un vecteur de diffusion de l’information, que tout un chacun a le droit de réutiliser, puisqu’elle a été obtenue légalement. Le comportement humain est une source de points de fuite de l’information, dont l’importance est grandissante avec le fonctionnement actuel des entreprises dans le cadre de la mondialisation. Qui n’a jamais débriefé une réunion dans l’ascenseur ou sur le parvis en sortant de chez un client potentiel ? Qui n’a jamais évoqué au téléphone, dans un train ou une gare, les termes de la réponse que son entreprise va faire à un appel d’offres ? Comment savoir qui sont ces passants inconnus ou si l’ascenseur contient une caméra, ce qui est fréquent dans de nombreux pays ? Tout ceci relève de la diffusion consentie, même si elle est involontaire puisque le destinataire final n’est pas celui qui est visé par l’émetteur. Tentez l’expérience, laissez traîner vos oreilles sur un salon, votre pêche sera sûrement excellente !
23La diffusion peut être également volontaire, quand il s’agit d’une conférence donnée dans une université, un salon ou un colloque. L’entreprise devra bien veiller à l’application d’une charte interne dans ce domaine, comme elle doit vérifier le contenu des pages de son site web ou celui des rapports de stage qui sortent de son enceinte ou donner des consignes à ses employés quant aux informations à ne pas dévoiler sur les réseaux sociaux.
La flûte à sept trous ou l’anguille à huit yeux : un exemple de méthode d’obtention d’informations
A réception des réponses, l’entreprise X convoque les uns après les autres les candidats à la coopération, leur fait miroiter tout l’intérêt que présente leur offre, leur exprime le vif souhait de travailler avec eux sur le projet en question "puisqu’ils sont tout de même mieux placés que les autres concurrents pour être retenus". Mais ils leur font aussi savoir que s’ils voulaient vraiment être retenus, il y aurait lieu d’améliorer leur offre technique. Dopé par le discours rassurant de X, chacun y va de la surenchère dans l’offre technique, une fois, deux fois, plusieurs fois jusqu’à ce que X estime en avoir appris assez pour combler le delta qui pouvait lui manquer afin de poursuivre seule le programme dans lequel devait s’intégrer la technologie manquante, le savoir ou le savoir-faire, etc … A ce moment-là, X exprime ses vifs regrets auprès de tous les concurrents soit en invoquant auprès d’eux le manque de budget pour pouvoir poursuivre le programme en cours, soit en révélant que le programme dans lequel devait s’intégrer l’offre est abandonné, ou toute autre fausse excuse de ce genre.
Les entreprises prises au piège auront, au final, dévoilé tout ou partie des informations que l’entreprise X voulait obtenir.
24La diffusion d’information vers des partenaires extérieurs doit être contrôlée car elle recèle autant de points de fuite, ces partenaires pouvant, eux aussi, être la cible d’intrusions physiques ou suscitées.
La loi sur le secret des affaires : une réponse à un vide juridique
Les entreprises face aux carences légales
25La loi française reconnaît, depuis 1967, la détention d’information « privilégiée », qui n’est applicable que dans le domaine boursier et punit le délit d’initié de 2 ans d’emprisonnement et de 1.500.000 € d’amende, montant pouvant être porté jusqu’au décuple du profit.
26En revanche, la notion de secret des affaires n’est pas reconnue en tant que telle dans le droit positif. Evoqué dans le code de commerce, le secret des affaires n’a jamais fait l’objet d’une définition et la violation des informations stratégiques des entreprises n’est pas réprimée par une infraction spécifique.
27Pour autant, un grand nombre d’infractions relevant de la violation du secret « lato sensu » sont prises en compte dans l’arsenal législatif par le code pénal, le code des douanes, le code monétaire et financier, le code de la consommation, le code de commerce précité et le code de la propriété intellectuelle. Cependant, le patrimoine et les actifs immatériels des entreprises ne sont pas suffisamment, voire pas du tout, pris en considération par les dispositifs existants. A titre d’exemple, les biens immatériels représentés, entre autres, par l’information et les connaissances acquises par l’entreprise, sont exclus du délit de vol dans le code pénal.
