Dans une économie de l'innovation en pleine transition numérique, la valeur ajoutée d'une entreprise, c'est-à-dire sa capacité à être compétitive et à créer de la richesse, dépend de plus en plus de ses actifs immatériels : les travaux collaboratifs des salariés, les savoir-faire, les procédés d'organisation innovants ou les données numériques, programmes et bases de données. Dans le même mouvement de dématérialisation de l'économie, les capacités techniques de porter atteinte de manière illicite aux informations qui ont une valeur économique dans les entreprises se sont considérablement accrues. Ainsi, on pourrait dire, en forçant le trait, que l'espionnage industriel consiste non plus à s'introduire physiquement dans une usine pour voler un prototype mais à pénétrer à distance dans des systèmes d'information afin de copier un algorithme. Selon la direction générale des entreprises, plus de 1 000 « actes hostiles significatifs » à l'encontre des acteurs économiques sont recensés chaque année, mais ils sont sans doute plus nombreux dans la mesure où certaines intrusions parviennent à demeurer inaperçues.
Dès lors, le cadre juridique actuel n'est plus suffisant pour protéger efficacement les informations sensibles des entreprises : la propriété industrielle – droit des brevets ou des marques – ou le droit d'auteur – pour les logiciels d'entreprise, par exemple – sont des réponses imparfaites aux nouvelles exigences de protection des entreprises. Si ces dernières ont mis en place des procédures spécifiques pour se protéger des intrusions informatiques, si elles suivent les règles d'« hygiène numérique » diffusées par l'Agence nationale de la sécurité des systèmes d'information (ANSSI) et si elles désignent des correspondants en intelligence économique chargés de maîtriser les flux d'informations sensibles en leur sein, elles ont également besoin de recourir aux instruments du droit pour se défendre contre les actes malveillants : la sécurité juridique est une composante essentielle d'un bon écosystème de l'innovation. N'oublions pas, en effet, que certains de nos concurrents utilisent le droit comme arme d'intelligence économique – notre collègue Guillaume Kasbarian, qui nous présentera bientôt le rapport de la commission d'enquête sur les décisions de l'État en matière de politique industrielle, en sait quelque chose. Je pense en particulier à la procédure de discovery, qui force nos entreprises à divulguer beaucoup d'informations sensibles aux juridictions américaines dans le cadre de litiges parfois très indirects.
La législation européenne sur le secret des affaires, qui est entrée en vigueur en 2016 et que cette proposition de loi vise à transposer dans notre droit, revêt une importance d'autant plus cruciale que les États ne jouent pas uniquement le rôle d'arbitres dans la course mondiale à l'innovation et aux parts de marché. Ils interviennent directement ou indirectement, offensivement ou défensivement, pour défendre les intérêts économiques de leurs entreprises. Le retard que l'Union européenne a pris en la matière par rapport aux États-Unis ou à la Chine, qui font de l'influence économique un axe essentiel de leur politique extérieure, s'estompe en partie grâce à cette directive européenne dont la transposition dans notre droit interne est particulièrement attendue par les acteurs économiques.
Cependant, notre société de l'innovation est également une société de l'information. La transparence politique et économique est devenue un standard démocratique qui s'impose à l'ensemble de la société civile et du monde économique : les « affaires », précisément, sont de moins en moins tolérées par l'opinion publique lorsqu'elles masquent des actes illégaux commis en toute impunité ou des actes commis dans l'intérêt de quelques-uns au détriment de l'intérêt général. L'irruption de la société civile dans le milieu économique pour en dénoncer les excès, par le biais de l'alerte éthique ou du journalisme d'investigation, participe du renouvellement de l'effort démocratique de notre pays et doit être protégée au même titre que le secret des affaires. Je suis particulièrement sensible à ce sujet, ayant été signataire de la pétition « Ne laissons pas les entreprises dicter l'info », lancée par la journaliste Élise Lucet en 2015, préalablement à l'examen de la proposition de directive par le Parlement européen. En récoltant plus de 500 000 signatures, ce mouvement citoyen a probablement contribué au rééquilibrage du texte européen en faveur de l'exercice des droits fondamentaux.
