Mois : juin 2016

La Directive sur le secret d’affaires a été adoptée deux semaines après la révélation sur la scène internationale du scandale d’évasion fiscale des « Panama Papers » par des journalistes du quotidien Le Monde.

Certaines parties prenantes, plus précisément journalistes et lanceurs d’alerte, dénoncent l’entrave à la liberté d’expression et d’information que constituerait cette Directive.

Néanmoins, on peut considérer que cette Directive n’effectue aucun changement relativement à la liberté d’expression et d’information d’ores et déjà encadrée au sein de la Convention Européenne des Droits de l’Homme. Cette dernière précise que cette liberté comporte devoirs et droits et peut être restreinte, notamment pour protéger la réputation ou les droits d’autrui ou pour empêcher la divulgation d’informations confidentielles. De surcroît, il est de jurisprudence constante de faire primer la liberté d’expression sur la confidentialité dès lors que l’information présente un éclairage pertinent au débat public. Enfin, le secret ne doit pas représenter un biais aux actions d’ordre illicite, elle ne prévaut pas devant les autorités étatiques, de même que le lanceur d’alerte conserve son immunité en cas de divulgation d’une activité illégale ou bien d’une faute.

La Directive 2016/943 s’est largement inspirée sur ce point des procédures prévues dans le domaine de la protection des droits de propriété intellectuelle, notamment par la loi du 11 mars 2014 n°2014-315 renforçant la lutte contre la contrefaçon et transposant la Directive 2004/48 du 29 avril 2004 relative au respect des droits de propriété intellectuelle.

Les Etats membres de l’Union Européenne devront prévoir les mesures, procédures et réparations nécessaires pour qu’un recours civil soit disponible contre l’obtention, l’utilisation ou la divulgation illicite de secrets d’affaires.

Le régime de sanctions prévu par la Directive ne porte que sur le volet civil de la protection du secret d’affaires.

1. Les mesures provisoires

Le titulaire d’un secret d’affaires soupçonnant une utilisation illicite de celui-ci par un tiers pourra solliciter des mesures provisoires, prévues aux articles 10 et 11 de la Directive.

La Directive ne prévoit pas de procédure « ex parte », mais il semble que le titulaire du secret d’affaires pourra utiliser la voie de la mesure in futurum classique prévue par l’article 145 du code de procédure civile. Il est toutefois prévu à l’article 10-1 c) la possibilité pour les Etats membres de prévoir, à titre provisoire et conservatoire, « la saisie ou la remise des biens soupçonnés d’être en infraction ».

Les autorités judiciaires pourront également prévoir à titre provisoire, la constitution de garanties par le tiers soupçonné d’utiliser illicitement un secret d’affaires, et destinées à assurer l’indemnisation du détenteur de secrets d’affaires.

2. Les mesures au fond

Les mesures que pourra obtenir le détenteur du secret d’affaires lorsqu’une décision judiciaire aura constaté l’obtention, la divulgation ou l’utilisation illicite d’un secret d’affaires, sont définies aux articles 12 à 15 de la Directive.

Il est prévu que l’autorité judiciaire pourra ordonner la cessation du trouble, l’interdiction d’offrir à la vente les produits en infraction, la destruction des biens illicites, mais également « l’adoption de mesures correctives appropriées » qu’il reviendra aux textes de transposition ou à la jurisprudence de définir.

La Directive prévoit également l’application de mesures correctives telles que le rappel des biens en infraction se trouvant sur le marché ; la suppression du caractère infractionnel du bien en infraction ; ainsi que « leur retrait du marché, à condition que ce retrait ne nuise pas à la protection du secret d’affaires en question ». Là encore, la transposition de la Directive devra clarifier l’application de cette mesure.

La Directive prévoit en outre à l’article 13 une série de critères qui devront être pris en compte par l’autorité judiciaire pour évaluer la mesure la plus appropriée à ordonner :

• La valeur ou d’autres caractéristiques du secret d’affaires ;
• Les mesures prises par l’entreprise pour protéger le secret d’affaires ;
• Le comportement du contrevenant lors de l’obtention, de l’utilisation ou de la divulgation du secret d’affaires ;
• L’incidence de l’utilisation ou de la divulgation illicite du secret d’affaires ;
• Les intérêts légitimes des parties et l’incidence que l’octroi ou le refus de ces mesures pourrait avoir sur les parties ;
• Les intérêts légitimes des tiers ;
• L’intérêt public ;
• La sauvegarde des droits fondamentaux.

Ces critères s’ajoutent aux principes généraux applicables en droit civil, à savoir que les mesures doivent être justes, équitables, effectives et dissuasives (article 6) ainsi que proportionnés (article 7).

Enfin le délai de prescription pour les recours formés en cas de divulgation illicite d’un secret d’affaires ne dépassera pas six ans (article 8). Cependant, la Directive ne précise pas le point de départ de ce délai de prescription. Les Etats membres devront préciser ce point lors de la transposition de la Directive. En outre, on peut penser que la prescription en France s’alignera sur la prescription quinquennale qui existe aujourd’hui en matière de propriété intellectuelle.

3. Les dommages-intérêts

Les détenteurs de secrets d’affaires pourront également demander réparation en cas de dommages subis à la suite de l’appropriation illicite de tout document, objet, matériau, substance ou fichier électronique contenant le secret d’affaires, ou dont le secret d’affaires peut être déduit (article 14).

Le principe de l’harmonisation minimale laisse aux Etats membres la possibilité de mettre en place ou non un arsenal complémentaire au niveau national (considérant 10 du Préambule). La France pourra ainsi éventuellement choisir de compléter son dispositif législatif par des dispositions pénales.

L’article 14 de la Directive met en place deux modes de calcul largement calqués sur le domaine de la propriété intellectuelle (article 13 de la Directive 2004/48 du 29 avril 2004 et loi 2014-315 du 11 mars 2014) :

• L’indemnisation doit prendre en considération le manque à gagner ainsi que les bénéfices injustement réalisés par le contrevenant, voire même le préjudice moral ;
• Un montant forfaitaire de dommages-intérêts peut également être fixé et calculé sur la base de redevances qui auraient été dues si une licence avait été conclue entre le contrevenant et le titulaire du secret d’affaires.

Rien n’est indiqué sur le caractère éventuellement « punitif » des dommages-intérêts, exclu par la Directive sur le respect des droits de propriété intellectuelle.

La Directive indique clairement qu’elle n’a pas vocation à réformer ou harmoniser le droit relatif à la concurrence déloyale, et rappelle néanmoins que les conditions d’application du texte entretiennent un lien de filiation direct avec cette action. En revanche, elle n’aborde pas les liens entre le secret des affaires et la propriété intellectuelle, ni les éventuels conflits de normes que son adoption pourrait provoquer.

Enfin, il est à noter que les demandes ayant pour objet d’obtenir réparation devraient être rejetées si un secret d’affaires a été obtenu, utilisé ou dévoilé dans les circonstances suivantes (considérants 19 et 20) :

• Pour exercer le droit à la liberté d’expression et d’information – qui englobe la liberté et le pluralisme des médias – établi dans la Charte des droits fondamentaux ;
• Pour révéler une faute professionnelle ou une autre faute ou une activité illégale, à condition que le défendeur ait agi dans le but de protéger l’intérêt public général ;
• La divulgation par des travailleurs à leurs représentants dans le cadre de l’exercice légitime par ces représentants de leur fonction conformément au droit de l’Union ou au droit national, pour autant que cette divulgation ait été nécessaire à cet exercice ;
• Pour protéger un intérêt légitime reconnu par le droit de l’Union ou le droit national.

***

Le droit français actuel permettait déjà de protéger les valeurs commerciales confidentielles de nos entreprises par le biais d’une part, d’actions civiles fondées sur la responsabilité contractuelle ou la responsabilité délictuelle avec l’action en concurrence déloyale et parasitaire notamment, et d’autre part, d’actions pénales, en particulier avec les actions fondées sur le vol, la violation du secret professionnel ou encore la divulgation illicite de secrets de fabrique.

Des moyens de preuve efficaces sont prévus par les textes et, notamment dans le domaine de la propriété intellectuelle, les juges mettent en œuvre aux différents stades des procédures des mesures efficaces pour protéger les secrets d’affaires.

