mercredi 28 juin 2017    || Inscription
BanniereDossier
 
 

Le travail des gendarmes N’Tech et le code pénal en vigueur




L’adjudant Laurent Frappart, spécialiste N’Tech de la cellule d’Arras, a accepté
de nous livrer son analyse de gendarme sur l’évolution du patrimoine informationnel de l’entreprise. Elle est sans appel.

Mag-Securs : Les entreprises se font-elles voler des données faisant partie de leur patrimoine informationnel ?
Adjudant Laurent Frappart : Oui, cela arrive de plus en plus souvent. On vole des fichiers clients, des secrets de fabrication, des brevets, des marques, des données de facturation.

Les entreprises sont-elles conscientes du risque ?
L.F : Elles en sont de plus en plus conscientes. La concurrence internationale s’exacerbe, notamment avec les pays asiatiques. Il suffit d’une histoire comme l’affaire Renault pour se rendre compte du niveau de risque. Il est de plus en plus internationalisé.

Comment interviennent les gendarmes ?
L.F : Les gendarmes interviennent à la demande des entreprises, mais un travail d’évangélisation reste à faire. On livre des informations précieuses avec un portable dans le TGV, ou bien le salarié se connecte sur les réseaux sociaux, des « amis » parlent de leurs travaux en cours. Il faut remonter l’information à sa source. Or, les entreprises ne souhaitent pas communiquer. Le vol de données part souvent de l’étranger. Là, on se heurte à d’autres législations.

Quelles sont les limites législatives ?
L.F : Il y a une cohérence des lois au niveau européen, mais c’est tout. En France, le dispositif est relativement adapté, avec des institutions comme la Cnil ou l’INPI. Mais il n’existe pas de droit en temps que tel réprimant le vol du patrimoine informationnel de l’entreprise. Il n’en reste pas moins que, lorsqu’on vole une donnée, on pénètre par effraction dans un système automatisé de traitements de données. Cette infraction est répréhensible par la loi Godfrain.



Propos recueillis par Sylvaine Luckx

L’analyse de la législation actuelle


Entretien avec Maître Olivier de Maison Rouge

Olivier de Maison Rouge est Avocat, Docteur en Droit, Professeur associé à l’ESC Clermont et ancien Auditeur IHEDN. Il est par ailleurs membre de la commission permanente « secrets d’affaires » de l’AIPPI et du Comité scientifique de l’Institut de l’IE (Intelligence Economique).

Mag-Securs : Aujourd’hui, le vol a-t-il un sens juridique pour les biens immatériels ?
Olivier de Maison Rouge : A ce jour, au vu des textes applicables et des décisions des tribunaux, le vol n’est pas suffisamment reconnu par le droit s’agissant de l’appropriation de données exclusivement immatérielles. Ce fut notamment le cas dans l’affaire Valeo où le tribunal correctionnel de Versailles, en décembre 2007, a relaxé de ce chef de poursuite la stagiaire chinoise qui s’était appropriée des informations stratégiques de l’équipementier.
En effet, aux termes de l’article 311-1 du Code pénal, le vol est défini comme étant la soustraction frauduleuse du bien d’autrui ; dans les faits, il se traduit par la disparition matérielle du bien dans le patrimoine de la victime, et par son transfert dans l’actif du voleur. Or, une équivoque réside dans le cas d’une duplication illicite de données dématérialisées, sans vol de son support matériel. Par exemple, pour une copie réalisée sur une clef USB, le fichier d’origine demeure en possession de la victime. Cette position de principe des juridictions a très longtemps prévalu à l’exception de curieuses constructions juridiques autour du « vol d’usage » ou « vol de temps-machine » dans lesquelles le vol était admis pour le laps de temps d’emprunt du support matériel du bien incorporel et nécessaire à sa reproduction (il fut notamment qualifié de vol le temps de procéder à la photocopie d’un document, puis remis à son possesseur, mais non des informations figurant sur cet élément).
Un revirement a toutefois été opéré assez récemment : la Cour de cassation ayant reconnu en 2003 la qualification de vol de données informatiques retenant que « le fait d’avoir en sa possession, (...) après avoir démissionné de son emploi pour rejoindre une entreprise concurrente, le contenu informationnel d’une disquette support d’un logiciel, sans pouvoir justifier d’une autorisation de reproduction et d’usage du légitime propriétaire, qui au contraire soutient que ce programme source lui a été dérobé, caractérise suffisamment la soustraction frauduleuse de la chose d’autrui et la volonté de s’approprier les informations gravées sur le support matériel ». Une nouvelle décision très critiquée par les juristes est néanmoins venue confirmer cette position en 2008. Cela étant, l’ambigüité demeure et la question reste largement ouverte.