La proposition de loi que nous allons examiner repose sur cet équilibre délicat : d'une part, elle doit permettre de protéger efficacement les informations économiques sensibles pour que nos entreprises puissent résister à la concurrence internationale et aux manoeuvres malveillantes d'intelligence économique ; d'autre part, elle vise à protéger les journalistes, les lanceurs d'alerte, les salariés et leurs représentants, qui risquent d'être contraints au silence par une instrumentalisation judiciaire du secret des affaires.
Notre commission des affaires économiques s'est saisie pour avis de la proposition de loi n° 675 portant transposition de la directive précitée, déposée le 20 février 2018 par notre collègue Raphaël Gauvain, rapporteur au fond pour la commission des lois, car les sujets d'intelligence économique entrent directement dans le champ de ses compétences. Je partage très largement le choix qui a été fait de transposer la directive par le haut, car il traduit une véritable ambition en matière de protection du secret des affaires. Dans le même temps, la proposition de loi ne concède rien sur le terrain de la défense des droits et des libertés fondamentales.
Dans mon rapport, je présente les éléments de contexte économique qui justifient le caractère urgent de l'adoption d'une législation relative au secret des affaires, avant de présenter les divergences qui existent entre le texte de la directive européenne et celui de la proposition de loi. Pour remédier à ces divergences, j'ai proposé une série d'amendements que je vous présenterai dans un instant.
Trois sujets ont plus particulièrement retenu mon attention.
Le premier concerne l'articulation de la proposition de loi avec le projet de loi « CNIL 2 » et le Règlement général sur la protection des données (RGPD). Dans son avis de 2014, le Contrôleur européen de la protection des données indique que « les modèles économiques émergents dans certains des secteurs qui connaissent la croissance la plus rapide de l'économie reposent sur la disponibilité de quantités massives de données sur les clients et leur comportement ainsi que sur la capacité de collecter et de monétiser ces données. Une partie considérable de ces dernières sont donc des données à caractère personnel concernant des personnes physiques identifiées ou identifiables ». Aussi convient-il de protéger les droits de ces personnes et de veiller à ce que la protection juridique du secret des affaires ne relègue pas au second rang les obligations de traitement de leurs données personnelles.
J'identifie plusieurs risques de chevauchement entre ces deux droits qui évoluent de manière parallèle. Soucieux d'assurer l'articulation du secret des affaires avec le droit de la propriété intellectuelle ou avec les différents secrets qui existent déjà dans la loi, le Gouvernement a le projet de lancer une opération de nettoyage législatif afin d'éviter ces contradictions du droit positif. Je m'associerai à ces travaux, qui devraient prendre la forme d'une ordonnance.
Le deuxième sujet qui a retenu mon attention a trait à la coopération des États membres en matière de protection des secrets d'affaires. Il est indiqué, dans le considérant 33 de la directive, qu'« afin de faciliter l'application uniforme des mesures, procédures et réparations prévues par la présente directive, il convient de prévoir des systèmes de coopération et des échanges d'informations entre les États membres, d'une part, et entre ceux-ci et la Commission, d'autre part, notamment en mettant en place un réseau de correspondants désignés par les États membres ». Un tel dispositif, pourtant fondamental, n'est pas prévu dans la proposition de loi ; or, l'Union européenne doit créer un réseau intégré et harmonisé d'intelligence économique qui protège ses intérêts et ceux de ses entreprises. Je vous proposerai donc, par amendement, qu'un correspondant national soit désigné pour organiser et participer à ce réseau d'« intelligence économique », d'abord en France, puis avec ses homologues européens. Il pourrait s'agir du Commissaire à l'information stratégique et à la sécurité économiques (CISSE), créé par un décret de 2016.
Troisième sujet : la question des biens immatériels. Cela semble formel mais, dans le texte de la proposition de loi, l'ambiguïté demeure en raison du recours indifférencié à des termes tels que « produits » ou « objets », sans qu'il soit précisé que, dans notre économie en pleine transition numérique, les biens immatériels, comme les données, les bases de données, les algorithmes ou les logiciels, doivent également être protégés. C'est un point de vigilance que j'évoquerai demain, lors de la réunion de la commission des lois.