S’il y a un aspect de l’activité des start-ups de l’innovation dans lequel la sécurité juridique doit faire l’objet d’une attention régulière et constante, c’est le développement commercial.
Une start-up produit et collecte une multitude d’informations et de données de nature commerciale, industrielle, technique, comptable. Selon le secteur d’activité, une partie de ces informations peut être considérée comme stratégique et sensible, constitutive d’un savoir-faire spécifique développé par la start-up. Ces informations sont donc d’une valeur patrimoniale considérable.

Dans un monde économique où la concurrence est exacerbée, le savoir-faire développé conditionne un avantage concurrentiel. Cet article a pour objet de faire un tour d’horizon des comportements à risque, desquels peuvent résulter des fuites, des pertes, des divulgations ou des vols de données confidentielles, et les bonnes pratiques à déployer pour sensibiliser les équipes à la sécurité de l’information et de l’innovation.
 

Définitions :

 

Développement commercial : ensemble des actions commerciales visant à rechercher de nouveaux prospects et conquérir des nouveaux marchés via une stratégie marketing.

Sécurité juridique de l’innovation : ensemble des actions juridiques visant à sécuriser le patrimoine informationnel d’une entité durant la phase de développement commercial.

 

Contexte de survenance du risque :

 

Technique de vente, négociation commerciale, prospection commerciale sont autant d’actes commerciaux nécessaires au développement des startups.
Mais le manque de sécurisation juridique en amont qui prendrait en compte un préjudice potentiel à postériori peut engendrer des risques importants pour une jeune pousse en lancement.

Par exemple dans le cas d’un rapport commercial entre un client et un fournisseur :

D’un point de vue client, les systèmes informatiques sont conçus pour gérer les informations de l’entreprise et dont un certain nombre peut avoir un caractère confidentiel ou stratégique pour cette dernière. L’entreprise cliente, dans le cadre de pourparlers contractuels, sera vraisemblablement appelée à communiquer à son partenaire commercial certaines informations confidentielles.

Le fournisseur, quant à lui, pour certains projets d’informatisation, pourra diffuser différents aspects de son savoir-faire ou des informations relatives à des produits ou développements futurs ainsi que les prix des services fournis.

Par conséquent, chacun des partenaires devra veiller, d’une part à contrôler la confidentialité des informations qu’il transmet et, d’autre part, à respecter le secret des informations qui lui sont confiées pendant la négociation.

Il est donc fortement conseillé, avant toute transmission d’information confidentielle, de signer un accord de confidentialité ou simplement d’insérer une clause de confidentialité dans l’avant-contrat ou la proposition commerciale. L’accord de confidentialité, engendre une obligation de ne pas divulguer à des tiers le contenu de la négociation en cours, ou le contenu des informations transmises durant la négociation.

Différent documents techniques, financiers ou juridiques pourront être échangés par les partenaires commerciaux durant cette phase précontractuelle et leur contenu sera amené à évoluer au fil des discussions. Les partenaires devront veiller, lors de la signature du contrat, à s’accorder sur la valeur contractuelle de ces documents et, éventuellement, exclure certains écrits du périmètre du contrat final.

 

L’enjeux commercial aujourd’hui pour les start-ups en développement :

 

La réussite du développement commercial devient alors tellement stratégique pour les start-ups qu’il faut pouvoir définir les meilleures actions de développement, dénicher les meilleurs vendeurs, savoir rendre son offre séduisante.

Le droit s’adapte progressivement aux nouvelles exigences de l’intelligence économique et tend à consacrer des droits réservés aux entreprises sur leurs informations. La protection du secret d’affaire ou la notion de patrimoine informationnel des entreprises sont souvent utilisées pour justifier ces droits exclusifs.

Les études préliminaires, les analyses fonctionnelles et organiques, le choix des algorithmes, les diverses méthodes employées sont des savoir-faire pour le développement et la commercialisation de la technologie d’une start-up.

Ils constituent des actifs valorisés et valorisables, un investissement financier en ressource humaine considérable pour une start-up en lancement.

A ce stade du développement commercial, les dirigeants rencontrent un grand nombre de partenaires commerciaux et échangent un grand nombre d’informations sur différents supports pour partager leur vision, présenter leur start-up et commercialiser leur technologie.

Le risque réside dans l’absence de sécurisation juridique de ces échanges, lesquels peuvent engendrer des risques de divulgation, de contrefaçon, de concurrence déloyale.

 

Identification des comportements à risque

 

Il existe un ensemble de comportements à risque de personnes externes ou internes à la start-up et pouvant aboutir à des divulgations d’informations confidentielles : salarié, ex-salarié, stagiaires, consultants, partenaires commerciaux, sous-traitants, tiers.

La divulgation d’informations stratégiques, en interne est plus souvent due à la négligence qu’à une fraude de la part d’un membre de l’équipe:

Comportement en interne :

• L’ordinateur professionnel laissé sans surveillance et non verrouillé en l’absence de son utilisateur ;

• La diffusion et la mise en ligne d’un rapport de stage sur internet portant sur la participation du stagiaire à un projet innovant et pointu pendant son stage dans la start-up.

Comportement en externe :

• Le fait de connecter une clés USB confiée par un tiers (pour permettre d’imprimer un document par exemple), à l’ordinateur professionnel du collaborateur, peut permettre la mise en place d’un programme malveillant d’aspiration des données stockées sur cet ordinateur ;

• Le faux contrôle de sécurité de l’ordinateur portable d’un dirigeant en déplacement chez un partenaire commercial, qui permet d’aspirer les données stockées sur cet ordinateur.

