La protection des secrets

Certaines informations sensibles devant demeurer secrètes, telles que celles concernant l’état de santé d’un patient, les échanges entre un avocat et son client ou encore la stratégie d’une entreprise, font l’objet d’une protection spécifique par le législateur. L’utilisation des nouvelles technologies et les risques associés, comme les cyberattaques, peuvent également nécessiter la mise en place de mesures de protection technique adaptées.

LE SECRET PROFESSIONNEL

Dans certains secteurs d’activité, le secret constitue une obligation pour le professionnel et, de manière générale, la violation de ce secret est punie d’un an d’emprisonnement et de 15 000 euros d’amende[i] auxquelles s’ajoutent des sanctions civiles.

Le secret médical

 Le principe du secret médical est posé par l’article L1110-4 du code de la santé publique qui dispose que « toute personne prise en charge par un professionnel de santé, un établissement de santé […] a droit au respect de sa vie privée et du secret des informations le concernant » et « il s’impose à tous les professionnels intervenant dans le système de santé ».
Par ailleurs, dans la mesure où les données médicales ont été qualifiées de données à caractère personnel et de données sensibles par la loi « Informatique et libertés » et le Règlement européen sur la protection des données[ii], s’ajoutent aux dispositions sur le secret médical celles relatives à la protection des données personnelles[iii].
Afin de conserver le secret des données médicales, les professionnels de santé sont également tenus de respecter des référentiels de sécurité qui leur imposent, notamment, de recourir à des prestataires d’hébergement cloud agréés par le ministère de la Santé[iv] pour le stockage des données. 

Le secret bancaire

Le secret bancaire, posé par l’article L511-23 du code monétaire et financier, est l’obligation de confidentialité à laquelle les établissements bancaires sont soumis à l’égard de leurs clients. Afin de garantir la confidentialité et la sécurité des données, lesdits établissements doivent plus que jamais veiller à la sécurité de leur système informatique en se conformant, notamment, aux dispositions de l’arrêté du 3 novembre 2014[v].

Le secret des avocats

Outre le Règlement intérieur national de la profession[vi], le secret professionnel de l’avocat est posé par l’article 66-5 de la loi du 31 décembre 1971[vii] complété par les articles 4 et 5 du décret du 12 juillet 2005[viii]. Ainsi sont notamment couvertes par le secret, les correspondances échangées entre l’avocat et son client.
Pourtant, contrairement aux professions médicales et bancaires, les avocats ne sont soumis à aucune exigence réglementaire de sécurité destinées à garantir la confidentialité des données lors de leur stockage et de leur transmission électronique. Dans ces conditions et pour donner suite à plusieurs cyberattaques[ix], le Conseil des barreaux européens a publié, en 2017, un guide de bonnes pratiques sur le renforcement de la sécurité informatique des avocats[x].
 

LE SECRET DES AFFAIRES

La loi relative à la protection du secret des affaires, adoptée le 21 juin 2018, apporte un cadre légal permettant la protection d’informations souvent stratégiques pour une entreprise et qui n’étaient jusqu’alors pas protégées. Elle permet également de regrouper ce qui était indistinctement qualifié de secret commercial, savoir-faire, informations commerciales confidentielles, secret de fabrique, etc.
Ainsi, est protégée au titre du secret des affaires, toute information qui :

  • n’est pas connue ou aisément accessible pour les personnes du même secteur d’activité ;
  • revêt une valeur commerciale effective ou potentielle ;
  • fait l’objet de mesures de protection raisonnables pour en conserver le secret[xi].

L’obtention d’un secret d’affaires sera considérée comme illicite lorsqu’elle est réalisée par le biais :

  • d’un accès non autorisé au document ou fichier numérique qui renferme le secret ;
  • ou de tout comportement déloyal et contraire aux usages en matière commerciale[xii].

L’utilisation ou la divulgation d’un secret d’affaires sera considérée comme illicite lorsqu’elle est le fait d’une personne qui a agi en violation d’une obligation de confidentialité ou de non-utilisation[xiii].
Ces actes illicites permettront au détenteur du secret d’affaires de solliciter des mesures, procédures et réparations prévues par la loi et notamment l’octroi de dommages et intérêts en réparation du préjudice subi[xiv].
 

