Par Pascal Durand-Barthez – avril 2021
Tout administrateur qui se respecte se sait lié par une obligation de confidentialité. En la matière, l’engagement contractuel est peut-être la meilleure protection pour la société.
Un épisode judiciaire récent amène à s’interroger sur les obligations des administrateurs en matière de confidentialité. Il s’agit du jugement du Tribunal de commerce de Paris rendu le 20 novembre 2020 dans l’affaire SCOR/Covea.
Ce n’est qu’un épisode dans une bataille judiciaire de grande ampleur, qui se déroule sur de multiples fronts dont les cours anglaises et les juridictions pénales. Il a été très médiatisé en raison des sommes élevées (plus de 20 millions d’euros) auxquelles ont été condamnés un administrateur et la société dont celui-ci était par ailleurs le dirigeant.
Les positions prises par ce tribunal ne feront pas en elles-mêmes jurisprudence, puisque le parcours judiciaire de cette affaire culminera probablement en Cour de cassation dans plusieurs années. Mais on y trouve matière à réflexion, notamment sur le devoir de loyauté des administrateurs, et sur leurs obligations de confidentialité. Les remarques qui suivent se limitent à ce dernier thème.
Des fondements juridiques divers
Ces obligations de confidentialité ont plusieurs sources juridiques.
La première est spécifique aux Conseils d’administration et de surveillance : c’est ce que le Code de commerce appelle l’obligation de « discrétion » qui s’applique à l’administrateur comme à « toute personne assistant aux réunions du Conseil » (art. L. 225-37 et L. 225-92 C. Com.). Elle n’est pas assortie de sanction pénale, et force est de reconnaître qu’elle a fait l’objet de très peu de contentieux, et qu’il ne s’est donc pas établi de jurisprudence.
La deuxième source est plus générale et plus récente : il s’agit de la loi de 2018 sur le secret des affaires (art. L. 151-1 s. C. Com.). Issue de la transposition d’une directive européenne qui avait suscité l’émoi des journalistes d’investigation qui y voyaient une atteinte intolérable à la liberté de la presse, elle ne s’applique comme la précédente qu’aux informations qui ont été expressément déclarées confidentielles, et elle n’a pas de sanction pénale.
Dans les deux cas, il ne s’agit donc que d’une responsabilité civile, contrairement à des obligations telles que le secret défense, les différents secrets professionnels ou le « secret de fabrique » qui s’applique aux salariés. Cela implique donc, non seulement qu’on identifie la personne qui a violé la confidentialité (« l’origine de la fuite ») mais aussi qu’on évalue le préjudice qui en résulte et qu’on établisse le lien de causalité entre la faute et le dommage. C’est sans doute cela qui explique la rareté des contentieux.
Par ailleurs, il n’est pas surprenant que la soft law traite aussi de l’obligation de confidentialité des administrateurs.
Elle est affirmée de façon renforcée (« véritable obligation de confidentialité qui dépasse la simple obligation de discrétion prévue par les textes ») par le code Afep-Medef, que cite le jugement du Tribunal de commerce.
Le code Middlenext est plus strict encore : « chaque membre du Conseil respecte un véritable secret professionnel à l’égard des tiers ».
Mais, dans les deux cas, quoiqu’elles se trouvent dans des paragraphes intitulés « déontologie de l’administrateur » ou « des membres du Conseil », les prescriptions de ces codes s’appliquent à la société (avec leur régime spécifique du comply or explain et non directement aux administrateurs).
L’engagement contractuel, meilleure protection de la société ?
Pour prendre sa décision, le tribunal a préféré s’appuyer sur la violation d’une obligation contractuelle résultant pour l’administrateur de son adhésion formelle (par le jeu de la réponse à un questionnaire) au Règlement intérieur du conseil, qui comporte un engagement de confidentialité. Dans une autre affaire qui avait aussi été très commentée en 2016 et où il s’agissait du devoir de loyauté du mandataire social, le juge avait eu aussi recours à la responsabilité contractuelle : de façon sans doute inhabituelle, le directeur général d’Europcar avait signé avec la société la veille de sa nomination un « contrat de mandat » selon lequel « il devait faire tout son possible afin de promouvoir et développer l’activité de la société en exerçant ses fonctions avec discernement, attention et loyauté et en veillant à servir les intérêts de la société et du groupe ».
Pour revenir à la confidentialité, on note que la Charte de l’administrateur de l’IFA, qui fait partie des normes de place non dotées de la même autorité que les codes de gouvernement d ‘entreprise puisqu’il n’y a pas l’obligation pour les sociétés cotées de s’y référer, stipule que l’administrateur « s’engage personnellement à respecter la confidentialité totale des informations qu’il reçoit, des débats auxquels il participe et des décisions prises », engagement qui sous-entend aussi un lien contractuel ou quasi-contractuel.
La conclusion qu’on peut en tirer, c’est qu’il est fortement recommandé d’inscrire les obligations de loyauté et de confidentialité dans un texte (règlement intérieur ou autre) formellement accepté par l’administrateur. Et aussi que le Président du Conseil doit veiller à ce que le caractère confidentiel des questions débattues au Conseil et des documents correspondants soit explicitement rappelé chaque fois que c’est pertinent.