Le 8 juin 2016, le Parlement européen votait à une large majorité la directive sur le secret des affaires. La proposition de loi de transposition, déposée en février 2018, est en cours d’examen. À cette occasion, Me Olivier de Maison Rouge, a accepté de s’entretenir avec le Portail de l’IE afin de nous exposer les principes de cette directive, ses enjeux, et ce que l’on peut attendre de la proposition de loi de transposition.
Olivier de Maison Rouge est avocat spécialisé en Intelligence économique. Docteur en droit, il enseigne à l’École Nationale de la Magistrature, l’Efacs, et l’EGE. Entre autres membre du bureau du Syndicat français de l’IE (SYNFIE), vice-président et membre fondateur de la Fédération européenne des experts en Cybersécurité (EFCSE), il travaille sur de nombreuses thématiques et notamment sur la gouvernance de la donnée. Il a ainsi été rapporteur du Commissaire à l’information stratégiques et la sécurité économiques (CISSE) pour les travaux de transposition de la directive européenne menés sur le secret des affaires. Il a déjà consacré de nombreux articles à ce sujet ainsi qu’un ouvrage (Droit de l’intelligence économique. Patrimoine informationnel et secret d’affaires, Lamy, 2012).
Portail de l’IE (PIE) : Pouvez-vous nous dresser les grandes lignes du secret des affaires ?
Olivier de Maison Rouge : La France est l’un des derniers grands pays d’Europe à n’avoir jamais légiféré sur le sujet, malgré quelques tentatives avortées lors de la dernière décennie. Il était donc temps de se pencher sérieusement sur la question. L’initiative est venue « par le haut » si l’on peut dire puisqu’elle est consécutive à une directive de l’Union européenne, qu’il appartient à la France comme aux autres États membres de transposer avant le 9 juin 2018.
La définition du secret des affaires est difficile à consacrer juridiquement puisque l’on parle d’une chose qui, par nature, n’est pas visible de tous. On ne peut finalement le définir que a contrario.
Sur le plan opérationnel, on peut le rattacher à la démarche – dont on entend beaucoup parler en ce moment – du règlement général sur la protection des données (RDPG) qui oblige les entreprises à protéger les données personnelles des tiers, tandis que le secret des affaires consiste à protéger ses propres informations de nature stratégique. En ce sens, il est le pendant optionnel du RGPD dans la mesure où il est basé sur le volontariat. Dans chaque cas, c’est le juge qui devra qualifier le secret.
Le secret des affaires, en tant que principe, souffre néanmoins des exceptions en termes d’opposabilité, notamment à l’égard des syndicats, des journalistes et des lanceurs d’alerte ; ces derniers devant répondre aux conditions posées par la loi Sapin II. En effet, il n’existe que trois secrets qui résistent aux lanceurs d’alerte : le secret de la défense nationale, le secret médical et le secret professionnel de l’avocat.
PIE : Quel impact le secret des affaires est-il amené à avoir en termes de sécurité économique ?
Olivier de Maison Rouge : Son avantage sera de mettre enfin à disposition un socle légal et une définition, qui permettront de ranger sous cette classification des secrets stratégiques qui aujourd’hui ne sont pas identifiés au sein des entreprises ni par la loi. Celles-ci vont pouvoir se doter d’une politique de sûreté de l’information sans devoir relever d’un régime spécifique prévu par l’État, de type zone à régime restrictif (ZRR) ou opérateur d’importance vitale (OIV) par exemple.
PIE : Vous avez travaillé de manière ciblée sur ce sujet, en tant que rapporteur du Commissaire à l’information stratégique et à la sécurité économiques (CISSE). Quelles ont alors été vos préconisations ?
Olivier de Maison Rouge : La directive européenne du 8 juin 2016 a été le fruit d’équilibres, et a débouché sur un texte suffisamment harmonieux pour être adopté de manière consensuelle dans tous les pays de l’UE. Toutefois, au-delà de l’obligation de transition « à plat », il n’était pas interdit de l’enrichir, notamment en matière de sécurité économique, ce qui demeure le but recherché d’un tel droit mis à la disposition des entreprises. Ce fut la tâche qui m’a été assignée.
À cet égard, j’avais été désigné par le CISSE en qualité de rapporteur d’un groupe d’experts constitué à cet effet et comprenant des professeurs agrégés, des représentants d’entreprises, des avocats et des juristes de grandes structures industrielles. Nous avons procédé à des auditions de manière à faire émerger le cas échéant des recommandations, et nous avons été amenés dans nos conclusions à soulever huit points majeurs.
L’un de ces points reprenait sensiblement la définition du secret des affaires donnée par la directive mais avec l’objectif de l’améliorer quelque peu en reprenant la notion de valeur économique à privilégier à la valeur commerciale. Un autre point mettait en lumière la question de la localisation des données – puisqu’évidemment certains secrets d’affaires peuvent être dématérialisés et numérisés – et conseillait aux entreprises d’héberger leurs données sur le territoire européen, afin d’éviter de s’exposer à des juridictions étrangères compte tenu de la procédure désormais uniforme au sein de l’Union. De même, nous préconisions la mise en place d’un mécanisme de type loi de blocage, qui aurait permis de préserver des informations protégées face aux emprises juridictionnelles étrangères. On avait également imaginé de suggérer aux entreprises la création d’un « référent » ou d’un « commissaire à la gouvernance de la donnée » afin de régir les flux informationnels de type RGPD, secret des affaires et alertes de la loi Sapin II. Cela peut ainsi donner lieu à une fonction unique et identifiable.
Enfin, la directive prévoit une procédure judiciaire optionnelle de nature confidentielle destinée à garder secrètes les informations non divulguées. Dès lors qu’un procès est susceptible de révéler au grand jour des informations de cette nature, nous avions envisagé que cette protection soit assurée, y compris dans la procédure dites « indirectes » – à savoir celles qui touchent à un secret par ricochet –, bien que la demande initiale n’invoquait pas une information confidentielle.
PIE : Jusqu’à quel point ces préconisations ont-elles été reprises dans la proposition de loi ?
Olivier de Maison Rouge : À ce jour, nous n’en avons retrouvé aucune. En réalité, la proposition de loi telle qu’elle existe à ce jour est même en-deçà de ce que prévoit la directive. Par exemple, elle [la proposition] n’évoque pas le contrôle de l’information. Dès lors, toute personne ayant eu licitement la communication d’une information en est réputée détenteur légitime. La protection des données souffre de nombreuses exceptions.
En revanche, la procédure parlementaire en cours permet de penser que le législateur a entendu notre requête et pourrait s’en inspirer dans le cadre de l’adoption définitive. Nous avons soumis des amendements en ce sens.
Propos recueillis par Marvin Looz