Bernard CARAYON qui, pendant près de huit ans, a porté avec courage et persévérance cette problématique du secret des affaires vient de déposer une nouvelle fois une proposition de loi tendant à protéger le secret des affaires (…)
Le gouvernement, c’est désormais officiel, vient de relancer un groupe de travail sur le secret des affaires, renvoyant le texte Carayon dans les limbes. Ce texte, il est vrai, n’apportait sur le plan juridique pas grand-chose, puisque les failles dans la législation existante n’étaient toujours pas comblées (par exemple pas de répression de la tentative). il comprenait cependant un dispositif (…)
Les robes noires dans la guerre économique
Thibault du MANOIR de JUAYE ‘nouveau monde’ – 21€
Quand il parle rôle des avocats dans les affaires parfois troubles de l’économie, Thibault du MANOIR de JUAYE sait de quoi il parle : il est lui-même un baveux expert en la matière. l’auteur explique comment, à travers certains exemples plutôt bien étayés, combien les batailles des prétoires sont violentes et impitoyables.
Monsieur Piter lors de ses rencontres avec son avocat a abordé plusieurs sujets qui lui ont permis de mieux comprendre les méandres de la justice et au final de prendre la decision de céder à bon compte ses parts sociales. Maître Thibault du Manoir de Juaye a accepté de jouer le rôle de l’avocat de Monsieur Piter en transposant ses réponses au droit français. Il faut préciser que les honoraires sont en France bien moins élevés que chez ses confrères anglosaxons.
Monsieur Piter:
Dans mon cas comment aurions-nous du juridiquement constituer notre société si nous avions voulu être associés à 50%?
Thibault du Manoir de Juaye:
Il eut fallu un pacte d’actionnaire. Deux associés qui se disputent pour prendre les commandes et d’emparer du capital voilà qui est hélas classique. Comme chacun le sait , le conflit est une perte d’énergie considérable pour l’entreprise qu’il faut absolument éviter.
Un des moyens pour éviter le conflit est de rédiger un pacte d’actionnaire qui va venir en complément des statuts et conférer à l’associé minoritaire des droits de sortie s’il n’est pas d’accord avec la politique du majoritaire.
Il faut décrire dans le pacte le « pedigree » des actionnaires. A la suite de malversations, dans une affaire récente l’autre actionnaire a découvert que son co-actionnaire avait déjà été condamné à une peine de prison de 10 mois. Il va de soi que si cette information avait été connue auparavant, jamais cet actionnaire ne se serait jamais associé et un litige couteux pour l’entreprise eut été évité.
Avant de rédiger un pacte d’actionnaires il convient de peser soigneusement les forces et faiblesses de chacun des actionnaires. Certaines personnes croient naivement que détenir 51% du capital ler confère le pouvoir dans l’entreprise. Ce n’est pas le cas.
Monsieur Piter:
Quels sont alors ces pouvoirs qui ne correspondent pas à la détention d’actions? Quels sont les critères qui vont faire d’un des partenaires de l’alliance un « mâle dominant »?
Thibault du Manoir de Juaye:
Pour me permettre de répondre à votre question je préfère prendre quelques exemples tirés de situations réelles pour vous apporter un élément de réponse.
Il faut cependant rappeler que le pouvoir est souvent composé de plusieurs « ficelles » qu’il faut savoir tirer et que les les éléments présentés ci-après ci-après peuvent se croiser et se complexifier. Le pouvoir d’une entreprise qui dépend économiquement d’un seul client sera détenu par ce client plus que par les actionnaires de l’entreprise. La détention d’une technologie ou d’un savoir faire confère également une position de puissance. Dans une entreprise présentant des fragilités de trésorerie, le pouvoir sera détenu probablement par le bailleur de fonds, qu’il soit un établissement crédit ou un actionnaire en compte courant. L’influence des salariés ou mandataires sociaux de l’entreprise doit également faire l’objet d’une recherche approfondie. La démarche à entreprendre est identique à celle qui est faite pour rechercher les hommes clefs en matière d’assurance. Le rôle des actionnaires minoritaires doit être examiné avec soin. Il arrive en effet que certains d’entre eux possédant des intérêts concurrents tentent d’affaiblir la société dont ils sont minoritaires. C’est ce qui se serait passé dans l’affaire Gemphus.
Monsieur Piter:
Pouvez vous me préciser ce qui juridiquement peut constituer un abus de minorité?