Il faudra voir si le but premier de cette Directive qui est un but d’harmonisation sera atteint.

La Cour de cassation, dans un arrêt de la 1ère chambre civile du 25 février 2016 (n°14-25.729, Jurisdata n°2016-003097), intervenant seulement quelques semaines avant l’adoption par le Parlement Européen de la Directive sur le secret d’affaires, vient de se prononcer sur la portée du secret professionnel de l’avocat face au secret d’affaires lors d’un procès.

L’objet du litige portait sur la communication de pièces entre les parties. Le Président d’un Tribunal de commerce, saisi par voie de requête en vertu de l’article 145 du Code de Procédure Civile, avait désigné un huissier de justice afin qu’il saisisse et place sous séquestre certains documents informatiques détenus par le défendeur.

A la suite d’une assignation en référé délivrée afin d’obtenir la communication des pièces saisies et détenues par l’huissier, le juge avait procédé, avec le défendeur et son avocat, au tri des documents pouvant être communiqués au demandeur. Le demandeur et son conseil n’étaient donc pas présents lors de ce tri.

Le demandeur avait interjeté appel de l’ordonnance du juge des référés arguant du non-respect du contradictoire. Il soutenait qu’il aurait dû être présent, ou représenté, lors du tri des documents.

La Cour d’appel de Paris a donné raison au demandeur en censurant l’ordonnance de référé. La Cour a ainsi ordonné une nouvelle audience pour le tri des documents. Selon les juges, seuls les avocats des deux parties pouvaient être présents lors du tri des documents afin de pouvoir discuter de la communication desdites pièces, la protection due au secret d’affaire étant assurée par le secret professionnel des avocats.

Le défendeur a formé un pourvoi en cassation arguant du fait que le secret professionnel de l’avocat ne protègerait pas efficacement le secret d’affaires dans la mesure où le secret professionnel de l’avocat ne joue pas à l’égard de l’adversaire du client de l’avocat.

Finalement, le 25 février 2016, la Cour de Cassation fait droit au pourvoi au motif « que le secret professionnel des avocats ne s’étend pas aux documents détenus par l’adversaire de leur client, susceptibles de relever du secret des affaires, dont le refus de communication constitue l’objet même du litige ».

Par cet arrêt, antérieur à l’adoption de la Directive, la Cour de Cassation renforce la protection du secret d’affaires dont elle estime que la confidentialité n’est pas couverte par le secret professionnel de l’avocat.

Cette position pourrait être remise en cause par la Directive sur le secret d’affaires.

L’article 9 de la Directive prévoit une « protection du caractère confidentiel des secrets d’affaires au cours des procédures judiciaires ».

A cet égard, les Etats membres auront l’obligation de veiller à ce que les autorités judiciaires, à la demande d’une partie ou d’office, puissent qualifier de confidentielles certaines informations au titre du secret d’affaires.

Les tribunaux auront la possibilité d’imposer :

• des « cercles de confidentialité » en autorisant l’accès à certaines pièces du dossier qu’à un nombre limité de personnes ;
• ou encore de restreindre l’accès aux audiences à un nombre limité de personnes, de même que l’accès aux procès-verbaux ou notes d’audience, dans la mesure où des secrets d’affaires allégués seraient susceptibles d’y être divulgués.

Le considérant 25 du préambule de cette Directive précise que ces personnes devront être soumises aux obligations de confidentialité. Il indique en outre que, s’agissant du cercle restreint de personnes, il « devrait dès lors comprendre au moins une personne physique pour chaque partie, ainsi que l’avocat de chaque partie et, le cas échéant, d’autres représentants disposant des qualifications appropriés conformément au droit national pour défendre, représenter ou servir les intérêts d’un partie dans les procédures judiciaires couvertes par la présente Directive ». Il est encore précisé que « toutes ces personnes devraient avoir pleinement accès à ces éléments de preuve ou ces audiences ».

Or, cette solution du « cercle de confidentialité » autoriserait ainsi l’avocat du demandeur à être présent lors du tri des informations relevant ou non du secret d’affaires, contrairement à ce qu’a jugé la Cour de cassation le 25 février dernier.

La Directive reprend la définition exacte de la notion de secrets d’affaires des ADPIC de 1994.

L’article 2 de la Directive définit ainsi la notion de « secret d’affaires » comme s’entendant « des informations qui répondent à toutes les conditions suivantes :

a) Elles sont secrètes en ce sens que, dans leur globalité ou dans la configuration et l’assemblage exacts de leurs éléments, elles ne sont pas généralement connues des personnes appartenant aux milieux qui s’occupent normalement du genre d’informations en question, ou ne leur sont pas aisément accessibles;

b) Elles ont une valeur commerciale parce qu’elles sont secrètes ;

c) Elles ont fait l’objet, de la part de la personne qui en a le contrôle de façon licite, de dispositions raisonnables, compte tenu des circonstances, destinées à les garder secrètes » (soulignement ajouté).

L’article 3 de la Directive définit l’obtention, l’utilisation et la divulgation licites de secrets d’affaires.

Est en particulier considérée comme étant licite l’obtention du secret d’affaires lors d’une découverte ou d’une création indépendante. De même, la Directive n’a pas entendu interdire à tout travailleur ayant acquis des connaissances au sein d’une entreprise, de ne pas se resservir de ses connaissances au sein d’une entreprise tierce. C’est en cela que le secret d’affaires diffère des compétences acquises par une personne physique et de son savoir-faire propre.

L’article 4 de la Directive énumère ce qui relève de l’obtention illicite d’un secret d’affaires.

Il semblerait que la bonne foi ne protège pas la personne qui utilise illicitement un secret d’affaires dès lors que, « eu égard aux circonstances, [elle] aurait dû savoir que le secret d’affaires était utilisé de façon illicite ».

L’article 5 de la Directive précise les cas de dérogations à la divulgation illicite du secret d’affaires. N’est donc pas considéré comme étant illicite le fait d’avoir obtenu, utilisé, ou divulgué un secret d’affaires dans l’une de ces circonstances (voir à ce sujet le développement sur les lanceurs d’alerte) :

• « Pour exercer le droit à la liberté d’expression et d’information établi dans la Charte, y compris le respect de la liberté et du pluralisme des médias ;
• Pour révéler une faute professionnelle ou une autre faute ou une activité illégale, à condition que le défendeur ait agi dans le but de protéger l’intérêt public général ;
• La divulgation par des travailleurs à leurs représentants dans le cadre de l’exercice légitime par ces représentants de leur fonction conformément au droit de l’Union ou au droit national, pour autant que cette divulgation ait été nécessaire à cet exercice ;
• Aux fins de la protection d’un intérêt légitime reconnu par le droit de l’Union ou le droit national.»

Il reviendra aux tribunaux de définir plus précisément ce qui relève ou non du secret d’affaires au cas par cas.

La récente Directive 2016/943 du 8 juin 2016 sur la protection des savoir-faire et des informations commerciales non divulguées contre l’obtention, l’utilisation et la divulgation illicites, inhérente à la protection des secrets d’affaires, entrera en vigueur le 5 juillet prochain. Les Etats membres disposent d’un délai de 2 ans pour la transposition.

Cette Directive intéresse les entreprises de toutes tailles et de tous secteurs.

A l’instar de la Chine et des Etats-Unis, l’Union Européenne – en raison de disparités importantes en matière de législations visant à la sauvegarde des secrets d’affaires – a souhaité faire œuvre d’harmonisation et inciter l’esprit d’entreprise et d’innovation par une sécurité accrue en termes de protection et sanctions contre l’appropriation illicite des secrets d’affaires.

Cette approche, cohérente d’un point de vue économique, vise à permettre aux entreprises de se prémunir contre les risques d’espionnage industriel et de divulgation de leur savoir-faire, au sein d’un Etat membre où la protection serait moindre.

L’obtention, le développement et l’utilisation de savoir-faire et d’information constituent la monnaie de l’économie de la connaissance et confère un avantage concurrentiel. Ces savoir-faire et ces informations commerciales de valeur, confidentiels, sont essentiels : c’est ce que l’on appelle les « secrets d’affaires ».

