La confidentialité des informations échangées lors des pourparlers à l'épreuve du numérique

La confidentialité des informations échangées lors des pourparlers à l'épreuve du numérique

Lors de la période précontractuelle des négociations, les parties doivent se montrer vigilantes face aux risques du numérique sur la confidentialité (Sous-section I) et anticiper en utilisant les remèdes existant pour une cybersécurité (Sous-section II) .

Les risques du numérique pour la confidentialité

Le Code civil comprend désormais une obligation légale de confidentialité au cours des pourparlers (§ I) , à laquelle les parties doivent se conformer malgré les particularités des échanges sous format numérique (§ II) .

L'obligation légale de confidentialité

L'encadrement des négociations antérieurement à l'ordonnance no 2016-131 du 10 février 2016 portant réforme du droit des contrats était jurisprudentiel. Une obligation de confidentialité fondée sur le devoir de bonne foi avait ainsi été dégagée et fermement établie par les juges Une obligation de « réserve et de discrétion » s'impose aux parties lors de la tenue des pourparlers : CA Paris, 1er févr. 1989 : JurisData no 1989-020420. . La responsabilité extracontractuelle des parties à la négociation pouvait être mise en cause en cas de divulgation d'informations confidentielles obtenues lors de la phase des négociations. Il était toutefois préférable d'encadrer ce devoir de confidentialité avec des accords précontractuels, définissant les informations couvertes par ce devoir et la sanction de la violation de cette obligation par le biais des clauses pénales M. Vivant, Les clauses de secret, in colloque « Les principales clauses des contrats conclus entre professionnels », Aix-en-Provence, 1990, p. 101 et s. .
La réforme du droit des contrats a créé un article 1112-2 au sein du Code civil (C. civ., art. 1112-2">Lien) sous l'influence des projets d'harmonisation des droits des contrats aux niveaux international et européen Principes Unidroit, art. 2.1.16 et Principes du droit européen du contrat, art. 2 :302. et de la demande des praticiens en manque de cadre légal. Cette nouvelle disposition sanctionne « celui qui utilise ou divulgue sans autorisation une information confidentielle obtenue à l'occasion des négociations ». Elle est le corollaire de l'obligation d'information mise à la charge des parties conduisant des pourparlers. L'article 1112-1 du Code civil (C. civ., art. 1112-1">Lien) impose en effet à celui qui connaît une information déterminante du consentement de l'autre de la lui divulguer lors de la tenue des pourparlers V. supra, nos et s. . Afin de garantir le secret de ces informations, il est donc imposé à celui qui les reçoit de ne pas les diffuser, ni de les utiliser. La sanction du non-respect de cette obligation est déterminée à l'article 1112-2 du Code civil (C. civ., art. 1112-2">Lien) qui prévoit la mise en cause de la responsabilité de l'auteur de la faute dans les conditions de droit commun.
La responsabilité, de nature délictuelle à défaut d'accord encadrant les négociations En ce sens : F. Terré, P. Simler, Y. Lequette et F. Chénedé, Précis de droit civil, Les obligations, Dalloz, 12e éd., p. 275. , ne pourra être engagée qu'à la condition qu'une partie aux pourparlers utilise elle-même des informations obtenues lors des négociations Cass. com., 3 juin 1986 : Bull. civ. 1986, IV, no 110, p. 94 sur le fondement de la concurrence déloyale. ou les divulgue à un tiers sans l'autorisation de celui qui les lui a communiquées. Il reviendra à celui demandant une indemnisation de prouver le caractère confidentiel de l'information, le défaut d'autorisation et donc la faute de l'autre partie, l'existence d'un préjudice et d'un lien de causalité entre l'utilisation ou la divulgation fautive et le préjudice subi. Le caractère confidentiel d'une information peut en pratique s'avérer difficile à appréhender si les parties n'ont pas pris le soin de le définir préalablement. Les accords de confidentialité développés avant la réforme du droit des obligations conservent donc leur intérêt afin d'éviter tout conflit sur la définition des informations couvertes par le secret et de prévoir une clause pénale pour la sanction du non-respect de cette obligation V. infra, no . .
L'obligation de confidentialité lors de la phase des pourparlers étant désormais définie, il y a lieu de l'apprécier dans le cadre des échanges aujourd'hui nombreux sous la forme numérique.