Les risques et conséquences pour l’entreprise

Tous ces comportements créent un grave préjudice en terme économique et de réputation.

Les risques de ces comportements sont la divulgation intentionnelle ou non, d’informations, documents, secrets de fabrication sensibles et/ou confidentiels à des tiers, concurrents commerciaux ou technologiques français ou étrangers.
Les conséquences peuvent être substantielles pour la start-up et consister en une perte de données ou de documents, mise hors services de ces ressources informatiques en cas de propagation d’un virus, atteinte à l’image de marque de la start-up ou de sa e-réputation, perte de chiffre d’affaire, perte de marché, mise en cause de la responsabilité pour atteinte à la sécurité de son système informatique avec perte de données personnelles.

En conséquence il est essentiel de mettre en œuvre une politique interne de sensibilisation des salariés à la confidentialité des données et documents utilisés, et aux comportements à adopter au quotidien pour assurer un meilleur niveau de protection de ces données.

 

Les outils de sécurisation juridiques du patrimoine informationnel de la start-up

 

• La protection par le droit de la propriété intellectuelle (droit d’auteur et propriété industrielle)

 
Il existe plusieurs types d’outils de sécurisation juridique en fonction des différents éléments à protéger.

Le droit d’auteur confère à l’auteur de la création, une protection a priori si elle est originale c’est-à-dire qu’elle porte l’empreinte de la personnalité de l’auteur. Ce droit nait de la création même inachevée.

Le droit d’auteur protège les ouvrages originaux des auteurs, tandis que les brevets d’invention protègent des inventions et des découvertes.

Les idées, les découvertes ne sont pas protégées par les dispositions relatives au droit d’auteur, mais la modalité dans laquelle elles sont exprimées peut être protégée par le copyright.

Une marque déposée protège des mots, des phrases, des symboles ou des dessins qui identifient la source des produits ou des services d’une partie et les individualisent comme distincts par rapport aux produits ou aux services d’une autre partie.

La contrefaçon, en tant que violation d’un droit de propriété intellectuelle, peut être sanctionnée par la voie de l’action en contrefaçon

Dans l’hypothèse où les éléments en cause ne peuvent faire l’objet d’une protection au titre du droit de la propriété intellectuelle ou lorsque la preuve de la titularité ne peut être rapportée, des sanctions existent néanmoins pour punir les comportements frauduleux de certains acteurs économiques.

•  Sanctions des comportements frauduleux

 
⇒ La protection du savoir-faire

En 2013 , la Cour d‘appel de Paris reconnu la protection des savoir-faire et du secret des affaires, « cette composante du patrimoine incorporel si difficile à appréhender et donc à défendre. »
« Mais considérant que des singularités d’application peuvent, dans un domaine technique connu, constituer des secrets de fabrique dès lors que leur découverte nécessite des recherche longues et couteuses, les distinguant des règles de l’art que tout professionnel peut acquérir rapidement et qu’elles constituent alors un savoir-faire commercialisable. »

Le Savoir- faire constitue la connaissance technique, transmissible mais non brevetée.

Les logiciels étant de plus en plus sophistiqués, il conviendra non seulement, avant toute commercialisation, de les protéger en tant tels s’ils sont originaux mais également de protéger le savoir-faire qui accompagne leur mise en œuvre, leur fonctionnement, le savoir-faire qui entoure leur création ou leur diffusion.

De même constitue également un savoir- faire pouvant être protégé en tant que tel : les études préliminaires, les analyses fonctionnelles et organiques, le choix des algorithmes, les diverses méthodes employés.

⇒ L’action en concurrence déloyale

L’action en concurrence déloyales : permet, dans une certaine mesure, de renforcer la protection de la technologie de la start-up et notamment de lutter contre la contrefaçon. Elle permet en autres, d’agir contre l’auteur d’une reproduction plus ou moins servile d’un logiciel non original, non protégé par le droit d’auteur, si cette reproduction est accompagnée d’un détournement de clientèle, d’une désorganisation de l’entreprise.

Tableau récapitulatif des infractions de droit commun et celles spécifiques à la propriété intellectuelle et aux systèmes informatiques:

Tableau des dispositions légale sanctionnant les pratiques portant atteintes aux biens de la start up
 

Les bonnes pratiques : un outil de conciliation de deux besoins complémentaires :

 

Afin de concilier le déroulement nécessaire du développement commercial et la sécurité juridique de l’innovation ; il convient de recommander la mise en place d’une politique de sensibilisation à la sécurité économique et informatique s’articulant en plusieurs points :
• La nomination d’un responsable sécurité, dont tout ou partie de la fonction consistera à élaborer une politique interne de sécurité (charte de sécurité) ;
• L’identification des données, et documents à protéger, par catégories d’informations, par département, la durée de leur protection et les règles d’archivages physique et dématérialisé (cf. Article sur la gestion de la GED) ;
• Le recensement des ressources IT de l’entreprise, et la définition d’une politique de gestion de ces ressources (charte informatique) ;
• La sécurisation du système informatique de la start-up avec en parallèle le déploiement de la politique de sécurité de l’informatique ;
• La gestion du facteur humain par la sensibilisation à la sécurité de l’information, l’encadrement professionnel des stagiaires, la définition des règles de collaboration avec les partenaires commerciaux et les consultant, l’accompagnements des visiteurs ;
• La protection de l’information à l’extérieur de l’entreprise, en déplacement, dans les lieux public et les transports, en définissant des règles de conduites relatives à l’utilisation des équipements, aux réunions de travail dans les lieux ouverts au public ou dans les transports publics.

 

Pour aller plus loin…. Contactez le Cabinet Levrel