Jusqu’à présent, il n’existait pas de définition légale du secret d’affaires en France. Certains pays européens avaient déjà légiféré sur cette notion, mais d’une manière différente et dans des textes épars.

En France, le secret d’affaires ne donne pas accès, loin s’en faut, à des droits exclusifs à son détenteur, contrairement aux droits de propriété intellectuelle classiques ; et les droits de propriété intellectuelle sont tantôt insuffisants tantôt inadaptés à la protection des secrets d’affaires, d’abord parce qu’ils supposent une publication, même si celle-ci peut-être différée en matière de brevet par exemple.

Au niveau international, les Etats-Unis ont dès 1979 défini le « trade secret » au sein de l’Uniform Trade Secrets Act, en vue de protéger et d’uniformiser la définition des secrets d’affaires des entreprises agissant au sein de plusieurs Etats.

Très récemment, les Etats-Unis, devançant l’Union Européenne, ont adopté une loi fédérale : la Defend Trade Secrets Act du 11 mai 2016, visant notamment à protéger les secrets d’affaires pendant le procès.

Les accords sur les Aspects des Droits de Propriété Intellectuelle qui touchent au Commerce (ADPIC) de 1994, annexés aux accords de l’Organisation Mondiale du Commerce (OMC), se sont inspirés des Etats-Unis pour définir la notion de « renseignements non divulgués » et offrir une base de définition commune aux Etats Membres de l’Union européenne. La définition des accords ADPIC repose sur 3 conditions cumulatives :

• Le caractère secret,
• La valeur commerciale,
• Les mesures raisonnables prises par le détenteur du secret pour en assurer la confidentialité.

La Directive définit au sein du considérant 1 du Préambule la notion de secrets d’affaires comme étant relative aux savoir-faire et aux informations commerciales de valeur qui ne sont pas divulgués et que l’on entend garder confidentiels.

Elle a pour but d’harmoniser la définition du secret des affaires avec les lois internationales et vise à empêcher l’obtention, l’utilisation et la divulgation illicites de ces informations. La Directive n’établit toutefois pas de sanctions pénales, mais elle propose d’harmoniser les mesures au plan civil pour mieux protéger les secrets d’affaires des entreprises et des organismes de recherche.

De nombreuses critiques ont fait valoir que cette Directive risquait de mettre en péril certains droits et libertés fondamentaux, comme la liberté et le pluralisme des médias, le travail des journalistes et des « lanceurs d’alerte » ou encore la mobilité des travailleurs.

L’introduction d’une définition européenne des « secrets d’affaires » devrait permettre aux Etats membres de garantir aux victimes d’une utilisation abusive des secrets d’affaires une défense de leurs droits et la possibilité de demander une réparation devant les tribunaux. Le texte prévoit également des règles sur la protection des informations confidentielles dans le cadre d’une procédure judiciaire.

1. ENTREE EN VIGUEUR DE LA DIRECTIVE 2016/943 DU 8 JUIN 2016 SUR LA PROTECTION DES SECRETS D’AFFAIRES

La récente Directive 2016/943 du 8 juin 2016 sur la protection des savoir-faire et des informations commerciales non divulguées contre l’obtention, l’utilisation et la divulgation illicites, inhérente à la protection des secrets d’affaires, entrera en vigueur le 5 juillet prochain. Les Etats membres disposent d’un délai de 2 ans pour la transposition.

Cette Directive intéresse les entreprises de toutes tailles et de tous secteurs.

A l’instar de la Chine et des Etats-Unis, l’Union Européenne – en raison de disparités importantes en matière de législations visant à la sauvegarde des secrets d’affaires – a souhaité faire œuvre d’harmonisation et inciter l’esprit d’entreprise et d’innovation par une sécurité accrue en termes de protection et sanctions contre l’appropriation illicite des secrets d’affaires.

Cette approche, cohérente d’un point de vue économique, vise à permettre aux entreprises de se prémunir contre les risques d’espionnage industriel et de divulgation de leur savoir-faire, au sein d’un Etat membre où la protection serait moindre.

L’obtention, le développement et l’utilisation de savoir-faire et d’information constituent la monnaie de l’économie de la connaissance et confère un avantage concurrentiel. Ces savoir-faire et ces informations commerciales de valeur, confidentiels, sont essentiels : c’est ce que l’on appelle les « secrets d’affaires ».

Jusqu’à présent, il n’existait pas de définition légale du secret d’affaires en France. Certains pays européens avaient déjà légiféré sur cette notion, mais d’une manière différente et dans des textes épars.

En France, le secret d’affaires ne donne pas accès, loin s’en faut, à des droits exclusifs à son détenteur, contrairement aux droits de propriété intellectuelle classiques ; et les droits de propriété intellectuelle sont tantôt insuffisants tantôt inadaptés à la protection des secrets d’affaires, d’abord parce qu’ils supposent une publication, même si celle-ci peut-être différée en matière de brevet par exemple.

Au niveau international, les Etats-Unis ont dès 1979 défini le « trade secret » au sein de l’Uniform Trade Secrets Act, en vue de protéger et d’uniformiser la définition des secrets d’affaires des entreprises agissant au sein de plusieurs Etats.
Très récemment, les Etats-Unis, devançant l’Union Européenne, ont adopté une loi fédérale : la Defend Trade Secrets Act du 11 mai 2016, visant notamment à protéger les secrets d’affaires pendant le procès.

Les accords sur les Aspects des Droits de Propriété Intellectuelle qui touchent au Commerce (ADPIC) de 1994, annexés aux accords de l’Organisation Mondiale du Commerce (OMC), se sont inspirés des Etats-Unis pour définir la notion de « renseignements non divulgués » et offrir une base de définition commune aux Etats Membres de l’Union européenne. La définition des accords ADPIC repose sur 3 conditions cumulatives :

• Le caractère secret,
• La valeur commerciale,
• Les mesures raisonnables prises par le détenteur du secret pour en assurer la confidentialité.

La Directive définit au sein du considérant 1 du Préambule la notion de secrets d’affaires comme étant relative aux savoir-faire et aux informations commerciales de valeur qui ne sont pas divulgués et que l’on entend garder confidentiels.

Elle a pour but d’harmoniser la définition du secret des affaires avec les lois internationales et vise à empêcher l’obtention, l’utilisation et la divulgation illicites de ces informations. La Directive n’établit toutefois pas de sanctions pénales, mais elle propose d’harmoniser les mesures au plan civil pour mieux protéger les secrets d’affaires des entreprises et des organismes de recherche.

De nombreuses critiques ont fait valoir que cette Directive risquait de mettre en péril certains droits et libertés fondamentaux, comme la liberté et le pluralisme des médias, le travail des journalistes et des « lanceurs d’alerte » ou encore la mobilité des travailleurs.

L’introduction d’une définition européenne des « secrets d’affaires » devrait permettre aux Etats membres de garantir aux victimes d’une utilisation abusive des secrets d’affaires une défense de leurs droits et la possibilité de demander une réparation devant les tribunaux. Le texte prévoit également des règles sur la protection des informations confidentielles dans le cadre d’une procédure judiciaire.

2. LA NOTION DE SECRETS D’AFFAIRES DANS LA DIRECTIVE

La Directive reprend la définition exacte de la notion de secrets d’affaires des ADPIC de 1994.

L’article 2 de la Directive définit ainsi la notion de « secret d’affaires » comme s’entendant « des informations qui répondent à toutes les conditions suivantes :

a. Elles sont secrètes en ce sens que, dans leur globalité ou dans la configuration et l’assemblage exacts de leurs éléments, elles ne sont pas généralement connues des personnes appartenant aux milieux qui s’occupent normalement du genre d’informations en question, ou ne leur sont pas aisément accessibles ;

b. Elles ont une valeur commerciale parce qu’elles sont secrètes ;

c. Elles ont fait l’objet, de la part de la personne qui en a le contrôle de façon licite, de dispositions raisonnables, compte tenu des circonstances, destinées à les garder secrètes » (soulignement ajouté).

L’article 3 de la Directive définit l’obtention, l’utilisation et la divulgation licites de secrets d’affaires.

