Les innovations perfectibles de la loi sur le secret des affaires
Le Sénat a adopté définitivement le 21 juin 2018 une proposition de loi visant à transposer la directive 2016/943 du 8 juin 2016. Une nouvelle fois pris par le temps, puisque le délai de transposition expirait le 9 juin 2018, les parlementaires semblent être passés un peu rapidement sur la transposition de l'article 13.3 de la directive qui prévoit un aménagement des mesures pouvant être prises à l'encontre de l'auteur de l'atteinte lorsque celui-ci ignorait au moment de l'utilisation ou de la divulgation du secret que celui-ci en fut un. Une application rigoureuse de l'article L. 152-5 du Code de commerce laisse en effet craindre que le législateur ne s'apprête à bouleverser les principes de la responsabilité civile en créant un mécanisme de responsabilité de plein droit indépendant de toute appréciation de l'anormalité du comportement de l'auteur du fait dommageable.
Le secret des affaires : la sanction d’une protection purement déclarative
Le secret des affaires, à l'inverse des droits de propriété industrielle, ne fait l'objet d'aucune publicité ou de dépôt permettant d'en établir le périmètre à une date certaine. Son existence juridique nait en effet de la seule initiative de celui qui entend l'invoquer et l’opposer au tiers à qui il est fait grief d’avoir divulgué ou utilisé une information considérée par lui comme secrète. La définition en est extrêmement large puisqu’au regard du nouvel article L. 151-1 du code commerce, une simple idée peut relever du secret des affaires pour peu qu’elle soit susceptible de revêtir une valeur commerciale. Il suffit donc, pour être protégée, qu’une information quelconque soit déclarée secrète pour qu’elle puisse être légalement opposée à un tiers, à charge pour ce dernier d’apporter la démonstration que celle-ci résulte de l’état de l’art ou d’une découverte indépendante.
Transposant à la matière du secret des affaires les sanctions prévues par le code de la propriété intellectuelle en cas de contrefaçon (articles 615-1 et suivants), l’article L. 152-3 énumère les différentes mesures susceptibles d’être ordonnées par le juge pour mettre fin à l’atteinte au secret des affaires ou la prévenir. Le juge peut ainsi bloquer tout acte d’utilisation ou de divulgation d’un secret des affaires, ordonner la destruction de documents contenant ledit secret, voire confisquer au profit de la partie lésée les produits fabriqués à partir de celui-ci. Des dommages et intérêts viennent en outre indemniser le détenteur du secret des préjudices matériels ou immatériels subis. Rien donc que de très classique, même s’il eut sans doute été souhaitable que le législateur ne se contente pas de reproduire le régime de la sanction de la contrefaçon et prenne le temps de l’adapter à la violation d’un secret qui, par hypothèse, ne portera parfois que sur des informations qui ne sont per se pas susceptibles d’une application industrielle et commerciales.
Un cas particulier attire cependant l’attention, visé à l’article L. 152-5 du code de commerce : cet article, supposé transposer l’article 13.3 de la directive, prévoit en effet que l’auteur d’une atteinte au secret des affaires qui ignorait détenir du fait d’un tiers une information protégé peut demander à la juridiction devant laquelle sa responsabilité est recherchée de limiter sa condamnation au paiement d’une indemnité dont le montant est plafonné aux droits qui auraient été dus s’il avait demandé l'autorisation d'utiliser ledit secret des affaires pour la période pendant laquelle l'utilisation de celui-ci aurait pu être interdite. Cette solution d’une indemnisation est directement inspirée du mécanisme prévu à l’article L. 615-7 du code de la propriété intellectuelle qui prévoit, à l’initiative cependant de l’entreprise victime de contrefaçon, de pouvoir allouer une indemnité forfaitaire assise sur le montant des redevances ou droits qui auraient été dus si le contrefacteur avait demandé l'autorisation d'utiliser le droit auquel il a porté atteinte.
L’intention du législateur européen était sans doute louable de réserver à celui qui a porté atteinte sans le savoir à un secret un sort préférable à celui qui a malignement agi. La transposition sans autre forme de procès par le législateur français de cette règle est pour le moins maladroite.
