La loi sur le secret des affaires au grand jour

Tant attendue, tant espérée, largement portée par nos soins depuis près de 10 ans, en dépit d’oppositions farouches – parfois légitimes au vu du manque de pédagogie en amont, suscitant incompréhensions – la loi relative à la protection du secret des affaires a vu le jour https://www.legifrance.gouv.fr/affichTexte.do;jsessionid=F739AF33BCADC61BA53815B01398BA8A.tplgfr21s_1?cidTexte=JORFTEXT000037262111&dateTexte=&oldAction=rechJO&categorieLien=id&idJO=JORFCONT000037262108

 

 

Sans attendre, et compte tenu de notre forte implication sur ce texte, nous avons rédigé et diffusé avec le concours de la CCI France-Ile de France, mais encore de l’AFJE et de la FIM, un guide d’application reprenant l’ensemble des bonnes pratiques afin d’implémenter le secret des affaires en entreprise http://www.cci-paris-idf.fr/presse/communiques/guide-protection-du-secret-des-affaires-presse

 

En complément, parmi nos offres de services, nous sommes actuellement le seul cabinet à pouvoir proposer un règlement juridique interne de protection des secrets d’affaires outre un pilotage dédié de gouvernance des informations (RGPD, Sapin 2, …) : http://www.data-squared.fr/

 

Fort de notre expertise et de notre investissement sur cette thématique, retrouvez ici nos nombreuses contributions et interviews : http://demaisonrouge-avocat.com/medias/presse/

Ainsi que notre vidéo :

https://www.bing.com/videos/search?q=de+maison+rouge+secret+des+affaires&&view=detail&mid=A15B1A5A48FDED9330C3A15B1A5A48FDED9330C3&&FORM=VRDGAR

 

 

La nouvelle politique publique de sécurité économique

La notion de sécurité économique et intelligence stratégique – qui se substitue désormais à celle d’intelligence économique – se dessine peu à peu au plus haut niveau de l’Etat

https://www.lesechos.fr/politique-societe/gouvernement/0301929713838-lelysee-arrete-sa-strategie-de-defense-economique-2190117.php

 

Après la réflexion à laquelle nous avons contribué l’hiver dernier, http://demaisonrouge-avocat.com/2018/07/03/dispositif-public-dintelligence-economique-letat-assure-la-continuite-a-minima/ l’architecture retenue se met en place :

 

Par ailleurs, au titre du projet de loi PACTE, un amendement prévoit la création d’une délégation parlementaire à la sécurité économique, outre une modification du régime de contrôle et de sanctions des investissements étrangers https://portail-ie.fr/short/1938/loi-pacte-de-nouvelles-armes-pour-controler-les-investissements-etrangers-en-france

 

Enfin, cet ensemble serait regroupé au sein d’un conseil national de sécurité économique, à composition interministérielle, à l’instar de ce que nous proposions sous la forme de conseil de sécurité nationale avec une déclinaison économique, à l’instar du CFIUS américain.

 

A noter, en lien direct, une analyse lucide sur l’approche française de renseignement et sécurité économiques https://www.lesechos.fr/idees-debats/editos-analyses/0301845046361-espionnage-economique-le-grand-tabou-francais-2187675.php

 

 

Indépendance stratégique et guerre économique

Nous avons livré dernièrement au Figaro, conjointement avec nos amis Christian HARBULOT, Ali LAÏDI, Nicolas MOINET et Eric DELBECQUE un constat malheureusement implacable sur l’actualité géopolitique de guerre économique : http://premium.lefigaro.fr/vox/politique/2018/09/13/31001-20180913ARTFIG00306-pourquoi-il-est-urgent-de-penser-notre-strategie-dans-la-guerre-economique-mondiale.php

 

En effet, tout nous pousse à croire que dans le changement de paradigme désormais engagé, les affrontements économiques et commerciaux participent à ces grandes manœuvres géostratégiques où l’Europe, se trouve prise en étau faute de volonté publique. C’est le discours que nous avons dernièrement tenu devant la fondation Res Publica en présence de Jean-Pierre CHEVENEMENT https://www.fondation-res-publica.org/agenda/L-Europe-face-a-l-extraterritorialite-du-droit-americain_ae597580.html

 