Est en particulier considérée comme étant licite l’obtention du secret d’affaires lors d’une découverte ou d’une création indépendante. De même, la Directive n’a pas entendu interdire à tout travailleur ayant acquis des connaissances au sein d’une entreprise, de ne pas se resservir de ses connaissances au sein d’une entreprise tierce. C’est en cela que le secret d’affaires diffère des compétences acquises par une personne physique et de son savoir-faire propre.

L’article 4 de la Directive énumère ce qui relève de l’obtention illicite d’un secret d’affaires.

Il semblerait que la bonne foi ne protège pas la personne qui utilise illicitement un secret d’affaires dès lors que, « eu égard aux circonstances, [elle] aurait dû savoir que le secret d’affaires était utilisé de façon illicite ».

L’article 5 de la Directive précise les cas de dérogations à la divulgation illicite du secret d’affaires. N’est donc pas considéré comme étant illicite le fait d’avoir obtenu, utilisé, ou divulgué un secret d’affaires dans l’une de ces circonstances (voir à ce sujet le développement sur les lanceurs d’alerte) :

• « Pour exercer le droit à la liberté d’expression et d’information établi dans la Charte, y compris le respect de la liberté et du pluralisme des médias ;
• Pour révéler une faute professionnelle ou une autre faute ou une activité illégale, à condition que le défendeur ait agi dans le but de protéger l’intérêt public général ;
• La divulgation par des travailleurs à leurs représentants dans le cadre de l’exercice légitime par ces représentants de leur fonction conformément au droit de l’Union ou au droit national, pour autant que cette divulgation ait été nécessaire à cet exercice ;
• Aux fins de la protection d’un intérêt légitime reconnu par le droit de l’Union ou le droit national. »

Il reviendra aux tribunaux de définir plus précisément ce qui relève ou non du secret d’affaires au cas par cas.

3. LA PROTECTION DE LA CONFIDENTIALITE DANS LE PROCES : SECRET D’AFFAIRES ET SECRET PROFESSIONNEL DE L’AVOCAT

La Cour de cassation, dans un arrêt de la 1ère chambre civile du 25 février 2016 (n°14-25.729, Jurisdata n°2016-003097), intervenant seulement quelques semaines avant l’adoption par le Parlement Européen de la Directive sur le secret d’affaires, vient de se prononcer sur la portée du secret professionnel de l’avocat face au secret d’affaires lors d’un procès.

L’objet du litige portait sur la communication de pièces entre les parties. Le Président d’un Tribunal de commerce, saisi par voie de requête en vertu de l’article 145 du Code de Procédure Civile, avait désigné un huissier de justice afin qu’il saisisse et place sous séquestre certains documents informatiques détenus par le défendeur.

A la suite d’une assignation en référé délivrée afin d’obtenir la communication des pièces saisies et détenues par l’huissier, le juge avait procédé, avec le défendeur et son avocat, au tri des documents pouvant être communiqués au demandeur. Le demandeur et son conseil n’étaient donc pas présents lors de ce tri.

Le demandeur avait interjeté appel de l’ordonnance du juge des référés arguant du non-respect du contradictoire. Il soutenait qu’il aurait dû être présent, ou représenté, lors du tri des documents.

La Cour d’appel de Paris a donné raison au demandeur en censurant l’ordonnance de référé. La Cour a ainsi ordonné une nouvelle audience pour le tri des documents. Selon les juges, seuls les avocats des deux parties pouvaient être présents lors du tri des documents afin de pouvoir discuter de la communication desdites pièces, la protection due au secret d’affaire étant assurée par le secret professionnel des avocats.

Le défendeur a formé un pourvoi en cassation arguant du fait que le secret professionnel de l’avocat ne protègerait pas efficacement le secret d’affaires dans la mesure où le secret professionnel de l’avocat ne joue pas à l’égard de l’adversaire du client de l’avocat.

Finalement, le 25 février 2016, la Cour de Cassation fait droit au pourvoi au motif « que le secret professionnel des avocats ne s’étend pas aux documents détenus par l’adversaire de leur client, susceptibles de relever du secret des affaires, dont le refus de communication constitue l’objet même du litige ».

Par cet arrêt, antérieur à l’adoption de la Directive, la Cour de Cassation renforce la protection du secret d’affaires dont elle estime que la confidentialité n’est pas couverte par le secret professionnel de l’avocat.

Cette position pourrait être remise en cause par la Directive sur le secret d’affaires.

L’article 9 de la Directive prévoit une « protection du caractère confidentiel des secrets d’affaires au cours des procédures judiciaires ».

A cet égard, les Etats membres auront l’obligation de veiller à ce que les autorités judiciaires, à la demande d’une partie ou d’office, puissent qualifier de confidentielles certaines informations au titre du secret d’affaires.

Les tribunaux auront la possibilité d’imposer :

• des « cercles de confidentialité » en autorisant l’accès à certaines pièces du dossier qu’à un nombre limité de personnes ;
• ou encore de restreindre l’accès aux audiences à un nombre limité de personnes, de même que l’accès aux procès-verbaux ou notes d’audience, dans la mesure où des secrets d’affaires allégués seraient susceptibles d’y être divulgués.

Le considérant 25 du préambule de cette Directive précise que ces personnes devront être soumises aux obligations de confidentialité. Il indique en outre que, s’agissant du cercle restreint de personnes, il « devrait dès lors comprendre au moins une personne physique pour chaque partie, ainsi que l’avocat de chaque partie et, le cas échéant, d’autres représentants disposant des qualifications appropriés conformément au droit national pour défendre, représenter ou servir les intérêts d’un partie dans les procédures judiciaires couvertes par la présente Directive ». Il est encore précisé que « toutes ces personnes devraient avoir pleinement accès à ces éléments de preuve ou ces audiences ».

Or, cette solution du « cercle de confidentialité » autoriserait ainsi l’avocat du demandeur à être présent lors du tri des informations relevant ou non du secret d’affaires, contrairement à ce qu’a jugé la Cour de cassation le 25 février dernier.

4. LES MESURES PROVISOIRES ET DE REPARATION DE L’OBTENTION, L’UTILISATION OU LA DIVULGATION ILLICITE D’UN SECRET D’AFFAIRES

La Directive 2016/943 s’est largement inspirée sur ce point des procédures prévues dans le domaine de la protection des droits de propriété intellectuelle, notamment par la loi du 11 mars 2014 n°2014-315 renforçant la lutte contre la contrefaçon et transposant la Directive 2004/48 du 29 avril 2004 relative au respect des droits de propriété intellectuelle.

Les Etats membres de l’Union Européenne devront prévoir les mesures, procédures et réparations nécessaires pour qu’un recours civil soit disponible contre l’obtention, l’utilisation ou la divulgation illicite de secrets d’affaires.

Le régime de sanctions prévu par la Directive ne porte que sur le volet civil de la protection du secret d’affaires.

• Les mesures provisoires

Le titulaire d’un secret d’affaires soupçonnant une utilisation illicite de celui-ci par un tiers pourra solliciter des mesures provisoires, prévues aux articles 10 et 11 de la Directive.

La Directive ne prévoit pas de procédure « ex parte », mais il semble que le titulaire du secret d’affaires pourra utiliser la voie de la mesure in futurum classique prévue par l’article 145 du code de procédure civile. Il est toutefois prévu à l’article 10-1 c) la possibilité pour les Etats membres de prévoir, à titre provisoire et conservatoire, « la saisie ou la remise des biens soupçonnés d’être en infraction ».

Les autorités judiciaires pourront également prévoir à titre provisoire, la constitution de garanties par le tiers soupçonné d’utiliser illicitement un secret d’affaires, et destinées à assurer l’indemnisation du détenteur de secrets d’affaires.

• Les mesures au fond

Les mesures que pourra obtenir le détenteur du secret d’affaires lorsqu’une décision judiciaire aura constaté l’obtention, la divulgation ou l’utilisation illicite d’un secret d’affaires, sont définies aux articles 12 à 15 de la Directive.

Il est prévu que l’autorité judiciaire pourra ordonner la cessation du trouble, l’interdiction d’offrir à la vente les produits en infraction, la destruction des biens illicites, mais également « l’adoption de mesures correctives appropriées » qu’il reviendra aux textes de transposition ou à la jurisprudence de définir.

