Chronique juridique de Muriel Goldberg-Darmon, docteur en Droit, avocate associée du cabinet Cohen & Gresser, et de Guillaume Guérin et Pierre Wolman, avocats du cabinet Cohen & Gresser
Le décret n°2022-207 du 18 février 2022 et l’arrêté d’application du 7 mars 2022 sont venus modifier les modalités d’application de la loi dite « de blocage ». Concomitamment à cette réforme, le SISSE, l’AFEP et le MEDEF ont publié un guide pratique d’aide à l’identification des données sensibles susceptibles de relever de la loi de blocage.
Rappelons que la loi de blocage (i) interdit aux entreprises françaises de communiquer aux autorités publiques étrangères, en cas de demandes de leurs parts, des informations « d'ordre économique, commercial, industriel, financier ou technique dont la communication est de nature à porter atteinte à la souveraineté, à la sécurité, aux intérêts économiques essentiels de la France ou à l'ordre public » ; et (ii) oblige ces entreprises, par une procédure spécifique, à informer les autorités publiques françaises de telles demandes.
Difficultés à se conformer à cette obligation d’information
Jusqu’à présent, les entreprises françaises ont rencontré des difficultés à se conformer à cette obligation d’information. Celles-ci étaient principalement liées au manque de clarté de la procédure et à l’absence de définition précise des informations sensibles couvertes par la loi de blocage.
La réforme a apporté une réponse à cette première difficulté. Depuis le 1er avril 2022, toute entreprise faisant l’objet, de la part d’une autorité publique étrangère, d’une demande de communication d’informations sensibles de la part d’une autorité publique étrangère doit saisir, « sans délai », le Service de l’information stratégique et de la sécurité économique (SISSE). Le SISSE dispose alors, à la suite du dépôt complet du dossier par l’entreprise, d’un délai d’un mois pour rendre un avis sur l’applicabilité de la loi de blocage.
Les critères d’identification des données sensibles
La réforme n’a néanmoins pas précisé les contours de ce que constitue une information de nature à « porter atteinte à la souveraineté, à la sécurité, aux intérêts économiques essentiels de la France ou à l'ordre public ». A cet égard, le SISSE, l’AFEP et le MEDEF ont publié conjointement un guide pratique d’identification des informations « sensibles souverains » susceptibles de relever de la loi de blocage.
Ce guide détaille les critères devant être pris en compte par les entreprises pour déterminer le caractère « sensible souverain » d’une donnée au sens de la loi de blocage. Ce caractère doit être apprécié, selon la méthode du faisceau d’indices, à l’aune de deux critères cumulatifs :
- la gravité du préjudice subi par l’entreprise en cas de communication de la donnée ; et
- le caractère stratégique de l’entreprise et/ou de son activité.
1 - La gravité du préjudice éventuel subi par l’entreprise
Au titre de ce premier critère, le guide distingue trois niveaux de gravité :
- un premier niveau « faible ou nul » : le préjudice subi par l’entreprise en cas de communication n’est que ponctuel et n’impacterait que de manière limitée la bonne conduite des affaires de l’entreprise ;
- un deuxième niveau « grave » : le préjudice subi en cas de communication est important et impacterait le court ou le moyen terme de l’entreprise ;
- un troisième niveau « majeur » : le préjudice subi en cas de communication est extrêmement important et impacterait le long terme de l’entreprise.
Le guide précise que seule une donnée relevant de ce troisième niveau de gravité est susceptible d’être considérée comme « sensible souverain ». Encore faut-il que l’entreprise détentrice de cette donnée ou son activité présente également un caractère « stratégique ».
2 - Le caractère stratégique de l’entreprise et/ou de son activité
Le guide se réfère à deux catégories d’activités stratégiques :
- la première catégorie vise les activités de l’article R. 151-3 du Code monétaire et financier relatif à la procédure du contrôle des investissements étrangers en France. Cette catégorie englobe des activités aussi diverses que celles relatives à la défense, à la santé publique, à la sécurité alimentaire, à la pluralité de l’information, à l’aérospatiale, etc.
- la seconde catégorie vise les activités d’importance vitale de l’article R. 1332-2 du Code de la défense. Sont notamment mentionnées dans cet article les activités présentant un danger grave pour la population et celles ayant trait à la production et la distribution de biens ou de services indispensables à la satisfaction des besoins essentiels pour la vie des populations ou au fonctionnement de l’économie.
De très nombreuses activités sont donc susceptibles d’être considérées comme « stratégiques ». Les activités listées dans ces deux catégories ne sont d’ailleurs pas exhaustives, le guide précisant que d’autres critères peuvent également être pris en compte. Parmi ceux-ci, le guide vise par exemple la contribution de l’entreprise à la puissance économique française ou encore sa contribution au rayonnement et à l’influence française.
Une classification par les entreprises de leur données sensibles
Il convient de rappeler que le guide n’a pas de valeur normative et que la méthodologie qui y est présentée n’est pas exclusive d’autres méthodes. A cet égard, le guide invite les entreprises françaises à faire l’inventaire et à classifier, en amont, leur « patrimoine informationnel » en fonction de la sensibilité de leurs données.
En pratique, cette classification pourrait être confiée aux équipes « conformité » des entreprises et s’inscrire dans le cadre de la mise en œuvre d’un programme de conformité « données sensibles ». La sensibilité d’une donnée étant évolutive, la classification devra faire l’objet d’une actualisation régulière. Cela permettra notamment aux entreprises d’être à même de réagir rapidement en cas de demandes faites au titre de la loi de blocage.
Reste à déterminer comment le SISSE va appréhender la classification spécifique adoptée par les entreprises. Notamment, la question se pose de savoir si de réels échanges avec ces entreprises vont s’établir lors de l’analyse par le SISSE du caractère « sensible souverain » d’une donnée. En toute hypothèse, il est important de noter que le SISSE ne saurait être lié par une classification interne.