GS Days Les journées francophones de la sécurité. 18 mars 2014, Paris



Documents pareils
Nathalie Métallinos Avocat à la Cour d'appel de Paris

Les divulgations face à la loi : informer sur les sanctions, peut-on efficacement agir en justice?

16 Mise en place et exploitation de la base de données économiques et sociales

Actu Juridique & Sociale Dynamique Entreprise Avril 2015

Revue d actualité juridique de la sécurité du Système d information

FRATEL 10 ème rencontres

Communication : de quels droits disposez - vous?

Cybersurveillance: quelle sécurité Internet en interne et en externe pour l entreprise? 23/03/2012

CHARTE D UTILISATION DU SYSTÈME D INFORMATION ET EN PARTICULIER DES RESSOURCES INFORMATIQUES.

CENTRE DE RECHERCHE GRENOBLE RHÔNE-ALPES

TRAVAIL EMPLOI FORMATION

La base de données économiques et sociales : des objectifs à la pratique

Jean Juliot Domingues Almeida Nicolas. Veille Juridique [LA RESPONSABILITE DES ADMINISTRATEURS SYSTEMES ET RESEAUX]

«OUTIL DE GESTION DE LA RELATION CLIENT - CRM» CONVENTION DE PRESTATIONS

CHARTE DES BONS USAGES DES MOYENS NUMERIQUES DE L UNIVERSITE

Continuité d activité. Enjeux juridiques et responsabilités

Charte informatique. Ce document n est qu un exemple. Il doit être adapté à chaque entreprise selon ses moyens et ses nécessités.

LE DOCUMENT UNIQUE DE DELEGATION

A LA UNE. L indemnisation due en cas de licenciement nul pour violation du statut protecteur est plafonnée à trente mois

L EVALUATION PROFESSIONNELLE

Politique de conformité relative à la lutte contre la corruption et la Loi sur les manœuvres frauduleuses étrangères

LA RESPONSABILITE CIVILE ET PENALE EN MATIERE DE SANTE AU TRAVAIL : BREF ETAT DES LIEUX

LE PRET DE MAIN D OEUVRE

Le Réseau Social d Entreprise (RSE)

Aspects juridiques des tests d'intrusion

Cadre juridique de la Protection des Données à caractère Personnel

L assurance et le risque Data. Clusir 25 avril 2012 Lyon François Brisson - Hiscox France

TIC : QUELS RISQUES JURIDIQUES POUR L ENTREPRISE? COMMENT LES LIMITER? Présentation 9 Avril 2015

P R E T S P R E F E R E N T I E L S E T S U B V E N T I O N S D I N T E R Ê T S

Vu la Loi n du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;

CHARTE ETHIQUE GROUPE HEURTEY PETROCHEM

La responsabilité juridique des infirmiers. Carine GRUDET Juriste

GUIDE DE LA GÉOLOCALISATION DES SALARIÉS. Droits et obligations en matière de géolocalisation des employés par un dispositif de suivi GSM/GPS

Centre de Recherche sur l Information Scientifique et Technique. Par Mme BOUDER Hadjira Attachée de Recherche

REGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL

Réponses aux questions de la page 2 du questionnaire RESPONS sur la responsabilité sociale des cadres

Le fonctionnement du CHSCT

GMS-Santé 2008 La Responsabilité du médecin du travail

«Marketing /site web et la protection des données à caractère personnel»

Conditions Générales d Utilisation de l Espace adhérent

Emplacement de la photo d ouverture du domaine

Destinataires d'exécution

CHARTE WIFI ET INTERNET

Votre droit au français

DÉLIBÉRATION N DU 4 FÉVRIER 2014 DE LA COMMISSION DE CONTRÔLE

CE : comment obtenir vos budgets

Conditions Générales de Vente Internet. 7, rue Alfred Kastler CAEN. informatiquetélécominternet

RESPONSABILITE DU DIRIGEANT EN DROIT DU TRAVAIL

Charte d'hébergement des sites Web sur le serveur de la Mission TICE de l'académie de Besançon

LES OUTILS. Connaître et appliquer la loi Informatique et Libertés

Guide de Conduite éthique des Affaires Guide de bonnes pratiques en matière de gestion de l information

Projet de Loi Structures Patrimoniales Privées aussi pour la Société de gestion de patrimoine familiale (SPF) luxembourgeoise

Solutions Évolution Anticipation

CHARTE INFORMATIQUE LGL

Les commissions antistress sont-elles légales?

