DROIT ET TI Le monde des affaires accorde un intérêt renouvelé aux ententes de confidentialité, ou de non-divulgation. Certains veulent être plus rigoureux; certains peuvent aussi aller trop loin.
Deux dirigeants d’entreprises commencent des pourparlers, quant aux possibilités de faire affaire ensemble. Une entreprise distribuera le produit de l’autre, implantera un système chez l’autre, ou encore développera un logiciel sur mesure pour l’autre. L’une pourrait aussi être en train d’acquérir des actions ou des actifs de l’autre.
Dans le but d’examiner les possibilités de faire affaire ensemble, des renseignements confidentiels devront être révélés par une partie à l’autre, et probablement vice-versa. L’un des dirigeants suggère à l’autre que soit signée une entente de non-divulgation entre les deux entreprises.
Ce genre d’entente inclura habituellement une définition de ce qui constitue une information confidentielle et imposera aux parties de protéger la confidentialité de ces informations.
Au niveau de la définition des informations confidentielles, deux formules sont les plus fréquentes : ou bien l’on limite les informations confidentielles à celles qui sont identifiées comme telles, ou bien l’on qualifie toutes les informations véhiculées de confidentielles.
Si l’on choisit la première formule, le personnel de l’entreprise divulguant l’information à l’autre devra effectivement se souvenir de désigner comme confidentielles les informations véhiculées. Si l’on choisit la deuxième pour éviter ce genre d’oubli, le personnel de l’entreprise divulguant l’information devra tout de même documenter les divulgations pour être en mesure de prouver, en cas de fuite, que l’information qui a fui était bien la sienne.
Au niveau de la protection par l’entreprise réceptrice, elle se fera, selon un grand nombre de contrats, en appliquant des mesures de protection au moins aussi importantes (et, en toutes situations, au moins raisonnables!) que cette entreprise accorde à ses propres informations confidentielles. La protection se fera aussi en forçant l’entreprise réceptrice à ne révéler les informations confidentielles à personne sauf aux membres de son personnel qui sont impliqués directement dans le projet en question.
Aller plus loin
Certaines entreprises voudront aller plus loin dans leurs exigences de protection de leurs informations confidentielles par l’autre partie. Une entreprise pourrait exiger, par exemple, les « meilleures mesures de sécurité qui soient disponibles ». L’entreprise réceptrice des informations confidentielles, si elle accepte cette clause, devra mettre en place une veille technologique afin non seulement d’adopter ces mesures, mais aussi pour pouvoir prouver en tout temps qu’elle l’a fait.
Il arrive que beaucoup d’attention soit portée vers les mesures techniques de protection. Les portes comportent-elles des serrures modernes? Les systèmes contenant les informations sont-ils protégés? Les informa-tions sont-elles physiquement situées dans un endroit protégé par des codes, ou encore des cartes d’accès? Il arrive ainsi que l’on n’accorde pas assez d’attention aux éléments humains. Après tout, les membres du personnel de l’entreprise ayant reçu les informations peuvent malheureusement laisser la porte ouverte et afficher le mot de passe sur une étiquette autocollante posée sur l’écran de l’ordinateur (classique…).
Dans d’autres situations, l’élément humain sera pris en compte. L’entreprise divulguant les informations demandera parfois la signature, par les employés de l’entreprise qui les recevra, d’une entente de confidentialité « personnelle », notamment dans le but que ceux-ci se souviennent de fermer la porte et de cacher le mot de passe en question.
Mais il arrive aussi que certaines entreprises en demandent tout simplement trop.
Aller trop loin
Un contrat, reçu récemment au bureau, prévoyait que rien de ce que les employés de l’entreprise réceptrice allaient voir, alors qu’ils étaient à l’intérieur des locaux de l’entreprise divulguant les informations, ne pouvait être révélé à l’extérieur de ces locaux.
Cette mesure qui a certes du mérite au niveau de la protection des données a néanmoins un désavantage pratique et logistique important. Qu’arrive-t-il si les employés affectés au projet veulent se parler alors qu’ils ne sont pas chez leur client? Et surtout, qu’arrive-t-il si certains employés affectés au projet ne se rendent pas sur les lieux? Comment vont-ils pouvoir connaître les éléments contextuels qui leur permettront de participer au projet?
Mais là où on est allé encore plusloin, c’est lorsqu’on a demandé à l’entreprise réceptrice de faire ensorte que ses employés ne se servent pas de l’expérience qu’ils acquerraient alors qu’ils travailleraient sur le projet. Ici, le problème est juridique plus que fonctionnel.
En effet, de nombreuses décisions des tribunaux édictent que l’employé a toujours le droit de se servir de l’expérience acquise chez un employeur, lorsqu’il quitte un emploi pour en accepter un autre. Il y a même une vieille décision qui dit qu’on ne peut demander à l’employé de « s’autopratiquer une lobotomie mentale » à sa sortie d’un emploi.
Or si l’employeur ne peut empêcher un employé de se servir de son expérience, il lui est impossible de s’engager auprès d’une entreprise cliente, dans le cadre d’une entente de confidentialité spécifiant que ses employés ne se serviront pas de l’expérience acquise chez cette cliente.
L’on ne donne pas ce que l’on n’a pas. Protégeons certes, mais demeurons pratiques.
Michel A. Solis est avocat, arbitre et médiateur. Il oeuvre dans le secteur des TI depuis bientôt 20 ans.