Informations stratégiques de l’entreprise : que dit la règlementation ?

Par Betty Sfez | 21/04/2022

Sécuriser les données « stratégiques » ou « sensibles » de son entreprise ?

Évidemment ! Mais comment les identifier et bien les protéger ?

Que dit la règlementation à ce sujet ?

😁  Merci à Nicolas Arpagian (Trend Micro Europe) de m’avoir conviée pour coanimer ce petit-déjeuner débat, en compagnie de Jean-Claude Laroche (Cigref – Enedis) et Arnaud Tanguy (Cercle de la donnée – Axa).

Au-delà des problématiques soulevées par l’identification, le tri, la classification et la durée de conservation des données stockées en masse par vos entreprises, nous avons -au cours de cet évènement- clarifié le paysage règlementaire applicable.

1️⃣   Ainsi, le Règlement européen sur la protection des données personnelles (RGPD) incite fortement les entreprises à identifier, classer et sécuriser une partie des informations de l’entreprise, à savoir les données personnelles, et ce sous peine de sanctions importantes prononcées notamment par la CNIL.

2️⃣   De même, la Loi sur le secret des affaires, incite les entreprises à identifier, classer et protéger une partie des informations de l’entreprise, à savoir les informations bénéficiant d’une valeur commerciale.

👉  En effet, à défaut d’avoir mis en place des mesures « raisonnables » pour conserver le caractère secret des informations, la société ne pourra pas bénéficier des avantages liés à cette règlementation (allocation de dommages et intérêts étendus, obtention de mesures d’urgence, débat à huit clos, communication limitée de pièces, etc.). L’action en justice sur le fondement du secret des affaires étant une alternative aux actions plus classiques portant sur la contrefaçon et la concurrence déloyale.

3️⃣   Autre règlementation applicable, la Loi de blocage (datant de 1968) incitant les entreprises à protéger leurs informations sensibles et à limiter leur communication à des autorités ou des tiers pour les besoins d’une procédure administrative ou judiciaire extraterritoriale.

❌  En effet, la communication à des autorités étrangères d’informations sensibles susceptibles de compromettre les intérêts économiques essentiels de la Nation (d’ordre économique, commercial, industriel, financier ou technique) peut être sanctionnée jusqu’à 90 000 euros d’amende.

👉   Or, compte tenu de la forte augmentation des demandes extraterritoriales (ex. procédures de Discovery/pré-trial Discovery) et de leur conflit avec la loi de blocage, cette législation vient d’être modifiée.

Ainsi, depuis le 1er avril dernier les entreprises confrontées à une requête extraterritoriale, peuvent se tourner vers le Service de l’Information Stratégique et de la Sécurité Économique (SISSE) de la direction générale des entreprises (DGE). Ce service accompagne les entreprises (à travers l’adresse mail dédiée loi.deblocage@finances.gouv.fr) et leur permet, dans certaines conditions, d’encadrer la transmission d’informations. Au-delà des intérêts de la Nation, la protection du patrimoine informationnel de l’entreprise est l’objectif visé.

Une fois saisi le SISSE rendra un avis (collégialement pris entre plusieurs autorités compétentes) sur la nature des informations réclamées et leur assujettissement ou non à la loi de blocage.

La qualification de données sensibles varie selon le secteur d’activité de l’entreprise (ex. opérateurs de type OIV, OSE ou sociétés développant des technologies quantiques ou IA) et la nature de l’information en cause (ex. projet de fusion-acquisition, formule, prototype, molécule, avis juridique, rapport d’audit interne, contrat de POC).

L’avis émis par le SISSE pourra ensuite être transmis par l’entreprise ou ses avocats à l’autorité étrangère requérante.

Le Pôle IT-Data-IP du Cabinet SOLEGAL reste à votre disposition pour toute question portant sur les règlementations susvisées et les démarches juridiques associées.

 

Solegal AARPI – Avril 2022

Betty SFEZ – Avocat associé et DPO externe

Cet article est mis en ligne à des fins d’information uniquement. Compte tenu de l’évolution constante de la réglementation pouvant avoir un impact sur la pertinence de son contenu, nous vous invitons à prendre contact avec le cabinet pour toute question. D’une manière générale, le cabinet ne pourra en aucun cas être tenu responsable de l’inexactitude et de l’obsolescence des articles figurant sur le site www.solegal.fr

A lire également