Plusieurs faits marquants pour se convaincre de cette nouvelle distribution des cartes :

 

 

Malgré toutes ces gesticulations, qui témoignent globalement d’une certaine fébrilité, que le jeu du président américain se plait à alimenter, in fine, nous courrons au-devant d’une guerre froide économique (ce qui n’exclut pas de chaudes tensions ici ou là à terme) où se feront face à face deux blocs : l’un asiatique avec pour chef de file la Chine, l’autre occidental avec les USA à sa tête. Cet assemblage se dessine par les nouveaux traités bilatéraux négociés à tour de bras par Donald TRUMP pour enrôler des ralliements, parfois imposés (et la forte tentation de découpler la Corée du Nord avec la Chine).

 

 

UE vs GAFAM : du RGPD au Cloud act

Nous soutenons que l’adoption du Cloud act n’est pas une réponse directe au RGPD, qu’il viole néanmoins sans vergogne, mais une affirmation d’autorité politique sur les opérateurs américains du numérique.

 

En revanche, il est acquis que l’Europe cherche à contraindre les GAFAM dans ce bras de fer transatlantique, que ce soit :

 

Toutefois, relevons cette analyse du directeur de l’IFRI qui dénonce un manque de vision géopolitique de la donnée de la part de l’UE : https://www.ifri.org/fr/espace-media/lifri-medias/donnees-lue-ne-pense-termes-geopolitiques

 

Au final, peut-être que cette domination sans partage des GAFAM sera mise au ban par l’administration américaine elle-même, en application de la législation anti-trust : https://www.latribune.fr/technos-medias/internet/trump-etudierait-une-procedure-antitrust-contre-google-et-facebook-791368.html

 

 

Sécurité numérique et cyberisques : notre dernier ouvrage

Nous profitons de la promulgation de l’arrêté du 14 septembre 2018 instituant les règles de sécurité des OSE et FSN, en application de la transposition de la directive NIS du 7 juillet 2016 (loi du 26 février 2018) https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000037444012&dateTexte=&categorieLien=id et du mois européen de la cybersécurité pour vous annoncer la sortie de note dernier ouvrage (à jour du RGPD, secret des affaires, NIS, …) :

 

https://livre.fnac.com/a11774204/Olivier-de-Maison-Rouge-Les-cyberisques

 

Sommaire :

 

Introduction : Wargames ou le risque dans le cyberespace

 

Chapitre 1 : La gestion juridique des cyberisques structurels

Section 1 : Les acteurs et régulateurs du numérique

Section 2 : La protection des systèmes d’information, des réseaux et des services de communication électronique

 

Chapitre 2 : La gestion juridique des cyberisques informationnels

Section 1 : La protection des données

Section 2 : Le contrôle des usages numériques en entreprise

 

Chapitre 3 : La riposte judiciaire aux cyberatteintes

Section 1 : Les sanctions de l’expression électronique

Section 2 : La répression des atteintes informatiques

 

Conclusion sur les cyberisques émergents : Intelligence artificielle et cyberesponsabilité du robot en questions

 

 

Protection du patrimoine informationnel de l’entreprise et usage des réseaux sociaux par les salariés

Il existe déjà un faisceau de jurisprudences mettant en évidence les risques et sanctions éventuelles en matière d’expression électronique. Nous avions déjà recensé plusieurs décisions en ce sens : http://demaisonrouge-avocat.com/2016/02/09/les-salaries-et-la-securite-des-secrets-de-lentreprise/

 

Si le droit applicable paraît stable, ce n’est que le support qui varie.

 

Ainsi, dans cette première affaire, un syndicaliste de la RATP s’est vu sanctionné pour avoir diffusé sur WhatsApp un propos injurieux envers sa direction. Celle-ci était réputée privée, mais néanmoins ouverte à une centaines de membre du groupe concerné. En effet, la Justice qu’à partir d’un certain nombre de destinataires, l’injure devient publique.

