Rien n’est plus comme avant, pour au moins trois bonnes raisons.

1. Révolution des techniques de duplication et de communication. Il y a un siècle, l’apprenti espion devait recopier à la main les données sensibles à partir du fichier emprunté dans le bureau du chef. Il y a trente ans, faire marcher tardivement la photocopieuse. Puis vinrent les disquettes, clés USB, enfin le disque dur externe permettant de faire sortir dans sa poche l’équivalent d’un camion de 35 tonnes bourré de documents sensibles. Sans parler de Facebook, reliant 1 milliard d’êtres humains, ou tout simplement de Copainsdavant : entre copains de lycée, on peut tout se dire.

Question brutale : en novembre 2012, une entreprise peut-elle garantir la confidentialité d’une quelconque donnée informatiquement traitée ? Dans la vraie vie, la réponse est négative (voir Frédéric Tardy : la République des réseaux, éd. Fayard, 2012). Car elle est nécessairement traitée et/ou utilisée par des personnes physiques. Quels que soient les codes et autres cryptages, si l’une d’entre elles veut la diffuser à l’extérieur… Un banal iPhone permet d’enregistrer discrè tement, mais aussi de photographier, de filmer et de transférer tout.

2. Des « parents » aux « transparents ». Il y a cinquante ans, le culte du secret était omniprésent car naturel : les parents interdisaient à leurs enfants de répondre dans la rue ou au téléphone à des questions personnelles. Aujourd’hui ? La transparence est partout. Un jeune col laborateur qui n’ouvre pas son profil Facebook à ses 156 x 156 « amis d’amis », en clair n’importe qui, passe pour un asocial. Son directeur marketing ou R & D n’a d’ailleurs guère intérêt à aller voir ce qui s’y passe : ces très libres discussions contiennent des renseignements qui, ajoutés les uns aux autres, peuvent intéresser la concurrence, avec un rapport qualité-prix imbattable en comparaison des vieilles méthodes d’investigation.

Bref, s’agissant d’intelligence économique, l’essentiel du problème n’est plus aujour d’hui dans les 50 ordinateurs disparaissant mystérieusement dans le Thalys chaque année, les contrôles douaniers ciblés dans certains aéroports étrangers, ou la transmission par un représentant du personnel à un journaliste de données présentées au CCE sous le sceau d’une absolue confidentialité. C’est l’inconscience de collaborateurs irresponsables qui, sur leur blog et autres forums externes, mais aussi sur le réseau social interne, voire dans leurs « Répondre à tous », diffusent, sans le vouloir ni même s’en rendre compte, des informations plus que sensibles.

3. Confiance/confidentialité : la négociation interprofessionnelle sur la sécurisation de l’emploi va devoir affronter cette délicate question. Ainsi en cas de GPEC où l’employeur est censé dévoiler sa stratégie à trois ans au comité d’entreprise puis aux syndicats, ou s’agissant des accords compétitivité-emploi, pour lesquels il est impensable que la transparence ne soit pas la règle. Dans notre société de la réputation, un rapport sensible du CHSCT pose aussi problème.

Dans la guerre économique actuelle, on comprend bien qu’un employeur n’accepte de mettre des informations confidentielles sur la table que si elles le restent pendant un certain temps. Mais on imagine aussi la position schizophrénique, professionnelle et parfois personnelle, dans laquelle se trouve alors le « représentant du personnel » apprenant que les hauts-fourneaux sont condamnés à deux ans ou que le prochain PSE va cibler les services R & D… mais qu’il ne doit en faire état à quiconque dans l’immédiat.

– Côté employeur, ces informations étant à la croisée de plusieurs droits menaçant les « initiés », le droit du travail passe systématiquement derrière la Securities & exchange commission américaine, le droit boursier français, le risque de fuites à l’extérieur ou tout simplement celui de voir l’usine occupée demain : « L’information, c’est le pouvoir » (Alfred Sauvy).

– Et, côté représentants du personnel, cette gestion économique des risques juridiques et sociaux ne rencontre pas de farouches réactions.

1. Si l’Humanité ou le Monde publient demain des chiffres, avec parfois de fâcheuses conséquences en termes d’emploi, ce sera vers eux que les regards se tourneront.

2. Connaître, n’est-ce pas déjà cautionner les mesures patronales ? Lors d’une négociation GPEC fin 2010, Renault avait proposé d’informer les syndicats en amont du processus d’information-consultation officiel sur les données stratégiques : mais à condition que « les représentants des syndicats s’engagent par écrit à ne communiquer aucune information écrite ou orale donnée dans le cadre de cette instance ». Réponse de la CGT : « Les syndicats n’ont plus qu’à accompagner les mouvements de la direction ! » Or, en la matière, c’est tout le monde ou personne.

3. Pourquoi si peu de plaintes pour délit d’entrave ? Aussi car, en off, le DRH informe les principaux délégués des projets sensibles en question. Et, forgée au cours du temps, la confiance réciproque fait le reste.

Évidence : la solution du « Tout confidentiel » n’est pas tenable, comme l’a rappelé en référé le TGI de Lyon le 9 juillet 2012 : « Si l’article L. 2325-5 impose aux membres du comité d’entreprise une obligation de discrétion à l’égard des informations revêtant un caractère confidentiel et présentées comme telles par l’employeur, ce texte spécial, qui constitue une exception légale au droit à l’information des salariés à travers leurs représentants, ne permet pas à l’employeur de se prévaloir de la confidentialité de l’ensemble des documents remis dans le cadre d’une procédure d’in formation-consultation légalement obligatoire, sauf à la vider de sa substance en privant les élus de toute possibilité de communication avec les salariés. » Alors, que faire ?