La Directive prévoit également l’application de mesures correctives telles que le rappel des biens en infraction se trouvant sur le marché ; la suppression du caractère infractionnel du bien en infraction ; ainsi que « leur retrait du marché, à condition que ce retrait ne nuise pas à la protection du secret d’affaires en question ». Là encore, la transposition de la Directive devra clarifier l’application de cette mesure.

La Directive prévoit en outre à l’article 13 une série de critères qui devront être pris en compte par l’autorité judiciaire pour évaluer la mesure la plus appropriée à ordonner :

• La valeur ou d’autres caractéristiques du secret d’affaires ;
• Les mesures prises par l’entreprise pour protéger le secret d’affaires ;
• Le comportement du contrevenant lors de l’obtention, de l’utilisation ou de la divulgation du secret d’affaires ;
• L’incidence de l’utilisation ou de la divulgation illicite du secret d’affaires ;
• Les intérêts légitimes des parties et l’incidence que l’octroi ou le refus de ces mesures pourrait avoir sur les parties ;
• Les intérêts légitimes des tiers ;
• L’intérêt public ;
• La sauvegarde des droits fondamentaux.

Ces critères s’ajoutent aux principes généraux applicables en droit civil, à savoir que les mesures doivent être justes, équitables, effectives et dissuasives (article 6) ainsi que proportionnés (article 7).

Enfin le délai de prescription pour les recours formés en cas de divulgation illicite d’un secret d’affaires ne dépassera pas six ans (article 8). Cependant, la Directive ne précise pas le point de départ de ce délai de prescription. Les Etats membres devront préciser ce point lors de la transposition de la Directive. En outre, on peut penser que la prescription en France s’alignera sur la prescription quinquennale qui existe aujourd’hui en matière de propriété intellectuelle.

• Les dommages-intérêts

Les détenteurs de secrets d’affaires pourront également demander réparation en cas de dommages subis à la suite de l’appropriation illicite de tout document, objet, matériau, substance ou fichier électronique contenant le secret d’affaires, ou dont le secret d’affaires peut être déduit (article 14).

Le principe de l’harmonisation minimale laisse aux Etats membres la possibilité de mettre en place ou non un arsenal complémentaire au niveau national (considérant 10 du Préambule). La France pourra ainsi éventuellement choisir de compléter son dispositif législatif par des dispositions pénales.

L’article 14 de la Directive met en place deux modes de calcul largement calqués sur le domaine de la propriété intellectuelle (article 13 de la Directive 2004/48 du 29 avril 2004 et loi 2014-315 du 11 mars 2014) :

• L’indemnisation doit prendre en considération le manque à gagner ainsi que les bénéfices injustement réalisés par le contrevenant, voire même le préjudice moral ;
• Un montant forfaitaire de dommages-intérêts peut également être fixé et calculé sur la base de redevances qui auraient été dues si une licence avait été conclue entre le contrevenant et le titulaire du secret d’affaires.

Rien n’est indiqué sur le caractère éventuellement « punitif » des dommages-intérêts, exclu par la Directive sur le respect des droits de propriété intellectuelle.

La Directive indique clairement qu’elle n’a pas vocation à réformer ou harmoniser le droit relatif à la concurrence déloyale, et rappelle néanmoins que les conditions d’application du texte entretiennent un lien de filiation direct avec cette action. En revanche, elle n’aborde pas les liens entre le secret des affaires et la propriété intellectuelle, ni les éventuels conflits de normes que son adoption pourrait provoquer.

Enfin, il est à noter que les demandes ayant pour objet d’obtenir réparation devraient être rejetées si un secret d’affaires a été obtenu, utilisé ou dévoilé dans les circonstances suivantes (considérants 19 et 20) :

• Pour exercer le droit à la liberté d’expression et d’information – qui englobe la liberté et le pluralisme des médias – établi dans la Charte des droits fondamentaux ;
• Pour révéler une faute professionnelle ou une autre faute ou une activité illégale, à condition que le défendeur ait agi dans le but de protéger l’intérêt public général ;
• La divulgation par des travailleurs à leurs représentants dans le cadre de l’exercice légitime par ces représentants de leur fonction conformément au droit de l’Union ou au droit national, pour autant que cette divulgation ait été nécessaire à cet exercice ;
• Pour protéger un intérêt légitime reconnu par le droit de l’Union ou le droit national.

* *
*

Le droit français actuel permettait déjà de protéger les valeurs commerciales confidentielles de nos entreprises par le biais d’une part, d’actions civiles fondées sur la responsabilité contractuelle ou la responsabilité délictuelle avec l’action en concurrence déloyale et parasitaire notamment, et d’autre part, d’actions pénales, en particulier avec les actions fondées sur le vol, la violation du secret professionnel ou encore la divulgation illicite de secrets de fabrique.

Des moyens de preuve efficaces sont prévus par les textes et, notamment dans le domaine de la propriété intellectuelle, les juges mettent en œuvre aux différents stades des procédures des mesures efficaces pour protéger les secrets d’affaires.

Il faudra voir si le but premier de cette Directive qui est un but d’harmonisation sera atteint.

5. LES CONSEQUENCES DE L’ADOPTION DE LA DIRECTIVE SECRET D’AFFAIRES VIS-A-VIS DE CEUX QUE L’ON NOMME COMMUNEMENT LES LANCEURS D’ALERTE

La Directive sur le secret d’affaires a été adoptée deux semaines après la révélation sur la scène internationale du scandale d’évasion fiscale des « Panama Papers » par des journalistes du quotidien Le Monde.

Certaines parties prenantes, plus précisément journalistes et lanceurs d’alerte, dénoncent l’entrave à la liberté d’expression et d’information que constituerait cette Directive.

Néanmoins, on peut considérer que cette Directive n’effectue aucun changement relativement à la liberté d’expression et d’information d’ores et déjà encadrée au sein de la Convention Européenne des Droits de l’Homme. Cette dernière précise que cette liberté comporte devoirs et droits et peut être restreinte, notamment pour protéger la réputation ou les droits d’autrui ou pour empêcher la divulgation d’informations confidentielles. De surcroît, il est de jurisprudence constante de faire primer la liberté d’expression sur la confidentialité dès lors que l’information présente un éclairage pertinent au débat public. Enfin, le secret ne doit pas représenter un biais aux actions d’ordre illicite, elle ne prévaut pas devant les autorités étatiques, de même que le lanceur d’alerte conserve son immunité en cas de divulgation d’une activité illégale ou bien d’une faute.

Le 25 janvier 2012, la Commission de l’Union Européenne a proposé une réforme globale des règles en matière de protection des données personnelles, dans le but d’accroître la maîtrise que les utilisateurs ont sur leurs données et de réduire les coûts pesant sur les entreprises.

Suite à cette initiative, plusieurs consultations publiques ont été lancées et le G29 a rendu deux avis, en mars et octobre 2012. Prenant en considération les différentes observations faites, la Commission a déposé une première proposition de règlement.

Le choix du règlement a été privilégié par la Commission dans la mesure où cet instrument juridique ne nécessite pas de transposition ultérieure par les États membres, ce qui écarte le risque de fragmentation juridique et favorise le marché commun.

Après plusieurs navettes entre la Commission et le Parlement européen et après de nombreuses discussions pour parvenir à un texte de compromis, le règlement définitif n°2016/679 a été adopté le 27 avril 2016 et publié le 4 mai 2016. Il est prévu que ce règlement entre en vigueur deux ans et vingt jours après sa publication, soit le 25 mai 2018, date à laquelle la directive de 1995 régissant la collecte et le traitement des données personnelles sera abrogée. Les entreprises auront alors une période de deux ans pour se mettre en conformité avec ces nouvelles dispositions.

Si plusieurs questions devront être précisées lors de la mise en application de ce nouveau règlement, sa lecture permet d’ores et déjà d’avoir une idée des grandes lignes qu’il instaure.

Compte tenu des profonds changements engendrés par le nouveau texte, il apparaît opportun de mettre à profit les deux années qui nous séparent de l’entrée en vigueur du règlement pour faire un point sur la question des traitements de données personnelles dans chaque entreprise.

