Le secret des affaires constitue un mecanisme juridique essentiel pour la protection des informations confidentielles des entreprises. Transpose en droit francais par la loi n. 2018-670 du 30 juillet 2018, le regime issu de la directive (UE) 2016/943 offre aux entreprises un cadre de protection des informations qui ne relevent ni du brevet, ni du droit d’auteur, ni du RGPD. Pour les organisations qui traitent des volumes importants de donnees – donnees commerciales, algorithmes proprietaires, bases de donnees clients, savoir-faire technique – le secret des affaires constitue un complement indispensable aux mecanismes de protection de la propriete intellectuelle et de la cybersecurite.

Le cadre juridique du secret des affaires

La transposition de la directive (UE) 2016/943

La directive (UE) 2016/943 du 8 juin 2016 sur la protection des savoir-faire et des informations commerciales non divulguees contre l’obtention, l’utilisation et la divulgation illicites a ete transposee en France par les articles L. 151-1 a L. 154-1 du Code de commerce. Ce cadre legislatif definit les conditions de protection du secret des affaires, les actes illicites et les voies de recours disponibles.

Les trois conditions cumulatives

L’article L. 151-1 du Code de commerce definit le secret des affaires par trois conditions cumulatives que l’information doit reunir :

1. Le caractere secret. L’information ne doit pas etre generalement connue ou aisement accessible pour les personnes famileres de ce type d’informations en raison de leur secteur d’activite. Ce critere est relatif : une information peut etre connue de quelques personnes tout en conservant son caractere secret, des lors qu’elle n’est pas generalement repandue dans le milieu concerne.

2. La valeur commerciale. L’information doit tirer sa valeur, effective ou potentielle, de son caractere secret. Il ne suffit pas que l’information soit confidentielle ; elle doit avoir une utilite economique precisement parce qu’elle est secrete. Une base de donnees clients, un algorithme de tarification, une methode de fabrication, un plan strategique repondent typiquement a ce critere.

3. Les mesures raisonnables de protection. Le detenteur de l’information doit avoir mis en place des mesures raisonnables pour en preserver le secret. C’est la condition la plus exigeante en pratique : une information qui n’est pas protegee par des mesures techniques et organisationnelles adequates ne peut pretendre au benefice du secret des affaires, quel que soit son caractere confidentiel ou sa valeur economique.

La reservation privative de l’information : un probleme fondamental

Comme nous l’analysons dans notre these de doctorat sur la propriete informatique (T. Devergranne, Paris II), la protection juridique de l’information pose un probleme fondamental : l’information, en tant qu’entite incorporelle, ne se prete pas naturellement a l’appropriation privative. Contrairement a un bien corporel, l’information peut etre partagee sans que son detenteur initial en soit prive. Cette caractere non rival de l’information rend inoperants les mecanismes classiques du droit de propriete.

Le droit francais a historiquement tente de resoudre ce probleme par la propriete intellectuelle (monopoles temporaires sur certaines formes d’information) et par la voie penale (protection des STAD via les articles 323-1 et suivants). Mais la premiere suppose des conditions specifiques (originalite, nouveaute) excluant de nombreuses informations, et la seconde ne protege pas l’information en tant que telle.

Le secret des affaires offre une troisieme voie : il sanctionne les comportements deloyaux sans creer de droit de propriete sur l’information. C’est une protection par l’obligation plutot que par le droit reel. Le detenteur n’est pas “proprietaire” de l’information mais dispose d’un droit a agir contre ceux qui portent atteinte au secret de maniere illicite.

Les actes illicites et licites

L’obtention illicite

L’article L. 151-4 du Code de commerce qualifie d’illicite l’obtention d’un secret sans consentement resultant d’un acces non autorise a un document ou fichier numerique, ou de tout comportement contraire aux usages honnetes. Cette definition fait echo aux infractions prevues par les articles 323-1 et suivants du Code penal : l’intrusion informatique constitue a la fois une atteinte a un STAD et une obtention illicite d’un secret des affaires. La victime dispose ainsi de deux voies de recours cumulatives, penale et civile.

Les obtentions licites

L’article L. 151-3 prevoit que la decouverte independante, l’ingenierie inverse et l’exercice du droit d’information des representants du personnel constituent des obtentions licites – ce qui distingue le secret des affaires de la protection par brevet.

L’articulation avec le RGPD

L’articulation entre le secret des affaires et le RGPD est une question pratique recurrente pour les entreprises. Plusieurs situations de conflit ou de complementarite peuvent se presenter.