ACCORD ENTRE LA COMMISSION BANCAIRE ET LA BANQUE NATIONALE DE ROUMANIE

Quelles sont les informations légales à faire figurer sur un site Internet?

CONDITIONS GENERALES DE VENTES -REFERENCEMENT NATUREL

LOI N portant Code des Postes

Vu la Loi n du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ;

E-RÉPUTATION ET MAUVAISE RÉPUTATION

Projet d'engagements de Henkel dans le cadre d'une procédure de non-contestation de griefs dans les affaires n 06/OOOlF et 06/0042F

Créer son entreprise quelle forme juridique choisir?

CONSULTATION DU COMITÉ D ENTREPRISE ET DES DÉLÉGUÉS DU PERSONNEL

Stratégie IT : au cœur des enjeux de l entreprise

La protection des associés en droit congolais et en droit OHADA

I. - LES FAITS NÉCESSITANT LA MISE EN ŒUVRE DE LA PROCÉDURE SPÉCIFIQUE D URGENCE A.

Les responsabilités des professionnels de santé

OUVRIR UN COMPTE CLIENT PRIVÉ

onditions Générales P h o n e W e b M é d i t e r r a n é e Club des Pins - STAOUELI- Tél : Fax: info@phoneweb-med.

Le Document Unique : une obligation légale des entreprises

FORMULAIRE D OUVERTURE DE COMPTE ENTREPRISE

Ce que la loi Economie Sociale et Solidaire va changer avec l obligation d informer tous les salariés deux mois avant une cession d entreprise

Responsabilité pénale de l association

Le droit d auteur et les. thèses électroniques

Article 1. Enregistrement d un nom de domaine

RESPONSABILITES ET ASSURANCE DANS LE DOMAINE ASSOCIATIF

Charte de bon Usage des Ressources Informatiques, de la Messagerie et de l Internet

N 3038 ASSEMBLÉE NATIONALE PROJET DE LOI

Forum sur la Gouvernance de l'internet en Afrique Centrale : Douala Cameroun, du 29 au 31 Mai 2012

ACTUALITÉS ASSURANCES & RISQUES FINANCIERS

LA RESPONSABILITE PROFESSIONNELLE DE L INFIRMIER(E) Laurence VENCHIARUTTI, Infirmière Libérale, Expert infirmier, Nantes

Chapitre 6 Les aspects juridiques de l'e-pub

L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes

Droits des usagers des institutions sociales et médico-sociales Quels effets sur les pratiques des professionnels?

COMITE D ENTREPRISE. OBLIGATIONS liées à la CONSULTATION du COMITE D ENTREPRISE

ACCORD DE SOUS-LICENCE ET DE CERTIFICATION

CHAPITRE 1 : LA PROFESSION COMPTABLE

LICENCE D UTILISATION DE LA DO NOT CALL ME LIST : CONDITIONS GENERALES

Loi n du 7 juillet 1993 relative à la participation des organismes financiers à la lutte contre le blanchiment de capitaux

DDN/RSSI. Engagement éthique et déontologique de l'administrateur systèmes, réseaux et de système d'informations

TABLE DES MATIERES. Section 1 : Retrait Section 2 : Renonciation Section 3 : Nullité

Cadre juridique du recours aux stagiaires en entreprise

Comité Drôme Ardèche de Badminton Compte-rendu formation Maïf 18 novembre 2014

Associations Dossiers pratiques

LES SANCTIONS DU POUVOIR DANS LES SOCIETES. Rapport luxembourgeois. Alex ENGEL Avocat au Barreau de Luxembourg

Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing

Transcription:

GS Days Les journées francophones de la sécurité 18 mars 2014, Paris

La loi relative à la sécurisation de l emploi La loi du 14 juin 2013 insère l article L. 2323-7-2 du C. trav. imposant aux entreprises de + 50 salariés de mettre en place une base de données économiques et sociales unique (BDU). La date limite de mise en place : Le 14 juin 2014 pour les entreprises employant 300 salariés et plus en France ; Le 14 juin 2015 pour les entreprises employant entre 50 et 299 salariés en France. Le décret n 2013-1305, publié le 27 décembre 2013, spécifie le type d'informations qui doivent être stockées sur cette base de données. Un projet de circulaire à venir devrait également apporter quelques précisions. 2

LA NOUVELLE BASE DE DONNÉES OBLIGATOIRE DU COMITÉ D ENTREPRISE : Comment organiser la divulgation d'informations stratégiques et protéger le secret des affaires? Diane Mullenex et Guillaume Bellmont Pinsent Masons LLP 3

Les enjeux de cette réforme Cette réforme soulève des questions relatives à : La mise en conformité des entreprises aux nouvelles règles ; La sécurité des informations sensibles hébergées dans la base de données ; La revue globale de la gouvernance de l entreprise en matière de gestion du secret des affaires ; L architecture même de la base de données ; L examen des ressources informatiques de l entreprise. 4

Quelle est l étendue de l information transmise au CE?