DEFINITIONS ET CHAMP D’APPLICATION TERRITORIALE

Le règlement définit la notion de donnée personnelle comme « Toute information se rapportant à une personne physique identifiée ou identifiable, et précise que l’on entend par personne physique identifiable toute personne physique pouvant être identifiée directement ou indirectement, notamment par référence à un identifiant (nom, n°identification, données de localisation, identifiant en ligne, un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle, sociale) ».

Le traitement de données personnelles est quant à lui défini comme « Toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliqués à des données ou ensemble de données à caractère personnel ».

En outre, le responsable de traitement est défini comme toute personne physique ou morale qui décide de la création d’un traitement, de sa finalité et de ses moyens de mise en œuvre.

Le sous-traitant est « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ».

Par ailleurs, alors que sous l’empire de la directive de 1995, les dispositions sur la protection des données personnelles s’appliquent quand le responsable de traitement est situé sur le territoire français ou lorsqu’il est situé en dehors du territoire de l’Union mais qu’il recourt à des moyens de traitement situés sur le territoire français ; les dispositions du nouveau règlement prévoient que les dispositions s’appliqueront :

• lorsque l’établissement d’un responsable de traitement ou de son sous-traitant est situé sur le territoire de l’Union, peu importe que le traitement de données ait lieu au sein de l’Union ou en dehors ;
• lorsque le responsable de traitement est situé hors de l’Union mais que ses activités de traitement seront liées à l’offre de biens ou de services à des personnes situées dans l’Union, ou liées à l’observation de leur comportement. Dans ce cas particulier, le responsable de traitement situé hors de l’Union aura l’obligation de désigner un représentant, qui lui, sera établi au sein de l’Union.

Ces nouvelles dispositions ont pour effet d’étendre le champ d’application des règles de façon importante, notamment aux entreprises situées en dehors de l’Union Européenne mais ayant une activité dans l’Union Européenne, ou traitant des données de personnes résidants dans l’Union.

NOUVEAUX ACTEURS

Deux nouveaux acteurs sont créés par le règlement :

1. Le comité européen de la protection des données vient remplacer l’actuel G29, et voit ses pouvoirs renforcés.

Le comité sera un organe indépendant de l’Union Européenne, ayant la personnalité juridique et qui sera représenté par son Président. Il sera composé du chef de l’autorité de contrôle en matière de données personnelles de chaque État membre, ainsi que du contrôleur européen de la protection des données.

Le comité aura plusieurs missions, dont notamment celles de :

• publier des lignes directrices, des recommandations et des bonnes pratiques concernant les circonstances dans lesquelles une violation de données est susceptible d’engager un risque ;
• examiner, de sa propre initiative ou sur demande, toute question portant sur l’application du règlement ;
• tenir un registre électronique, accessible au public, des décisions prises par les autorités de contrôle et les juridictions sur les questions traitées dans le cadre du mécanisme du contrôle de la cohérence.

2. Concernant le délégué à la protection des données (DPD ou DPO (Data Protection Officier) en anglais), il viendra remplacer l’actuel correspondant informatique et libertés (CIL).

Comme le CIL, le DPD devra avoir une connaissance étendue de la législation en matière de protection des données personnelles.

Sa désignation sera obligatoire dans certains cas :

• si le traitement est effectué par une autorité ou un organisme public (exception faite des tribunaux dans l’exercice de leur fonction juridictionnelle) ;
• si les activités de base d’un responsable de traitement ou d’un sous-traitant comprennent des opérations de traitement qui du fait de leur nature, de leur portée et/ou de leurs finalités exigeraient un suivi régulier et systématique à grande échelle de personnes ;
• si les activités de base d’un responsable de traitement ou d’un sous-traitant comprennent un traitement à grande échelle de données sensibles et de données à caractère personnel relatives à des condamnations pénales et à des infractions ;
• lorsque la loi nationale d’un État membre l’impose.

Il pourra être soit un employé du responsable de traitement ou du sous-traitant, soit un prestataire externe. Dans les deux cas, il devra agir en toute indépendance et ne pas recevoir d’instructions quant à l’exercice de ses fonctions.

Son rôle sera notamment de conseiller l’entreprise sur ses obligations de conformité et servir de point de contact avec les autorités de contrôle.

NOUVEAUTES DE FOND

Un certain nombre de nouveautés de fond sont introduites par le règlement.

1. L’exigence du consentement de la personne dont les données sont collectées est renforcée, puisque celle-ci devra en principe exprimer son consentement, avant tout traitement de ses données personnelles, par un système d’opt-in. Le consentement est ainsi défini comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».

2. Le règlement introduit les notions de « privacy by design » (conformité dès la conception) et de « privacy by default » (conformité par défaut).

La première vise à ce que chaque nouvelle technologie traitant de données personnelles garantisse, dès sa conception et lors de son utilisation, le plus haut niveau possible de protection des données personnelles.

La « conformité par défaut » se traduit quant à elle par l’obligation pour toute entreprise traitant des données personnelles de permettre aux personnes dont les données sont traitées d’obtenir rapidement et facilement le plus haut niveau de protection possible, en garantissant par défaut un tel niveau.

3. Les obligations en matière de documentation diffèreront selon que le traitement est fait par un responsable de traitement ou par l’un de ses sous-traitants. Toutefois, dans les deux cas, le règlement a souhaité opérer une véritable responsabilisation des acteurs qui sont amenés à traiter des données personnelles.

Ainsi, tout responsable de traitement devra tenir un registre de ses activités de traitements, précisant notamment les finalités du traitement et les catégories de destinataires auxquelles les données ont été ou seront communiquées.

Le sous-traitant devra quant à lui tenir à jour une documentation sur l’ensemble des traitements qu’il effectue, comprenant notamment le nom et les coordonnées de chaque responsable de traitement pour le compte duquel il agit ou encore les différentes catégories de traitements effectués.

La tenue de ces registres par les responsables de traitement et les sous-traitants sera amenée à remplacer les formalités actuelles de déclaration auprès de la CNIL. Ces registres devront pouvoir être mis à la disposition de cette dernière sur simple demande.

Par ailleurs, tout responsable de traitement devra effectuer une analyse d’impact relative à la protection des données lorsqu’existera un risque élevé pour les droits et libertés des personnes physiques. Le règlement prévoit à ce sujet que les différentes autorités de contrôle nationales établiront et publieront des listes de types d’opérations pour lesquelles une telle analyse sera obligatoire.

Dans le cas où l’analyse révèlerait l’existence d’un risque, le responsable de traitement aura l’obligation de consulter préalablement au traitement envisagé l’autorité nationale de contrôle compétente, en France la CNIL, afin que celle-ci puisse le cas échéant lui formuler des recommandations.

Cette nouvelle politique de responsabilisation, traduite par la notion anglaise de « accountability », vise à remplacer l’ancien système reposant sur des obligations de déclarations et de formalités.

4. La simplification des formalités se traduit également par la création d’un guichet unique permettant à une entreprise, disposant de plusieurs établissements dans différents Etats membres de l’Union, de ne se référer qu’à une seule autorité de contrôle pour l’ensemble de ses traitements de données personnelles au sein de l’Union Européenne. Cette dernière sera l’« autorité chef de file » de l’entreprise, déterminée en fonction de la localisation de l’établissement principal de l’entreprise, c’est-à-dire le lieu où se déroulera l’essentiel de ses activités de traitement.

5. Le règlement vient préciser le régime de la responsabilité des opérateurs. Il instaure ainsi une responsabilité conjointe :

• entre différents responsables de traitement : elle trouvera application dès lors que les responsables auront déterminé ensemble les finalités et les moyens du traitement. Cela signifie, en pratique, que la personne souhaitant exercer ses droits pourra agir contre l’un ou l’autre des responsables.
• entre un responsable de traitement et un sous-traitant : le règlement prévoit un renforcement des obligations pesant sur le sous-traitant. Alors que dans la règlementation actuelle il est presque totalement ignoré, il aura désormais une responsabilité directe à l’égard des autorités de contrôle et des tiers. Il devra par exemple présenter des garanties suffisantes de mise en œuvre de mesures techniques et organisationnelles, supportera une obligation de sécurité au même titre que le responsable de traitement, et sera soumis à des obligations contractuelles plus importantes, avec notamment l’exigence d’un cahier des charges détaillé ou la nécessité d’obtenir l’autorisation écrite préalable du responsable de traitement s’il veut lui-même sous-traiter.