La responsabilité de plein droit de l’auteur de l’atteinte
La responsabilité civile, qu’elle soit de nature délictuelle ou contractuelle, repose sur l’idée selon laquelle l’auteur d’un fait dommageable avait ou aurait dû avoir conscience de l’anormalité de l’événement qui en est la source. Ne déroge à ce principe que les régimes d’indemnisation spécifiquement mis en œuvre par la loi, dont l’application est par ailleurs garantie par des régimes d’assurance obligatoire, ou la responsabilité de plein droit des personnes devant répondre des faits de personnes ou de choses placées sous leur autorité ou leur contrôle. Mais même dans ces cas, l’implication nécessite que l’anormalité soit établie : atteinte à l’intégrité d’une personne, défauts de construction ou comportement anormal.
Ces principes sont battus en brèche par la rédaction de l’article L. 152-5 du code de commerce qui institue de facto une responsabilité de plein droit pour toute personne, physique ou morale, du seul fait qu’elle a été mise en contact avec l’information protégée, ce alors même que ne savait pas et surtout ne pouvait savoir que tel était le cas. C’est là faire une œuvre créatrice d’autant plus dérangeante qu’elle reprend une disposition déjà inopportune de la directive qui découle elle-même d’une méprise.
La proposition de directive établie par la Commission européenne prévoyait que l’obtention, l’utilisation ou la divulgation du secret des affaires était illicite lorsqu’elle résultait « intentionnellement ou à la suite d’une négligence grave » d’une des hypothèses énoncées par le texte. Une telle précision était importante puisqu’à l’inverse de la contrefaçon d’une marque ou d’un brevet, pour lesquels il existe un dépôt permettant à tout un chacun de vérifier que l’exploitation d’une dénomination, d’un logo, d’un procédé qu’il s’apprête à faire ne contrevient pas au droit d’un tiers. Une telle vérification préalable n’est naturellement pas possible pour le secret des affaires puisque celui-ci n’a d’existence qu’autant qu’il demeure celé aux tiers.
La Commission du marché intérieur et de la protection des consommateurs du Parlement européen, contre l’avis de la Commission de l’industrie, de la recherche et de l’énergie, a supprimé cette mention au motif que la protection des PME, réputées rechigner à déposer des brevets et préférer par suite une procédure de mise au secret de leurs projets innovants, imposait la mise en place d’un système de responsabilité objective. L’article 4 de la directive a donc supprimé toute référence au comportement de l’auteur de l’atteinte qui est donc responsable de plein droit d’avoir utilisé une information secrète quand bien même il ignorait qu’elle fut confidentielle.
La reprise, il est vrai un peu contrainte puisque le législateur français était lié par la directive, devait toutefois s’accompagner d’une transposition intelligente autorisant tout à la fois le respect de ce texte et celui des principes constitutionnels qui commandent qu’il ne puisse y avoir de responsabilité sans faute[1] (ou acte anormal) et surtout qu’il ne puisse y avoir de responsabilité qui ne soit personnelle[2]. Il aurait ainsi pu être précisé, sans s’opposer frontalement à la directive, que la responsabilité de l’auteur de l’atteinte n’était encourue que pour les actes d’utilisation de l’information secrète postérieurs à la connaissance par celui-ci de la divulgation illicite dont il avait bénéficié. Il aurait encore pu être imaginé, dès lors que l’objectif de l’indemnisation du détenteur légitime semblait devoir l’emporter sur toute autre considération, la mise en place d’un système collectif d’indemnisation, financé par des primes d’assurance ou une taxe sur les brevets déposés. Opportune ou contreproductive, ces solutions auraient au moins eu le mérite de ne pas bouleverser l’état du droit sans qu’aucune réflexion de fond n’ait été menée.
Il y a là une atteinte aux « principes inhérents à l'identité constitutionnelle de la France » qu’il serait utile que le Conseil constitutionnel, actuellement saisi mais sur d’autres motifs, censure[3].
