Secret des affaires : quel impact pour les entreprises ?

Après des années de réflexion, le texte relatif au secret des affaires a été adopté par l’Assemblée nationale en première lecture le 23 janvier 2012. Nous devrions donc être dotés « prochainement » d’une nouvelle arme pénale dans notre arsenal réglementaire pour lutter contre les atteintes aux données les plus sensibles des entreprises.

Un nouveau délit : la divulgation d'informations protégées par le secret des affaires

Inspiré du Cohen Act étatsuniens mais aussi d’autres textes européens, ce texte défini la notion « d’informations protégées relevant du secret des affaires d’une entreprise » (Art 325-1) et introduit le délit de divulgation de ces informations (Art 325-2).

Ces informations sont définies comme « quel que soit leur support, les procédés, objets, documents, données ou fichiers de nature commerciale, industrielle, financière, scientifique, technique ou stratégique ne présentant pas un caractère public dont la divulgation non autorisée serait de nature à compromettre gravement les intérêts de cette entreprise en portant atteinte à son potentiel scientifique et technique, à ses positions stratégiques, à ses intérêts commerciaux ou financiers ou à sa capacité concurrentielle ». (Art. 325-1). Cette large définition permet de couvrir les différents incidents rencontrés ces dernières années.

Les peines prévues dans ce nouveau texte sont largement plus dissuasives : trois ans de prison et 375 000 euros d’amende. Seul regret, la tentative de fuite d’information n’est pas réprimandée. Il est important de préciser que les données identifiées ne seront pas protégées en cas d’investigations de la part de la justice ou d'une autorité de contrôle telle que la Cnil. Les journalistes, eux, sont exclus du champ de la loi en cas de recel. Pour finir, les mesures de sécurité devront faire l’objet d’une information des instances représentatives du personnel.

Mais quels vont être les impacts dans les entreprises et comment le RSSI doit-il aborder ce sujet ?

Des conséquences non négligeables

Le dispositif qui sera prochainement adopté nécessitera un travail important dans les grandes organisations. En effet pour que la loi s’applique, les données doivent faire « l’objet de mesures de protection spécifiques destinées à informer de leur caractère confidentiel et à garantir celui-ci ». (Art 325-1).

Le texte précise que les mesures seront précisées par décret en Conseil d’Etat. Les premières discussions portent sur le marquage de l’ensemble des documents, de l’établissement de listes de personnes autorisées à prendre connaissance des informations, d’un stockage des documents papier dans des coffres ou des locaux sécurisés ou encore de la mise en place de dispositifs de chiffrement et de codes d’accès. Des pratiques minimums, mais déjà complexes à déployer à large échelle. En effet, même si les données les plus sensibles sont souvent connues instinctivement, il peut être ardu de les identifier dans l’entreprise et, a fortiori, de les protéger dans son système d’information. Bien embrasser l’ensemble des données et tous les cas d’usage associés demande souvent un travail méticuleux.

Une réflexion à entamer dès aujourd'hui

Il est évident que tout ne devra pas être classifié secret des affaires dans une entreprise. Un bon réglage du curseur sera cependant ardu à trouver. Il faudra osciller entre trop classifier, et donc augmenter les coûts, ou ne pas assez classifier, et donc prendre de risques de fuites. L’implication des métiers et de la direction sera, encore une fois, essentielle, et les efforts des années précédentes dans la réalisation d’analyse de risques s’avèreront très utiles.