Une information précise et écrite Les instances représentatives du personnel (IRP) doivent disposer d une information : Précise : L information doit permettre aux IRP d assurer leur rôle, qui est de garantir les intérêts des salariés. Ecrite : Il peut s agir d un support informatique ou papier. 6

Objet des informations relayées dans la BDU La BDU doit permettre : la mise à disposition des informations nécessaires à la consultation du CE sur les orientations stratégiques de l entreprise (cas introduit par la loi du 14 juin 2013) ; de donner une vision claire et globale de la formation et de la répartition de la valeur créée par l activité de l entreprise ; l accès à l ensemble des informations d ores et déjà communiquées de manière récurrente au CE (C. trav., art. R. 2323-1-2). 7

Thématiques du contenu de la BDU Transferts commerciaux et financiers entre les entités du groupe Investissements Fonds propres Endettement Impôts Sous-traitance BDU Rémunération des salariés et des dirigeants Flux financiers à destination de l entreprise Rémunération des financeurs Activités sociales et culturelles Article 2323-7-2 C. trav. 8

Destinataires et bénéficiaires de ces informations BDU Destinataires directs Destinataires à défaut de CE (+ 50 salariés) Les membres CE Les membres du comité central d entreprise Les membres du CHSCT Les délégués syndicaux Les délégués du personnel Bénéficiaires principaux (indirectement) : Salariés et Experts comptables Article 2323-7-2 C. trav. 9

Durée de l information L information qu il contient doit être rétrospective et prospective (C. trav., art. L. 2323-7-2) : l année en cours (données chiffrées) ; les deux années précédentes (données chiffrées) ; et, telles qu elles peuvent être envisagées, les trois années suivantes (données chiffrées ou, à défaut, de grandes tendances). Les informations figurant dans la base de données doivent régulièrement être mises à jour et, au minimum, selon les périodicités prévues par le Code du travail (C. trav., art. R. 2323-1- 6). Les IRP doivent se voir notifier l actualisation de la base de données. 10

Des exigences strictes Par conséquent, la BDU doit : Comporter de nombreuses informations potentiellement sensibles ; Etre régulièrement mise à jour dans le respect des périodicités prévues par le code du travail ; Etre en permanence accessible (en fonction de l organisation de l entreprise, pas nécessairement 24h/24-7j/7). Cependant, ces exigences ne sont accompagnées d aucune mesure garantissant les intérêts de l entreprise elle-même. Il convient donc de mettre en place une stratégie garantissant à la fois les intérêts de l entreprise et la conformité aux nouvelles exigences. 11

Existe-t-il une protection des informations renseignées dans la BDU?

Réflexion préalable Il est obligatoire de se conformer à la Loi, ce qui conduira à la communication d un certain nombre de données potentiellement sensibles. Si la loi prévoit une obligation de confidentialité, il convient, néanmoins, de se poser les bonnes questions avant d entreprendre toutes mesures : Qu est ce que l obligation de confidentialité? Qu est ce qu une information confidentielle? Comment la divulgation d une information confidentielle est-elle sanctionnée? 13

Quelle est l étendue de l obligation de confidentialité? : principe général (1/2) Principe général de l art. L. 2325-5 du C. trav. : «Les membres du comité d'entreprise sont tenus au secret professionnel pour toutes les questions relatives aux procédés de fabrication. Les membres du comité d'entreprise et les représentants syndicaux sont tenus à une obligation de discrétion à l'égard des informations revêtant un caractère confidentiel et présentées comme telles par l'employeur». 14

Quelle est l étendue de l obligation de confidentialité? : principe spécial (2/2) Principe spécifique à la BDU de l art. L. 2323-7-2 du C. trav. : «Les membres du comité d'entreprise, du comité central d'entreprise, du comité d'hygiène, de sécurité et des conditions de travail, les délégués syndicaux et, le cas échéant, les délégués du personnel sont tenus à une obligation de discrétion à l'égard des informations contenues dans la base de données revêtant un caractère confidentiel et présentées comme telles par l'employeur». 15