Outre les solutions techniques (protéger les données plutôt que verrouiller les accès), qui restent les plus efficaces (dossiel à durée de vie limitée à vingt-quatre heures, effacement à distance), il faut commencer par faire œuvre de pédagogie 1. En faisant comprendre aux cadres que l’on ne va pas au bar du TGV en laissant son ordinateur, ou aux États-Unis avec un portable bourré de données sensibles. Et aux collaborateurs qui se lâchent sur les réseaux sociaux que leurs (faux) amis peuvent être de (vrais) concurrents. Modèle : le très vivant « Guide Axa du bon sens numérique » : « Faire preuve de bon sens numérique, c’est savoir gérer les risques, les identifier et les anticiper. Entre l’image de marque de l’entreprise, la vie privée et la liberté d’expression des salariés, un équilibre fragile est à trouver. Pour l’at teindre, chacun doit prendre pleinement conscience de ses droits et de ses devoirs. Principe : ne divulguons pas sur Internet une information que l’on ne partagerait pas à l’extérieur de l’entreprise. »

2. En rappelant ensuite aux représentants du personnel la hiérarchie de leurs obligations, même si l’immense majorité d’entre eux a parfaitement intégré ces risques (cf. les sites syndicaux modérés en amont, avec code d’accès).

– Secret total = motus et bouche cousue : « Révéler ou tenter de révéler un secret de fabrication est puni d’un emprisonnement de deux ans et d’une amende de 30 000 euros. » (L. 1227-1.) « Les membres du comité d’entreprise sont tenus au secret professionnel pour toutes les questions relatives aux procédés de fabrication. » (L. 2325-5.)

– Obligation de discrétion : « Les membres du comité d’entreprise (et les autres délégués) sont tenus à une obligation de discrétion à l’égard des informations revêtant un caractère confidentiel et présentées comme telles par l’employeur. » La jurisprudence y a ajouté deux conditions supplémentaires : le PV du CE doit expressément mentionner qu’elles ont été présentées comme confidentielles (chambre sociale, 12 juillet 2006), leur donnant ainsi une publicité indirecte. Et, depuis l’arrêt du 6 mars 2012, le « manquement à l’obligation de discrétion » doit être « préjudiciable aux intérêts de l’entreprise » : qui va en juger ? Le juge, bien sûr !

– Certaines informations sont, enfin, « réputées confidentielles » par le Code du travail lui-même : ainsi en cas d’exercice du droit d’alerte (L. 2323-82).

Mais il ne faut pas oublier le risque de l’arroseur arrosé en cas de contentieux : l’entreprise doit alors publiquement démontrer le caractère confidentiel de l’information justifiant sa sanction…

– Clause contractuelle de confidentialité. La chambre sociale en a reconnu la légitimité le 19 mars 2008 à propos d’un enquêteur du Guide Michelin. Ayant publié, après son licenciement, un livre où il révélait les procédés de visite, il a été condamné à des dommages et intérêts, hors faute lourde : « Une clause de confidentialité destinée à protéger le savoir-faire propre à l’entreprise peut valablement prévoir qu’elle s’appliquera après la fin du contrat de travail. L’inexécution par le salarié de l’obligation de confidentialité le rend responsable du préjudice qui en résulte pour celle-ci, même en l’absence de faute lourde. »

– Représentants du personnel. Si la faute en forme de fuite illicite est avérée, une sanction disciplinaire peut être infligée au fautif, bien qu’il ait nécessairement agi dans le cadre de son mandat. Ainsi dans l’arrêt du 6 mars 2012 : un membre du comité d’entreprise avait eu connaissance d’informations présentées comme confidentielles, avec une note portant un gros tampon rouge et une mention rappelant ce caractère. Sous son autre casquette de délégué syndical, il les avait transmises à l’AFP en les déformant : « manquement à l’obligation de discrétion, préjudiciable aux intérêts de l’entreprise » et mise à pied justifiée. Morale : « Apprends, ma confidente, apprends à me connaître » (Rodogune, Corneille). Confidence rimant avec confiance : allez, les partenaires sociaux français ! Le changement, c’est maintenant !

S’agissant des fort nombreux sites syndicaux externes, pour lesquels l’application du Code du travail disparaît au profit de la loi pour la confiance dans l’économie numérique du 21 juin 2004, l’arrêt TNS Secodip du 5 mars 2008 a fixé les règles : « Si un syndicat a le droit de communiquer librement des informations au public sur un site Internet, cette liberté peut être limitée dans la mesure de ce qui est nécessaire pour éviter que la divulgation d’informations confidentielles ne porte atteinte aux droits des tiers. En omettant de rechercher si les informations litigieuses avaient un caractère confidentiel, et si ce caractère était de nature à justifier l’interdiction de leur divulgation au regard des intérêts légitimes de l’entreprise, la cour d’appel n’a pas donné de base légale à sa décision. »

Temps du juge et temps d’Internet. Tout est pour le mieux dans le meilleur des mondes ?

Cet arrêt (de cassation) a été rendu quarante-sept mois après les faits : le temps du juge et le temps d’Internet, avec ses 45 sites miroirs…

L’analyse proposée invite le juge à entrer dans le détail des informations confidentielles objet du litige, ce qui pourrait intéresser des tiers pas vraiment désintéressés.