Les enjeux de l’intelligence économique pour les entreprises

Intelligence économiqueLes affaires Snowden et Sony mettent en évidence les enjeux de l’intelligence économique pour les entreprises. Si le rapport Urvoas incite à la reconnaissance d’une violation du secret des affaires, c’est en pratique une subtile culture de la concurrence et du renseignement économique qui devrait se développer.

Après que Sony aura dû abandonner ses intérêts économiques en cédant au chantage d’une cyberattaque, l’intelligence économique n’apparaît plus comme une coquetterie, elle est un réel enjeu pour toutes les entreprises. Sans même songer que l’ espionnage industriel est devenu une priorité de la cyberdélinquance, le benchmarking plus ou moins offensif représente désormais une pratique courante. De la veille concurrentielle active en milieu ouvert (internet, conférences, etc.) aux informations obtenues par de fausses sollicitations commerciales, jusqu’au hacking le plus intrusif, les techniques connaissent une large palette de nuances.

Le rapport de la délégation parlementaire du renseignement (DPR) conduite par le député Jean-Jacques Urvoas, remis le 18 décembre 2014, met en évidence la nécessité d’une véritable culture du renseignement économique et d’une défense du patrimoine informationnel des entreprises. Bien plus, il évoque un basculement des enjeux à l’ère numérique en décrivant un ” monde après les révélations d’Edward Snowden”.

Le rapport souligne particulièrement que les questions juridiques sont une partie essentielle de l’intelligence économique, qu’elle soit offensive (obtenir des informations économiques) ou défensives (protéger son patrimoine industriel et informationnel). Il indique en particulier que les procédures judiciaires, spécialement celle de la discovery dans la justice américaine, peuvent constituer un moyen direct ou indirect d’accéder à des données essentielles, notamment sous la menace de sanctions importantes. Mais les problématiques juridiques ne se réduisent pas à cette seule question.

L’essaimage disparate des outils juridiques d’action

Le rapport de la DPR rappelle qu’il existe déjà un arsenal d’incriminations pénales. Ces dernières peuvent se classer en deux catégories : celles relatives au contenu de l’information détournée et celles relatives au procédé d’obtention de l’information. Parmi les premières, on trouve des infractions de droit commun comme le vol ou l’ abus de confiance dont les qualifications sont alternativement retenues par les juridictions pour réprimer le détournement de données et fichiers informatiques.

De même, la qualification générique d’escroquerie trouve à s’appliquer pour de nombreux stratagèmes de piratage, notamment ceux qui utilisent une usurpation d’identité (désormais réprimée par elle-même au nouvel article 226-4-1 du Code pénal créé par la loi Llopsi 2) ou qui obtiennent des informations ou codes d’accès par ingénierie sociale, c’est-à-dire en convainquant malicieusement un interlocuteur de les leur remettre volontairement (fraude au virement auprès d’un responsable financier par une personne se faisant passer pour un haut dirigeant ayant un besoin urgent des fonds, fausse interface de pishing, etc.).

D’autres infractions s’appliquent plus spécifiquement à l’objet industriel ou intellectuel des détournements, comme la contrefaçon d’un droit de propriété (brevet, base de données, logiciel protégé par des droits d’auteur, etc.) ou comme la violation d’un secret de fabrique par un ancien salarié.

La seconde catégorie d’infractions vise, en amont du résultat, la captation même des données. Elle inclut d’abord le détournement de correspondance qui, pour les courriers électroniques, permet de sanctionner tout accès à la messagerie de celui qui n’en est pas le titulaire. Mais elle recouvre aussi notamment l’intrusion frauduleuse dans un système de traitement informatisé qui s’applique notamment au hacking. La récente loi relative à la lutte contre le terrorisme du 13 novembre 2014 vient d’ailleurs d’ajouter à cette intrusion les faits ” d’extraire, de détenir, de reproduire ou de transmettre” frauduleusement des données. Ce faisant, la loi pénale établit un véritable droit à la sécurité numérique. À cette fin, elle prescrit symétriquement un devoir de se protéger en sanctionnant le défaut de préservation de sécurité des données .

Malgré ce dispositif, des propositions de loi se multiplient depuis plusieurs années pour faire reconnaître la violation du secret des affaires. Celle déposée par Monsieur Carayon le 23 janvier 2012 n’avait pas connu de consécration législative. Désormais, celle promue par Monsieur Urvoas et la DPR peuvent se prévaloir tout à la fois d’une actualité anxiogène en matière de sécurité économique et d’un projet de directive européenne adopté par le Conseil de l’Union en mai 2014 dans des termes au demeurant relativement proches. Elles bénéficient d’une assise solide dans la mesure où la Cour de justice de l’Union européenne a fait du secret des affaires un principe général dès 1986 et dans la mesure où la Cour de cassation reconnaît, dans son rapport annuel pour 2012, qu’il relève ” du patrimoine informationnel dont dépend la sécurité économique”.

Un enjeu concurrentiel

L’efficacité de la nouvelle incrimination proposée par Monsieur Urvoas est discutable. Mais les motifs en sont moins techniques que culturels. Le rapport de la DPR souligne d’ailleurs la nécessité de faire partager par les différents intéressés une véritable culture de l’intelligence économique, notamment auprès du monde judiciaire. En effet, parallèlement à la voie pénale, les entreprises victimes de détournement d’informations économiques agissent par la voie en principe parfaitement efficiente de l’action en concurrence déloyale.

