Une fuite d'informations ou de données confidentielles peut avoir des conséquences désastreuses pour une entreprise. La protection des informations s'avère donc être un enjeu capital qui nécessite de prendre un certain nombre de mesures adaptées. Les textes législatifs prévoient une définition parfaitement claire de ce que représente une information confidentielle ainsi que les sanctions pénales liées à la divulgation de contenus sensibles. Vous avez également la possibilité de prévoir un accord de confidentialité afin de protéger les données dont votre entreprise est propriétaire. Comment protéger l'information confidentielle dans votre société ? On répond à toutes vos questions !
Comment définir juridiquement une information confidentielle
Sur le plan juridique, une information confidentielle est définie telle que des données secrètes, dont l'accès est conditionné, et ayant une valeur commerciale. Ces trois conditions doivent être réunies afin de pouvoir caractériser une donnée comme étant confidentielle et de mettre en place l'ensemble des procédures adaptées à sa protection, ses modalités de transmission ou ses méthodes d'archivage.
Ne pas confondre information confidentielle avec information sensible
La notion de confidentialité d'une information énonce un risque de préjudice en cas de divulgation non autorisée de ces données. Tandis que la sensibilité d'une information évoque une menace dont les conséquences sont susceptibles de pénaliser une personne morale ou physique concernée. Les dossiers confidentiels doivent être préservés dans l'unique structure dans laquelle elles ont été élaborées. Par exemple :
Une liste de clients basée sur une campagne de prospection sur service client ;
Des formules ou processus de fabrications conçues par le service recherche et développement ;
L'intégralité des échanges internes entre collaborateurs, quel que soit le mode de diffusion de l'information : par mail, texto, documents papier, espace personnel en ligne ;
Programmes promotionnels ou marketing accomplis dans le cadre, par exemple, d'un lancement de produit, de l'organisation d'un salon ou de la transmission d'un spot médiatique.
Afin de préserver l'accès, l'utilisation ou la diffusion des informations confidentielles, celles-ci sont accessibles par de nombreux moyens sécurisés tels que :
Le renforcement du cryptage des données et plus particulièrement des informations transmises par internet, ainsi que des archives numériques ;
Une politique de contrôle d'accès aux informations par le biais de mots de passe renforcés ou par l'utilisation de technologies biométriques ;
Utilisation de badge d'accès aux lieux de stockage des dossiers confidentiels ou verrouillage à l'aide de code secret des bureaux et meubles d'archivage.
Pour que la confidentialité des informations soit respectée de façon optimale, il est également important d'organiser des sessions de formation et d'information régulière sur l'importance des conséquences des divulgations de ces données auprès des salariés. Par ailleurs, chaque collaborateur doit être personnellement responsabilisé par le biais de la mise en place de procédures de signalement des violations de la confidentialité.
En ce qui concerne les informations sensibles, il s'agit essentiellement des données à caractère personnel. Cela concerne, par exemple :
Les dossiers personnels des employés, détenus par le service des ressources humaines ;
Les informations exploitées par le service financier ou la comptabilité de l'entreprise ;
Ou encore, les règles de sécurité à respecter au sein de l'entreprise en matière d'accès à certaines zones, à l'entrée du bâtiment, ou des mesures à prendre en cas de danger.
Par ailleurs, l'importance de faire la distinction entre les données à caractère confidentiel et sensible est indispensable pour plusieurs raisons. Tout d'abord, cette caractérisation permet d'opter pour les protections juridiques les plus adaptées, et de responsabiliser chaque salarié dans le traitement ou la diffusion des informations. À noter également qu'une donnée peut être à la fois confidentielle et sensible, et que toutes les informations sensibles ne sont pas nécessairement confidentielles.
Quelles sont les sanctions pénales liées à la divulgation d'informations confidentielles
La divulgation d'information à caractère confidentiel peut aboutir à des sanctions pénales. Dans le cadre strictement professionnel, les entreprises ont la légitimité d'inclure une clause de confidentialité dans le contrat de travail conclu avec un collaborateur au moment de son embauche, selon la fonction que ce dernier occupe, mais surtout, selon son pouvoir d'accès à des données dites confidentielles. Il faut toutefois faire la différence avec le secret professionnel qui est défini comme étant une obligation imposée à certaines professions de ne pas divulguer des informations dans le cadre de l'exercice de leur fonction.
Hormis les sanctions prévues dans la clause de confidentialité, il n'existe pas, à proprement dit, de sanction applicable à la suite de la divulgation d'une information confidentielle. En revanche, le non-respect de la clause de confidentialité est passible de sanction. Et, en fonction des conséquences financières ou commerciales subies par la partie lésée, des peines peuvent être appliquées. La formation au titre du Master intelligence juridique étudie en profondeur l'ensemble des conditions d'application des textes de loi lors de la divulgation d'informations ou de documents confidentiels appartement à votre entreprise.
