Après avoir évoqué dans la première partie de notre expertise la propriété intellectuelle, son association avec des partenaires, les risques encourus, et la question du Safe-Harbor, nous vous invitons à découvrir la suite avec des exemples, la problématique des accords stratégiques, mais également la perte d’une information envisagée comme source de création.

Expertise de notre influenceur anonyme Julien Vimch, CISO d'un grand groupe de luxe

Pour lire la première partie de notre expertise, cliquer ici.

Les exemples réussis de coopération entre entreprises

Les entreprises sont toujours à la recherche de gains de parts de marchés pour accroître leurs  ventes et développer leurs activités. Ne pouvant concevoir elles-mêmes tous les produits finis depuis les matières premières jusqu'aux produits commercialisables, elles s'appuient sur des partenaires qui mettent à disposition des éléments alors assemblés par une autre entreprise.

Les services de protection des infrastructures sont de bons exemples de partenariats efficaces. La coopération est positive autant pour l'entreprise qui ne pourrait mettre en place une structure et organisation dédiée à la surveillance du réseau, que pour le fournisseur de service qui, avec un nombre important de clients, va pouvoir découvrir de nouvelles menaces et prévenir ses autres clients. L'efficacité est alors optimale car les intérêts stratégiques convergent.

Dans le développement de logiciel, un bon exemple de partenariat positif est l'utilisation de modules Open Source mis à disposition par la communauté des développeurs pour des fonctionnalités standards prédéfinies, tel OpenSSL qui permet de concevoir un site Internet en utilisant un protocole de communication chiffré pour assurer l'intégrité de l'information lors des échanges sur Internet.

De même, dans le cadre d'un partenariat avec une société de service qui développe une solution logicielle, l'entreprise va signer un contrat garantissant le respect de la confidentialité et la protection du droit d'auteur du logiciel.

On peut étendre cette notion de partenariat lors d'accords définis pour l'accueil de stagiaires. On peut ainsi mettre en place des restrictions liées pour les départements stratégiques de l'entreprise comme les départements de Recherches & Développement. Les exemples sont nombreux, où un employé temporaire a revendu (parfois non intentionnellement) des informations à son nouvel employeur. L'entreprise doit parfois s'organiser et définir des règles pour éviter une fuite d'information logique dans le cadre d'un employé quittant l'entreprise avec une expérience acquise !

Les règles d'un bon partenariat avec une autre entreprise doivent être les suivantes :

  • Présence d'un contrat signé avant de commencer la coopération ; c'est basique mais malheureusement non effectué dans 100% des cas !
  • Comprendre les intérêts stratégiques de son futur partenaire et s'assurer qu'ils sont compatibles avec ceux de son entreprise ; en cas de divergence, il est impératif d'arrêter la coopération.
  • Le contrat doit comporter une définition claire de la confidentialité pour protéger d'une part la propriété intellectuelle du concepteur, mais aussi les données de l'entreprise qui ne doivent pas être visibles par le partenaire.
  • Une définition du niveau de service simple vérifié dans le cadre de la maintenance du contrat.
  • Lors de la fin du contrat, une clause précisant la réversibilité des données et l'engagement du fournisseur quant à la destruction des données enregistrées sur les différents médias sous sa responsabilité contractuelle ; un engagement écrit d'application d'une procédure de décommissionnement peut être exigée.

Il est vrai que ces règles permettent de limiter les risques contractuellement, ce qui n'est pas le cas s'il s'agit de décisions politiques qui ne prennent pas en compte les risques relatifs à la propriété intellectuelle... comme ce fut le cas d'Airbus, Areva, ou encore la DCNS (Frégates Mistral).

Que peut-on céder dans un accord stratégique ?

Si les orientations stratégiques des deux entreprises partenaires sont convergentes et si les intérêts à long terme sont profitables pour chacune des sociétés, il est possible d'établir des partenariats utilisant le fruit de la Recherche et Développement de l'une ou des deux entreprises.

Ce type d'accord est basé sur une relation commerciale visant à exploiter de la propriété intellectuelle et comporte une durée définie par contrat. Lequel contrat ne doit exposer qu'un sous-ensemble de la propriété intellectuelle des deux entreprises.

La possibilité de partager son savoir-faire est fonction du type d'activité. Il y a des données qui peuvent être revendues : cas de l'exploitation d'un brevet par une autre compagnie ; mais il y a aussi des cas où les données ou propriété intellectuelle représentent les fondements de l'entreprise et ne peuvent être cédées ou perdues même dans le cadre d'un contrat. C'est le cas du code source d'un développement logiciel ou encore la formule d'un parfum par exemple.