Thibault du Manoir de Juaye:
L’abus de minorité est constitué lorsqu’un vote contraire à l’intérêt social et destiné à favoriser les intérêts minoritaires au détriments de la majorité et des intérêts essentiels de la société est émis dans le cadre d’une assemblée générale de société par les associés minoritaires, ou lorsque ces associés font une utilisation abusive de leur droit de vote pour faire obstruction au fonctionnement normal d’une assemblée et à ses prises de décision. L’abus de minorité peut être sanctionné par le versement de dommages et intérêts à la société. Le minoritaire qui ne vote pas une augmentation de capital qui aurait entrainé une dilution de sa participation ne commet pas d’abus, dès lors que cette opération n’était pas indispensable à la survie de la société, la trésorerie de celle-ci pouvant être refaite par des apports en compte courant (CA Paris 3ème ch. 24 Janvier 1997, Sté Viel et compagnie finance c/ Concept)
Relation de sous traitance: choisir l’arme de la résistance passive en s’appuyant sur la propriété intellectuelle.
Monsieur Piter:
Comment améliorer la relation de sous-traitance?
Thibault du Manoir de Juaye:
Il n’est pas rare que le donneur d’ordres soit en position de force et impose différente clauses au sous-traitant qui doit les accepter sous peine de disparaître. Dès lors, la seule solution pour le sous-traitant est la resistance passive. L’arme de la resistance passive est bien souvent la propriété intellectuelle. Le sous traitant, sans en informer le donneur d’ordre, dépose des brevet et des modèles. Lorsque le donneur d’ordre veut prendre un second sous-traitant, le prmeier peut lui opposer ses titres de propriété intellectuelle.
Pour défendre un concept, mieux vaut aller sur le terrain juridique de la concurrence déloyale.
Monsieur Piter:
Comment protéger mon droit à la propriété intellectuelle de mon concept?
Thibault du manoir de juaye
Vous avez développé un concept qui n’est a priori pas protégeable par le droit de la propriété intellectuelle. Nous pourrions toutefois tenter d’invoquer la concurrence déloyale. En effet, depuis son origine, le code civil a posé comme principe que le fait fautif de l’homme entrainant un préjudice obligeait l’auteur de l’acte à réparer les conséquences de son agissement: ainsi, l’auteur d’un acte de concurrence déloyale, manoeuvres visant à détourner la clientèle d’un concurrent, à s’approprier frauduleusement sa réputation, entrainant l’exercice d’une activité commerciale irrégulière, peut voir sa responsabilité civile mise en cause dans le cadre d’une action de concurrence déloyale fondée sur les articles 1382 et 1383 du code civil, exercée par toute personne victime de ses actes déloyaux. Outre le risque de dommages-intérêts, il court le risque de se voir empêché d’exercer son activité ou gêné dans son exercice tant qu’il n’a pas mis fin à ses pratiques.
Il existe également d’autre dispositions du code civil qui précisent qu’il n’est pas possible de s’enrichir sans cause au détriment d’autrui et que l’enrichissement doit indemniser celui qui a été appauvri par cette situation . En d’autres termes, il n’est pas possible de bénéficier sans bourses déliée des investissements réalisés par une autre société que l’on aurait indûment pillé.
Pour avoir quelques espoirs de succès vous devrez don démontrer, Monsieur Piter, que vous avez transmis des informations confidentielles à Monsieur Voldart ou à la société Z. Au demeurant, et si on fait abstraction des intentions pernicieuses de Monsieur Voldar, il n’est pas anormal qu’un donneur d’ordre cherche à diversifier ses sources d’approvisionnement.
Généralement, le donneur d’ordre demande au premier sous-traitant de licencier sa technologie.
Monsieur Piter:
Quels actes peut-on qualifier d’intrusion informatique? Peut-on réellement plaider sur le terrain de l’intrusion informatique?
Thibault du manoir de Juaye:
Utiliser des troyens, mouchards, malwares est une intrusion informatique.
Ce délit est sanctionné aux termes des articles L323-1 er -2 du Code pénal. Ces peines peuvent être complétées par les sanctions prévues par l’article L323-5 de ce code.
Le tout est d’arriver à faire constater l’infraction.
Or il faut savoir qu’il existe dans la police nationale des services spécialisés, comme le BEFTI (Brigade d’Enquète sur les Fraudes aux Technologies de l’Information) ou l’OCLCTIC ( Office Centrale de Lutte contre la Criminalité liée aux Technologies de l’Information et de la Communication.) qui agissent avec diligence et efficacité. La gendarmerie possède aussi son propre service. En revanche, l’experience montre qu’il ne faut pas porter plainte dans les commissariat de quartier pour ce type de délit. Le dossier est entérré et les preuves disparaissent.