En raison de la multiplication des obligations à la charge du sous-traitant, une action sera désormais possible directement contre lui, s’il ne respecte pas les dispositions du règlement le concernant ou s’il agit sans respecter les instructions légales de son responsable de traitement.

6. De nouveaux droits sont octroyés par le règlement aux personnes dont les données personnelles sont traitées parmi lesquels:

– le droit à l’oubli et à l’effacement, qui devient le principe pour :

• toutes les données qui ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ;
• lorsque les personnes ayant initialement donné leur consentement le retirent ;
• lorsque des personnes s’opposent au traitement de leurs données ;
• pour les données ayant fait l’objet d’un traitement illicite ;
• pour les données collectées lorsque la personne était enfant, entre 13 et 16 ans selon le choix de chaque État membre ;
• lorsque la suppression des données devient nécessaire en vertu d’une obligation légale pesant sur le responsable de traitement.

Il existe toutefois des exceptions au droit à l’oubli qui sont expressément prévues par le règlement, telles que l’utilisation de données pour l’exercice de la liberté d’expression ou bien l’utilisation de données pour la constatation, l’exercice ou la défense de droits en justice.

le droit à la portabilité des données, qui permet aux particuliers de transférer leurs données à caractère personnel d’un responsable de traitement à un autre, dès lors que le traitement sera fondé sur le consentement ou un contrat, et qu’il sera effectué à l’aide de procédés automatisés.

7. La déclaration obligatoire en cas de violation des données se généralise à tous les responsables de traitement, alors qu’elle n’était obligatoire que pour les opérateurs de télécoms et les fournisseurs d’accès internet en application de la règlementation antérieure. Les violations de données devront être déclarées à l’autorité de contrôle compétente dans un délai de 72h après leur découverte, tout retard devant être justifié. Dans certaines hypothèses, la violation devra également être notifiée aux personnes concernées, si elle est susceptible d’engendrer un risque élevé pour les droits et libertés, et ce dans les meilleurs délais.

NOUVELLES SANCTIONS

Le nouveau règlement vient renforcer les sanctions pouvant être prononcées en cas de non respect des dispositions relatives au traitement et à la protection des données personnelles. Il prévoit des amendes administratives, qui pourront être prononcées seules ou en tant que sanction complémentaire, par exemple en plus d’une limitation temporaire d’un traitement.

Afin d’encadrer la détermination du montant des amendes, le règlement énonce plusieurs critères qui devront être pris en considération, à savoir par exemple la nature, la gravité et la durée de la violation ou encore son caractère délibéré ou non.

Le règlement fixe des plafonds maximums d’amendes, en prévoyant pour chaque violation le montant maximal encouru:

• des amendes administratives pouvant aller jusqu’à 10.000.000 d’euros, ou pour une entreprise jusqu’à 2% de son chiffre d’affaires annuel mondial total pour l’exercice précédent (le montant le plus élevé des deux étant retenu), par exemple pour non respect de l’obligation de notification d’une violation de données ;
• des amendes administratives pouvant s’élever jusqu’à 20.000.000 d’euros, ou pour une entreprise jusqu’à 4% de son chiffre d’affaires annuel mondial total pour l’exercice précédent (le montant le plus élevé étant retenu), par exemple pour non respect du droit d’opposition d’une personne sur ses données.

Le nouveau règlement vient renforcer les sanctions pouvant être prononcées en cas de non-respect des dispositions relatives au traitement et à la protection des données personnelles. Il prévoit des amendes administratives, qui pourront être prononcées seules ou en tant que sanction complémentaire, par exemple en plus d’une limitation temporaire d’un traitement.

Afin d’encadrer la détermination du montant des amendes, le règlement énonce plusieurs critères qui devront être pris en considération, à savoir par exemple la nature, la gravité et la durée de la violation ou encore son caractère délibéré ou non.

Le règlement fixe des plafonds maximums d’amendes, en prévoyant pour chaque violation le montant maximal encouru:

• des amendes administratives pouvant aller jusqu’à 10.000.000 d’euros, ou pour une entreprise jusqu’à 2% de son chiffre d’affaires annuel mondial total pour l’exercice précédent (le montant le plus élevé des deux étant retenu), par exemple pour non respect de l’obligation de notification d’une violation de données ;
• des amendes administratives pouvant s’élever jusqu’à 20.000.000 d’euros, ou pour une entreprise jusqu’à 4% de son chiffre d’affaires annuel mondial total pour l’exercice précédent (le montant le plus élevé étant retenu), par exemple pour non respect du droit d’opposition d’une personne sur ses données.

Un certain nombre de nouveautés de fond sont introduites par le règlement.

1. L’exigence du consentement de la personne dont les données sont collectées est renforcée, puisque celle-ci devra en principe exprimer son consentement, avant tout traitement de ses données personnelles, par un système d’opt-in. Le consentement est ainsi défini comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».

2. Le règlement introduit les notions de « privacy by design » (conformité dès la conception) et de « privacy by default » (conformité par défaut).

La première vise à ce que chaque nouvelle technologie traitant de données personnelles garantisse, dès sa conception et lors de son utilisation, le plus haut niveau possible de protection des données personnelles.

La « conformité par défaut » se traduit quant à elle par l’obligation pour toute entreprise traitant des données personnelles de permettre aux personnes dont les données sont traitées d’obtenir rapidement et facilement le plus haut niveau de protection possible, en garantissant par défaut un tel niveau.

3. Les obligations en matière de documentation diffèreront selon que le traitement est fait par un responsable de traitement ou par l’un de ses sous-traitants. Toutefois, dans les deux cas, le règlement a souhaité opérer une véritable responsabilisation des acteurs qui sont amenés à traiter des données personnelles.

Ainsi, tout responsable de traitement devra tenir un registre de ses activités de traitements, précisant notamment les finalités du traitement et les catégories de destinataires auxquelles les données ont été ou seront communiquées.

Le sous-traitant devra quant à lui tenir à jour une documentation sur l’ensemble des traitements qu’il effectue, comprenant notamment le nom et les coordonnées de chaque responsable de traitement pour le compte duquel il agit ou encore les différentes catégories de traitements effectués.

La tenue de ces registres par les responsables de traitement et les sous-traitants sera amenée à remplacer les formalités actuelles de déclaration auprès de la CNIL. Ces registres devront pouvoir être mis à la disposition de cette dernière sur simple demande.

Par ailleurs, tout responsable de traitement devra effectuer une analyse d’impact relative à la protection des données lorsqu’existera un risque élevé pour les droits et libertés des personnes physiques. Le règlement prévoit à ce sujet que les différentes autorités de contrôle nationales établiront et publieront des listes de types d’opérations pour lesquelles une telle analyse sera obligatoire.

Dans le cas où l’analyse révèlerait l’existence d’un risque, le responsable de traitement aura l’obligation de consulter préalablement au traitement envisagé l’autorité nationale de contrôle compétente, en France la CNIL, afin que celle-ci puisse le cas échéant lui formuler des recommandations.

Cette nouvelle politique de responsabilisation, traduite par la notion anglaise de « accountability », vise à remplacer l’ancien système reposant sur des obligations de déclarations et de formalités.

4. La simplification des formalités se traduit également par la création d’un guichet unique permettant à une entreprise, disposant de plusieurs établissements dans différents Etats membres de l’Union, de ne se référer qu’à une seule autorité de contrôle pour l’ensemble de ses traitements de données personnelles au sein de l’Union Européenne. Cette dernière sera l’« autorité chef de file » de l’entreprise, déterminée en fonction de la localisation de l’établissement principal de l’entreprise, c’est-à-dire le lieu où se déroulera l’essentiel de ses activités de traitement.

