Accord de confidentialité (NDA) : les 5 clauses clés avec exemples

L’accord de confidentialité (également désigné par son acronyme anglais NDA, pour Non-Disclosure Agreement) est souvent perçu comme un document de pure forme, produit en quelques minutes à partir d’un modèle standard avant l’ouverture de négociations commerciales.

Cette perception est inexacte et dangereuse. Mal rédigé, un NDA laisse passer les risques qu’il était censé neutraliser : des informations stratégiques divulguées à un concurrent, un savoir-faire exploité sans contrepartie, une technologie confidentielle réutilisée dans un produit concurrent sans qu’il soit possible d’en apporter la preuve.

L’accord de confidentialité est un contrat à part entière, soumis au droit commun des contrats issu des articles 1101 et suivants du code civil et dont chaque clause mérite une attention proportionnelle aux enjeux qu’elle protège.

Maître Julien Riant vous présente les cinq clauses qui font la différence entre un NDA solide et un NDA décoratif.

1. La clause de définition des informations confidentielles : délimiter le périmètre de ce qui est protégé

C’est la clause fondatrice de l’accord, celle dont la rédaction conditionne l’efficacité de toutes les autres.

Si la définition des informations confidentielles est trop étroite, des données stratégiques pourtant communiquées dans le cadre des discussions resteront sans protection. Si elle est trop large et englobe par exemple « toute information échangée entre les parties », elle devient inapplicable en pratique et sera interprétée restrictivement par les tribunaux, au détriment de la partie qui cherchait à se protéger.

La pratique recommande une approche en deux temps.

• D’abord, une définition générale par catégories (informations techniques, commerciales, financières, juridiques, industrielles) assortie d’une indication sur la forme sous laquelle elles sont communiquées : documents écrits, fichiers numériques, présentations orales confirmées par écrit dans un délai déterminé.
•  Ensuite, pour les actifs les plus sensibles (savoir-faire, procédés techniques, algorithmes) une annexe descriptive qui les identifie précisément.

Cette double architecture présente un avantage probatoire considérable : en cas de litige, la partie victime d’une divulgation n’a pas à démontrer que l’information communiquée entrait dans le champ de la définition contractuelle ; elle peut se référer directement à l’annexe.

La clause doit également définir ses exceptions avec la même précision :

• les informations qui relevaient du domaine public avant la communication, celles que le destinataire détenait déjà avant l’ouverture des discussions
• celles reçues légitimement d’un tiers non lié par un engagement de confidentialité
• et celles dont la divulgation est imposée par une obligation légale ou une décision de justice.

Ces exceptions sont indispensables pour que l’obligation de confidentialité reste praticable ; leur absence conduit à des situations absurdes où le destinataire se verrait reprocher d’avoir mentionné une information déjà publiquement connue.

Exemple de clause : « Au sens du présent accord, constituent des « Informations Confidentielles » toutes les données, documents, fichiers, analyses, procédés, méthodes, savoir-faire, plans, projections financières ou commerciales, codes sources, bases de données et informations de toute nature communiqués par l’une des parties à l’autre dans le cadre des discussions relatives à [objet des discussions], que leur support soit écrit, numérique, oral ou visuel. Les informations communiquées oralement ne sont couvertes par le présent accord que si leur caractère confidentiel a été expressément confirmé par écrit dans les dix (10) jours suivant leur communication. Sont expressément exclues du champ des Informations Confidentielles : (i) les informations appartenant au domaine public à la date de leur communication ou qui y entrent ultérieurement sans violation du présent accord ; (ii) les informations dont la partie destinataire peut démontrer qu’elle les détenait avant leur communication ; (iii) les informations reçues d’un tiers n’ayant contracté aucune obligation de confidentialité à l’égard du communicant ; (iv) les informations dont la divulgation est imposée par une obligation légale, sous réserve d’en informer préalablement le communicant. »

Point de vigilance : méfiez-vous des définitions qui conditionnent la protection au marquage physique des documents comme « confidentiel ». Dans la pratique des négociations, les documents les plus sensibles circulent souvent sans étiquetage formel, et un accord qui exige ce marquage prive de protection précisément les informations les plus importantes.

2. La clause d’obligation de non-usage : un usage trop souvent négligé du NDA

La grande majorité des NDA se concentrent sur l’obligation de ne pas divulguer les informations à des tiers et oublient l’obligation tout aussi essentielle de ne pas les utiliser à d’autres fins que celles prévues par l’accord. Or ces deux obligations sont conceptuellement distinctes et répondent à des risques différents.

