La maîtrise de la confidentialité des informations détenues par le collaborateur, au cœur de l’intelligence économique défensive

1. La confidentialité imposée au collaborateur

La confidentialité se décline sous deux obligations :

• La discrétion, qui renvoie essentiellement à une obligation de ne pas faire, c’est-à-dire à la fois s’abstenir d’adopter un comportement imprudent (communication sur ses activités, surtout dans certains contextes sensibles de type préparation d’opérations stratégiques) et ne pas divulguer (volontairement ou par négligence) des informations à caractère confidentiel détenues par le salarié.
• Le secret, dont la violation est sanctionnable non seulement sur le plan disciplinaire mais également pénal. Ainsi, constitue un délit toute révélation d'une information à caractère secret par une personne qui en est dépositaire soit par état ou par profession, soit en raison d'une fonction ou d'une mission temporaire (puni par l’article 226-13 d’une peine maximale d'un an d'emprisonnement et de 15 000 euros d'amende). Dans le même sens, le fait pour un directeur ou un salarié de révéler ou de tenter de révéler un secret de fabrication est puni d'un emprisonnement de deux ans et d'une amende de 30 000 euros (C. Trav., L1227-1).

La confidentialité se rattache juridiquement à l’obligation d’exécution loyale et de bonne foi du contrat de travail (combinaison des articles 1134 du Code civil et L1222-1 du Code du travail). Elle ne s’arrête pas « à la porte de l’entreprise », et constitue une obligation générale applicable pendant toute la durée de l’exécution du contrat de travail, y compris ses périodes de suspension (absences, congés, etc.), et même après sa rupture. Elle mérite d’ailleurs d’être inscrite noir sur blanc dans tous les contrats de travail et relayée notamment par une charte informatique, dans une optique aussi bien juridique que psychologique. L’employeur doit également porter une attention toute particulière aux clauses de confidentialité contenues dans les conventions et contrats commerciaux relatifs aux personnels extérieurs dès lors qu’ils n’appartiennent pas à une profession réglementée soumise au secret professionnel : intérimaires, consultants, prestataires, sans compter les stagiaires qui peuvent également à l’origine de détournements de données stratégiques (cf. affaire Valeo – Tribunal correctionnel de Versailles, 18 décembre 2007).
L’entreprise se trouve également particulièrement exposée en cas de départ du salarié de l’entreprise ; elle doit veiller à la restitution des documents et matériels qui sont sa propriété, et rappeler que l’obligation de confidentialité s’applique sans limitation de durée, indépendamment de toute application d’une clause de non-concurrence par exemple. La question la confidentialité est en outre fréquemment intégrée dans le cadre des protocoles transactionnels, et assortie le cas échéant d’une clause pénale imposant au salarié le versement d’une indemnité en cas de manquement.  
Dans tous les cas, la difficulté essentielle est la suivante : comment 1/ prouver matériellement la violation de la confidentialité et 2/ l’imputer au salarié personnellement ? Par exemple, l’utilisation des réseaux sociaux est susceptible d’être aussi bien le « lieu » d’une divulgation d’informations confidentielles que d’un dénigrement de l’entreprise (à noter que la jurisprudence s’adapte en matière de délit d’injures publiques en distinguant selon ce qui est visible en profil « public » ou « restreint » – Cass. Civ. I 10 avril 2013, n° 11-19530). La jurisprudence refuse par principe à l’employeur la possibilité de se prévaloir de preuves obtenues selon un procédé déloyal, ou à l’insu du salarié, ou en violation du secret des correspondances. En outre, des faits de vie privée ne constituent pas en principe une faute disciplinaire et ne peuvent fonder un licenciement pour motif personnel qu’en raison du trouble objectif porté à l’image ou au fonctionnement de l’entreprise. En revanche, les atteintes à la confidentialité peuvent justifier selon les circonstances un licenciement pour faute grave (cf. p. ex. Cass. Soc. 5 juillet 2011, n° 10-14685), voire pour faute lourde en cas d’intention de nuire à l’employeur, par exemple dans un contexte de concurrence déloyale ou de débauchage. A noter que seule la faute lourde permet à l’employeur d’engager la responsabilité financière du salarié et de lui demander réparation du préjudice causé.  
En définitive, les stratégies offensives étant bien souvent trop tardives, l’entreprise ne peut faire l’économie d’une démarche de prévention, axée sur le tryptique « formation – sensibilisation – information », afin de susciter l’adhésion des collaborateurs sur les enjeux liés à la confidentialité.
Pour les cas les plus délicats, sans être « ni paranoïaque, ni naïf » il paraît opportun de sensibiliser plus particulièrement certains personnels sur le risque d’être des « cibles » en termes d’espionnage industriel ainsi que sur les bonnes pratiques à adopter (sollicitations, corruption, etc.).
Sur le plan des conditions de travail, les contraintes liées à l’obligation de confidentialité doivent néanmoins rester toujours justifiées par la nature de la tâche à accomplir et proportionnées au but recherché conformément à l’article L1121-1 du Code du travail.
Il semble essentiel pour le chef d’entreprise de définir une organisation adaptée, avec méthode, ce qui implique d’évaluer les points de vulnérabilité de son patrimoine informationnel, après avoir identifié notamment :

• les informations (faiblement, moyennement et hautement) sensibles, autrement dit, celles qui ont une valeur particulière et ne peuvent être divulguées (fichiers clients, procédés de fabrication, savoirs-faire, etc.) ;
• les personnes appelées à avoir accès à ces informations, en tout ou partie ;
• les niveaux d’accessibilité à ces informations (réseau intranet, archives, information publique et/ou légale, etc.) ;
• les nécessités liées à la communication officielle de l’entreprise ;
• les modes de partage de l’information ;
• les sécurités et restrictions d’accès existantes pour protéger ces informations (badges, codes d’identification, garanties juridiques, etc.) ;
• les moyens d’information de l’entreprise sur le plan économique et concurrentiel (veille pluridisciplinaire, etc.).