Quelles sont les informations soumises à la confidentialité? Les informations de facto confidentielles : informations relatives aux procédés de fabrication (C. trav., art. L. 2325-5 et L. 2143-21) ; informations comptables (C. trav., art. L. 2323-10) ; informations données dans le cadre d une procédure d alerte économique (C. trav., art. L. 2323-82). Pour le reste, il appartient à l employeur d indiquer (C. trav., art. R. 2323-1-8) : les informations ayant un caractère confidentiel ; la durée du caractère confidentiel. 16

Comment apprécier le caractère confidentialité? L information ne peut être déclarée confidentielle si : elle est déjà connue notoirement dans l entreprise ; ou elle a été rendue publique. Le caractère confidentiel doit être précisé avant toute communication! (ex: arrêt du 12 juill. 2006) 17

Risques d une mauvaise appréciation L employeur qui déclare confidentiel un document qui n en présente pas les caractères peut faire l objet de poursuites sur les fondements suivants : Délit d entrave (C. Trav. art. L2328-1); Abus de droit. Sanctions envisageables : Une peine d un an d emprisonnement et de 3 750 euros d amende à l égard des personnes physiques ; Une amende de 18 750 euros à l égard des personnes morales ; Levée de la confidentialité et report des délais de consultation ; Condamnation en paiement de dommages et intérêts. 18

Sanctions du non-respect de l obligation de confidentialité Sanctions disciplinaires : Mise à pied Licenciement Etc. Condamnation au paiement de D&I sur le fondement de l article 1382 du C. civ. Exemple : Décision du 6 mars 2012 (Cass. soc., 6 mars 2012, no 10-24.367). 19

Qu en est-il du secret d affaires?

Qu est ce que le secret d affaires? Il n y a pas de définition en droit français, pour l instant. Un secret d affaires peut être constitué par tout type d informations, telles que formules, procédés, modèles, données financières, plans d entreprise, listes de clients, produits secrets, etc., qu une entreprise juge précieuses et qui lui offrent un avantage sur ses concurrents. Une information peut être considérée comme un secret d affaires et être juridiquement protégée sous certaines conditions : l information doit être secrète ou partagée dans un contexte de confidentialité; l information doit avoir une valeur commerciale liée à son caractère secret; le détenteur de l information doit avoir déployé des efforts raisonnables pour la garder secrète. 21

Pourquoi le protéger? «Protéger le secret des affaires, c est protéger des emplois, des technologies, des investissement, parfois considérables». M. Bernard Carayon, député. Fragilité des entreprises face aux risques de divulgation de leurs secrets d affaires, que ce soit par leurs salariés ou par des tiers : L équipementier Valeo en 2005 ; La société Michelin en 2007. 22

Législation en France Des infractions pénales : Vol (art. 311-1 C. pénal) : applicable au vol de documents ou informations confidentiels en l absence de soustraction du support matériel de ces informations. Abus de confiance (art. 314-1 C. pénal): applicable à un bien quelconque (corporel ou non) : Affaire Michelin (2007) Affaire Valeo (2010) Secret professionnel (art. 226-13 C. pénal). Accès ou maintien frauduleux dans un système de traitement automatisé (art. 323-1 C. pénal). Des actions civiles en réparation reposant sur un dommage subi et avéré : Concurrence déloyale. Non respect d une obligation de confidentialité contractuelle ou légale. Exemple : Art. L. 2325-5 du Code du travail 23

Projet de loi : définition du secret des affaires La définition du secret des affaires reposerait sur cinq critères : Nature : «les procédés, objets, documents, données ou fichiers», quel que soit leur support ; Contenu : les informations «commerciales, industrielles, financières, scientifiques, techniques ou stratégiques» ; Caractère confidentiel : les informations ne présentant pas un caractère public ; Risques : les informations dont la divulgation pourrait porter atteinte aux intérêts de l entreprise concernée, en portant atteinte à son potentiel scientifique ou technique, à ses positions stratégiques, à ses intérêts commerciaux ou financiers ou à sa capacité concurrentielle ; Mesures : des mesures ont été prises afin d informer de leur caractère confidentiel et de garantir celui-ci. exemple,: l établissement d une liste des personnes autorisées à prendre connaissance des informations protégées, un stockage des documents papier dans des coffres ou des lieux sécurisés ou la mise en place de dispositifs de cryptage et de codes d accès. 24