 

Tel n’est pas le cas dans cette seconde espèce où précisément, s’agissant d’un groupe restreint sur Facebook, la conservation a conservé son caractère privé https://www.legalis.net/jurisprudences/cour-de-cassation-ch-sociale-arret-du-12-septembre-2018/

 

Enfin, dans une dernière décision rendue par le Conseil d’Etat, en date du 27 juin 2018, une sanction disciplinaire visant un officier de gendarmerie, qui publiait sur Internet, sous pseudonyme, des messages critiquant les autorités publiques a été validée en ce que, même s’il n’était pas identifiable du grand public, en usant de sa qualité d’ayant élève de Saint Cyr et de l’EOGN, et après injonction, il a poursuivi ses publications, ce faisant il a violé son obligation de réserve :

https://www.legifrance.gouv.fr/affichJuriAdmin.do?oldAction=rechJuriAdmin&idTexte=CETATEXT000037134667&fastReqId=130037027&fastPos=1

 

 

Dispositif public d’intelligence économique : l’Etat assure la continuité a minima

 

 

Sans porter de jugement personnel sur Thomas COURBE récemment nommé à la tête de la Direction Générale des Entreprises (DGE), qui elle-même chapeaute le Service à l’information stratégique et à la sécurité économiques (SISSE) https://www.challenges.fr/economie/macron-tient-enfin-son-nouveau-dispositif-d-intelligence-economique_596316 , il faut admettre que l’Etat a sans doute fait le choix d’une pérennité sans audace.

 

En effet, cette nomination créée tout d’abord un certain clivage au sein même de Bercy dès lors que le nouveau directeur de la DGE est issu du Trésor quand traditionnellement ses directeurs viennent du corps des Mines ; pour qui connaît Bercy, cela peut se traduire par une forme d’agression feutrée.

 

Par ailleurs, et surtout, cela revient à « diluer » l’intelligence économique au sein de la DGE qui traite de bien d’autres sujets. L’IE se voit ainsi reléguée à une thématique parmi tant d’autres, faute d’exister par un directeur entièrement dédié à la matière, investi de pouvoirs propres. Le SISSE se verra néanmoins désigné un « pilote » placé à sa tête.

 

Cette option a cependant le mérite d’assurer la continuité au sein de l’Etat de ce qui avait été réalisé avec Jean-Baptiste CARPENTIER, ancien Commissaire à l’information stratégique et à la sécurité économiques (CISSE).

 

 

Ce choix est a priori le fruit d’une réflexion conjointe entre Matignon et Bercy. Il part du principe que le C/SISSE manquait d’autorité à Bercy, raison pour laquelle c’est un homme issu du Trésor qui a été nommé, et par surcroît investi des pouvoirs de DGE.

 

Sans révéler nos propos, nous pouvons toutefois à ce stade dévoiler la teneur de la position que nous avions pourtant défendue tant à l’Elysée, où nous avons été reçu le 29 mars 2018, qu’auprès des élèves de l’ENA mandatés à cet effet par le SGDSN :

Partant du constat partagé par l’ensemble des parties prenantes de l’Etat que si le choix de faire « atterrir » l’IE à Bercy était pertinent dès lors que la matière économique est traitée au sein de ce ministère puissant, il manquait néanmoins au S/CISSE une autorité, un affichage et une forte visibilité interministérielle. C’est pourquoi, avec une certaine audace il faut bien l’avouer, nous recommandions le schéma suivant :

 

  1. Faire muter le SISSE en Agence Nationale à la Sécurité Economique et à l’Intelligence Stratégique (ANSEIS), service à compétence nationale de plein exercice, placée à Bercy au même titre que le Trésor (DGT, la DGE, la DGCCRF, l’APE. L’ANSEIS aurait été le pendant de l’ANSSI – qui fait désormais autorité en matière cyber – sur les sujets de sécurité économique, de protection des informations stratégiques et secret des affaires, de contrôle des investissements étrangers, d’exercice de la loi de blocage, d’émission et évaluation des standards de conformité, etc. l’ANSEIS aurait également pu fusionner avec France Stratégie (ex commissariat au Plan) et l’Agence du patrimoine immatériel de l’Etat (APIE) dans ses missions de protection et d’influence.