Monsieur Piter:
Juridiquement qu’est ce qu’un faux en écriture?
Thibault du Manoir de Juaye:
En droit commun, on peut définir le faux en écriture comme étant l’altération de la vérité, accomplie avec une intention frauduleuse ou à dessein de nuire, susceptible de causer un préjudice et réalisée dans des écrits et par l’un des moyens déterminés par les articles 194 à 226 du Code Pénal. L’altération de la vérité est la condition essentielle du faux en écritures. Elle peut se réaliser, suivant les termes même de l’article 196 du Code Pénal : soit par fausses signatures, soit par contrefaçon ou altération d’écritures ou de signatures […].
En l’espèce, le faux semble être un faux materiel: en effet Monsieur Voldar aurait imité votre signature, Monsieur Piter. D’après les éléments en ma possession, vous ne pouvez être présent à cette date pour signer ce document, puisque vous étiez en voyage d’affaire à Londres. Cet agissement traduit de fait une intention de nuisance à votre égard, dont le mobile est votre refus de céder vos parts. Votre préjudice subi s’ajoute à votre préjudice moral causé par la pression psychologique que Monsieur Voldar vous a fait subir en vous envoyant des lettres, et qui vous vaut une depression et un suivi psychologique!
Toutefois la durée de la procédure qui va se compter probablement en année me semble inadapté à votre cas.
Monsieur Piter:
Comment faire pour rechercher des preuves?
Thibault du manoir de Juaye:
Pour se tirer de ce mauvais pas, vous devez absolument mettre à jour les agissement de Monsieur Voldar. Pour cela, vous pouvez recourir aux possibilités offertes par le nouveau code de procédure civile.
L’article 145 du nouveau code de procédure civile précise que « s’il existe un motif légitime de conserver ou d’établir avant tout procès la preuve des faits dont pourrait dépendre la solution d’un litige, les mesures d’instruction légalement admissibles peuvent être ordonnées à la demande de tout intéressé, sur requète ou en référé ».
Le motif légitime est défini par les tribunaux comme le fait d’avoir intérêt à conserver des preuves dans l’éventualité d’un litige dont l’existence est prouvé. Dans une affaire récente, où il fallait absolument prouver la collusion entre deux parties qui feignait de s’ignorer, la victime n’a pas hésiter à demander à ce qu’un expert informatique relève dans les messageries des intéressés tous les courriels sur l’affaire. Dans d’autres affaires, il a été possible d’obtenir une copie des disques durs des ordinateurs de TPE d’environs dix personnes.
Les frais d’une telle procédure sont relativement élevés: il faut ajouter au 3000 euros de frais d’expert, les honoraires d’avocat et compter 3000 euros de coût d’huissier.
Le débauchage: talon d’Achille pour Monsieur Piter.
Monsieur, Piter:
Que dois-je craindre si j’embauche tous les salariés démissionnaires de mon ancienne entreprise?
Thibault du manoir de juaye:
La démission globale de vos salariés de l’entreprise Z constitue votre « talon d’Achille ». Si tel est le cas, monsieur Voldar pourra se retourner contre vous . En effet la jurisprudence sanctionne depuis longtemps le débauchage massif de salariés (Cass. Com, 9 Octobre 2001; Cass. Soc., 12 Juin 2002; Cass. Com., 3 Octobre 2006)
À qui peut-on confier les clefs du coffre-fort ?
Plusieurs sociétés informatiques proposent la prise en charge de la sécurité. C’est le SAS «security as a service ». Les arguments qu’elles avancent peuvent paraître séduisants : la sécurité est de plus en plus l’affaire d’hyperspécialistes que les entreprises peuvent ne pas posséder en interne et il peut y avoir une mutualisation des coûts. Cette nouvelle pratique qu’est le SAS suscite des questions juridiques multiples parfois communes à d’autres situations informatiques et sur lesquelles il n’y a pas de décisions de jurisprudence notoires. Il convient donc de se demander ce que pourrait contenir un contrat déléguant la sécurité à un tiers et de se demander ce qu’il advient des salariés de l’entreprise cliente à qui était confié antérieurement la sécurité.
Contrat de SAS : attention aux usages non professionnels des salariés.
