Depuis plusieurs années maintenant les entreprises françaises estiment que leur patrimoine immatériel n’est pas assez protégé par la législation. Le 16 juillet 2014, l’ensemble des députés socialistes ont déposé une proposition de loi à l’Assemblée Nationale relative à la protection du secret des affaires. Cette proposition vise à combler le vide juridique actuel autour du secret des affaires. En Janvier 2012 le député Carayon avait déjà déposé une proposition avec le même objectif. Adopté par l’Assemblée Nationale, son projet avait été reporté suite à son passage au Sénat.
Au milieu de l’été : une nouvelle proposition de loi sur le secret des affaires en France
La date n’a pas été choisie au hasard. Alors que les discussions actuelles au Parlement Européen autour du projet de règlement sur le traitement des données personnelles rentrent dans leur phase finale, et que l’application de la Loi de Programmation Militaire est attendue très prochainement avec les publications des décrets sectoriels, la France souhaite légiférer sur la protection des données entreprises. Ce manque avait déjà été mis en avant dans le rapport du groupe interministériel sur la cybercriminalité à travers la recommandation n°18 qui préconisait la création d’incriminations particulières pour le secret des affaires.
La résurrection tardive de ce projet de loi, plus ambitieux que son prédécesseur, montre bien à quel point il est compliqué de légiférer sur ce sujet épineux. La France poursuit donc sa volonté de construction d’un cadre législatif complet et spécifique pour tous les enjeux cyber stratégiques.
Vers une règlementation plus protectrice et plus sévère pour les intérêts économiques essentiels du pays
Par rapport au projet de loi dit Carayon cette nouvelle proposition comporte très peu de nouveautés. Nous pouvons citer par exemple que la tentative de violation du secret des affaires est punie au même titre que le délit, qu’un alourdissement des sanctions a été ajouté quand la violation du secret des affaires concernent les intérêts économiques essentiels de la nation (7 ans contre 3 ans d’emprisonnement et 750 k€ contre 350 k€ d’amende précédemment). Ont été également ajoutées des mesures législatives afin de contrer les procédures de type « discovery » obligeant les entreprises françaises à dépendre de tribunaux étrangers et donc de devoir communiquer leurs secrets d’affaire.
Cependant les obligations précises pour les entreprises ne sont pas encore définies. A l’heure actuelle l’information protégée doit seulement faire « l’objet de mesures de protection raisonnables, compte tenu de sa valeur économique et des circonstances, pour en conserver le caractère non public. ». Ces éléments seront précisés ultérieurement.
Quelle réalité et quel avenir pour cette proposition de loi ?
L’initiative de cette proposition ne venant pas du gouvernement lui-même (c’est donc bien une proposition et non un projet de loi), ce texte devrait suivre un processus parlementaire plus long.
Des travaux parlementaires afin de cibler les obligations pour les entreprises sont en cours. Son étude par l’Assemblée Nationale avant le Sénat n’est pas prévue avant novembre 2014. Cependant, comme le souligne le texte de la proposition, une directive européenne est aussi en cours de discussion au parlement européen. Cette directive, déposée le 28 novembre 2013, pourrait rendre obligatoire une législation nationale sur ce sujet. L’enjeu est donc ici d’anticiper l’adoption de cette directive en mettant en place en amont un cadre juridique clair à l’échelle française.
Le futur impact pour les RSSI reste difficile à estimer, l’identification des informations sensibles au sein des entreprises risque d’être complexe. Cependant la reprise des négociations autour de la protection des données entreprises reste une bonne nouvelle, et ne demande qu’à être confirmée dans la suite des discussions parlementaires !