Une mise en œuvre complexe
L’atteinte aux principes essentiels de la responsabilité civile est d’autant plus regrettable que l’objectif visé d’une protection efficace des détenteurs légitimes d’un secret des affaires a pour partie été manqué. En effet, la définition très large adoptée par le législateur communautaire, et reprise peu ou prou à l’identique par le législateur français, laisse en effet une très large part à l’appréciation que le juge saisi d’une atteinte au droit revendiqué fera tant de l’existence même d’un droit au secret que de l’indemnisation qui pourra être ordonnée.
Trois conditions sont en effet posées par l’article L. 151-1 du code de commerce à la revendication par une personne d’une protection particulière. L’une de ces conditions, par sa généralité étendue, n’en est pas une : la nécessité que l’information ait une valeur commerciale, effective ou potentielle, s’infère de ce qu’elle est revendiquée par un acteur économique dans le cadre de son activité. Ce critère sera donc en pratique toujours rempli, sauf le cas particulier des choses ne pouvant être dans le commerce.
Les deux autres conditions recèlent en revanche leur lot d’interprétation subjective qui s’oppose par ailleurs à la responsabilité objective que le législateur a souhaité mettre en place. La première impose que l’information protégée ne soit pas généralement connue ou aisément accessible pour les personnes intervenant sur le même secteur d’activité. A l’inverse de l’état de la technique ou de l’art qui, en matière de brevet, peut être apprécié au regard de qui a été accessible au public, les notions de « généralement connue » et « d’aisément accessible » renvoient à des appréciations purement subjectives qui relèveront donc du pouvoir souverain du juge. La seconde impose que l’information ait fait l’objet « de mesures de protection raisonnables compte tenu des circonstances », notions dont il n’est pas nécessaire de relever le caractère parfaitement imprécis.
La subjectivité est ici à son comble alors par ailleurs qu’à l’inverse des marques ou des brevets, aucun examen par une autorité publique spécialisée et compétente n’est exercé sur l’objet à protéger permettant d’apprécier son « originalité », aucun dépôt n’est prévu qui permettrait de donner date certaine et aucune publicité de quelque nature que ce soit n’est organisée permettant aux tiers de savoir, a minima, si certaines entreprises ont des secrets entrant dans le champ de la protection.
Le juge saisi de la revendication d’une violation d’un secret se devra donc d’opérer une étude détaillée des moyens de protection mis en œuvre par l’entreprise qui prétend au secret afin d’apprécier subjectivement si ces moyens étaient ou non raisonnables. Saisi par la voie du référé, il est à prévoir que sauf les cas d’une extrême évidence, qui profiteront pour l’essentiel aux grandes entreprises structurées qui auront organisé un système efficace de protection, le juge ne pourra véritablement apprécier la pertinence des arguments techniques et organisationnels qui lui seront présentés et renverra les parties à mieux se pourvoir au fond ou ordonnera une expertise judiciaire. L’impératif de rapidité promu par la loi pour son efficacité manque ainsi sa cible.
Une copie à revoir
La protection des informations confidentielles des entreprises était un objectif sur lequel tout le monde pouvait s’entendre. Le choix fait par le Gouvernement de confier au Parlement l’initiative de transposer une directive, pour la première fois sous la Vème République, ne relevait pas d’une revalorisation du législateur, comme cela a pu être avancé, mais d’une volonté d’aller très rapidement alors que les délais de transposition étaient extrêmement courts. Les propositions de loi n’étant pas soumises aux études d’impact, il avait semblé au Gouvernement qu’une transposition sans nuance d’une directive très technique pourrait être aisément faite par cette voie.
Le résultat final montre qu’il n’eut pas été inutile que la Chancellerie soit saisie de cette transposition et lui accorde un temps de réflexion au moins égal au projet de réforme de la responsabilité civile qui semble s’être enlisé depuis sa diffusion le 13 mars 2017. Il faut espérer que ce projet sera actualisé afin de corriger les errements de la proposition de loi sur la protection du secret des affaires.
Xavier MARCHAND, avocat au cabinet Carakters,
[1] Déc. n° 82-144 DC du 22 octobre 1982
[2] Déc. n° 98-404 DC du 18 décembre 1998
[3] Déc. n° 2004-496 DC du 10 juin 2014 ; Déc. n° 2006-540 DC du 27 juillet 2006