Les risques du numérique pour la confidentialité

Le Code civil comprend désormais une obligation légale de confidentialité au cours des pourparlers (§ I) , à laquelle les parties doivent se conformer malgré les particularités des échanges sous format numérique (§ II) .

L'obligation légale de confidentialité

L'encadrement des négociations antérieurement à l'ordonnance n^o 2016-131 du 10 février 2016 portant réforme du droit des contrats était jurisprudentiel. Une obligation de confidentialité fondée sur le devoir de bonne foi avait ainsi été dégagée et fermement établie par les juges Une obligation de « réserve et de discrétion » s'impose aux parties lors de la tenue des pourparlers : CA Paris, 1^er févr. 1989 : JurisData n^o 1989-020420. . La responsabilité extracontractuelle des parties à la négociation pouvait être mise en cause en cas de divulgation d'informations confidentielles obtenues lors de la phase des négociations. Il était toutefois préférable d'encadrer ce devoir de confidentialité avec des accords précontractuels, définissant les informations couvertes par ce devoir et la sanction de la violation de cette obligation par le biais des clauses pénales M. Vivant, Les clauses de secret, in colloque « Les principales clauses des contrats conclus entre professionnels », Aix-en-Provence, 1990, p. 101 et s. .

La réforme du droit des contrats a créé un article 1112-2 au sein du Code civil (C. civ., art. 1112-2">Lien) sous l'influence des projets d'harmonisation des droits des contrats aux niveaux international et européen Principes Unidroit, art. 2.1.16 et Principes du droit européen du contrat, art. 2 :302. et de la demande des praticiens en manque de cadre légal. Cette nouvelle disposition sanctionne « celui qui utilise ou divulgue sans autorisation une information confidentielle obtenue à l'occasion des négociations ». Elle est le corollaire de l'obligation d'information mise à la charge des parties conduisant des pourparlers. L'article 1112-1 du Code civil (C. civ., art. 1112-1">Lien) impose en effet à celui qui connaît une information déterminante du consentement de l'autre de la lui divulguer lors de la tenue des pourparlers V. supra, n^os et s. . Afin de garantir le secret de ces informations, il est donc imposé à celui qui les reçoit de ne pas les diffuser, ni de les utiliser. La sanction du non-respect de cette obligation est déterminée à l'article 1112-2 du Code civil (C. civ., art. 1112-2">Lien) qui prévoit la mise en cause de la responsabilité de l'auteur de la faute dans les conditions de droit commun.

La responsabilité, de nature délictuelle à défaut d'accord encadrant les négociations En ce sens : F. Terré, P. Simler, Y. Lequette et F. Chénedé, Précis de droit civil, Les obligations, Dalloz, 12^e éd., p. 275. , ne pourra être engagée qu'à la condition qu'une partie aux pourparlers utilise elle-même des informations obtenues lors des négociations Cass. com., 3 juin 1986 : Bull. civ. 1986, IV, n^o 110, p. 94 sur le fondement de la concurrence déloyale. ou les divulgue à un tiers sans l'autorisation de celui qui les lui a communiquées. Il reviendra à celui demandant une indemnisation de prouver le caractère confidentiel de l'information, le défaut d'autorisation et donc la faute de l'autre partie, l'existence d'un préjudice et d'un lien de causalité entre l'utilisation ou la divulgation fautive et le préjudice subi. Le caractère confidentiel d'une information peut en pratique s'avérer difficile à appréhender si les parties n'ont pas pris le soin de le définir préalablement. Les accords de confidentialité développés avant la réforme du droit des obligations conservent donc leur intérêt afin d'éviter tout conflit sur la définition des informations couvertes par le secret et de prévoir une clause pénale pour la sanction du non-respect de cette obligation V. infra, n^o . .

L'obligation de confidentialité lors de la phase des pourparlers étant désormais définie, il y a lieu de l'apprécier dans le cadre des échanges aujourd'hui nombreux sous la forme numérique.

