Juridique

De l’importance de l’obligation de confidentialité et de la protection du patrimoine immatériel

La confidentialité est essentielle pour protéger le patrimoine immatériel des entreprises, qui comprend des informations stratégiques telles que les secrets industriels et les savoir-faire. Une fuite de ces données peut entraîner des conséquences graves, tant sur le plan économique que juridique.

Franck FERMAN

6 min read
Importance de l'obligation de confidentialité et protection du patrimoine immatériel dans l'entreprise.
Découvrez pourquoi l'obligation de confidentialité est essentielle pour la protection du patrimoine immatériel des entreprises.

Préambule

Introduction

Les salariés peuvent, selon leur fonction dans l'entreprise, être destinataires et détenteurs d'informations sensibles concernant l'employeur ou les partenaires économiques. La confidentialité des données est importante pour le secret des affaires et est un point sensible pour l'entreprise. Cette question est sujette à un contentieux abondant qui nécessite de bien délimiter les marges dont dispose l'entreprise dans ce domaine.

L'obligation de confidentialité est une exigence légitime

Il convient tout d’abord de distinguer plusieurs types d’obligations possibles, telles que le secret professionnel, l'obligation de réserve, de discrétion et de confidentialité, sur le plan juridique.

La confidentialité implique pour le salarié l’interdiction de divulguer à des tiers ou personnes non autorisées des informations à caractère confidentiel. Contrairement au secret professionnel, l’obligation de confidentialité n’est pas sanctionnée pénalement en tant que telle. Sans doute serait-il excessif de considérer que toute information détenue par le salarié présente un caractère confidentiel.

Il importe donc de bien définir quel type d’informations peut avoir un tel caractère de confidentialité. Même si le bon sens commun n’est pas exclu, il est important que le salarié connaisse précisément ce qui est confidentiel et ce qui ne l’est pas.

De manière générale, il est légitime que l’employeur puisse imposer une obligation de confidentialité à l’ensemble de ses collaborateurs, même si en pratique celle-ci sera plus ou moins contraignante en fonction de la nature de l’emploi occupé d’une part, et de la nature des informations auxquels le salarié a accès dans le cadre de ses fonctions d’autre part.

L'obligation de confidentialité est une exigence nécessaire

L'obligation de confidentialité découle de l'obligation générale d'exécution loyale et de bonne foi du contrat de travail (cf. art. 1134 du Code civil ; L1222-1 du Code du travail), un principe auquel la jurisprudence attache une importance particulière à l'égard de l'employeur comme du salarié.

C'est par conséquent au niveau du contrat de travail que cette obligation doit être rappelée et définie. À cet égard, une analyse des risques devrait être réalisée permettant de définir une politique de confidentialité dans le but de définir quels éléments seraient susceptibles de mettre en danger l'intégrité des systèmes d'information.

Une analyse des risques semble nécessaire, malheureusement, l'on constate souvent que les contrats de travail contiennent des clauses standardisées qui ne correspondent le plus souvent pas à la réalité de l'emploi du salarié ou aux enjeux de l'entreprise. Pourtant, la fuite de certains renseignements qui peuvent à première vue sembler anodins, telle que la version d'un système d'exploitation où les outils utilisés par le Système d'Informations, peuvent être véritablement dévastateurs, particulièrement au moment où les méthodologies d'OSINT se sont démocratisés dans le monde du hacking et de la sécurité informatique de manière plus générale.

Pour en revenir à la notion d'analyse de risques, ces notions doivent bien entendu être adapté en fonction du type de poste, un jardinier n'aura pas les mêmes spécificités en matière de clause de confidentialité qu'un administrateur systèmes et réseaux. En d'autres termes, plus le travail permet l'accès aux informations sensibles, plus la clause contractuelle doit être verrouillée. Cela étant, il faut conserver à l’esprit que tout n’est pas possible (par exemple dans le contexte du droit d'expression, cf. art. L2281-1 à L2283-2 du Code du travail).

La particularité de l’obligation de confidentialité est qu’elle s’applique aussi bien pendant la durée d’exécution du contrat de travail que postérieurement à sa rupture (cf. Cour de cassation, Chambre sociale du 19 mars 2008, n°06-45322). Une jurisprudence a par exemple ainsi reconnu la possibilité pour un employeur de faire interdire à un ancien salarié, après la cessation de son contrat de travail, la publication sur un site internet en violation de sa clause de confidentialité, d’une thèse contenant des informations qu’il avait obtenues dans l’exécution de son contrat de travail, et dont la confidentialité était nécessaire à la protection des intérêts de l’entreprise (cf. Cour de cassation, Chambre sociale du 12 février 2014, n° 11-27899).

De l'importance de la protection du patrimoine immatériel

L'entreprise doit bâtir une politique globale intégrée pour la protection du patrimoine immatériel, à laquelle l'ensemble des services ou départements doit être associé. La sécurité des systèmes d’information est une préoccupation importante (gestion des accès, utilisation des outils informatiques, etc.).

Pour garantir cette sécurité, il est essentiel d’élaborer une charte informatique (dont par exemple les Politiques de Sécurité des Systèmes d'Information). Les éléments dits confidentiels devraient être à la fois établis dans le contrat de travail mais également dans ces chartes. Il est important de préciser que la simple mention dans les documents cités précédemment et la menace d'une sanction ne suffisent pas. Si la confidentialité évoque directement le risque de sanction, il ne faut pas éluder l’importance de la sensibilisation et de l’information du personnel.

