Le 16 juillet 2014, plusieurs dizaines de députés déposaient une proposition de loi visant à protéger le secret des affaires. Cette avancée législative était attendue depuis de nombreuses années par les praticiens de l’intelligence économique. Les parlementaires précisaient que, pour être protégeables, les informations devaient remplir trois conditions cumulatives. Elles devaient être non publiques, représenter une valeur économique découlant du potentiel scientifique et technique, des positions stratégiques, des intérêts commerciaux et financiers ou de la capacité concurrentielle de leur détenteur et enfin faire l’objet de mesures de protection raisonnables. Au final, la violation du secret des affaires pouvait donner droit à des dommages civils. Et le législateur redéfinissait aussi l’infraction pénale : « Le fait pour quiconque de prendre connaissance ou de révéler sans autorisation, ou de détourner toute information protégée au titre du secret des affaires au sens de l’article L. 151-1 du code de commerce est puni de 3 ans d’emprisonnement et de 375 000 euros d’amende». Le texte ratifié en commission stipulait que « nul ne peut obtenir, utiliser ou communiquer une information protégée au titre du secret des affaires ».

Le problème réside dans le fait que le secret des affaires a été immédiatement perçu comme contraire au droit d’intervention des organisations syndicales, invalidant le récent statut des lanceurs d’alerte et attentatoire à la liberté de la presse. Syndicalistes, journalistes et militants des ONG se sont fortement mobilisé contre le texte. Au final, les parlementaires ont jugé « plus sage de retirer le texte ». Et après plus de dix ans de débats controversés, les spécialistes d’intelligence économique assistaient médusés à l’enterrement du secret des affaires.

L’intelligence économique (IE) vise à assurer « la maîtrise et la protection des informations stratégiques utiles aux décideurs publics et privés ». Le volet protection implique que toutes les informations considérées comme « sensibles » ne soient pas protégées de la même façon, au risque de paralyser l’activité de l’entreprise et de rigidifier les pratiques dans des procédures stériles. Aussi, avant de mettre en place une politique de protection, une analyse précise des risques s’impose comme un préalable indispensable pour définir celles qui sont véritablement stratégiques et vitales, et ainsi mieux définir les conditions de leur protection.

Pour faire ce travail de recensement, il faut appréhender les enjeux liés aux informations détenues par l’entreprise en concertation avec l’ensemble des services (RH, contrôle de gestion, comptabilité, commerce, finance, marketing, communication). L’auditeur en IE devra établir une grille de questions permettant d’apprécier la sensibilité de l’information en fonction de l’activité ; en hiérarchisant la sensibilité des informations en fonction du préjudice qu’engendrerait leur divulgation (impact faible, moyen, fort) pour la vie de l’entreprise. Il devra aussi en évaluer les risques de fuite lors de la vie opérationnelle de l’information, tout en appréciant en particulier s’il s’agit de risques humains, juridiques, informatiques ou techniques.

Au final, ce travail de recensement permet de considérer la sensibilité stratégique des informations ayant un impact fort sur l’organisation. Elles doivent faire l’objet d’une protection spécifique, quelles que soient la difficulté d’accès et la probabilité de fuite. On le voit, l’intelligence économique n’entend pas protéger toutes les informations, tout le temps. Il s’agit de mettre en place un traitement chirurgical pour protéger l’essentiel en se concentrant sur les zones de vulnérabilité de l’entreprise.