Cependant, on peut noter deux textes de loi qui s'appliquent lors de la violation d'une clause du contrat de travail stipulant la violation de la confidentialité des informations au sein de l'entreprise. Il s'agit des articles 226-13 du Code pénal et L. 1227-1 du Code du travail.
Dans l'article 226-13 du Code pénal, la révélation d'une information à caractère confidentiel est punie d'un an d'emprisonnement et de 15 000 € d'amende. Pour que ce texte de loi soit applicable, les données partagées doivent compromettre la personne morale concernée, et la connaissance par des tiers de ces informations confidentielles doit lui causer un préjudice financier ou commercial. À noter que la divulgation de l'information est passible de cette sanction, quel que soit son mode de diffusion : à l'écrit ou à l'oral.
En ce qui concerne l'article l 12 27-1 du Code du travail, il s'agit essentiellement de la divulgation d'informations concernant des processus de fabrication. Cette faute est passible d'un risque d'emprisonnement d'une durée de 2 années additionné d'une amende de 30 000 €. Pour rappel, un processus de fabrication est un ensemble d'informations à caractère technique qui permettent à l'entreprise propriétaire de préserver son avantage concurrentiel sur le marché. Ainsi, la personne ayant commis cette infraction est également susceptible de verser des dommages et intérêts selon le préjudice subi. Dans certains domaines d'activité, la sanction peut aller jusqu'à l'interdiction d'exercer la profession. Enfin, le jugement peut aussi condamner l'auteur de la divulgation de l'information confidentielle à la publication de sa condamnation, ce qui peut compromettre son intégrité professionnelle sur le marché du travail.
Comment négocier un accord de confidentialité pour protéger votre entreprise
Un accord de confidentialité a pour vocation de protéger les risques de divulgation de certaines informations au sein d'une entreprise. Il s'agit d'un contrat juridique signé entre l'employeur et le collaborateur et qui stipule toutes les obligations en matière de respect du traitement des données à caractère confidentiel. Pour négocier un accord de confidentialité dans le but de protéger votre société, il est essentiel de respecter un certain nombre de points.
La première étape consiste à déterminer un accord bilatéral ou unilatéral selon la nature des informations concernées par la clause de confidentialité. Dans le premier cas, les deux parties sont susceptibles de s'échanger des informations confidentielles. Dans le second cas, l'accord prévoit les contours législatifs qui régissent la communication de données sensiblement confidentielles d'une partie à l'autre, dans le sens unilatéral.
Dans un deuxième temps, il est important de bien mettre en évidence les informations concernées par cette clause de confidentialité. Dans la grande majorité des cas, il s'agit des données ayant une valeur commerciale pour l'entreprise et qui sont méconnues du grand public ou le personnel de l'entreprise dont l'accès n'est pas autorisé. De ce fait, l'accord doit clairement stipuler les obligations de chaque signataire telles que :
La possibilité de diffuser les informations confidentielles uniquement à des personnes nominativement désignées ;
L'obligation de protéger les informations contre les accès non autorisés aux personnes internes ou externes à l'entreprise ;
L'utilisation des informations confidentielles conformément à la clause signée par les parties.
De plus, cet accord de confidentialité est à durée déterminée. En effet, le document indique la période pendant laquelle l'entreprise et le salarié doivent respecter les clauses du contrat, et ce, qu'il s'agisse d'un accord unilatéral ou bilatéral. Dans tous les cas, les recours légaux en cas de violation de l'accord sont également explicitement stipulés : résiliation du contrat de travail ou sanction financière avec le versement de dommages et intérêts. Mais aussi, ce document contractuel peut également inclure des situations exceptionnelles dans lesquelles les signataires ont la possibilité de divulguer des informations étiquetées comme étant confidentielles, dans un contexte bien défini, et à des destinataires parfaitement identifiés et spécifiés. Tout en sachant qu'à tout moment de la vie du contrat, la clause de confidentialité peut être levée par la renonciation d'une des parties signataires.
Enfin, dans un objectif de transparence, la clause de confidentialité inclut la possibilité de consulter une aide juridique compétente avant la signature du contrat, afin que toutes les clauses soient intégralement comprises et adoptées par chacun des signataires.
Sources :
Code de la propriété intellectuelle - Légifrance. (s. d.). https://www.legifrance.gouv.fr/codes/texte_lc/LEGITEXT000006069414/
ISO/IEC 27001 : 2022. (s. d.). ISO. https://www.iso.org/fr/standard/27001
ISO/IEC 27002 : 2022. (2022, 1 mars). ISO. https://www.iso.org/fr/standard/75652.html
Article 226-13 - Code pénal - Légifrance. (s. d.). https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000006417945
Article L1227-1 - Code du travail - Légifrance. (s. d.). https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000006900992#:~:text=Le%20fait%20pour%20un%20directeur,amende%20de%2030%20000%20euros.