Les particularités des échanges sous format numérique

? Les négociations peuvent être menées sous différentes formes. ? L'article 1125 du Code civil (C. civ., art. 1125">Lien) dispose que : « La voie électronique peut être utilisée pour mettre à disposition (…) des informations sur des biens ou des services ». Les avantages du numérique en termes de rapidité, de conservation et de fluidité des échanges en font un outil privilégié et désormais omniprésent dans la tenue des pourparlers. Il crée toutefois de nouveaux risques pour la confidentialité des informations transmises. Le piratage apparaît comme une menace majeure, pouvant entraîner la divulgation des correspondances et des pièces jointes. Or la faute engendrant une responsabilité délictuelle peut résulter d'une simple négligence ou omission, aucun élément intentionnel n'étant nécessaire L'article 1241 du Code civil vise expressément la réparation des dommages causés par la négligence ou l'imprudence. . L'abstention dans l'action est caractérisée et source de responsabilité lorsque son auteur s'abstient de prendre les précautions nécessaires pour que son activité ne génère aucun dommage En ce sens : V. J. Julien, Droit de la responsabilité et des contrats, Chapitre 2216 « Abstention fautive », Dalloz Action, 2018-2019. . Il est donc tout à fait envisageable qu'une partie puisse devoir des dommages-intérêts pour divulgation d'une information confidentielle obtenue lors de pourparlers à défaut d'avoir protégé ces données contre le piratage. Dans l'hypothèse où ce piratage interviendrait lors de la transmission de l'information, il reviendrait alors à celui qui invoque la responsabilité de l'autre partie d'apporter la preuve de son manque de précaution fautif.
? Les participants à une négociation peuvent notamment utiliser, outre les e-mails , des plateformes d'échange de fichiers volumineux Par ex. : WeTransfer ; GrosFichiers. ou des data room Le terme data room n'est pas défini par le Larousse ou le Petit Robert, seuls les opérateurs donnent une définition des services offerts. Par exemple, la data room utilisée par de nombreux notaires et proposée par l'Association Paris Notaires Services est définie dans le préambule de ses conditions générales comme « un espace de travail professionnel sécurisé et confidentiel mis, par le Notaire, à la disposition de ses clients et intervenants à un dossier, destiné à la préparation des actes constitutifs de ce dossier et à l'information des différentes parties et des intervenants sur l'état d'avancement du dossier et les éléments nécessaires à cet avancement ». . ? Lorsque la faille de sécurité menant à une divulgation de données confidentielles provient des prestataires proposant ces services numériques, leur utilisateur reste responsable. Se pose ensuite la question d'un éventuel recours de la partie ayant divulgué une information à son insu contre la plateforme ou le diffuseur de la data room utilisée et d'où provient la faille