Les particularités des échanges sous format numérique

? Les négociations peuvent être menées sous différentes formes. ? L'article 1125 du Code civil (C. civ., art. 1125">Lien) dispose que : « La voie électronique peut être utilisée pour mettre à disposition (…) des informations sur des biens ou des services ». Les avantages du numérique en termes de rapidité, de conservation et de fluidité des échanges en font un outil privilégié et désormais omniprésent dans la tenue des pourparlers. Il crée toutefois de nouveaux risques pour la confidentialité des informations transmises. Le piratage apparaît comme une menace majeure, pouvant entraîner la divulgation des correspondances et des pièces jointes. Or la faute engendrant une responsabilité délictuelle peut résulter d'une simple négligence ou omission, aucun élément intentionnel n'étant nécessaire L'article 1241 du Code civil vise expressément la réparation des dommages causés par la négligence ou l'imprudence. . L'abstention dans l'action est caractérisée et source de responsabilité lorsque son auteur s'abstient de prendre les précautions nécessaires pour que son activité ne génère aucun dommage En ce sens : V. J. Julien, Droit de la responsabilité et des contrats, Chapitre 2216 « Abstention fautive », Dalloz Action, 2018-2019. . Il est donc tout à fait envisageable qu'une partie puisse devoir des dommages-intérêts pour divulgation d'une information confidentielle obtenue lors de pourparlers à défaut d'avoir protégé ces données contre le piratage. Dans l'hypothèse où ce piratage interviendrait lors de la transmission de l'information, il reviendrait alors à celui qui invoque la responsabilité de l'autre partie d'apporter la preuve de son manque de précaution fautif.

? Les participants à une négociation peuvent notamment utiliser, outre les e-mails , des plateformes d'échange de fichiers volumineux Par ex. : WeTransfer ; GrosFichiers. ou des data room Le terme data room n'est pas défini par le Larousse ou le Petit Robert, seuls les opérateurs donnent une définition des services offerts. Par exemple, la data room utilisée par de nombreux notaires et proposée par l'Association Paris Notaires Services est définie dans le préambule de ses conditions générales comme « un espace de travail professionnel sécurisé et confidentiel mis, par le Notaire, à la disposition de ses clients et intervenants à un dossier, destiné à la préparation des actes constitutifs de ce dossier et à l'information des différentes parties et des intervenants sur l'état d'avancement du dossier et les éléments nécessaires à cet avancement ». . ? Lorsque la faille de sécurité menant à une divulgation de données confidentielles provient des prestataires proposant ces services numériques, leur utilisateur reste responsable. Se pose ensuite la question d'un éventuel recours de la partie ayant divulgué une information à son insu contre la plateforme ou le diffuseur de la data room utilisée et d'où provient la faille de sécurité. L'étude des conditions générales des principaux acteurs en la matière révèle un silence total ou une exonération de responsabilité des opérateurs en cas de faille de sécurité Le site de la plateforme d'échange WeTransfer indique ainsi dans ses conditions générales : « Si vous constatez que l'un des Services devient vulnérable, veuillez lire notre Politique de divulgation responsable ». Laquelle « Politique de divulgation responsable » n'est disponible qu'en langue anglaise. La sécurité des données n'est mentionnée nulle part et n'est pas annoncée comme une caractéristique de la plateforme : manœuvre habile pour échapper à toute revendication en cas de faille sécuritaire et de fuite de données, sous la réserve de la protection des données personnelles. Le site BlueFiles, quant à lui, affiche dès sa page d'accueil la confidentialité des échanges et la sécurisation des données par une méthode de chiffrement : https://mybluefiles.com/fr/">Lien. Les conditions générales écartent en revanche toute responsabilité de la plateforme : « L'utilisateur dégage la responsabilité de mybluefiles.com pour tout préjudice qu'il pourrait subir ou faire subir, directement ou indirectement, du fait des services proposés ». La légalité d'une clause exonératoire au regard de la législation sur les clauses abusives entre professionnels et consommateurs et dans les contrats d'adhésion semble très contestable. Les conditions générales de l'Espace notarial mis à disposition des notaires par l'Association Paris Notaires Services n'évoquent pas le sujet de la responsabilité de la plateforme en cas de faille sécuritaire, mais uniquement la protection des données personnelles. . Certains sites ne mentionnent nulle part la sécurité des données, laquelle n'est pas annoncée comme une caractéristique de la plateforme Par ex., la plateforme WeTransfer. : manœuvre habile pour échapper à toute revendication en cas de faille sécuritaire et de fuite de données, sous la réserve de la protection des données personnelles. S'agissant des plateformes présentant la sécurité des échanges comme une caractéristique principale du service proposé, et donc une obligation essentielle du prestataire, une clause limitative ou élusive de responsabilité pourrait être réputée non écrite sur le fondement de l'article 1170 du Code civil (C. civ., art. 1170">Lien). L'article 1171 du même code (C. civ., art. 1171">Lien) dans les contrats d'adhésion et la législation du Code de la consommation sur les clauses abusives pourraient également servir de fondement pour écarter les décharges partielles ou totales de responsabilité des plateformes d'échange ou opérateurs de data room en cas de faille sécuritaire lorsque la sécurité des échanges est affichée comme une caractéristique de la prestation.

Face aux dangers que présentent les échanges numériques dans les négociations, les parties peuvent se prémunir en ayant recours aux différents remèdes existant pour une cybersécurité.