Pour protéger leurs secrets, les entreprises utilisent des moyens parfois à la limite de la légalité. Non sans dérive dans la surveillance des salariés.
Quelques semaines après le début de l’affaire Renault, les cadres de PSA Peugeot Citroën ont reçu un e-mail rappelant les règles de confidentialité de l’entreprise. Une formation devait suivre. Ironie du sort, les cadres n’avaient pas fini d’être formés que la CGT diffusait un document interne annonçant la fermeture du site d’Aulnay d’ici à 2014. Effroi de la direction qui affirme que la note n’est pas d’actualité. L’origine de la fuite ? « Le document a été mis par inadvertance sur le mauvais serveur », avance Pierre-Olivier Salmon, responsable de la communication du groupe. Mais lorsque l’information stratégique part à la concurrence, la négligence ne pardonne pas, surtout quand il y a soupçon d’espionnage. En 2007, une stagiaire chinoise est condamnée pour abus de confiance après avoir transféré sur son disque dur des données confidentielles de Valeo. Un an plus tard, Michelin porte plainte contre un salarié qui a tenté de vendre des informations au concurrent japonais Bridgeston.
Zone d’ombre. Pour s’assurer de la loyauté de leurs salariés, les entreprises leur font signer des codes de déontologie. Mais jusqu’où peuvent-elles aller pour protéger les informations stratégiques ? PSA a renouvelé sa charte en 2010. À cette occasion, Bruno Lemerle, de la CGT, se souvient avoir négocié pied à pied pour que « les salariés puissent faire une utilisation personnelle “raisonnable” de l’outil informatique et que le contrôle de la direction se limite aux volumes de mails et non à leur contenu ». Pour les entreprises, l’arme de la guerre contre l’espionnage industriel se situe dans les systèmes informatiques. Elles n’hésitent plus à recruter des hackers spécialistes du cryptage et du décryptage de données. Si elles peuvent contrôler le contenu des ordinateurs professionnels, les juges leur interdisent toutefois de lire les e-mails identifiés comme personnels. Les syndicats veillent. L’employeur est tenu de les informer de la mise en place de tout système de surveillance. Mais l’affaire Renault a montré qu’il n’hésitait pas à investiguer en solitaire, entretenant une zone d’ombre qui tient à l’écart salariés et élus.
Quant aux comités éthiques qui permettent aux salariés de faire part de leurs soupçons, ils ne sont guère transparents. Chez PSA, il est composé du président du groupe, du DRH et du responsable de l’audit interne. Si le syndicaliste Bruno Lemerle en connaît l’existence, il serait bien en peine d’en décrire le fonctionnement. Idem chez Renault. Jusqu’au scandale qui a éclaboussé l’entreprise fin 2010 : « Le comité était mal connu des syndicats, se souvient le cégétiste Alain Mass. Nous voulons maintenant une plus grande transparence dans les modes de fonctionnement du service sécurité. » Maurice Dhooge, le Monsieur Sécurité de Schneider Electric, dénonce une contradiction : « Lorsque vous avez un doute sur un salarié, il faut respecter un principe de stricte confidentialité pendant la phase de “levée de doutes” [l’enquête]. Sinon les personnes citées peuvent garder une tache sur le front toute leur vie professionnelle. C’est ce qui va arriver aux cadres injustement accusés chez Renault. » Mais, sous couvert de règles de sécurité internes, parfois ultracalibrées, les groupes frôlent la limite de la légalité.
Chez Schneider, Maurice Dhooge dévoile les rouages de ce qu’il appelle le « code de procédure pénale » interne au groupe spécialiste de la gestion de l’énergie. « Un comité “fraude” traite des risques de corruption, de conflit d’intérêts ou encore de vol. Il se compose du directeur juridique, du responsable de l’audit interne et de moi-même. Nous fonctionnons comme des juges indépendants. » Il admet à demi-mot que la phase d’investigation « peut être sous-traitée à des détectives ou à des agences spécialisées ». Par « agences spécialisées », il faut entendre les bureaux d’intelligence économique qui se multiplient en France pour enquêter sur les entreprises. Or la justice n’admet pas ces moyens d’obtenir des preuves. L’avocat David Métin est formel : « Le recours à un détective privé pour prouver la faute d’un salarié est illicite. C’est pourquoi peu de cas passent en justice. Lorsque le salarié en faute est ainsi pris par l’entreprise, les avocats des deux parties choisissent généralement de négocier. » Dans l’affaire Michelin, l’entreprise avait piégé le salarié en se faisant passer pour le concurrent japonais. L’avocat du salarié espion avait plaidé l’obtention illégale de preuve et le tribunal correctionnel de Clermont-Ferrand ne l’avait condamné que pour abus de confiance, le relaxant d’autres chefs d’accusation plus graves.