Dans le code civil, la notion de réparation des torts causés à autrui (article 1382) peut-elle être utilisée en cas de vol de données ?
O.M-R. : Le principe de la réparation par son auteur des torts causés à autrui est le socle du principe de responsabilité en droit français. Il repose notamment sur trois conditions cumulatives : un fait dommageable, un préjudice qui en découle et un lien de causalité entre ces deux premiers événements. Une action judiciaire introduite sur ce texte sera nécessairement civile et se résout exclusivement sous forme de dommages et intérêts en vue de réparer financièrement le préjudice subi.
C’est dans le prolongement de l’article 1382 du Code civil qu’a été fondée la théorie de la concurrence déloyale que l’on doit au doyen Roubier, en 1952.
Depuis lors, à condition de rapporter des preuves tangibles et sincères, ce qui demeure souvent une difficulté de taille pour les demandeurs, la concurrence déloyale est appréhendée par la justice comme étant, en matière de vol de données, la déstabilisation de l’entreprise concurrente notamment sous le forme de détournement et d’appropriation frauduleuse de fichiers.
La seule sanction - et donc la seule dissuasion corrélative - est essentiellement de nature financière. Or, dans les faits, soit un ancien salarié installé à son compte se révèle souvent insolvable soit, plus souvent encore, il est difficile de quantifier le préjudice qui en découle, des secrets d’affaires n’étant parfois qu’un simple potentiel. Rappelons que les tribunaux n’allouent des dommages et intérêts que pour réparer un préjudice avéré et non prévisionnel ou à venir, à l’exclusion de toute somme punitive comme cela est notamment pratiqué aux Etats-Unis. En résumé, la justice civile privilégie la réparation à la sanction.


Olivier de Maison Rouge, avocat et membre de la commission permanente « secrets d’affaires » de l’AIPPI et du Comité scientifique de l’Institut de l’Intelligence Économique.

La loi Godfrain de janvier 1988 sanctionne l’intrusion et la tentative d’intrusion dans un système d’information, cela suffit-il pour protéger les informations des entreprises ?

O.M-R. : Intégrée sous les articles 323-1 et suivants du Code pénal, la loi Godfrain réprime effectivement l’intrusion ou la tentative d’intrusion dans un système de traitement automatisé de données. Plus largement, ce texte sanctionne le fait de pénétrer dans un programme ou un matériel informatique, de s’y maintenir, et de le modifier ou de le « pirater ». L’avantage de cette disposition est d’être suffisamment large et évolutive pour faire condamner les actes de cybercriminalité et en ce sens les tribunaux l’appliquent sans ambages. C’est pourquoi ce texte a le véritable mérite de répondre sans détour aux besoins de protection des données de l’entreprise contre les atteintes extérieures.
Cependant, il faut conserver à l’esprit que les statistiques démontrent que 80% des atteintes recensées proviennent de l’intérieur de l’entreprise, volontairement ou par inadvertance ou maladresse. Certains faits sont révélateurs : l’ANSSI a ainsi répertorié la disparition de près de 4 000 ordinateurs portables et de 600 000 téléphones mobiles sur une année. Si la majorité concerne des vols crapuleux relevant de la délinquance ordinaire, on estime que 20% de ces soustractions concernent une tentative d’appropriation de secrets d’affaires. Cela traduit donc le nécessaire rappel des consignes de sécurité aux employés, en vue d’éveiller leur conscience sur ce risque. Le mythe de l’espion pénétrant dans l’entreprise ou du hacker vidant un ordinateur de son contenu est un peu défraîchi, même si cela demeure encore une réalité.

Le code du travail ne permet-il de sanctionner un salarié dans un cas de vol d’information de l’entreprise ?
O.M-R. : Il est désormais largement admis par les juridictions sociales que l’atteinte, la divulgation ou la soustraction de données de l’employeur justifie un licenciement pour motif personnel (l’autre dénomination du licenciement pour faute); la jurisprudence est largement établie et constante en la matière. En fonction de la nature des faits, les conseils de prud’hommes qualifient tantôt de faute grave ou de faute lourde, selon le degré et la volonté de nuisance du salarié indélicat.
Cela étant, hormis la suppression du salaire et l’éviction de l’employé de l’effectif salarié, la parade peut paraître bien faible eu égard aux intérêts financiers et commerciaux en jeu. En effet, la révélation de secrets d’affaires peut faire perdre définitivement tout avantage concurrentiel à une entreprise.
Dans l’affaire Renault, rappelons que la mise à pied des cadres dirigeants par le constructeur automobile qui a précédé leur licenciement n’est pas considérée comme une sanction mais comme une mesure provisoire, à titre conservatoire ; il faut donc en user avec prudence.