 

  1. Afin d’assurer l’inter ministérialité de l’ANSEIS, son directeur aurait siégé au sein d’un Conseil permanent de sécurité nationale (CSN), constitué à cet effet. Tandis que certains optaient pour un rattachement au Conseil national du renseignement, rattaché à l’Elysée, nous pensons que le CNR, de création récente (2008), actuellement largement mobilisé dans la lutte contre le terrorisme, ne doit pas voir son périmètre être à nouveau modifié. En revanche, le CNR aurait été rattaché, de même que l’ANSSI et l’ANSEIS au Conseil de sécurité national (lequel a existé jusqu’en 2002 sous le nom de Conseil de sécurité intérieure – CSI), organe permanent destiné à regrouper les services compétents assurant la sécurité de la nation.

RGPD vs Cloud Act, nouveau cyber affrontement

Tandis que le RGPD entrait en vigueur le 25 mai dernier, à peine avait-il vu le jour en matière de protection des données personnelles que les Etats-Unis avaient auparavant adopté le Cloud Act destiné à contraindre les opérateurs technologiques américains à communiquer les données de citoyens américains, où que celles-ci soient hébergées. Il s’agit donc d’un nouvel acte extraterritorial à compétence universelle. https://portail-ie.fr/analysis/1902/cloud-act-loffensive-americaine-pour-contrer-le-rgpd

 

En réalité il s’agit d’un texte adopté – avec un consensus fort des démocrates et des républicains – le 23 mars 2018, lequel clarifie la portée d’une loi fédérale préexistante. La Cour suprême était en effet saisie d’un litige visant Microsoft qui résistait à la communication de données stockées en Irlande au bénéfice de la NSA et devait débattre de l’application de ce texte en dehors du territoire national. Le Clarifying Lawful Orverseas Use of Data Act (Cloud Act), intégré à la loi de finances et adopté le 23 mars se révèle être une nouvel acte d’ingérence numérique des USA après les précédents cas d’extraterritorialité que ce blog a déjà relayé et en partie objet de notre dernier ouvrage https://livre.fnac.com/a11768721/Olivier-De-Maison-Rouges-Penser-la-guerre-economique

 

Ce faisant, le Cloud Act est en opposition avec les dispositions de l’article 48 du RGPD sur les transferts de données personnelles dès lors qu’il donne le privilège extraordinaire aux USA d’accéder en tout endroit de la planète aux informations de personnes, sans que celles-ci n’en soient avisées et sans décision judiciaire (sur simple requête des autorités américaines).

Ce d’autant que suite à l’invalidation du Safe Harbor https://portail-ie.fr/analysis/1313/laffaire-safe-harbor-un-acte-dindependance-numerique l’UE et les USA avaient défini un nouvel acte transatlantique dénommé Privacy Shield qui sera évalué jusqu’au 1er septembre prochain, mais dont l’application semble de toute évidence avoir été écartée comme en témoigne l’affaire Facebook-Cambridge Analtytica http://www.europarl.europa.eu/news/fr/press-room/20180611IPR05527/les-etats-unis-doivent-se-conformer-au-privacy-shield-d-ici-le-1er-septembre

 

La question de souveraineté numérique est donc plus que jamais pertinente et devra convaincre les entreprises européennes à choisir des opérateurs européens. Notre tribune sur ce sujet : https://www.efcse.eu/fr-fr/news/20180511_[EFCSE.EU]_TRIBUNE_CHAMPION_EUROPEEN_NUMERIQUE_[FR].pdf Dans le cadre de la transposition de la directive sur le secret des affaires, nous avions apr ailleurs recommandé que les données relevant de ces informations stratégiques soient hébergées sur le sol européen. Le législateur n’a malheureusement pas repris cette idée.

Entre guerre commerciale et guerre économique

La politique économique internationale de Donald TRUMP, ramenée à son slogan America first, est une rupture avec celle antérieurement menée par l’administration OBAMA (lequel s’était hâtivement vu remettre un prix Nobel de la paix, qui n’était en aucun cas un prix Nobel de la paix économique).

 

Depuis, Donald TRUMP qui croit davantage au rapport de force économique franc et viril, a ouvert le front d’une guerre commerciale qui ressemble aux luttes économiques faites à coups d’embargos et de droits de douanes comme cela se pratiquait avant l’érection de l’OMC, avec une certaine franchise qui avait depuis lors disparu.