Confier à un tiers sa sécurité nécessite de s’être préalablement entouré du maximum de garanties possible. La description des prestations à envisager ne semble pas poser de difficultés particulières : mise en place de firewall, d’antivirus, « scanning régulier ». Cependant, il faut également viser dans ce type de contrat les usages non purement professionnels que pourraient faire les salariés de leurs postes de travail. D’autres points du contrat doivent être examinés avec plus d’attention.
Le prestataire informatique est-il tenu d’une obligation de moyen ou de résultat ?
Pour bien appréhender ces concepts juridiques, il convient de les définir. Ainsi, lorsque le prestataire n’est tenu que d’une obligation de moyen, l’entreprise cliente doit alors prouver que le prestataire n’a pas fait tout ce qui était en son pouvoir pour lui donner satisfaction. Lorsque, en revanche, le prestataire est tenu d’une obligation de résultat le chef d’entreprise client du prestataire n’aura qu’à établir que le résultat escompté n’a pas été obtenu.
Aucune décision de justice n’a été prise sur la « SAS » et il est tentant de se reporter aux arrêts et jugements pris dans le cadre d’autres prestations informatiques. La cour d’appel de Reims a également mis en avant la notion de « profane en informatique » pour mettre une obligation de résultat à la charge du prestataire en ce qui concerne, par exemple, l’opération technique de transfert de données qui s’était mal déroulée (CA Reims, ch. civ., sect. 1, 2 mai 2006, SARL MS Informatique c/ SARL Quincaillerie Martin : Juris-Data n° 2006-304875).
A contrario, l’obligation de maintenance qui incombe à celui qui, dans le cadre d’un contrat de prestations de services, s’est engagé à maintenir en état de bon fonctionnement des logiciels et à mettre en œuvre tous les moyens pour remédier aux anomalies est considérée comme une obligation de moyen (CA Rouen, 1re ch., 27 avr. 2005 : Juris-Data n° 2005-272233). Difficile de s’y retrouver.
Une solution mixte sera peut-être trouvée par la jurisprudence pour les contrats dans lesquels le prestataire informatique serait tenu d’une obligation de résultat sur les failles de sécurité connues et de moyen sur celles qui sont nouvelles. La difficulté va résider sur le caractère de nouveauté. Ce caractère pourra être défini par contrat, où il sera précisé que toute faille devra être supprimée dans un délai de « xx » heures après qu’elle eut fait l’objet d’un communiqué ou qu’elle eut été découverte.
Le prestataire peut-il s’exonérer de toute responsabilité ?
Un prestataire pourra être tenté de s’exonérer totalement de sa responsabilité en précisant qu’il ne peut être tenu de réparer les différents dommages survenus du fait de sa défaillance.
Toutefois, de nombreuses décisions ont rappelé qu’une clause d’exonération ne devait pas vider le contrat de son contenu, c’est-à-dire qu’un prestataire se doit de réaliser ses engagements et qu’il est responsable des défaillances.
Ainsi, par exemple, un prestataire informatique a engagé sa responsabilité malgré une clause limitative de responsabilité, dès lors que celui-ci avait installé des versions d’un logiciel antérieures et n’a jamais procédé à la version promise. La cour d’appel de Versailles (CA Versailles, 12e ch., 31 mars 2005, cité in Un an de droit des contrats informatiques : Comm. com. électr. 2006, chron. 4, par H. Bitan) avait dans un premier temps retenu la responsabilité de l’éditeur de logiciel mais elle avait limité le montant de l’indemnisation à la hauteur du montant prévu par la clause limitative de responsabilité. La chambre commerciale de la Cour de cassation avait alors cassé l’arrêt d’appel considérant que le comportement caractérisait « un manquement à une obligation essentielle de nature à faire échec à l’application de la clause limitative de réparation ».br />
Les incidents doivent être signalés le plus rapidement possible.
Une agression sur le système informatique d’une entreprise peut-être le fait du hasard, par exemple un virus qui serait téléchargé à l’insu d’un des salariés.
Elle peut également résulter d’une volonté délibérée d’un tiers, d’un concurrent qui souhaiterait par exemple entrer dans le système.
C’est ainsi qu’un salarié avait été licencié à la suite de l’installation par celui-ci d’un logiciel destiné à permettre la gestion d’un canal de communication sur l’ordinateur depuis l’extérieur de l’entreprise. Or, une telle installation devait nécessairement être subordonnée à une autorisation de l’administrateur système et ne pouvait être laissée à la seule initiative du salarié qui n’avait pas qualité pour le faire; en mettant en place un accès direct à son ordinateur depuis l’extérieur, il contournait les règles de sécurité en vigueur dans l’entreprise. (Cour d’appel PARIS 12 Octobre 2004 SA TELEPERFORMANCE France GIBOUDEAUX Numéro JurisData : 2004-257111) Ces multiples intrusions doivent êtres signalées sans retard pour que les responsables de l’entreprise cliente puissent vérifier si elles ne sont pas orchestrées avec d’autres agressions.