de sécurité. L'étude des conditions générales des principaux acteurs en la matière révèle un silence total ou une exonération de responsabilité des opérateurs en cas de faille de sécurité Le site de la plateforme d'échange WeTransfer indique ainsi dans ses conditions générales : « Si vous constatez que l'un des Services devient vulnérable, veuillez lire notre Politique de divulgation responsable ». Laquelle « Politique de divulgation responsable » n'est disponible qu'en langue anglaise. La sécurité des données n'est mentionnée nulle part et n'est pas annoncée comme une caractéristique de la plateforme : manœuvre habile pour échapper à toute revendication en cas de faille sécuritaire et de fuite de données, sous la réserve de la protection des données personnelles. Le site BlueFiles, quant à lui, affiche dès sa page d'accueil la confidentialité des échanges et la sécurisation des données par une méthode de chiffrement : https://mybluefiles.com/fr/">Lien. Les conditions générales écartent en revanche toute responsabilité de la plateforme : « L'utilisateur dégage la responsabilité de mybluefiles.com pour tout préjudice qu'il pourrait subir ou faire subir, directement ou indirectement, du fait des services proposés ». La légalité d'une clause exonératoire au regard de la législation sur les clauses abusives entre professionnels et consommateurs et dans les contrats d'adhésion semble très contestable. Les conditions générales de l'Espace notarial mis à disposition des notaires par l'Association Paris Notaires Services n'évoquent pas le sujet de la responsabilité de la plateforme en cas de faille sécuritaire, mais uniquement la protection des données personnelles. . Certains sites ne mentionnent nulle part la sécurité des données, laquelle n'est pas annoncée comme une caractéristique de la plateforme Par ex., la plateforme WeTransfer. : manœuvre habile pour échapper à toute revendication en cas de faille sécuritaire et de fuite de données, sous la réserve de la protection des données personnelles. S'agissant des plateformes présentant la sécurité des échanges comme une caractéristique principale du service proposé, et donc une obligation essentielle du prestataire, une clause limitative ou élusive de responsabilité pourrait être réputée non écrite sur le fondement de l'article 1170 du Code civil (C. civ., art. 1170">Lien). L'article 1171 du même code (C. civ., art. 1171">Lien) dans les contrats d'adhésion et la législation du Code de la consommation sur les clauses abusives pourraient également servir de fondement pour écarter les décharges partielles ou totales de responsabilité des plateformes d'échange ou opérateurs de data room en cas de faille sécuritaire lorsque la sécurité des échanges est affichée comme une caractéristique de la prestation.
Face aux dangers que présentent les échanges numériques dans les négociations, les parties peuvent se prémunir en ayant recours aux différents remèdes existant pour une cybersécurité.