Mais les résultats s’avèrent trop souvent en deçà des enjeux. Dans son rapport du 17 avril 2009 , c’est un haut magistrat, Avocat Général à la Cour de cassation, qui exhortait les juridictions à mieux prendre en compte l’étendue de la réparation des préjudices (économiques, financiers et stratégiques) qui sont la conséquence des atteintes au secret des affaires et aux pratiques loyales de concurrence. En d’autres termes, promouvoir une véritable culture de la concurrence.

Les juridictions peinent à caractériser la nature et l’étendue du dommage causé par la captation d’informations économiques confidentielles quand il n’existe pas de lien direct avec un détournement de clientèle. Pourtant, l’accès à ces données peut procurer un avantage concurrentiel décisif. D’ailleurs, l’échange volontaire d’informations entre concurrents sur les prix ou sur la stratégie commerciale constitue une entente anticoncurrentielle, c’est-à-dire l’atteinte la plus grave au fonctionnement du marché.

Le droit de la concurrence considère en effet que la compétition économique profitable au consommateur se trouve faussée lorsque les opérateurs ne déterminent pas leur offre en fonction de leur seule performance économique marchande, c’est-à-dire dans l’ignorance de la stratégie de leurs concurrents. Dans ces conditions, l’entreprise qui obtient frauduleusement des données se procure un avantage indu sur le marché, non seulement au détriment de son concurrent, mais aussi à celui des consommateurs eux-mêmes.

Déterminer réellement ce préjudice implique donc d’établir un scénario contrefactuel en reconstruisant le fonctionnement probable du marché en l’absence de fait dommageable, comme le préconise la Commission européenne pour les pratiques antitrust.

L’intelligence économique :

La façon de concevoir l’intelligence économique souffre d’un biais éthique qui nuit à la sécurité procédurale des actions en concurrence déloyale. Ce biais, c’est celui de la frontière de la loyauté. Autant l’intelligence promeut le renseignement économique comme facteur de compétitivité, autant cette intelligence se dégrade en déloyauté lorsqu’elle fait appel à des procédés réprouvés. Cette frontière est particulièrement importante puisque, dans l’intelligence économique offensive, elle détermine la typologie des faits sanctionnés, et dans l’intelligence économique défensive, elle appelle les mesures probatoires et d’investigation qui sont légitimes pour faire sanctionner les faits illicites.

Mais, dans ce registre, loyauté et légitimité ne se confondent pas et ne sont pas binaires. L’histoire du hacking se divise certes depuis longtemps en hackers White Hat et en hackers Black hat, entre ceux qui agiraient par des intentions nobles (révélation des failles de sécurité pour le bien commun) et ceux qui auraient des intentions égoïstes ou malveillantes.

Entre le White et le Black, le numérique laisse une large part au Grey, c’est-à-dire à la circulation et à l’obtention d’information par un procédé de légitimité ambigüe, un acte-frontière qui emprunte à la fois à la ruse et à l’utilité sociale.

Certains modes de preuve sont assurément irrecevables. C’est notamment le cas des interceptions, qu’elles soient électroniques ou téléphoniques. Mais c’est aussi le cas des constatations faites par une provocation ou un stratagème mis en œuvre par un huissier. De façon plus surprenante, la preuve d’une contrefaçon ne peut être faite par un achat en ligne d’un officier ministériel.

Si, a priori, le droit de la preuve s’accommode mal de la demi-mesure, la zone grise – celle dont la loyauté n’est pas si franche qu’on l’attendrait – conserve un territoire assez vaste. À chaque fois que l’agression économique fait apparaître une infraction, le juge pénal admet de prendre en compte les preuves illicites, ce qui paraît laisser libre champ à la légitime défense économique par le hacking. Mais, même dans le registre de la concurrence déloyale, les investigations conduites par un tiers peuvent être utilisées en justice. La Cour de cassation vient même de préciser que si les informations ont été obtenues par des moyens disproportionnés, l’irrecevabilité n’affecte que partiellement les données recueillies, c’est-à-dire exclusivement celles obtenues de façon illégitime… de quoi inciter au large filet de pêche !

Toujours dans la zone grise, les juridictions accordent parfois leur faveur à ceux qui refusent de communiquer la provenance de leur preuve (comme la connaissance de l’adresse IP à partir de laquelle s’est réalisée le piratage) ou à ceux qui ont obtenu une preuve électronique à l’insu du destinataire… mais sans fraude : frontière ténue entre l’opportunisme et la malice…

Dans le renseignement offensif, elles laissent même exploiter les failles de sécurité par des hackers, y compris auprès d’ opérateurs d’importance vitale (OIV). Nulle protection donc pour celui qui ne met pas en place de mesure de sécurité.

Zone grise aux frontières imprécises cependant. Car si la demande de mesures d’investigation probatoire faite au juge sans avertir son concurrent ne paraît pas toujours exiger une présentation parfaitement exhaustive des faits, encore ne faut-il pas obtenir du juge une mission discrétionnaire d’investigation au profit d’un huissier et de l’expert informatique qui l’accompagne, comme Orange vient d’en faire les frais à ses dépens.

Cette preuve intermédiaire, ce purgatoire de la vérité judiciaire, qui est aussi un entre-deux pour le renseignement économique, a de quoi déconcerter les juristes orthodoxes plus habitués à une distinction claire entre le licite et l’illicite. En sorte que ceux qui se frottent à l’intelligence économique doivent souvent se comporter en funambules.

Auteur: Luc-Marie Augagneur
Source: http://www.lesechos.fr/idees-debats/cercle/cercle-120567-lintelligence-economique-a-la-recherche-de-son-droit-1079618.php