Le secret des affaires face aux droits des personnes

Le droit d’acces prevu par l’article 15 du RGPD peut entrer en conflit avec le secret des affaires lorsque les donnees personnelles sont integrees dans des algorithmes de scoring ou de profilage. Le RGPD prevoit une articulation (article 15, paragraphe 4) : le responsable peut refuser de communiquer le detail de ses algorithmes tout en fournissant les donnees personnelles et les informations sur la logique de traitement dans des termes generaux.

Les bases de donnees comme double objet de protection

Une base de donnees clients constitue a la fois un traitement de donnees personnelles soumis au RGPD et, potentiellement, un secret des affaires au sens du Code de commerce. Cette double qualification emporte des obligations cumulatives : le responsable de traitement doit a la fois respecter les obligations du RGPD (base legale, information, droits des personnes, securite) et maintenir les mesures necessaires pour preserver le caractere secret de la base.

En cas de fuite de donnees, les consequences juridiques sont egalement doubles : obligation de notification a la CNIL au titre de l’article 33 du RGPD, et possibilite d’agir en justice au titre du secret des affaires contre l’auteur de la fuite ou contre le tiers qui utiliserait les donnees obtenues illicitement.

L’articulation avec NIS2 et la cybersecurite

La troisieme condition du secret des affaires – la mise en place de mesures raisonnables de protection – cree un lien direct avec les obligations de cybersecurite.

Les mesures raisonnables de protection

La loi ne definit pas precisement les “mesures raisonnables” exigees. La jurisprudence retient un faisceau d’indices : mesures techniques (chiffrement, controle des acces, DLP), mesures organisationnelles (classification de l’information, sensibilisation, besoin d’en connaitre) et mesures contractuelles (clauses de confidentialite, NDA).

La convergence avec NIS2

Les mesures imposees par la directive NIS2 (article 21) recouvrent largement celles exigees pour le secret des affaires. Une organisation conforme a NIS2 satisfera vraisemblablement a la condition de “mesures raisonnables”, a condition de documenter la classification de ses informations sensibles. Inversement, l’absence de mesures de cybersecurite adequates risque de faire perdre le benefice du secret des affaires en cas de contentieux.

Les voies de recours

Le detenteur d’un secret des affaires peut agir devant le tribunal judiciaire ou le tribunal de commerce pour obtenir cessation de l’atteinte et reparation du prejudice (article L. 152-1 du Code de commerce). Un mecanisme original permet au juge de restreindre l’acces aux pieces contenant le secret aux seuls avocats et experts (articles L. 153-1 et suivants), evitant que la procedure detruise le secret qu’elle cherche a proteger.

L’action civile peut se cumuler avec une action penale fondee sur les articles 323-1 et suivants du Code penal lorsque l’obtention du secret a implique une atteinte a un STAD. Ce cumul renforce considerablement la position de la victime.

Recommandations pratiques

Pour beneficier d’une protection effective, les entreprises doivent combiner secret des affaires, RGPD et cybersecurite : cartographier et classifier les informations sensibles, documenter les mesures de protection, aligner les exigences du RGPD (article 32), de NIS2 (article 21) et du Code de commerce (article L. 151-1), former les collaborateurs, et preparer les procedures de notification RGPD et d’action en justice coordonnees avec la notification NIS2.

FAQ

Quelles informations peuvent etre protegees par le secret des affaires ?

Toute information qui repond aux trois conditions cumulatives de l’article L. 151-1 du Code de commerce peut etre protegee : caractere secret (non generalement connue dans le secteur), valeur commerciale tiree de ce caractere secret, et mise en place de mesures raisonnables de protection. Cela inclut les algorithmes, les bases de donnees, les methodes de fabrication, les strategies commerciales, les donnees financieres non publiees, le savoir-faire technique et tout autre element confidentiel a valeur economique.

Le RGPD prevaut-il sur le secret des affaires ?

Les deux regimes coexistent et s’articulent sans hierarchie absolue. Le RGPD prevoit que le droit d’acces ne doit pas porter atteinte au secret des affaires (article 15, paragraphe 4). Inversement, le secret des affaires ne peut pas etre invoque pour refuser de fournir a la personne concernee les donnees personnelles la concernant. En pratique, le responsable de traitement doit communiquer les donnees personnelles tout en pouvant proteger la logique algorithmique qui constitue un secret des affaires.

Que se passe-t-il si l’entreprise ne met pas en place de mesures de protection ?

L’absence de mesures raisonnables de protection prive l’information du benefice du secret des affaires, meme si elle est objectivement confidentielle et possede une valeur economique. La victime d’une fuite ne pourra pas invoquer la protection du Code de commerce si elle n’a pas mis en oeuvre de mesures adequates : chiffrement, controle des acces, clauses de confidentialite, classification de l’information. Cette exigence souligne l’importance d’une approche preventive combinant cybersecurite et protection juridique.