Les remèdes pour une cybersécurité

Les négociations, et plus précisément l'obligation de confidentialité durant les pourparlers, peuvent être encadrées par des accords contractuels (§ I) . La sécurité des échanges par voie numérique peut en outre être assurée par l'utilisation du chiffrement (§ II) .

L'encadrement contractuel des négociations

La phase des pourparlers peut être encadrée par un accord des parties à la négociation, faisant ainsi entrer cette période dans la sphère contractuelle. Cet encadrement peut prendre différentes formes telles que la lettre d'intention, l'accord préparatoire, le contrat temporaire, ou encore le contrat de négociation Sur l'encadrement des pourparlers, V. : F. Terré, P. Simler, Y. Lequette et F. Chénedé, Précis de droit civil, Les obligations, préc., p. 277. . Le principe général est de fixer des règles applicables aux relations entre les parties jusqu'à la conclusion ou non du contrat négocié Sur les accords précontractuels encadrant la confidentialité des échanges, V. : M. Jaouen, Négociations et obligation de confidentialité : AJCA 2016, 275. . S'agissant de la confidentialité, ces accords précontractuels présentent divers avantages :
1) la détermination des informations considérées comme confidentielles : la convention délimite les données qualifiées de secrètes et protégées par la confidentialité des échanges, de manière à faciliter ensuite la preuve de l'existence d'une faute en cas de divulgation ou d'utilisation de données échangées pendant la phase des négociations. L'accord doit sur ce point être suffisamment précis pour éviter tout débat sur le caractère confidentiel ou non d'une information. Par ailleurs, la convention ne doit pas se heurter à certaines obligations d'information ou de loyauté, notamment d'un dirigeant de société envers les associés ;
2) la détermination des personnes à qui les informations définies comme confidentielles peuvent être transmises. En établissant une liste limitative des destinataires de l'information, toute communication à un interlocuteur autre sera qualifiée de faute sanctionnable. En effet, plusieurs acteurs interviennent dans les négociations en dehors des parties mêmes, notamment leurs conseils juridiques. Il est important que ces personnes puissent avoir accès aux informations confidentielles sans que les parties risquent une sanction. Afin de renforcer la sécurité des échanges, il est possible de prévoir que les parties se portent fort pour leurs conseils du respect de la confidentialité. Il est également possible de porter officiellement l'accord précontractuel à la connaissance de ces intervenants afin de pouvoir engager leur responsabilité délictuelle en cas de non-respect Le principe de l'effet relatif des contrats édicté par l'article 1199 du Code civil ayant pour conséquence de n'engager que ses signataires est complété par le principe de l'opposabilité aux tiers de l'article 1200 du Code civil. En vertu de ces dispositions, les tiers ayant connaissance du contenu du contrat ne doivent pas faire obstacle à son exécution et engagent leur responsabilité délictuelle en se rendant complices de la violation par une partie de ses obligations contractuelles. , voire de les faire intervenir à l'accord pour engager leur responsabilité contractuelle ;
3) définir la faute en imposant aux parties l'emploi de systèmes de sécurité prédéfinis. Ainsi, celui qui n'utiliserait pas les moyens déterminés dans l'accord pour assurer la confidentialité des informations échangées engagerait de plein droit sa responsabilité contractuelle (obligation de résultat). Au contraire, l'emploi de ces systèmes le mettrait à l'abri de toute revendication en cas de fuite d'informations malgré les précautions prises, si cela ne résulte pas d'une malveillance de sa part ;
4) délimiter dans le temps l'obligation de confidentialité : le secret des échanges, pour être efficace, doit se poursuivre après la fin des négociations. Il convient donc de définir précisément la période pendant laquelle l'accord s'appliquera et de le faire perdurer pendant une durée raisonnable à la fin des pourparlers. À défaut de stipulation d'une durée déterminée, l'accord serait résiliable à tout moment après un préavis, en vertu de la prohibition des engagements perpétuels ;
5) prévoir une sanction en cas de violation de l'obligation de confidentialité : comme dans tout contrat, il est possible de prévoir la sanction de la violation de l'obligation de confidentialité sous forme de clause pénale (C. civ., art. 1231-5">Lien). Cette sanction conventionnelle permettra de contourner l'indemnisation souvent faible résultant de l'application de l'article 1112-2 du Code civil (C. civ., art. 1112-2">Lien) ;
6) déterminer la loi applicable et la juridiction compétente : dans l'hypothèse d'un accord précontractuel présentant un élément d'extranéité, les parties pourront y déterminer la loi applicable, conformément à l'article 3 du règlement Rome I no 593/2008 du 17 juin 2008. De même, la juridiction compétente en cas de litige pourra être déterminée de manière anticipée, conformément à l'article 23 du règlement (CE) no 44/2001 du 22 décembre 2000.
Outre l'encadrement des négociations, l'utilisation des systèmes ayant recours à la méthode du chiffrement assure la sécurité des échanges.