Cependant, il y a des cas où malgré la bienveillance des juristes dans l'élaboration du contrat, une décision politique ne couvre pas le risque de vol d'information.

Le récent exemple de la vente annulée des Frégates à la Russie montre l'impact d'une mauvaise décision politique sur la propriété intellectuelle de la DCNS. Les Frégates initialement vendues à la Russie étaient le fruit d'une collaboration avec les ingénieurs Russes pour uniquement des éléments de la propulsion mais intégrait un plus large transfert de connaissance et d'expertise. De fait, après avoir partagé les plans de conception et formé la marine Russe à l'utilisation des nouvelles technologies, le revirement politique a simplement omis la valeur de l'information qui avait été partagée dans le cadre de la vente de ces navires ! C'est oublier que la Russie est largement en mesure maintenant de reproduire ces navires - voire de revendre les plans à la Chine qui était un moment intéressée -  même si elle s'est engagée à ne pas le faire (8).

La perte d'une information comme source de création

Beaucoup de vol d'information ont été constatés et pour autant, certaines sociétés ont réussi à relancer leurs activités sur de nouveaux marchés. Est-ce une chance, une opportunité de se remettre en question et de s'ouvrir sur de nouveaux marchés que d'avoir été piraté ou escroqué dans le cadre d'un partenariat infructueux ?

Peut-être que cela pousse certaines entreprises à se mobiliser et créer de nouvelles idées ou encore innover dans des secteurs d'activité différents. Mais, le fait de savoir simplement que son savoir-faire est susceptible d'être la proie de la concurrence permet à certaines entreprises de se mettre dans la perspective de continuellement créer et innover. Cette capacité de renouvellement est issue conjointement d'une Organisation adaptée et d'un état d'esprit des Hommes qui la composent. C'est ce qu'il faut entretenir même après une réussite commerciale importante.

Au-delà de la perte d'information, un mouvement de fond se met en place sous la direction entre autre de l'IETF (9), pour pousser au partage de l'information afin d'optimiser le travail des chercheurs d'idées innovantes (10). Le principe est qu'une idée peut servir dans plusieurs domaines ; principe qui est en opposition avec le modèle capitalistique et économique des entreprises.

La stratégie dans ces associations est donc de mettre en place des contrats qui juridiquement vont permettre de protéger le capital informationnel de l'entreprise tout en lui permettant de développer son activité et de gagner des parts de marché.

Quels sont donc les risques que doivent prendre les entreprises dans ces associations stratégiques et quels sont les moyens qu'elles doivent mettre en place pour réduire les risques de fuite d'information ?

Conclusion

On peut en conclure que sans mesure de protection extrêmement performante, toute donnée est ou sera partagée dans un délai qui est variable (11). Par contre, le savoir-faire nécessite d'avoir une organisation et une connaissance qui ne repose pas toujours sur des écrits ; comme le rappelle l'exemple du crash du Tupolev 144 lors du salon du Bourget en 1973 (12).

La "copiabilité" est aussi un paramètre qui devient important à estimer alors que l'on veut protéger une information. D'une manière générale, l'image (d'une entreprise) est l'information la plus importante à protéger.

Sur le temple de Delphes, il est écrit en Grec « connais-toi toi-même ».

Dans le monde actuel, les entreprises commerciales doivent être conscientes de la valeur de leurs données, et analyser les risques lors d'association avec des partenaires. Mais aussi savoir vendre une partie du résultat issu de la recherche et développement pour permettre d'investir, être plus performant ou simplement meilleur, et gagner des parts de marché, y compris à l'international.

La longévité d'une marque et/ou d'une entreprise est donc liée à sa capacité de recherche et d'innovation, ce qui est finalement logique.

8 -  http://www.opex360.com/2015/10/01/la-russie-naurait-pas-eu-acces-la-technologie-la-plus-sensible-des-bpc/ 9 -  IETF : Internet Engineering Task Force ; une des organisations qui fédère l'Internet mondial : définition : https://www.ietf.org/rfc/rfc3935.txt 10 - http://www.zdnet.fr/actualites/comment-gagner-au-jeu-de-l-innovation-en-partageant-39831990.htm 11 -  La durée de conservation d'une information confidentielle recherchée par un compétiteur agressif ne dépasse pas 6 mois. 12 -  https://www.youtube.com/watch?v=-mnOApwhRyI

AUCUN COMMENTAIRE