L’obligation de non-divulgation interdit au destinataire de communiquer les informations reçues à des personnes extérieures à la relation contractuelle. Elle doit préciser qui, au sein de l’organisation du destinataire, peut avoir accès aux informations (généralement les collaborateurs directement impliqués dans les discussions, astreints à leur tour à un engagement de confidentialité).

Cass. 1re civ., 31 mai 2007, n° 05-19.978 : La jurisprudence de la première chambre civile offre à cette obligation une efficacité procédurale importante : en la qualifiant d’obligation de ne pas faire, elle permet à la partie lésée de réclamer des dommages-intérêts sans avoir à établir l’existence d’un préjudice distinct de la violation elle-même.

Cette logique est précieuse dans les litiges de confidentialité, où la preuve du préjudice effectif (perte de marché, dévalorisation du savoir-faire, par ex.) est souvent difficile à rapporter.

L’obligation de non-usage interdit d’exploiter les informations reçues à des fins autres que celles expressément prévues par l’accord (par exemple, utiliser des données techniques communiquées dans le cadre d’une évaluation de partenariat pour développer un produit concurrent).

Cette clause est particulièrement stratégique dans les contextes de négociation pré-contractuelle où les parties partagent des informations sensibles sans que la transaction aboutisse : sans clause de non-usage, le destinataire des informations pourrait légalement les utiliser à son propre profit dès lors qu’il ne les a pas divulguées à des tiers.

Les deux obligations doivent par ailleurs s’appliquer aux sous-traitants et partenaires du destinataire qui accèdent aux informations dans le cadre de son organisation ce qui est souvent le cas dans les grandes entreprises ou les groupes internationaux.

Exemple de clause : « La partie destinataire s’engage : (i) à ne divulguer les Informations Confidentielles qu’aux membres de son personnel, à ses dirigeants et, le cas échéant, à ses conseils et sous-traitants qui ont strictement besoin d’y accéder pour les besoins de [objet des discussions], et à s’assurer que ces personnes sont liées par des obligations de confidentialité au moins équivalentes à celles du présent accord ; (ii) à ne pas utiliser les Informations Confidentielles à d’autres fins que l’évaluation et la conduite de [objet des discussions], et notamment à s’abstenir de les exploiter, directement ou indirectement, à des fins de développement de produits ou services propres, de veille concurrentielle ou de toute autre finalité non expressément autorisée. La partie destinataire reste responsable de tout manquement commis par les personnes auxquelles elle a communiqué les Informations Confidentielles. Tout accès non autorisé ou toute violation avérée doit être notifié sans délai au communicant avec une description des circonstances et des mesures correctives mises en œuvre. »

Point de vigilance : dans les relations entre concurrents directs ou entre une entreprise et un acteur susceptible de le devenir, renforcez la clause de non-usage d’une disposition spécifique relative à l’interdiction de déposer des brevets ou d’enregistrer des droits de propriété intellectuelle sur la base des informations communiquées. À défaut, le destinataire pourrait s’approprier une technologie partagée à titre confidentiel par la voie du dépôt d’un droit de propriété intellectuelle.

3. La clause de durée du NDA : éviter les inconvénients de la perpétuité ou de l’indétermination

La durée est l’une des clauses les plus mal rédigées dans les NDA. Les parties oscillent entre deux extrêmes également défavorables : soit une durée très courte qui laisse les informations sans protection dès que les négociations s’étirent dans le temps, soit une durée indéfinie ou « tant que les informations restent confidentielles » qui se heurte frontalement à la prohibition des engagements perpétuels consacrée par l’article 1210 du code civil.

Cette prohibition n’est pas qu’un principe académique. La jurisprudence en a tiré des conséquences concrètes et variées : réduction judiciaire de la durée d’une clause d’exclusivité jugée excessive (Cass. com., 1er décembre 1981, n° 79-16.147 ; Cass. com., 10 février 1998, n° 95-21.906), requalification d’un engagement à durée indéterminée en contrat résiliable unilatéralement moyennant un préavis raisonnable (Cass. civ. 1re, 19 mars 2002, n° 99-21.209).

L’ordonnance du 10 février 2016 a codifié cette dernière solution à l’article 1210 alinéa 2 du code civil : un engagement sans terme peut être dénoncé unilatéralement, ce qui signifie qu’un NDA à durée indéfinie peut être mis fin par le destinataire des informations sans conséquence autre que le respect d’un préavis. C’est précisément l’inverse de l’effet recherché.