L'utilisation du chiffrement

Le chiffrement peut se définir comme « un procédé cryptographique permettant de rendre la compréhension d'un document impossible en l'absence d'une clé de déchiffrement » Définition donnée par H. Bezzazi, G. Beauvais et F. Moluri, Sécuriser les échanges numériques, Université numérique juridique francophone, févr. 2013. . Il peut être symétrique ou asymétrique Pour une explication du chiffrement symétrique et asymétrique en images : www.youtube.com/watch?v=7W7WPMX7arI">Lien .
? Le chiffrement peut être symétrique. ? Une seule clé sert à chiffrer et déchiffrer. Plus cette clé est communiquée, plus le risque qu'elle tombe entre les mains de personnes mal intentionnées est accru. La transmission de la clé de manière sécurisée entre les personnes souhaitant échanger des informations est l'inconvénient de ce type de chiffrement appelé « problème de distribution des clés » H. Bezzazi, G. Beauvais et F. Moluri, Sécuriser les échanges numériques, art. préc. . Ce système permet d'assurer la confidentialité des données transmises avec rapidité, mais n'est pas adapté à des échanges entre de nombreux protagonistes en raison du risque de perte de la clé lors de sa transmission. La communication de cette clé de chiffrement en toute sécurité nécessite soit une rencontre physique des parties, soit une transmission par un autre procédé sécurisé : le chiffrement asymétrique.
? Le chiffrement peut être asymétrique. ? Il existe alors deux types de clé :
  • une clé publique qui doit être communiquée à son interlocuteur et qui peut l'être librement sans problème de sécurité car elle est liée à une clé privée et inutile sans cette clé privée ;
  • une clé privée propre à chacun et qui ne doit en aucun cas être communiquée.
La clé publique peut alors servir à chiffrer un message qui ne sera déchiffrable que par la clé privée du destinataire du message : même si un tiers intercepte la clé publique, il ne pourra pas déchiffrer le message car seule la clé privée en sera capable ; les deux clés étant liées par un procédé de chiffrement extrêmement complexe et donc très difficile à décoder.
Ce type de chiffrement présente un risque : un tiers mal intentionné peut intercepter les clés publiques :
Un remède existe à ce risque : les certificats. Une autorité certificatrice se charge de vérifier l'identité de l'émetteur de la clé en lui demandant des informations privées (prénoms, nom, adresse mail…) et une signature électronique. Après la vérification de l'identité de l'émetteur de la clé, il lui remet un certificat avec une durée de validité, une clé publique, les informations sur la personne et la signature électronique de l'autorité de certification. Cette signature électronique permettra de prouver que le certificat a été validé par l'autorité, qui aura vérifié les informations de la personne ayant demandé le certificat. Elle assure l'intégrité des informations contenues dans le certificat et garantit donc contre les falsifications. Le tout est crypté avec la clé privée de l'autorité de certification. La clé publique peut donc être transmise avec la garantie de la personne émettrice.
a3-97-fig001
Source :www.leblogduhacker.fr/comment-fonctionne-le-chiffrement/">Lien</a>

Le chiffrement au moyen d'une clé publique et le déchiffrement au moyen d'une clé privée

Par exemple, A et B sont en négociation pour la conclusion d'un contrat et ont des données confidentielles à échanger sur les caractéristiques d'un brevet. A et B ont chacun une clé privée et une clé publique, A donne sa clé publique à B et B donne sa clé publique à A. Lorsque A voudra envoyer des informations secrètes à B, il les chiffrera avec la clé publique de B, qui pourra les déchiffrer avec sa clé privée. Et inversement, si B souhaite transmettre des données à A, il les chiffrera avec la clé publique de A et les lui adressera, A les déchiffrera avec sa clé privée. Si un tiers intercepte la clé publique ou le message codé, il n'aura pas la combinaison pour le décoder car la clé publique n'a pas cette fonction.

Le risque d'interception de la clé publique

Un tiers appelé C peut intercepter la clé publique de A lors de sa transmission à B, la conserver, et générer une fausse clé publique qu'il transmettra à B. Ainsi C aura la clé publique de A et sa propre clé privée et C aura communiqué sa clé publique à A et B en se faisant passer respectivement auprès de A pour B et auprès de B pour A. A pensera avoir la clé publique de B alors qu'il aura celle de C et pensera avoir communiqué sa clé publique à B alors qu'il l'aura communiquée à C et inversement avec B. Lorsque A pensera envoyer un message à B en utilisant le chiffrement via sa clé publique, il codera en réalité le message avec la clé publique de C, que C recevra et pourra décoder avec sa clé privée. C pourra également envoyer des messages codés avec les clés publiques de A et B qu'il aura interceptées, le destinataire du message ne pourra pas savoir que l'émetteur du message n'est en réalité pas celui attendu.
Le chiffrement, et plus particulièrement le chiffrement asymétrique, apparaît comme un outil très utile pour assurer la confidentialité des échanges lors de la négociation des contrats. Il semble opportun, dans les accords précontractuels encadrant les opérations de pourparlers, d'imposer l'utilisation d'un tel canal sécurisé pour la communication des informations confidentielles.
Une fois la phase précontractuelle achevée, s'ouvre celle de la rencontre des volontés, menant à la conclusion du contrat.