Compliance – Sécurité des entreprises
Les entreprises font face aujourd’hui à de plus en plus de manœuvres afin de tenter d’obtenir des informations confidentielles et du savoir-faire.
Mesures de lutte contre la captation de telles informations stratégiques en matière contractuelle
Par quel biais s’exercent ces menaces et quels sont les points de vigilance ?
- Attention lors de la conclusion des contrats. Sous couvert d’un partenariat ou d’un groupement, des clauses favorisant le transfert de savoir-faire et de technologie peuvent être insérées par des cocontractants (par exemple, transmission de propriété intellectuelle ou industrielle, transmission de documentation en cas de résolution du contrat).
- En cours d’exécution du contrat, être particulièrement vigilant (i) lors de la réalisation d’audits quels qu’ils soient ainsi que (ii) lors de l’envoi de salariés de partenaires dans les locaux de l’entreprise. A ces occasions, des informations clés sur le fonctionnement interne et des données sensibles sont susceptibles d’être dévoilées.
- La sélection des partenaires est d’une importance capitale, surtout lorsqu’ils sont basés en dehors de l’Union européenne. On sera aussi particulièrement attentif au choix des tiers à qui l’on confie la gestion des systèmes d’information.
- Autre point d’attention, le départ des salariés de l’entreprise : le risque de débauchage par un concurrent, dans le but de diminuer les compétences internes et de récupérer des informations confidentielles, existe.
Les situations que l’on vient d’évoquer font partie de la vie des entreprises et il faut s’y adapter pour limiter les risques.
Quelles sont nos préconisations en matière contractuelle ?
- Evaluer les nouveaux partenaires potentiels, notamment lorsqu’ils sont établis hors de l’Union Européenne (due diligences, honorabilité)
- Faire revoir les projets de contrats sur le plan juridique avant leur conclusion : revoir les clauses existantes et insérer des dispositions protectrices des intérêts de l’entreprise (confidentialité, protection de la propriété intellectuelle et industrielle, protection des données personnelles, non-concurrence, non-débauchage etc.).
On sera particulièrement vigilants s’agissant des contrats de recherche-développement, de fabrication ou des partenariats stratégiques pour l’entreprise ainsi que pour tous les contrats commerciaux d’envergure, en particulier avec des partenaires étrangers. Des pénalités significatives peuvent être prévues en cas de violation de ces clauses.
- Identifier les données sensibles, mettre en place une vraie politique de protection des données personnelles, prévoir des mesures de sécurité organisationnelles et physiques adéquates et sélectionner rigoureusement ses sous-traitants et prestataires informatiques.
- Veiller à faire revoir les contrats de travail du personnel clé, en y intégrant des clauses adaptées.
- S’assurer du retour de l’intégralité des documents et matériels lors des départs de salariés et des fins de contrats et prêter attention aux clauses de responsabilité.
Mesures mises en place par les autorités publiques pour lutter contre les tentatives par des sociétés étrangères d’obtenir des informations stratégiques sur leurs concurrents français par le biais de procédures judiciaires
Certains systèmes juridiques étrangers prévoient la possibilité de solliciter la communication de données stratégiques d’entreprises françaises dans le cadre d’un procès engagé par une entreprise concurrente étrangère. La plus connue de ces procédures est celle dite de « Discovery » aux Etats-Unis.
La loi n° 68-678 du 26 juillet 1968 vise à restreindre l’utilisation de tels dispositifs vis-à-vis des entreprises françaises et à obliger les autorités étrangères à respecter les canaux de la coopération judiciaire et administrative internationale.
Cette loi interdit la communication de documents d’ordre économique, commercial, industriel, financier ou technique dans le cadre de procédures judiciaires ou administratives étrangères, sous réserve des traités internationaux en vigueur. Elle s’applique à toute preuve située en France, qu’elle soit détenue par une personne physique ou morale, nationale ou étrangère.
La violation de cette interdiction est sanctionnée par six mois d’emprisonnement et 90.000 euros d’amende pour les personnes morales.
