Analyse

La protection des « informations stratégiques » : vers une classification

Le 27 novembre 2020 par Yvan Failliot

Le RGPD a récemment marqué une étape importante dans la protection des données personnelles, s’inscrivant dans les esprits et entrainant de nouvelles pratiques plus responsables. Cet enjeu important ne doit cependant pas occulter celui des informations stratégiques : quelles sont-elles, comment les protéger ? Les impulsions juridiques récentes sur le secret des affaires combinées à une grille de lecture d’intelligence économique permettent d’y voir plus clair.

Une des missions principales de l’intelligence économique, dès sa conception, réside dans la protection du patrimoine informationnel de l’entreprise. Des réflexions juridiques importantes, en France et dans l’Union Européenne, ont eu lieu ces dernières années. La plus notable concerne les « données personnelles » (Règlement UE 2016/679 : RGPD), sur le thème de la vie privée des individus. Une autre avancée importante concerne le « secret des affaires », avec la Directive UE 2016/943, depuis transposée dans le Code de commerce (loi n° 2018/670). Si cette dernière notion contribue à la mise en lumière de l’enjeu de la sûreté économique, elle n’énonce cependant pas dans un cadre référencé les informations qu’une entreprise se doit de préserver. Cet article s’efforce d’établir une première approche du sujet.

Il serait ici possible de reprendre la terminologie de « donnée » telle qu’utilisée par la CNIL avec les « données personnelles ». Cependant, dans un souci d’exacte définition, le terme d’information semble être le plus approprié. C’est également celui qui est retenu en intelligence économique, ainsi que par les législateurs français et européens pour le secret des affaires. Après un rappel de la notion de « protection », il conviendra de dresser une ébauche de nomenclature, délimitant les contours du champ des « informations stratégiques ».

 

La nécessité d’une protection spécifique

Éric Delbecque définit la « protection économique » comme l’addition de la sécurité (lutte contre les accidents) et de la sûreté (lutte contre les malveillances) ; il détaille également la méthodologie à appliquer concernant la « protection de l’information ».  Premièrement, il convient d’inventorier les informations à protéger selon leur niveau de confidentialité et de sensibilité. Deuxièmement, de « sensibiliser l’ensemble du personnel au caractère confidentiel de certaines informations et aux risques encourus par l’entreprise […] par la perte ou la divulgation de ces éléments ». Enfin, l’auteur préconise de « définir un ensemble de mesures et de procédures sélectives, adaptées aux différents types d’informations à protéger et évolutives dans le temps ».

 

Quelles informations protéger exactement ?

C’est sur la base de deux notions préexistantes que s’établira ici le champ de l’ « information stratégique ». D’une part, l’information utile (Rapport Martre) , « dont ont besoin les différents niveaux de décision de l’entreprise ou de la collectivité dans le but d’améliorer sa position dans son environnement concurrentiel ». D’autre part, l’information protégée (Code de commerce) : « elle n’est pas, en elle-même ou dans la configuration et l’assemblage exact de ses éléments, généralement connue ou aisément accessible pour les personnes familières de ce type d’information en raison de leur secteur d’activité ; elle revêt une valeur commerciale, effective ou potentielle, du fait de son caractère secret ; elle fait l’objet, de la part de son détenteur légitime, de protections raisonnables, compte tenu des circonstances, pour en conserver le caractère secret ».

 

C’est dans ce cadre général, couvrant donc un large spectre d’enjeux informationnels - du concurrentiel à la préservation de l’image, par exemple - que s’est opéré un recensement par types d’informations. Celui-ci ne saurait se prétendre complet ou définitif ; de plus, le domaine d’activité spécifique de chaque entreprise peut induire une variabilité. Il convient cependant de remarquer que la grille qui suit offre un début de réflexion, un ordre d’idée, dont les acteurs privés – notamment – pourraient s’inspirer en élaborant leurs propres classifications internes.

 

 AXES

PROTECTION TEMPORAIRE AVANT DIVULGATION / DESTRUCTION

PROTECTION DE LONG TERME / PERMANENTE

 Stratégique

- orientations de court terme (plan d’appel d’offre, plan d’affaire, projet de partenariat)

- comptes rendu de réunions de haut niveau

- plans budgétaire

- orientations de long terme (plan d’appel d’offre, plan d’affaire, projet de partenariat)

- organigrammes (ex : de structures financières)

 Commercial

- liste des clients en cours

- prospects en cours, devis

- livrables client, lettres de missions

- historiques de contrats

 Financier

- données comptables

- documents légaux (impôts, etc.)

- études de performances financières interne

-  informations bancaires

 Propriété  intellectuelle /  recherche et développement

- travaux de recherche en cours

- procédés de fabrications

- codes sources

 Chaine de valeur

- prestataires en cours

- formalisation de procédures

 Etudes

- études contextuelles (monographie, relevé de veille)

- diagnostics internes

- études prospectives

- stratégie de marché

 Fonctionnement / autres

- dossiers de litiges en cours

- tout document sensible portant sur une autre entité

- tout document relevant de la sécurité nationale (y compris économique)

- documentations métiers

- architectures de réseau interne

 

Appréhender la complexité

Il est évoqué ici une destruction à terme de certaines informations, du fait d’obsolescence ou de contraintes légales. Rappelons également que, même protégé raisonnablement, aucun système d’information n’est infaillible ; cette solution permet ainsi de limiter les pertes potentielles (ex : cyber-attaque, espionnage économique, etc.). À l’inverse, toute information n’a pas vocation à être considérée comme stratégique, et donc à faire l’attention de mesures restrictives induisant une limitation de disponibilité. Des classifications sont d’ailleurs identifiables, selon quatre niveaux : publique, sensible, critique, stratégique.

Il est nécessaire de souligner que les informations recensées peuvent se trouver sous différentes formes (correspondance électronique, documents papiers, etc.), de même qu’être stockées sur différents types de supports (serveurs, clés USB, etc.).

Suivant une classification telle que celle présentée, les directions sûreté d’entreprises – et notamment leurs pôles informatique - pourraient plus aisément identifier et établir leurs propres classifications informationnelles internes, répondant ainsi à leurs contraintes de sûreté économique, mais parfois également de conformité.

 

 

Yvan Failliot

 

Pour aller plus loin :

 

MOINET Nicolas, Petite histoire de l’intelligence économique, L'Harmattan, 2010. Fiche de lecture disponible sur apophtegme.fr.

DELBECQUE Éric, L’Intelligence économique pour les Nuls, First, 2015.

MARTRE Henri, Rapport Martre : Intelligence économique et stratégie des entreprises, Commissariat Général du Plan, 1994.

Code de commerce, Article L. 151-1.

DE MAISON ROUGE, Olivier, Les Cyberisques, Lexis Nexis, 2018.