Une règle mise en place doit être explicitement expliquée à l'utilisateur, pour ne pas provoquer un sentiment d'injustice ou d'imprécision vis-à-vis d'une règle que l'utilisateur pourrait croire injustement restrictive. Un utilisateur qui comprend les enjeux de confidentialité de son entreprise sera bien plus à même de respecter ces règles.

À l'heure de l'utilisation massive des réseaux sociaux et d'Internet de manière générale, cet aspect ne doit pas être négligé, et les salariés les plus indiscrets seront moralement, mais également juridiquement inexcusables, dans la mesure où ils auront été effectivement informés mais également sensibilisés au préalable.

Tout collaborateur doit être prudent à ne pas révéler d’informations susceptibles d’entraîner des répercussions sur son entreprise lorsqu’il parle de sa journée de travail. Mais encore une fois, le simple bon sens ne suffit pas.

Des informations qui peuvent paraître anodines peuvent encore avoir pléthore de conséquences sur la structure. Selon la nature de l'information divulguée, les conséquences peuvent être très graves : pertes financières ; cible d'attaque (privilégiée par un groupe APT ou un quelconque hacker isolé) ; dommages physiques ; inquiétudes en interne ; avantage pour la concurrence ; de manière plus générale, une entrave à intégrité, la confidentialité ou la disponibilité des données...

En cas de non-conformité, l'employeur a ensuite un éventail de mesures possibles. Il est courant que le non-respect de l'obligation de confidentialité soit considéré comme une faute grave, pouvant par conséquent mener à une mise à pied conservatoire.

L’enjeu se situe alors sur le terrain de la preuve du non-respect de l'obligation de confidentialité. En effet, le doute profite au salarié en ce qui concerne la preuve du non-respect de l'obligation de confidentialité, car l'employeur ne peut jamais se contenter de simples soupçons ou d’alléguer une perte de confiance. La question de la recevabilité des preuves tirées de l’exploitation des outils informatiques donne cependant lieu à d'abondants contentieux autour de la question du caractère personnel des fichiers ou documents créés par le salarié sur le matériel informatique de l'entreprise.

D'où l'intérêt pour l'entreprise de sensibiliser les utilisateurs, il faut faire comprendre à l'utilisateur que leurs actes entraînent des conséquences. Il s'agit de responsabiliser l'utilisateur. Pour le bien des employés mais également de l'entreprise, les sanctions administratives et les poursuites judiciaires doivent être évitées quand cela est possible, cela passe donc inévitablement par de la sensibilisation et le rappel des risques encourus.

Définition de la charte de confidentialité

Objet de l'instruction

Il est essentiel de définir précisément les éléments considérés comme confidentiels au sein de l'entreprise. Cette définition doit résulter de réflexions approfondies et d'échanges entre les différents services concernés, tels que le service informatique et le service juridique. L'objectif est d'identifier les informations sensibles qui nécessitent une protection accrue et de formaliser ces éléments dans des documents appropriés.

Champ d'application

Le champ d'application de l'obligation de confidentialité doit être clairement défini en fonction du type de poste occupé au sein de l'entreprise. Plus un poste donne accès à des informations sensibles (RH, administrateur, chef de service...), plus les exigences de confidentialité doivent être rigoureuses.

Il est important de souligner que la confidentialité ne se limite pas uniquement aux personnes extérieures à l'entreprise, mais doit également être respectée en interne. De plus, la jurisprudence a confirmé que cette obligation perdure même après la fin du contrat de travail (cf. Cour de cassation, Chambre sociale du 19 mars 2008, n°06-45322 ; Cour de cassation, Chambre sociale du 12 février 2014, n°11-27899).

Pour être efficace, la clause de confidentialité doit être :

  • Inscrite clairement dans le contrat de travail.
  • Justifiée par la nécessité de protéger les intérêts de l'entreprise et en lien avec la nature des fonctions du salarié.
  • Détaillée en précisant les types d'informations à ne pas divulguer.
  • Conforme aux exigences de la convention collective applicable.

Dans certains cas, notamment lors du recours à des prestataires externes, il est recommandé d'établir une charte de confidentialité spécifique précisant les obligations des parties concernées avant l'accès aux informations sensibles de l'entreprise.

Définition des éléments considérés comme confidentiels

Il est primordial d'identifier les informations qui doivent rester confidentielles et de les communiquer clairement aux employés, sous-traitants et fournisseurs. Parmi ces informations figurent notamment :

  • Les détails sur les systèmes d'exploitation utilisés (nom et version).
  • Les services et outils internes et externes employés.
  • Les adresses IP et les noms de domaines de l'entreprise.
  • Les informations relatives aux administrateurs et aux techniciens du système.
  • La structure du réseau informatique.
  • Les identifiants d'accès (utilisateurs et mots de passe).
  • L'emplacement des serveurs et équipements réseau.
  • Les données personnelles des utilisateurs.
  • Les données financières et stratégiques de l'entreprise.
  • Les procédures internes et de sécurité.
  • Les stratégies de sauvegarde et de reprise après sinistre.

Conclusion

Définir clairement l'obligation de confidentialité dans le cadre du contrat de travail est indispensable pour assurer la protection des informations sensibles de l'entreprise. Cette obligation doit être adaptée au contexte de chaque organisation et accompagnée de mesures de sensibilisation et de contrôle appropriées afin de minimiser les risques de divulgation non autorisée.

Read more