La loi de blocage et secret des affaires
Une mesure incluse dans la réglementation de la « compliance » (conformité) est celle de la loi de blocage du 26 juillet 1968 (1) qui interdit la communication à des administrations étrangères, y compris judiciaires, d’informations économiques, financières, commerciales, industrielles ou technologiques. Cette loi a été créée au départ – précurseur de l’intelligence économique en France – pour permettre aux entreprises de s’opposer aux techniques d’« examination » ou « discovery » du droit anglo-saxon ; technique qui permet à tout justiciable de demander à son adversaire tout élément qui peut lui être utile, comme la liste de ses clients ou de ses fournisseurs ; on imagine !
Elle a fait l’objet d’une réforme en 1980 et il était prévu en 2012, avec le projet de loi sur le secret des affaires, de la modifier à nouveau, pour permettre une compatibilité entre le système américain et le système français. Mais ce projet n’a pas abouti et la loi sur le secret des affaires a finalement été approuvée, après l’adoption de la directive européenne en la matière (2). Et l’inclusion dans le processus de conformité, c’est-à-dire de vérification obligatoire, s’est faite à l’occasion de règlements nationaux du 18 février 2022 (3) et du 7 mars 2022, concernant la mise en application de cette loi de 1968, application sanctionnée d’une façon relativement rare depuis la date de la loi (4).
Sept mesures de conformité
On rappellera tout d’abord les domaines des sept mesures de conformité : les « trusts », le blanchiment d’argent, la corruption, les devoir de vigilance et droits humains, les lanceurs d’alerte, les mesures de sanctions économiques et embargos, et la loi de blocage (5) ; et que toutes les entreprises ou organismes privés comme publics peuvent se trouver concernés. Car au-delà du seuil rendant obligatoire telle ou telle mesure, l’entreprise qui travaille, en sous-traitance par exemple, avec une autre assujettie obligatoirement à la conformité, se doit de mettre en pratique les mesures de conformité.
L’entreprise qui travaille, en sous-traitance par exemple, avec une autre assujettie obligatoirement à la conformité, se doit de mettre en pratique les mesures de conformité
Cependant le lecteur se reportera à un précédent article (6) dans lequel nous disions que la conformité est en fait plus large que les vérifications correspondant aux sept mesures ci-dessus, car d’autres contrôles de points de préoccupation s’imposent aussi aux entreprises et nécessitent la même méthode : récapitulation des points sensibles, cartographie, mise au point de grilles d’audit, information régulière des salariés et vérification continue de l’application de la loi.
Quant à cette loi dite de blocage, elle rejoint en fait l’intelligence économique qui est la maîtrise de l’information stratégique et n’est ni plus ni moins, à travers le contrôle du fonctionnement des entreprises, qu’une façon d’assurer la sécurité économique et plus largement les intérêts fondamentaux de la Nation (7). Ainsi à l’avenir, il est vivement conseillé pour les entreprises concernées, de veiller à la mise en œuvre de l’interdiction de la communication des informations en question. Et les règlements de 2022, prévoient la procédure destinée à identifier et à protéger, si le cas se présente, les informations stratégiques dont il est question.
Protection des intérêts fondamentaux
II est à noter que l’État publie un guide mis au point par le SISSE (8), organisme chargé de l’intelligence économique et dont le nom indique bien le rôle, qui est d’assurer la sécurité économique et la protection de l’information stratégique.
Les entreprises (et spécialement celles qui traitent des innovations ou bien celles qui interviennent sur la scène internationale) doivent donc identifier leurs informations stratégiques et au besoin interroger le SISSE afin de prendre des mesures adéquates de non-divulgation. Ainsi, l’entreprise pourra mettre en œuvre la protection des informations concernées, à travers des outils juridiques mis en place en 2018 et 2011 : la loi sur la protection du secret des affaires (9) et le décret sur l’instauration d’une zone à régime restrictif, permettant la protection d’un opérateur au titre de la PPST (protection du potentiel scientifique et technique de la Nation) (10).
L’une permettant d’identifier et de mettre en sécurité les informations confidentielles ; l’autre permettant de s’assurer des personnes qui peuvent avoir communication de ces informations. Il s’agit ni plus ni moins de garantir – autant que faire se peut – la protection des intérêts fondamentaux de la Nation.
Bien sûr le dispositif est perfectible, mais ajouté aux mesures de cybersécurité, il permet de mieux accompagner les entreprises dans leur effort de protection
Bien sûr le dispositif est perfectible, mais ajouté aux mesures de cybersécurité, il permet de mieux accompagner les entreprises dans leur effort de protection et surtout de leur faire comprendre la nécessité d’éviter les fuites malencontreuses de leurs informations fondamentales, pour les organismes privés comme publics d’ailleurs, vers des concurrents étrangers. Et si jusqu’à présent les entreprises étaient incitées à se protéger, la réglementation nouvelle les oblige de plus en plus à respecter et faire respecter par leurs partenaires, une obligation de sécurité, qui vaut tant pour les organismes privés que publics. C’est le sens de la loi de 1968 dans son application des règlements de 2022. C’est une question de sécurité globale du pays, dans un contexte de guerre économique chaque jour avéré.
Réduire le risque de fuite
Il s’est écoulé bien du temps depuis le rapport Martre, en 1994, sur la guerre économique et surtout le rapport Carayon, fondateur de l’intelligence économique, de 2003, avec la mise en place du Haut fonctionnaire à l’intelligence économique, jusqu’au SISSE, en passant par le Délégué interministériel à l’IE. Certes les nouveaux défis concernent le développement de la cybersécurité. Mais cela n’empêche pas les entreprises de mettre en place leurs mesures élémentaires d’hygiène de sécurité concernant leurs informations stratégiques, par des mesures organisationnelles qui réduisent le risque majeur de fuite de l’information et son coût induit, qui peut avoir des répercussions jusqu’au dépôt de bilan.
Car si on ne peut reprocher à une entreprise de s’être fait voler ou détourner des informations stratégiques, on peut lui reprocher de n’avoir pas mis en place les moyens suffisants pour les protéger. Mais il faut qu’elle sache qu’elle peut recevoir l’aide de l’État, par l’intervention du SISSE qui, par l’intermédiaire du DISSE (11) en région, fournit des conseils gratuits et confidentiels pour protéger ses informations stratégiques.