5. Le règlement vient préciser le régime de la responsabilité des opérateurs. Il instaure ainsi une responsabilité conjointe :

• entre différents responsables de traitement : elle trouvera application dès lors que les responsables auront déterminé ensemble les finalités et les moyens du traitement. Cela signifie, en pratique, que la personne souhaitant exercer ses droits pourra agir contre l’un ou l’autre des responsables.
• entre un responsable de traitement et un sous-traitant : le règlement prévoit un renforcement des obligations pesant sur le sous-traitant. Alors que dans la règlementation actuelle il est presque totalement ignoré, il aura désormais une responsabilité directe à l’égard des autorités de contrôle et des tiers. Il devra par exemple présenter des garanties suffisantes de mise en œuvre de mesures techniques et organisationnelles, supportera une obligation de sécurité au même titre que le responsable de traitement, et sera soumis à des obligations contractuelles plus importantes, avec notamment l’exigence d’un cahier des charges détaillé ou la nécessité d’obtenir l’autorisation écrite préalable du responsable de traitement s’il veut lui-même sous-traiter.

En raison de la multiplication des obligations à la charge du sous-traitant, une action sera désormais possible directement contre lui, s’il ne respecte pas les dispositions du règlement le concernant ou s’il agit sans respecter les instructions légales de son responsable de traitement.

6. De nouveaux droits sont octroyés par le règlement aux personnes dont les données personnelles sont traitées parmi lesquels:

– le droit à l’oubli et à l’effacement, qui devient le principe pour :

• toutes les données qui ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ;
• lorsque les personnes ayant initialement donné leur consentement le retirent ;
• lorsque des personnes s’opposent au traitement de leurs données ;
• pour les données ayant fait l’objet d’un traitement illicite ;
• pour les données collectées lorsque la personne était enfant, entre 13 et 16 ans selon le choix de chaque État membre ;
• lorsque la suppression des données devient nécessaire en vertu d’une obligation légale pesant sur le responsable de traitement.

Il existe toutefois des exceptions au droit à l’oubli qui sont expressément prévues par le règlement, telles que l’utilisation de données pour l’exercice de la liberté d’expression ou bien l’utilisation de données pour la constatation, l’exercice ou la défense de droits en justice.

le droit à la portabilité des données, qui permet aux particuliers de transférer leurs données à caractère personnel d’un responsable de traitement à un autre, dès lors que le traitement sera fondé sur le consentement ou un contrat, et qu’il sera effectué à l’aide de procédés automatisés.

7. La déclaration obligatoire en cas de violation des données se généralise à tous les responsables de traitement, alors qu’elle n’était obligatoire que pour les opérateurs de télécoms et les fournisseurs d’accès internet en application de la règlementation antérieure. Les violations de données devront être déclarées à l’autorité de contrôle compétente dans un délai de 72h après leur découverte, tout retard devant être justifié. Dans certaines hypothèses, la violation devra également être notifiée aux personnes concernées, si elle est susceptible d’engendrer un risque élevé pour les droits et libertés, et ce dans les meilleurs délais.

Deux nouveaux acteurs sont créés par le règlement :

1. Le comité européen de la protection des données vient remplacer l’actuel G29, et voit ses pouvoirs renforcés.

Le comité sera un organe indépendant de l’Union Européenne, ayant la personnalité juridique et qui sera représenté par son Président. Il sera composé du chef de l’autorité de contrôle en matière de données personnelles de chaque État membre, ainsi que du contrôleur européen de la protection des données.

Le comité aura plusieurs missions, dont notamment celles de :

• publier des lignes directrices, des recommandations et des bonnes pratiques concernant les circonstances dans lesquelles une violation de données est susceptible d’engager un risque ;
• examiner, de sa propre initiative ou sur demande, toute question portant sur l’application du règlement ;
• tenir un registre électronique, accessible au public, des décisions prises par les autorités de contrôle et les juridictions sur les questions traitées dans le cadre du mécanisme du contrôle de la cohérence.

2. Concernant le délégué à la protection des données (DPD ou DPO (Data Protection Officier) en anglais), il viendra remplacer l’actuel correspondant informatique et libertés (CIL).

Comme le CIL, le DPD devra avoir une connaissance étendue de la législation en matière de protection des données personnelles.

Sa désignation sera obligatoire dans certains cas :

• si le traitement est effectué par une autorité ou un organisme public (exception faite des tribunaux dans l’exercice de leur fonction juridictionnelle) ;
• si les activités de base d’un responsable de traitement ou d’un sous-traitant comprennent des opérations de traitement qui du fait de leur nature, de leur portée et/ou de leurs finalités exigeraient un suivi régulier et systématique à grande échelle de personnes ;
• si les activités de base d’un responsable de traitement ou d’un sous-traitant comprennent un traitement à grande échelle de données sensibles et de données à caractère personnel relatives à des condamnations pénales et à des infractions ;
• lorsque la loi nationale d’un État membre l’impose.

Il pourra être soit un employé du responsable de traitement ou du sous-traitant, soit un prestataire externe. Dans les deux cas, il devra agir en toute indépendance et ne pas recevoir d’instructions quant à l’exercice de ses fonctions.

Son rôle sera notamment de conseiller l’entreprise sur ses obligations de conformité et servir de point de contact avec les autorités de contrôle.

Le 25 janvier 2012, la Commission de l’Union Européenne a proposé une réforme globale des règles en matière de protection des données personnelles, dans le but d’accroître la maîtrise que les utilisateurs ont sur leurs données et de réduire les coûts pesant sur les entreprises.

Suite à cette initiative, plusieurs consultations publiques ont été lancées et le G29 a rendu deux avis, en mars et octobre 2012. Prenant en considération les différentes observations faites, la Commission a déposé une première proposition de règlement.

Le choix du règlement a été privilégié par la Commission dans la mesure où cet instrument juridique ne nécessite pas de transposition ultérieure par les États membres, ce qui écarte le risque de fragmentation juridique et favorise le marché commun.

Après plusieurs navettes entre la Commission et le Parlement européen et après de nombreuses discussions pour parvenir à un texte de compromis, le règlement définitif n°2016/679 a été adopté le 27 avril 2016 et publié le 4 mai 2016. Il est prévu que ce règlement entre en vigueur deux ans et vingt jours après sa publication, soit le 25 mai 2018, date à laquelle la directive de 1995 régissant la collecte et le traitement des données personnelles sera abrogée. Les entreprises auront alors une période de deux ans pour se mettre en conformité avec ces nouvelles dispositions.

Si plusieurs questions devront être précisées lors de la mise en application de ce nouveau règlement, sa lecture permet d’ores et déjà d’avoir une idée des grandes lignes qu’il instaure.

Compte tenu des profonds changements engendrés par le nouveau texte, il apparaît opportun de mettre à profit les deux années qui nous séparent de l’entrée en vigueur du règlement pour faire un point sur la question des traitements de données personnelles dans chaque entreprise.

Le règlement définit la notion de donnée personnelle comme « Toute information se rapportant à une personne physique identifiée ou identifiable, et précise que l’on entend par personne physique identifiable toute personne physique pouvant être identifiée directement ou indirectement, notamment par référence à un identifiant (nom, n°identification, données de localisation, identifiant en ligne, un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle, sociale) ».

Le traitement de données personnelles est quant à lui défini comme « Toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliqués à des données ou ensemble de données à caractère personnel ».

En outre, le responsable de traitement est défini comme toute personne physique ou morale qui décide de la création d’un traitement, de sa finalité et de ses moyens de mise en œuvre.

Le sous-traitant est « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ».

Par ailleurs, alors que sous l’empire de la directive de 1995, les dispositions sur la protection des données personnelles s’appliquent quand le responsable de traitement est situé sur le territoire français ou lorsqu’il est situé en dehors du territoire de l’Union mais qu’il recourt à des moyens de traitement situés sur le territoire français ; les dispositions du nouveau règlement prévoient que les dispositions s’appliqueront :

• lorsque l’établissement d’un responsable de traitement ou de son sous-traitant est situé sur le territoire de l’Union, peu importe que le traitement de données ait lieu au sein de l’Union ou en dehors ;
• lorsque le responsable de traitement est situé hors de l’Union mais que ses activités de traitement seront liées à l’offre de biens ou de services à des personnes situées dans l’Union, ou liées à l’observation de leur comportement. Dans ce cas particulier, le responsable de traitement situé hors de l’Union aura l’obligation de désigner un représentant, qui lui, sera établi au sein de l’Union.

Ces nouvelles dispositions ont pour effet d’étendre le champ d’application des règles de façon importante, notamment aux entreprises situées en dehors de l’Union Européenne mais ayant une activité dans l’Union Européenne, ou traitant des données de personnes résidants dans l’Union.