Les soupçons d’espionnage chez Renault et l’impact des révélations de WikiLeaks relancent le débat sur le secret des affaires. Le gouvernement prépare une loi, et un député UMP vient de déposer son propre texte. Il propose de renforcer les sanctions, mais aussi de laisser aux entreprises le soin de décider quelles informations devraient être protégées. Au risque de limiter au strict minimum la transparence sur leurs activités…
Bernard Carayon, député UMP du Tarn, a déjà consacré plusieurs rapports à la question, déposé une proposition de loi en 2009 et tenté d’introduire un amendement sur l’intelligence économique dans le projet de loi Loppsi sur la sécurité. Il est soutenu par quelques-unes des plus grandes entreprises françaises : il préside la Fondation Prometheus, un « think tank » financé notamment par Alstom, EADS, Dassault, Thales ou le groupe pharmaceutique Sanofi-Aventis.
Cette fois-ci sera-t-elle la bonne ? La semaine dernière, Bernard Carayon a déposé une nouvelle proposition de loi sur « la protection des informations économiques ». Selon lui, les peines déjà prévues pour l’abus de confiance, la violation du secret professionnel ou l’intrusion dans un système informatique ne suffisent plus.
Son texte prévoit donc de punir « l’atteinte au secret d’une information à caractère économique protégée » : trois ans de prison et 375 000 euros d’amende, le double si le responsable de la fuite a agi « dans l’intention de nuire » à l’entreprise ou s’il en a tiré « un profit personnel ».
Le gouvernement prépare lui aussi un projet de loi sur la question, confié à la Délégation interministérielle à l’intelligence économique. Parmi les mesures envisagées, la création d’un label « confidentiel entreprise », sur le modèle du « confidentiel Défense » protégeant les secrets d’État.
Première difficulté : au-delà des brevets industriels, quelles informations mériteront une telle confidentialité ? La proposition de loi de Bernard Carayon en propose une définition très souple :
Sont qualifiées d’informations à caractère économique protégées, les informations ne constituant pas des connaissances générales librement accessibles par le public, ayant, directement ou indirectement, une valeur économique pour l’entreprise, et pour la protection desquelles leur détenteur légitime a mis en œuvre des mesures substantielles conformes aux lois et usages, en vue de les tenir secrètes.
Cette définition pourrait donc concerner autant l’espionnage industriel que les fuites dans la presse ou sur WikiLeaks. Après les secrets du Pentagone, le site veut justement s’attaquer à ceux des entreprises : son créateur, Julian Assange, promet des révélations sur une grande banque américaine dans les semaines qui viennent.
« Je revendique aussi bien pour l’État et les entreprises le droit à l’intimité des personnes privées », m’explique Bernard Carayon. Selon lui, les « connaissances générales librement accessibles par le public » évoquées dans son texte sont déjà nombreuses, sur Google ou dans les comptes et rapports de gestion déposés par les entreprises auprès des tribunaux de commerce :
Le droit à l’information n’est pas non plus le droit à la transparence totale, aussi bien pour l’État et les entreprises que pour les particuliers. Par exemple, s’il vous apparaît légitime d’enquêter sur la santé d’un dirigeant politique ou industriel parce que cela déterminera l’avenir d’une institution ou d’une entreprise, est-ce que le droit à l’information vous autorise à publier une information selon laquelle ce dirigeant est atteint d’un cancer ? Je me pose la question, et évidemment, ce n’est pas très facile d’y répondre.
Justement, c’est la question que se posent certains investisseurs américains, après le nouvel arrêt maladie du patron d’Apple, Steve Jobs, atteint d’un cancer. L’annonce a fait dégringoler le cours de l’action Apple : Steve Jobs aurait-il dû tenir la presse et les marchés financiers au courant de l’évolution de son cancer ?
L’autre difficulté, c’est de savoir qui dressera la liste des informations devant être, ou non, protégées. Là encore, la proposition de loi de Bernard Carayon est très souple. Ou plutôt, pragmatique, selon lui :
Ce n’est pas à l’Etat de dire “le carnet d’adresses du directeur général ou les méthodes informatiques du directeur de la sécurité des systèmes d’information doivent être protégés”, c’est à l’entreprise de définir elle-même son référentiel de sécurité […]. Si on fait l’inverse, la réalité très vite déborderait le droit […]. Le juge sera libre de considérer ou non que l’information était inutilement dans le périmètre de sécurité.
Prenons un autre exemple, au hasard : le laboratoire Servier pourrait-il utiliser un tel dispositif juridique pour empêcher ou sanctionner les fuites sur le Mediator ? Il a d’ailleurs financé la Fondation Prometheus, mais n’en serait plus membre, selon Bernard Carayon. Pour le député, la question ne se pose pas :
Ne peut pas être considéré comme susceptible de bénéficier d’une protection par la loi le classement confidentiel d’une information entraînant la responsabilité pénale d’une entreprise : on ne peut pas se protéger par la loi d’une illégalité.
Votre entreprise a-t-elle déjà dressé une liste d’informations « sensibles », ou a-t-elle donné des consignes à ses salariés pour éviter les fuites ? Témoignez dans les commentaires.
Illustration de Une : Logui
Article de Une : Espionnage chez Renault: un cas de bleuïte ou une vraie fuite? / Pôles de compétitivités: souriez, vous êtes fliqués
>> Article initialement publié sur Eco89
]]>