Face à la multiplication des lois étrangères permettant ce type de procédures, la loi de 1968 a été complétée par un décret du 18 février 2022 et un arrêté du 7 mars 2022 qui ont clarifié la procédure pour les entreprises, et désigné comme interlocuteur unique le Service de l’information stratégique et de la sécurité économiques (SISSE).
Le SISSE accompagne les entreprises françaises pour faire face aux demandes des juridictions étrangères. Il rend un avis sur le point de savoir si les données peuvent être communiquées ou non, dans le délai d’un mois à compter du dépôt du dossier par l’entreprise. L’avis peut être transmis aux autorités étrangères.
Textes de référence :
Loi n° 68-678 du 26 juillet 1968 relative à la communication de documents et renseignements d’ordre économique, commercial, industriel, financier ou technique à des personnes physiques ou morales étrangères
https://www.legifrance.gouv.fr/loda/id/JORFTEXT000000501326
Décret n° 2022-207 du 18 février 2022 relatif à la communication de documents et renseignements d’ordre économique, commercial, industriel, financier ou technique à des personnes physiques ou morales étrangères
https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000045190519
Arrêté du 7 mars 2022 relatif à la communication de documents et renseignements d’ordre économique, commercial, industriel, financier ou technique à des personnes physiques ou morales étrangères
https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000045358485
Sécurité des données personnelles au sein de l’entreprise
Face aux risques de plus en plus importants de cyber-attaque, chaque entreprise, quelle que soit sa taille, se doit de mettre en place des mesures de sécurité physiques, techniques et organisationnelles appropriées pour garantir un niveau de sécurité suffisant.
Pour vous aider dans votre mise en conformité, un guide édité par la CNIL rappelle les précautions élémentaires qui devraient être mises en œuvre de façon systématique.
Les actions suivantes sont hautement recommandées :
1. Recenser les données personnelles, leurs traitements (ex. : fichiers clients, exécution des contrats) et les supports sur lesquels ces traitements reposent (ex. : matériels, logiciels, supports papier, locaux et installations physiques où ils se situent
2. Apprécier les risques engendrés par chaque traitement :
- Identifier les impacts potentiels sur les droits et libertés des personnes, pour les trois évènements suivants :
- accès illégitime à des données ;
- modification non désirée de données ;
- disparition de données.
- Identifier les sources de risques internes et externes (ex. : administrateur informatique, utilisateur, attaquant externe, concurrent) ainsi que des sources non humaines internes et externes (ex. : matériaux dangereux, virus informatique non ciblé).
- Identifier les menaces possibles, telles que notamment :
- Utilisation inadaptée des matériels, logiciels (ex. : erreur de manipulation)
- Perte ou vol de matériel appartenant à l’entreprise (ex. : vol d’un ordinateur portable, perte d’une clé USB)
- Observation par un tiers d’informations confidentielles (ex. : observation d’un écran dans un train, géolocalisation d’un matériel)
- Modification du matériel (ex. : installation d’un logiciel malveillant)
3. Répertorier les mesures de sécurité existantes ou prévues
4. Estimer la gravité et la vraisemblance de la survenance des risques (réalisation d’une cartographie des risques)
5. Mettre en œuvre et vérifier les mesures prévues
- Réalisation périodique d’audits de sécurité (risques pour la vie privée des personnes et sécurité de l’information pour la structure) avec mise en place d’un plan d’action
- Sensibilisation des opérationnels (employés, sous-traitants, cocontractants) aux règles de protection des données, aux risques et à leurs conséquences potentielles (notamment par la tenue de formations, envois de documentation mise à jour) et à la sécurité de l’information
- Documenter les procédures d’exploitation, les tenir à jour et les rendre disponibles à tous les utilisateurs concernés
- Rédiger une charte informatique et lui donner une force contraignante
- Mettre en place une politique de classification de l’information définissant plusieurs niveaux et imposant un marquage des documents, supports et e-mails contenant des données confidentielles
- Prévoir la signature d’un engagement de confidentialité concernant les données personnelles