28De son côté, le code de la propriété intellectuelle prévoit le secret de fabrique, mais ce dernier ne s’applique qu’aux seuls employés de l’entreprise détenant le secret, excluant ainsi les tiers à l’entreprise qui sont pourtant susceptibles, pour des motifs professionnels, d’avoir accès à ce type d’information confidentielle.
29Cette insuffisance de couverture de l’information stratégique de l’entreprise méritant une protection particulière se manifeste également dans d’autres domaines de la vie des entreprises :
- s’agissant de la protection des systèmes d’information, la législation actuelle protège les logiciels, mais aucunement les informations qu’ils contiennent,
- en matière de protection des brevets, les méthodes et les orientations de recherche échappent à la législation,
- concernant la violation du secret professionnel, ce dernier ne concerne qu’une catégorie bien définie de professionnels (médecins, etc.).
Le projet de texte gouvernemental sur les informations à caractère économique protégées relevant du secret des affaires et la sanction de leur violation
Cette définition étant insérée dans un texte pénal, les auteurs du projet gouvernemental ont tenu à la rendre la plus spécifique possible afin d’éviter tout risque d’arbitraire. En effet, ce projet de texte gouvernemental s’est voulu précis, évoquant les informations commerciales, économiques, techniques et scientifiques ainsi que leurs supports, en prenant soin de ne pas citer les informations d’ordre social dans l’entreprise afin de protéger les droits des salariés. Par ailleurs, ces précisions éviteront au juge, en cas de litige, des difficultés d’interprétation, préjudiciables à l’efficacité du dispositif et au but recherché.
2- S’agissant du quantum de la peine proposée et du caractère intentionnel du délit :
Le projet gouvernemental prescrit la même peine que celle qui sanctionne la violation du secret professionnel, obéissant ainsi à une logique pénale (1 an d’emprisonnement et 15.000 euros d’amende) et ne réprime que le caractère intentionnel dans la commission de l’infraction. La maladresse, l’imprudence ou la négligence, qui risqueraient d’encombrer les tribunaux, ne sont pas prises en compte.
3- S’agissant des mesures de protection exigées par le détenteur de l’information :
Le projet gouvernemental impose en la matière et par décret en Conseil d’Etat, une seule et unique obligation qui doit concerner toutes les entreprises ou structures de recherche sur le territoire : le « confidentiel entreprise ». Cette démarche a pour but d’uniformiser la mesure de protection de l’information et de la rendre la plus simple possible dans son application, évitant ainsi au juge de rechercher par tout moyen de preuve ou de présomption, si les mesures de protection soi-disant prescrites par l’entreprise se sont révélées réelles, efficaces et conformes.
4- S’agissant de la non-opposabilité des dispositions relatives au secret des affaires :
Le texte gouvernemental prend, en effet, soin d’exposer cinq non-opposabilités au secret des affaires (à la différence du secret-défense) afin de laisser, entre autres, les autorités judiciaires et les services de l’Etat exercer leurs pleines compétences et de respecter les droits de la défense.
EN RÉSUMÉ :
Le texte gouvernemental, principalement élaboré par la D2IE et le Ministère de la Justice qui a pris en compte les dispositifs répressifs déjà existants et la compatibilité du projet de texte avec les dispositions communautaires, a été transmis au Conseil d’Etat pour avis le 4 janvier dernier, conformément aux conclusions de la réunion interministérielle présidée par le cabinet du Premier Ministre du 8 novembre 2010.
Le Conseil d’Etat se prononcera sur la compatibilité du principe du dispositif proposé avec les dispositions constitutionnelles et les principes généraux du droit. Son avis est attendu dans les toutes prochaines semaines.
30Or, les informations stratégiques et immatérielles des entreprises, tels que les plans stratégiques, les fichiers clients, les projets d’acquisitions ne bénéficient d’aucune protection particulière. Leur compromission et leur divulgation ne sont pas spécifiquement réprimées par la loi, amenant le juge à qualifier ces violations par l’intermédiaire d’infractions « à spectre large » telles que le vol des supports de ces informations, la concurrence déloyale, le faux et usage de faux, l’abus de confiance (ce dernier motif ne pouvant être allégué que vis-à-vis de tiers avec lesquels l’entreprise entretient une relation contractuelle), etc.
