Des directeurs de sécurité ont réfléchi, avec 4 experts en entreprise, sur cette problématique relative aux codes, normes, règlements en France et à l’international qui préoccupe les entreprises. Le respect strict de toutes ces contraintes est un gage du sérieux et d’éthique, et un atout business.
1. Regards sur la complexité
Dans le cadre rigoureux de la sécurité globale (sûreté et sécurité), tout est important et évolue vite ; un directeur de sécurité, n’étant pas un expert en tout, peine à trouver la bonne voie juridique. La comparaison est possible avec un médecin généraliste qui, après un examen clinique, fait appel à des médecins spécialistes en tant que de besoin. Dans l’entreprise, les RH, le juridique,
la communication, ... avec le soutien d’avocats extérieurs sont des acteurs impliqués. Il faut veiller en permanence à distinguer le possible, le recommandable, l’interdit. La responsabilité notamment pénale d’un dirigeant constitue un souci permanent et les craintes pour l’image de marques ont patentes. Normalisation ou règlementation, comment différencier ? Les normes sont édictées par des organismes nécessitant des engagements humains et des finances offerts, parfois, par des acteurs profitant de leur implication pour défendre des intérêts industriels et/ou nationaux (armes économiques). Les normes IS0 relatives à la sécurité de l’information (27000), à la qualité (9000), au management anti-corruption (37000), au management du risque (31000), aux risques liés aux voyages (31030), ... peuvent contraindre la vie de l’entreprise. La conformité aux normes n’est, a priori, pas obligatoire mais vivement recommandée pour afficher la crédibilité dans le business et, en cas d’incident grave, pour montrer le professionnalisme sécuritaire de l’entreprise. La norme est aussi un vecteur d’influence sectorielle. La réglementation relevant des pouvoirs publics est l’expression d’une loi, d’un règlement et son application est obligatoire. L’IGI1300 définit des exigences applicables aux informations classifiées liées au secret de défense nationale. Les banques sont impactées par le règlement européen DORA pour la résilience bancaire. Le RGPD est obligatoire et encadre les données personnelles au sein de l’UE. Toutefois, les règlements européens et les normes internationales ne sont pas compris de manière identique dans tous les pays qui doivent les appliquer. Le développement à l’international nécessite une adaptation à des contextes internationaux où les différences de culture, d’interprétation des législations, de rapport à la loi, rendent la gestion de situation plus complexeque celle liée à un pays. Les lois internationales sont en général plus souples et plus adaptables que les lois nationales. On doit avoir conscience de tout cela pour construire la cohérence d’entreprise en prenant en compte ce qui sert le business de façon ciblée, avec une intelligence juridique. Le droit international détaille les obligations, met en garde sur les interdits mais la tendance est de minimiser le potentiel de protection des salariés. Le conflit de droit peut être une opportunité pour certains de s’exonérer de certaines actions. Il est regrettable de se focaliser trop souvent sur la contrainte. Là encore le lien précieux de la direction de la sécurité et du service juridique permet de développer des initiatives stratégiques. Ne jamais négliger les consignes/les attentes de l’actionnariat et l’importance des législations s’appliquant au siège social/à la maison mère et les portées de l’extraterritorialité, émanant surtout des Etats Unis.
2. Cas d’école d’un imbroglio juridique lié à l’espionnage économique
Un ancien salarié a voulu vendre des secrets de fabrication de son entreprise à un concurrent étranger. Le travail avec les enquêteurs a permis d’identifier et arrêter l’instigateur, mais notre droit (antérieur à la loi sur le Secret des affaires) ne permettait de retenir que l’abus de confiance et le rassemblement de données pour communication à une entreprise étrangère ! Les autres qualifications de l’infraction envisagées (espionnage, droit d’auteur, brevets, propriété intellectuelle, secret de fabrique, ...) n’étaient pas applicables. Les institutions européennes ne reconnaissent pas le caractère opposable de la clause de non-concurrence si l’intéressé veut travailler dans un autre pays de l’Union (frein à la libre circulation des personnes). Il ressortait donc que la concurrence entre entreprises relève de la seule sphère privée et non de la sphère publique. Par ailleurs, la notion d’atteinte aux intérêts de la Nation était trop abstraite et n’était supportée par aucune jurisprudence. Ce vide juridique a été comblé par la promulgation de la loi sur le Secret des Affaires en 2018 et par un décret en Conseil d’Etat portant la création de ZRR. Pour que cette loi soit efficace, il faut mettre en place uneformation/sensibilisation au secret des affaires, recenser les savoir-faire et des infos stratégiques, déterminer et mettre en œuvre les moyens de protection adéquats et, enfin, contrôler le déploiement et la stabilité de la démarche. Le Directeur Sûreté ne doit pas se contenter de prendre en compte les obligations réglementaires et les interdits dans l’exercice de sa mission, il doit aussi créer les conditions permettant une application utile des lois existantes (Secret des Affaires en Europe, Cohen Act aux Etats-Unis, ...).
