Une loi pour encadrer le « confidentiel entreprise »
Tandis que le ministre de l’Industrie, Eric Besson, pousse à la création d’un marquage légal du « confidentiel entreprise », des questions se posent sur son adoption.
Aujourd’hui, la divulgation d’informations classées sous le régime du secret des affaires n’est pas constitutive d'une infraction pénale. Qu’il s’agisse « du vol d’un projet technologique ou industriel, de la communication non autorisée d’un plan stratégique, de la transmission frauduleuse d’un fichier clients, voire de la révélation d’un projet financier ou commercial », déplore Eric Besson, ministre de l’Industrie. Il est évident que le droit français souffre d’un réel vide juridique à la matière.
L’exemple récent du tribunal de commerce qui a condamné une employée à trois mois de prison avec sursis et 3 000 euros d’amende pour vol d’informations en est la preuve. La sanction reste disproportionnée face au préjudice subi. L’entreprise victime déplore donc que le vol d’informations stratégiques ne soit pas pris en compte dans le jugement.
Des peines actuellement peu dissuasives
C’est justement pour combler ce manque que le ministre de l’Industrie a annoncé, le 21 septembre dernier, son intention de soutenir un projet de loi visant à instruire ce type d’infractions. Un cadre légal qui interviendrait dès lors qu’il y a « atteinte grave aux positions stratégiques, au potentiel ou aux intérêts de l'entreprise en matière scientifique, technique, commerciale ou financière », précise le ministre. Les peines maximales encourues pourraient atteindre, cette fois, jusqu'à trois ans de prison et 45 000 euros d'amende. De quoi dissuader.
Attention aux risques de découragement
Fortement inspirée du « confidentiel défense » issu du monde militaire, il s’agirait, pour l’entreprise, d’homologuer son système d’information. Cela à partir d’un référentiel établissant un protocole de classification de l’information et de hiérarchisation des accès. Une approche qui rappelle fortement celle des dispositifs de lutte contre la fuite de données, qui n’ont malheureusement pas rencontré le succès qu’ils auraient dû.
Beaucoup de directions abandonnent l’idée même de se lancer dans une telle entreprise, jugée trop lourde et fastidieuse. Elle exige, en effet, de déterminer les types d’informations qui seront concernés (financière, personnelle, stratégique, projets, etc.), mais également d’en définir les différents formats (papier, e-mails, fichiers, SMS, etc.), ainsi que les divers supports ou emplacements de stockage et, enfin, le ou les circuits que seront amenées à suivre ces informations.
Votre opinion