Vers la création du « confidentiel entreprise »
31La création d’un délit de violation et de compromission du secret des affaires permettrait de combler un vide juridique et aurait pour conséquence de donner à nos entreprises un outil supplémentaire, et facultatif, pour affermir leur compétitivité dans le contexte de la mondialisation. La protection des informations stratégiques des entreprises, ainsi définie dans le projet de texte élaboré à l’initiative de la Délégation Interministérielle à l’Intelligence Economique et en cours d’étude au Conseil d’Etat, est assortie de garanties permettant de préserver l’action de l’autorité judiciaire et des pouvoirs publics, et d’assurer la nécessaire protection des droits de la défense en cas de litige. Par ailleurs, l’absence de mention se rapportant aux informations à caractère social dans la définition proposée dans le projet de texte, exclut en conséquence toute tentative de contournement ou d’entrave aux dispositions du droit du travail et préserve le droit à l’information des salariés et de leurs représentants.
32Le texte de loi proposé permet donc, d’une part, de définir les informations stratégiques des entreprises dans leur aspect immatériel, d’autre part, de sanctionner leur divulgation ou leur violation intentionnelles avec une peine dont le quantum est logiquement équivalent à celui prévu pour la peine sanctionnant le secret professionnel.
33Enfin, ce projet s’accompagne d’un projet de décret en Conseil d’Etat instaurant le « confidentiel entreprise ». Il s’agit d’un élément déterminant qui responsabilise le chef d’entreprise en l’amenant à identifier préalablement les informations qu’il estime susceptibles de relever de la confidentialité nécessaire à la bonne marche de sa structure et à protéger ces dernières par une identification et un marquage spécifiques.
34Le « confidentiel entreprise » serait, par ailleurs, soumis à une exigence particulière d’enregistrement laquelle, sans devoir se révéler trop pesante au plan du formalisme, présenterait une garantie supplémentaire destinée à éviter, en cas de litige, à d’éventuels chefs d’entreprise indélicats d’exciper d’un secret des affaires a posteriori. Enfin, le « confidentiel entreprise » ne serait opposable ni à l’autorité judiciaire, ni aux autorités administratives compétentes dans l’exercice de leurs missions d’autorisation, de contrôle, de surveillance ou de sanction.
Conclusion
35Le risque de fuite d’information est inhérent au fonctionnement actuel des entreprises dans une économie mondialisée et il s’agit, pour les entrepreneurs de le gérer en mettant en place les mesures adaptées à la valeur de l’information à protéger, donc à la hauteur des conséquences potentielles d’une fuite. Il faut également prendre en considération dans ce schéma le risque d’occurrence de la fuite, i.e. le risque que l’événement arrive.
36En matière de risques sanitaires et de sécurité des personnes, c’est le législateur qui définit les règles et les mesures à prendre. Dans le domaine de la sécurité économique, il incombe à chaque entreprise de décider quelle hauteur de risque elle accepte de prendre dans la gestion de ses affaires.
37Le risque de fuite lié à l’utilisation des moyens modernes de stockage et de communication des données est un élément bien connu des Directeurs de la Sécurité des Systèmes d’Information (DSSI) et généralement pris en compte dans la politique de protection économique. Il convient de ne pas le négliger, sans toutefois considérer que la sécurisation des matériels informatiques est une protection suffisante.
38Le risque lié au comportement humain est, lui, relativement élevé et insuffisamment considéré. Il est nécessaire de porter l’effort sur la sensibilisation des personnels et de définir une charte de comportement « hors les murs », tant pour les employés permanents que pour les stagiaires, intérimaires, sans oublier les partenaires extérieurs, comme les traducteurs ou bien encore les partenaires de recherche, par exemple, afin de prévenir les risques de diffusion mal contrôlée.