2. La confidentialité imposée aux institutions représentatives du personnel

L’exemple des restructurations et des conflits sociaux montre que les procédures d’information et de consultation des représentants du personnel sont souvent l’occasion de « fuites » d’informations sensibles, notamment auprès des médias et du grand public.
La loi établit une distinction entre :

• D’une part, les données relatives aux procédés de fabrication, qui sont de plein droit couvertes par le secret. Le secret de fabrique constitue une information privilégiée par nature et s’impose erga omnes, aussi bien aux salariés ordinaires qu’à leurs représentants, à leurs experts (CE et CHSCT) ou aux autorités administratives.
• D’autre part, les autres informations présentant un caractère confidentiel et présentées comme telles par l’employeur. L’employeur peut ainsi sélectionner les informations qu’il juge confidentielles et assujettir ses détenteurs à une obligation spéciale de discrétion et de confidentialité, tant vis-à-vis des tiers que des salariés de l’entreprise (cf. C. Trav., L2325-5, L2313-13, L4614-9).  

On comprend donc que toute information ne puisse être réputée confidentielle, a fortiori si elle est déjà connue notoirement dans l’entreprise ou a été rendue publique, sous peine de vider de toute substance les attributions des institutions représentatives du personnel que sont le CE, le CHSCT, les Délégués du personnel et les Délégués syndicaux. A l’inverse, la possibilité d’imposer une telle confidentialité lorsque celle-ci est justifiée est de nature à interdire à l’employeur de refuser d’informer ses partenaires sociaux au motif que le sujet serait « confidentiel ». Les exigences de confidentialité trouvent ici leur limite dans le risque de délit d’entrave et d’abus de droit.
En matière de consultation du CE, celui-ci est légalement destinataire d’une information écrite qui doit être suffisamment précise. Il appartient donc à l’employeur d’apprécier sous sa propre responsabilité si tout ou partie du document transmis doit être libellé « confidentiel », et de le rédiger en fonction. Cette exigence doit ensuite être rappelée et motivée en réunion au regard de l’enjeu et de l’intérêt de l’entreprise, et enfin, actée dans le procès-verbal (formalisme impératif pour que la confidentialité soit opposable : Cass. Soc. 12 juillet 2006, n° 04-47558). Les élus et représentants syndicaux doivent en outre connaître de manière claire la portée de l’obligation de confidentialité vis-à-vis des salariés, notamment s’agissant de la durée raisonnable pendant laquelle l’information ne doit pas être « ébruitée » ou relayée. La confiance est le pendant de la confidentialité, et l’employeur doit pouvoir compter sur la responsabilité de ses partenaires sociaux.
Toutefois, en cas d’affichage en violation de la confidentialité, l’employeur ne peut se faire justice à lui-même mais peut agir en justice, devant le juge des référés, pour faire ordonner l’interdiction de la publication qui constitue un trouble manifestement illicite (cf. Circulaire DRT no 12 du 30 novembre 1984). En outre, la divulgation publique de ce type d’information expose son auteur à des sanctions disciplinaires (cf. Cass. Soc. 6 mars 2012, n° 10-24367), et pourrait selon les circonstances constituer une faute d’une gravité suffisante justifiant une autorisation administrative de licenciement.
De nouveaux enjeux apparaissent, avec notamment la loi de sécurisation de l’emploi adoptée le 9 avril 2013 par l’Assemblée nationale (non entrée en vigueur à ce jour). Suivant l’objectif de créer de nouveaux droits collectifs et dans un souci d’une plus grande transparence au sein de l’entreprise, celle-ci instaure une nouvelle obligation pour l’employeur d’établir et de mettre à la disposition permanente des membres du CE (ou des DP à défaut) une base de données économiques et sociales (futur article L2323-7-2 du Code du travail). Même si des précisions réglementaires devront être apportées, force est de constater que les informations économiques et financières visées (politique d’investissements, flux financiers et transferts, sous-traitance, … ) sont d’autant plus sensibles vis-à-vis de la concurrence qu’elles devront être non seulement rétrospectives (année en cours + 2 années précédentes) mais intégrer également des perspectives sur les trois années suivantes.
Selon la même mécanique, ce texte prévoit que « Les membres du comité d’entreprise, du comité central d’entreprise, du comité d’hygiène, de sécurité et des conditions de travail, les délégués syndicaux et, le cas échéant, les délégués du personnel sont tenus à une obligation de discrétion à l’égard des informations contenues dans la base de données revêtant un caractère confidentiel et présentées comme telles par l’employeur ».
Il peut sembler regrettable du point de vue de la sécurité économique et juridique de l’entreprise que le législateur n’ait pas pris l’option de reconnaître que ces informations permanentes (puisque mises à jour) soient présumées confidentielles, comme c’est le cas par exemple s’agissant des documents de gestion prévisionnelle (C. Trav., L2323-10) ou en cas de procédure d’alerte économique (C. Trav., L2323-82).
En résumé, la maîtrise de l’information devient très relative une fois qu’elle a été donnée, ce qui invite en prévention à être vigilant sur la politique d’accès à l’information stratégique, et en aval, de suivre les informations relatives à l’entreprise ou à son personnel qui « circulent ».