Une proposition de loi a été votée le 23 janvier 2012 en première lecture à l’Assemblée Nationale, portée par le député Bernard Carayon, visant à créer un nouveau délit de « violation du secret des affaires » passible d’une peine d’emprisonnement de trois ans, ainsi que d’une amende de 375 000 euros. Cela constitue l’aboutissement d’une « croisade » menée par ce député depuis plusieurs années afin de limiter les pratiques d’espionnage industriel.

Le secret couvrira les informations identifiées comme confidentielles par les entreprises, et ayant fait l’objet de mesures réglementaires de protection qui devront être définies par un décret d’application. Ainsi, les entreprises vont devoir elles-mêmes déterminer les types de documents de nature commerciale, industrielle, financière, scientifique, technique ou stratégique commerciaux, financiers, industriels, scientifiques, techniques ou stratégiques dont la divulgation pourrait compromettre gravement leurs intérêts, et les soumettre aux mesures de protection applicables.

Toute personne dépositaire du secret et révélant à un tiers une information protégée sans autorisation préalable de l’entreprise ou de son représentant pourra être poursuivie sur le fondement de ce nouveau délit. Une exception est toutefois prévue pour les journalistes, ainsi que pour les autorités de justice et de police, notamment.

Il faut noter que les sanctions initialement prévues par ce texte étaient considérablement moindres, la peine maximale prévue s’élevant à un an d’emprisonnement et 15 000 euros d’amende. Le caractère dissuasif des sanctions prévues devrait donc inciter les entreprises à prévoir un certain nombre de dispositions internes permettant de se protéger contre la divulgation d’informations sensibles, le plus souvent à haute valeur concurrentielle.

Parmi ces dispositions internes à mettre en place, des mesures technologiques sont immédiatement envisageables : sécurisation des serveurs (encryptage, etc.), coffres-forts numériques, isolation physique des données sensibles avec un accès restreint par mesures d’identification. Ces mesures doivent s’accompagner nécessairement de mesures « sociales » : limitation du personnel ayant accès aux données confidentielles, politique interne d’éducation des employés aux problématiques de confidentialité, etc. En dernier lieu, de manière préventive ou corrective, des mesures juridiques sont à envisager : accords de confidentialité avec les tiers à l’entreprise, obligation renforcée de confidentialité dans les contrats de travail du personnel ayant accès aux informations sensibles, entre autres. En effet, on le sait bien, dans toute politique de sécurité, le seul véritable maillon faible c’est l’humain.

La balle est donc largement dans le camp des entreprises désormais.