Projet de loi : création d un délit pénal Le projet envisage d insérer à l article 226-15-2 du C. pénal une infraction relative à la violation du secret des affaires. L infraction serait punie d une peine d un an d emprisonnement et de 15 000 euros d amende comme en cas de violation du secret professionnel. La discussion du projet a été suspendue en attendant l adoption de la directive sur la protection du secret d affaires. 25

Projet de directive européenne Projet présenté par le Commission européenne le 28 novembre 2013, s inspirant de l article 39.2 des accords ADPIC. Le projet de directive définit le secret des affaires comme des renseignements : Non connus du grand public ; Ayant une valeur commerciale ; Faisant l objet de mesures spécifiques «raisonnables» destinées à les garder confidentielles. Le calcul des dommages et intérêts reposerait sur le préjudice constaté, mais également les conséquences économiques négatives. 26

Quelles mesures mettre en place?

Comment concilier BDU et secret des affaires? Se poser les bonnes questions : Quelles informations doivent demeurer confidentielles? Quelles seront les conséquences de leur divulgation? Le CE peut-il assurer ses missions de manière effective sans ces informations? Quelles mesures mettre en place? A qui en confier la responsabilité? Typologie des mesures envisageables : Organisationnelles Concertation et coordination des différents services Contractuelles (individuelles et collectives) Techniques 28

Anticipation et coordination Nécessaire travail coordonné entre les différents acteurs de l entreprise : Décisionnaires ; DRH ; RSSI. Définition des rôles et responsabilités de chacun. Instaurer différents prismes de protection : Multiples stades de contrôle ; Multiples avaliseurs. 29

Accord et clauses Contrats Clauses De non divulgation De non concurrence Accords collectifs Chartes d utilisation de la BDU Mais ce n est pas suffisant aucune garantie absolue! 30

Mesures techniques (1/2) Il faut mettre en place des mesures spécifiques raisonnables destinées à garder les informations confidentielles qui pourraient consister à (à condition d être en conformité avec la circulaire à venir) : Libeller les documents de la mention «confidentiel»; Limiter et sécuriser l accès (mots de passe, login, etc.); Limiter la consultation (par ex., aux heures d ouverture de l entreprise); Limiter les actions possibles (impossibilité d impression, ou de téléchargement, etc.); Choix minutieux de l hébergement (site intranet, prestataire technique, cloud privé, cloud hybride, tiers de confiance, etc.). 31

Mesures techniques (2/2) Il faut, également, mettre en place des mesures techniques permettant une information conforme aux exigences de la loi telles que : La mise à jour de la BDU ; L annonce de cette mise à jour ; La «clarté» de la BDU ; Les informations doivent être réparties «de manière cohérente par grandes thématiques». Les informations devront être ragées de la manière la plus «intelligible, simple et dynamique». La disponibilité de la BDU. La loi ne vise pas un accès 24h/24 et 7j/7. 32

Conclusion Beaucoup de travail en peu de temps : Classifier les informations Créer la BDU Définir les process et délais de mise à jour Sensibiliser aux risques La Circulaire annoncée par la Direction générale du travail clarifiera peut-être les choses. 33

MERCI! DIANE MULLENEX & GUILLAUME BELLMONT Avocats à la Cour Pinsent Masons LLP diane.mullenex@pinsentmasons.com guillaume.bellmont@pinsentmasons.com Pinsent Masons LLP 21-23 rue balzac 75008 PARIS 34

Pinsent Masons LLP is a limited liability partnership registered in England & Wales (registered number: OC333653) authorised and regulated by the Solicitors Regulation Authority, and by the appropriate regulatory body in the other jurisdictions in which it operates. The word partner, used in relation to the LLP, refers to a member of the LLP or an employee or consultant of the LLP or any affiliated firm of equivalent standing. A list of the members of the LLP, and of those non-members who are designated as partners, is displayed at the LLP s registered office: 30 Crown Place, London EC2A 4ES, United Kingdom. We use 'Pinsent Masons' to refer to Pinsent Masons LLP, its subsidiaries and any affiliates which it or its partners operate as separate businesses for regulatory or other reasons. Reference to 'Pinsent Masons' is to Pinsent Masons LLP and/or one or more of those subsidiaries or affiliates as the context requires. Pinsent Masons LLP 2014 3 For a full list of our locations around the globe please visit our websites: www.pinsentmasons.com www.out-law.com 35