Représentant de la CFDT chez Schneider, Jean-Pierre Pernin ignore tout des pratiques de sécurité du groupe : « Ce n’est pas la priorité d’un syndicaliste, et le système mis en place par M. Dhooge ne marche pas trop mal. » Selon lui, les salariés adhèrent facilement aux contraintes imposées par la sécurité : « La déontologie fait partie de la culture d’entreprise. » Sur le site d’Eurocopter, cette salariée ne rechigne pas à ouvrir le coffre de sa voiture lorsqu’on le lui demande. Pas question non plus de rapporter une clé USB ou un ordinateur de l’entreprise chez elle : « Je ne suis pas fliquée pour autant, tempère-t-elle. Lorsqu’on travaille pour le groupe EADS, on sait que l’on doit faire attention. » Certains, comme Jean-Emmanuel Derny, détective privé, aimeraient que les entreprises « inscrivent la filature dans leur règlement intérieur, cela permettrait de lever un tabou ».
On imagine mal les syndicats avaliser un tel projet. Ils peinent déjà à accepter la pratique des lettres anonymes, souvent tolérée en entreprise. Pour éviter les dénonciations calomnieuses, la Cnil a élaboré un système d’alertes professionnelles qui garantit l’anonymat. Quoi qu’il en soit, dans les 1 856 entreprises qui s’en sont dotées, le système ne fait pas florès. Rares sont les alertes à transiter par ce canal : « Pour les salariés, le premier recours reste la hiérarchie, les syndicats ou l’Inspection du travail », analyse Yann Padova, de la Cnil.
Cachet « Confidentiel ». Difficile pour les autorités de renforcer la sécurité des entreprises. Cette mission incombe depuis 2007 à la Délégation interministérielle à l’intelligence économique, chargée de lutter contre les attaques venues de l’étranger. Aux États-Unis, 40 % des moyens des services secrets seraient dédiés à l’intelligence économique. En France, cette délégation prépare un projet de loi visant à créer un cachet « Confidentiel entreprise » dont la violation sera sanctionnée comme un délit. « Les salariés seront avisés du système dans le cadre du contrat de travail et du règlement intérieur », précise le délégué interministériel, Olivier Buquen. Il ajoute qu’une simple négligence du salarié ne sera pas sanctionnée : « Il faudra prouver l’intention. »
Le gouvernement, qui doit faire sa proposition d’ici à la fin de l’année, s’est néanmoins heurté à un avis critique du Conseil d’État. Au printemps, les sages ont considéré que donner aux entreprises la possibilité de définir ce qui est protégeable de ce qui ne l’est pas les rend maîtresses d’une incrimination pénale, prérogative réservée à la justice. Voilà qui sonne comme une piqûre de rappel aux redresseurs de torts du contre-espionnage industriel.
Le secret des affaires est-il protégé ?
La loi protège contre les intrusions informatiques ou physiques dans un bâtiment, mais pas dans l’hypothèse où quelqu’un laisse traîner une information qu’un autre s’accapare. Le secret de fabrique protège, lui, le savoir-faire, les procédés de fabrication, mais pas l’économie immatérielle que représentent un cahier des charges ou un logiciel. Enfin, il y a le secret de la défense nationale, qui protège des « atteintes » au potentiel scientifique ou économique de la France. Une notion terriblement floue !
Ce flou juridique entraîne-t-il des dérives de surveillance des salariés ?
Le problème est plus étendu qu’on ne veut le dire. Une lettre de dénonciation anonyme n’a-t-elle pas été précédée par une surveillance interne ? On peut aussi s’interroger sur une éventuelle pression exercée par l’entreprise sur un salarié pour en dénoncer un autre. Car les directions ont du mal à révéler de manière officielle ce qu’elles savent.
L’intelligence économique est-elle encadrée ?
La loi Loppsi II prévoyait un statut pour les agences d’intelligence économique qui a été censuré par le Conseil constitutionnel. L’actuel statut, très mal ficelé, remonte à 2003 : toute personne qui recherche de l’information est soumise à un régime draconien (obligation de formation, d’enregistrement à la préfecture…). Or qui recherche de l’information ? Un journaliste, un sondeur ? Le champ d’application est trop large. Il n’y a plus de statut pour tout ce qui est agence d’intelligence économique et détective privé. En outre, ces agents en recherche d’information sont soumis aux mêmes devoirs que n’importe quel citoyen, notamment le respect de la vie privée. Or, là aussi, difficile de savoir ce qui relève de la vie privée. Récolter des informations publiques sur une personne, comme le font ces agents, est-ce une atteinte à la vie privée ?
Quels sont les risques les plus importants pour les entreprises ?
Le vol d’information et le dénigrement sur Internet. Mais le cadre juridique reste mal fixé. L’adhésion à un groupe Facebook raciste me place-t-il dans la position d’auteur ou pas ? Si l’on ramène cela à l’entreprise, on n’est pas sûr d’avoir tous les outils juridiques. Sur Internet, il n’y a qu’un groupe de personnes dont la liberté d’expression est limitée : les salariés. Ce système est-il encore viable ?
Propos recueillis par P.C.