 

C’est dans le cadre de cette suzeraineté économique qui a antérieurement prévalu que la Société Générale a encore été amenée à solder avec le Department of justice (DoJ) un litige à hauteur de 1,3 milliards de dollars http://premium.lefigaro.fr/societes/2018/06/04/20005-20180604ARTFIG00291-la-societe-generale-solde-deux-anciens-contentieux.php

Dans ce contexte, l’IFRI en a déduit que s’agissant des règlementations commerciales et financières US, c’était désormais comply or die https://www.ifri.org/fr/publications/notes-de-lifri/potomac-papers/comply-or-die-entreprises-face-lexigence-de-conformite c’est effectivement la triste réalité.

 

 

De manière bien plus directe, l’administration TRUMP a dernièrement relevé les barrières tarifaires sur les importations d’acier, pénalisant les entreprises européennes et chinoises. En dépit des ententes de façade affichées, aucun dirigeant européen n’est parvenu à infléchir cette position ferme. Aussi, en guise de riposte, le règlement UE n°2018/886 du 22 juin 2018 a frappé divers produits américains importés en Europe. https://www.actualitesdudroit.fr/browse/transport/douane/14275/conflit-usa-ue-sur-l-acier-et-l-aluminium-la-riposte-de-l-ue

 

 

Si les rapports USA-UE sont revenus à ces luttes commerciales, pour sa part la Chine se livre désormais à une véritable guerre économique, revendiquant son statut de puissance économique alternative :

  • Ainsi, Pékin interdit désormais le transfert de données scientifique vers l’étranger ; cela vaut aussi pour les centres de R&D d’entreprises internationales installés au sein de l’empire du milieu ;
  • Dans le cadre de l’expansion de la nouvelle Route de la soie, la Chine a conclu divers accords internationaux avec les pays « traversés) par cet itinéraire commercial, créant de nouveaux modes de règlements des litiges à l’instar de ce que les USA avaient tenté avec le TAFTA.

Cybersécurité & cyberdéfense, l’Europe se vaubanise (ou se vassalise ?)

En application de la Directive UE Network and Information Security (NIS) du 6 juillet 2016, transposée par la loi 2108-133 du 26 février 2018, https://www.legifrance.gouv.fr/eli/loi/2018/2/26/INTX1728622L/jo/texte/ le décret du 23 mai 2018 https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000036939971 a été publié, désignant les opérateurs de services essentiels (OSE) et fournisseurs de service numérique (FSN) visés par les mesures impératives de cybersécurité, sous l’égide de l’ANSSI.

 

Nous avons largement abordé ce sujet avec notre amie Myriam QUEMENER, au cours du cyber day qui s’est déroulé le 6 juin dernier https://www.cyber-day.info/ à l’Ecole de guerre économique (EGE). Ce fut l’occasion de rappeler les préceptes permanents de la guerre tel qu’enseignés notamment par l’ingénieur, philosophe et maréchal VAUBAN dans l’édification de la ceinture de fer, premier ouvrage militaire de résilience destiné à concentrer les forces de l’ennemi, de reconstituer celles de l’assaillant pour mieux riposter. Cela n’est pas sans rappeler les plans de continuité d’activité (PCA) en mode dégradé ou de reprise d’activité (PRA). L’attaque et la défense obéissent à des lois universelles quels que soient les moyens employés.

 

En parallèle, l’UE cherche a développer sa doctrine de cyberdéfense, consciente des cyberconflits à l’œuvre dans le cyber espace. Si l’ENISA doit être renforcée (et renouvelée car son mandat court jusqu’en 2020) il convient de réfléchir en matière d’autonomie et liberté stratégiques, y compris sur le plan industriel. C’est le propos que nous avons tenu devant la commission défense de l’Assemblée nationale qui nous a auditionné le 16 mai 2018.

D’aucuns pensent cependant que cette force de cyberdéfense, dont la France s’est dotée et a déjà une expérience avérée, soit placée auprès de l’OTAN http://www.europarl.europa.eu/news/fr/press-room/20180607IPR05242/pour-une-cyberdefense-europeenne-robuste-et-des-liens-plus-etroits-avec-l-otan on se croirait revenu au dilemme gaullien, si ce n’est que depuis lors le rideau de fer est tombé, ce n’est visiblement pas le cas du mur de l’ouest pour reprendre l’expression d’Hervé JUVIN.