Quelles sont aujourd’hui les données de l’entreprise protégées par le code pénal en dehors des données à caractère personnel ?
O.M-R. : S’il existe de nombreux textes en matière pénale, bien peu en définitive se révèlent adaptés à l’appropriation et à la divulgation de données immatérielles de l’entreprise.
Relevons à ce titre la protection des secrets de fabrication pour laquelle l’article L. 1227-1 du Code du travail stipule que : «  Le fait pour un directeur ou un salarié, de révéler ou de tenter de révéler un secret de fabrication est puni d’un emprisonnement de deux ans et d’une amende de 30 000 € ». Pour la jurisprudence, cet article exige néanmoins trois conditions cumulatives :
• ce texte ne s’applique qu’à un secret de fabrication industrielle, à l’exclusion de tout autre secret d’affaires ;
• l’auteur de l’infraction doit nécessairement être un salarié ou un ancien salarié ;
• l’acte incriminé est une divulgation ou une tentative de divulgation.

Compte tenu de l’ensemble de ces impératifs restrictifs, un tel dispositif demeure délicat à appliquer ; il fut ainsi écarté dans l’affaire Michelin, le manufacturier n’ayant pu démontrer que son secret de fabrication était brevetable et encore moins breveté.
A ce jour, il apparaît donc que seul l’abus de confiance fait consensus pour protéger les secrets de l’entreprise, mais ce fondement ne trouve à s’appliquer que si au moins deux conditions sont réunies :
• il faut que la victime ait préalablement remis un bien à l’auteur de l’infraction pour un usage déterminé, d’une part,
• et qu’il existe un lien contractuel antérieur entre la victime et l’auteur, d’autre part.
Ce texte a ainsi été utilement appliqué pour réprimer les auteurs des agissements frauduleux dans les affaires Valeo et Michelin.

Qu’apporte la proposition de loi déposée par le député Bernard Carayon (lire pages suivantes) par rapport à l’arsenal juridique existant ?
O.M-R. : La proposition de loi de Bernard Carayon, député du Tarn, vise à instituer une protection des secrets d’affaires ayant une valeur commerciale, qui ne sont pas accessibles au public et pour lesquels leur détenteur légitime a mis en place des mesures raisonnables pour en assurer leur confidentialité.
La dernière mouture déposée en janvier 2011, à laquelle j’ai contribué, répond non seulement à cet objectif, mais définit mieux encore les secrets d’affaires, s’inspirant plus précisément de l’article 39.2 du Traité ADPIC qui est une annexe relative aux droits de propriété intellectuelle au traité de Marrakech du 14 avril 1994 instituant l’OMC. Or, à défaut de texte en droit positif, il faut toujours s’en remettre à une norme supérieure, ce que nous avons fait. Ainsi, l’apport notable de ce dernier texte est désormais d’être en adéquation avec les normes juridiques internationales, s’agissant d’une réglementation destinée à régir justement des échanges économiques mondiaux.
Enfin, cette nouvelle version intègre une sanction plus lourde de 3 ans d’emprisonnement et 375 000 € d’amende en vue renforcer l’aspect dissuasif et de l’aligner sur l’abus de confiance, et réprime également la tentative.

Quelle est la situation dans les autres grands pays ?
O.M-R. : D’une manière générale, il est possible d’affirmer que les pays émergents, qui ont postérieurement adhéré à l’OMC, ainsi que les pays de droit anglo-saxon, ont pour la plupart adopté une législation protégeant et sanctionnant l’atteinte aux secrets d’affaires selon la définition et les dispositions offertes par le Traité ADPIC.
Ainsi, les Etats-Unis d’Amérique ont voté dès 1996 le Cohen Act (ou « Economic espionnage act » qui sanctionne l’acquisition, l’appropriation, la divulgation ou l’usage de secrets d’affaires. Ces dispositions ont depuis lors été transposées dans l’accord NAFTA (en français Association de Libre Echange Nord-Américain ou « ALENA ») englobant les Etats-Unis, le Canada et le Mexique. De même, la Grande-Bretagne, l’Inde (1991), le Japon (1991) et Israël (1977), ont intégré à leur droit positif un arsenal de nature similaire.
Il est à regretter qu’à l’exception de l’Allemagne (depuis 1909), peu d’états d’Europe continentale aient eu la volonté de satisfaire cette exigence de protection des secrets d’affaires bien qu’étant de vieux pays industriels.
Autres Dossiers Gouvernance