LE SECRET DES CORRESPONDANCES

Le secret des correspondances est un principe qui trouve son application dans différents textes tels que l’article L801-1 du code de la sécurité intérieure qui précise que « le secret des correspondances est garanti par la loi ». L’article L32-3 du code des postes et des communications électroniques rappelle, également, que les opérateurs de télécommunications, les éditeurs de service de communication et les hébergeurs sont tenus de respecter le secret concernant :

  • le contenu de la correspondance ;
  • l’identité des correspondants ;
  • l’intitulé du message et les documents joints le cas échéant.

Avec l’entrée en vigueur de la loi pour une République numérique[xv], ledit article L32-3 admet des exceptions au principe du secret et permet à ces acteurs d’exploiter les correspondances, avec le consentement exprès de l’utilisateur, à des fins publicitaires, statistiques ou d’amélioration du service.
Il est, toutefois, important de rappeler que le secret ne concerne que les correspondances privées définies comme tout message exclusivement destiné à une ou plusieurs personnes physiques ou morales, déterminées et individualisées[xvi]. S’est alors posée la question des e-mails personnels échangés au moyen d’une messagerie professionnelle. Il ressort de la jurisprudence que le salarié doit préciser, dans l’objet de ses e-mails, les termes « privé » ou « personnel » afin d’empêcher l’employeur de les consulter en dehors d’un risque ou événement particulier[xvii].
Quant à la violation du secret des correspondances, sous réserve de l’existence d’une intention coupable, elle est punie d’un an d’emprisonnement et de 45 000 euros d’amende[xviii].

[i] Article 226-13 du code pénal.
[ii] Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE.
[iii] Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, art. 8.
[iv] Article L1111-8 du code de la santé publique.
[v] Arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d’investissement, soumises au contrôle de l’Autorité de contrôle prudentiel et de résolution.
[vi] Règlement Intérieur National de la profession, art. 2.1 : « L’avocat est le confident nécessaire du client ».
[vii] Loi n°71-1130 du 31 décembre 1971 portant réforme de certaines professions judiciaires et juridiques.
[viii] Décret n°2005-790 du 12 juillet 2005 relatif aux règles de déontologie de la profession d’avocat, art. 4 et art. 5.
[ix] Lanouvellerepublique.fr, Un cabinet d’avocats frappé par une cyberattaque, 17 octobre 2016 : https://www.lanouvellerepublique.fr/poitiers/un-cabinet-d-avocats-frappe-par-une-cyberattaque ; Huffingtonpost.fr, Le cabinet de conseil Deloitte victime d’une cyberattaque, 25 septembre 2017 : https://www.huffingtonpost.fr/2017/09/25/le-cabinet-de-conseil-deloitte-victime-dune-cyberattaque-et-ca-pourrait-lui-couter-tres-cher_a_23222244/ ; Challenges.fr, Un cabinet d’avocats offshore piraté se prépare à des révélations, 25 octobre 2017 : https://www.challenges.fr/monde/un-cabinet-d-avocats-offshore-pirate-se-prepare-a-des-revelations_508818.
[x] Conseil des barreaux européens, Renforcement de la sécurité informatique des avocats contre la surveillance illégale : https://www.ccbe.eu/fileadmin/speciality_distribution/public/documents/IT_LAW/ITL_Guides_recommentations/FR_ITL_20160520_CCBE_Guidance_on_Improving_the_IT_Security_of_Lawyers_Against_Unlawful_Surveillance.pdf.
[xi] Article L151-1 du code de commerce.
[xii] Article L151-4 du code de commerce.
[xiii] Article L151-5 du code de commerce.
[xiv] Chapitre II de la loi n° 2018-670 du 30 juillet 2018 relative à la protection du secret des affaires.
[xv] Loi n° 2016-1321 du 7 octobre 2016 pour une République numérique.
[xvi] Commission nationale de l’informatique et des libertés, Secret des correspondances : un consentement renforcé des utilisateurs de services de communication électronique, 31 mars 2017 : https://www.cnil.fr/fr/secret-des-correspondances-un-consentement-renforce-des-utilisateurs-de-services-de-communication.
[xvii] Soc., 2 octobre 2001, pourvoi n° 99-42.942, affaire Nikon ; Soc., 17 mai 2005, pourvoi n° 03-40.017; Soc., 19 juin 2013, pourvoi n° 12-12.138.
[xviii] Article 226-15 du code pénal.
paiement dans le marché intérieur.