La loi n° 2018-670 du 30 juillet 2018 relative à la protection du secret des affaires, qui transpose la directive (UE) 2016/943 du Parlement européen et du Conseil du 8 juin 2016, vise à renforcer la protection des informations sensibles des entreprises, notamment contre l’espionnage économique et les cyberattaques.
Apports de la loi en matière de numérique et de cybersécurité :
1. Renforcement de la protection des données sensibles
La loi protège toute information confidentielle à valeur économique qui n’est pas généralement connue et qui fait l’objet de mesures raisonnables de protection de la part de son détenteur. Cela concerne notamment :
- Les algorithmes et technologies propriétaires (utilisés notamment en intelligence artificielle et cybersécurité).
- Les bases de données contenant des informations sensibles sur des clients, des stratégies commerciales ou des recherches en cours.
- Les codes sources et logiciels développés en interne et non rendus publics.
2. Incitation aux bonnes pratiques en cybersécurité
- Pour bénéficier de la protection offerte par la loi, une entreprise doit démontrer qu’elle a pris des mesures raisonnables pour sécuriser ses informations.
- Cela incite à renforcer l’usage de chiffrement, authentification forte, cloisonnement des accès, et de solutions de cybersécurité avancées.
- L’adoption de protocoles internes de protection des secrets devient un impératif pour éviter des fuites intentionnelles ou accidentelles.
3. Répression du cyberespionnage et des violations du secret des affaires
- La loi pénalise l’obtention, l’utilisation ou la divulgation illicite de secrets des affaires, ce qui s’applique directement aux cyberattaques menées par des acteurs malveillants.
- Elle offre un cadre juridique clair permettant aux entreprises de se retourner contre des hackers ou des employés malveillants ayant extrait illégalement des informations.
- Les personnes exposant publiquement des documents internes obtenus illégalement via un piratage informatique peuvent être poursuivies, sauf si elles entrent dans le cadre de la protection des lanceurs d’alerte.
4. Impact sur la gestion des incidents de cybersécurité
- En cas de fuite de données sensibles, la loi permet à l’entreprise d’engager des actions rapides en justice pour faire cesser la diffusion et demander réparation.
- Elle renforce la responsabilité des acteurs économiques quant à la surveillance et la protection des accès à leurs systèmes d’information.
- Elle complète d’autres dispositifs en vigueur, comme le RGPD, en mettant l’accent sur la préservation de la confidentialité des informations critiques.
Enjeux pour les entreprises et les acteurs du numérique
- Adoption d’une politique interne de cybersécurité stricte (définition et classification des données stratégiques).
- Mise en place de technologies de protection avancées (chiffrement, monitoring des accès, détection des fuites).
- Sensibilisation des employés aux risques liés aux cyberattaques et à l’espionnage industriel.
- Renforcement du cadre juridique pour attaquer en justice les cybercriminels ayant volé des données confidentielles.
Conclusion
Cette loi apporte une nouvelle couche de protection juridique contre les cyberattaques et l’espionnage économique. Elle incite les entreprises à améliorer leurs pratiques de cybersécurité pour s’assurer que leurs secrets d’affaires soient protégés de manière efficace, sous peine de ne pas pouvoir bénéficier de la protection offerte par la loi en cas de litige. Elle constitue donc un complément important au RGPD en renforçant la protection des données sensibles, au-delà des seules données personnelles.
Source : LOI n° 2018-670 du 30 juillet 2018 relative à la protection du secret des affaires