Les clauses de confidentialité doivent être clairement édictées dans le contrat…
Le prestataire de sécurité va avoir accès à des informations sensibles. Une clause, classique en matière de contrats informatiques, peut ainsi prévoir l’obligation pour les parties de garder strictement confidentielle toutes informations, quelle qu’en soit la nature, qui ont été portées à leur connaissance dans le cadre du contrat de réalisation du développement spécifique.
Il convient également de compléter cette clause en mentionnant l’obligation pour les parties de veiller au respect de la confidentialité par leurs salariés, collaborateurs, filiales et sous-traitants éventuels.
Indépendamment des clauses de confidentialité qui tombent sous le sens, il convient de se demander si un tel prestataire peut travailler pour deux entreprises concurrentes et s’il convient de lui interdire.
Inclure les données personnelles…
Il est inutile de rappeler que tout système informatique d’une entreprise contient de nombreuses données personnelles et qu’il convient de respecter la loi Informatique et Libertés comme les autres dispositions, dont celles du code du travail.
À cet égard, il convient de rappeler en application des dispositions de l’article 25 de la loi du 6 janvier 1978, que la collecte de données par tout moyen frauduleux, déloyal ou illicite est interdite.
Et La surveillance des salariés.
Si la mise en place de la sécurité externalisé conduit à une surveillance des salariés. Ces derniers devront avoir été avertis. Les moyens mis en œuvre devront être proportionnels au but poursuivi et le comité d’entreprise devra donner son avis, comme pour c’est le cas de tout projet technologique.
Compte tenu d’une part de la responsabilité croissante du chef d’entreprise et de l’augmentation des litiges pénaux et civils au sein de l’entreprise, il apparaît nécessaire que l’on puisse remonter à l’auteur d’une infraction pour établir clairement les responsabilités. Cette traçabilité, dont mise en œuvre doit se faire dans le respect des droits des salariés, devra également être imposée au prestataire à qui cette tâche a été confiée.
Le prestataire peut-il s’exonérer de sa responsabilité en invoquant la faute de l’entreprise cliente ?
Par exemple, un prestataire pourra être tenté, comme cela s’est vu, d’exonérer de sa propre responsabilité en invoquant la faute de l’entreprise et l’absence de disposition contractuelle écrite suffisamment explicite justifiant une mise en jeu de sa responsabilité du fait de la faute alléguée.
Dès lors, le contrat devra soigneusement préciser ce que le prestataire attend de son client en termes de formation et d’usage de l’informatique pour les salariés, ces derniers étant également sources de vulnérabilité.
Transfert des salariés dont l’activité est externalisée ?
Si l’on confie à un prestataire externe une mission, que vont devenir les salariés à qui cette tâche était dévolue antérieurement ?
L’article L. 122-12, alinéa 2, du Code du travail prévoit que s’il survient une modification dans la situation juridique de l’employeur, notamment par succession, vente, fusion, transformation du fonds, mise en société, tous les contrats de travail en cours au jour de la modification subsistent entre le nouvel employeur et le personnel de l’entreprise.
En réalité, tout va dépendre de la notion d’entité économique transférée. Peut-on considérer que les services de sécurité informatique sont indépendants du reste de l’entreprise ? Cela paraît difficile. Rappelons à toutes fins utiles les complications rencontrées par la société Alcatel.
Le Conseil de Prud’hommes de Paris dans un jugement du 23 février 2005 a décidé d’annuler une opération d’externalisation conduite par Alcatel Réseaux Entreprise (ARE) avec pour conséquence la réintégration de 328 de ses anciens salariés et ce cinq après l’opération.
En l’espèce, cinq ans après l’opération d’externalisation, l’infogérant était en liquidation judiciaire et avait licencié les salariés. Ces derniers ont saisi la juridiction prud’homale et ont obtenu leur réintégration au sein d’ARE.
Le tribunal a en effet considéré que l’opération n’était qu’une simple externalisation de personnel, lequel continuait à être contrôlé par le client à travers un contrat de sous-traitance (contrôle des formations et des compétences, clause de non concurrence, attribution de primes…).