La bonne pratique consiste à distinguer 2 temporalités : 

• La durée du contrat lui-même (pendant laquelle les parties échangent des informations dans le cadre des discussions) est généralement courte, de six mois à deux ans, renouvelable par accord exprès.
• La durée post-contractuelle des obligations de confidentialité (qui court après la fin ou la rupture des discussions) doit être calibrée en fonction de la durée de vie économique réelle des informations : une technologie de pointe peut rester stratégique pendant cinq à dix ans, quand une information commerciale sur les prix ou les volumes perd sa valeur en quelques mois.

Exemple de clause : « Le présent accord entre en vigueur à la date de sa signature et demeure applicable pendant une durée de [deux (2) ans / durée à adapter]. Les obligations de non-divulgation et de non-usage stipulées à l’article [X] demeurent intégralement en vigueur pendant une période de [cinq (5) ans] à compter de la date de la première communication d’Informations Confidentielles, sans que cette durée ne puisse être qualifiée d’engagement perpétuel au sens de l’article 1210 du code civil. Passé ce délai, et si les parties ont souhaité porter la durée au-delà, elles devront y consentir par avenant écrit signé des deux parties. »

Point de vigilance : le calibrage de la durée post-contractuelle doit être discuté avec attention dans les contextes de communication de savoir-faire technique. Si aucune durée n’est fixée pour un contrat qui prévoit le versement de redevances en échange de la communication d’informations, le destinataire pourrait, à tout moment, résilier le contrat unilatéralement avec un préavis raisonnable tout en continuant à exploiter les informations reçues. Prévoir une durée déterminée longue protège efficacement contre ce risque.

4. La clause de restitution des informations confidentielles

Deux questions distinctes mais complémentaires doivent être réglées en fin d’accord : que devient le sort matériel des informations (documents, fichiers, copies, etc.) et à qui appartiennent-elles pendant et après la relation contractuelle ?

Sur la restitution ou la destruction, l’accord doit prévoir qu’à l’issue de la période contractuelle ou à la demande du communicant, le destinataire est tenu soit de restituer tous les supports contenant des informations confidentielles, soit de les détruire de manière certifiée.

Cette certification (souvent formalisée par un courrier ou un courriel de confirmation) remplit deux fonctions : elle matérialise la clôture de la relation et elle allège le risque d’une conservation indue, intentionnelle ou par simple négligence.

Dans les contextes impliquant des données personnelles, cette clause s’articule directement avec les exigences de l’article 28 du RGPD relatif au sort des données en fin de traitement par le sous-traitant.

Sur la propriété des informations, le principe est simple mais il doit être énoncé clairement : la communication d’informations confidentielles ne confère au destinataire aucun droit de propriété sur celles-ci, aucune licence d’exploitation et aucun droit de les intégrer dans ses propres travaux ou productions.

Le communicant reste titulaire de l’intégralité de ses droits. Cette précision est particulièrement importante lorsque les informations communiquées incluent des données techniques ou des résultats de recherche susceptibles de donner lieu à des droits de propriété intellectuelle : sans cette clause, un destinataire ingénieux pourrait soutenir que l’accord lui a implicitement accordé une licence d’utilisation.

Exemple de clause : « Les Informations Confidentielles demeurent à tout moment la propriété exclusive du communicant. Leur communication au titre du présent accord ne confère à la partie destinataire aucun droit de propriété, aucune licence d’utilisation ou d’exploitation, aucun droit de déposer un brevet ou d’enregistrer un droit de propriété intellectuelle sur leur fondement. À l’expiration du présent accord ou à la demande écrite du communicant, la partie destinataire s’engage à restituer sans délai l’ensemble des supports contenant des Informations Confidentielles, en quelque forme que ce soit, ou à en certifier la destruction par écrit dans un délai de [dix (10) jours ouvrés]. Cette obligation de restitution ou de destruction s’applique à toutes les copies réalisées par la partie destinataire et par les personnes auxquelles elle a légitimement donné accès aux Informations Confidentielles. »

Point de vigilance : dans les contextes numériques, la restitution ou la destruction des informations est plus complexe qu’il n’y paraît. Les fichiers partagés via des plateformes collaboratives, les courriels archivés automatiquement, les sauvegardes de serveurs : tout cela peut contenir des copies des informations confidentielles dont le destinataire n’a pas immédiatement conscience. Prévoyez une procédure de destruction incluant les systèmes de sauvegarde, et précisez que la certification couvre les copies électroniques.

5. La clause de sanctions du NDA

Un NDA sans mécanisme de sanction crédible est un document de bonne conscience, pas un outil juridique efficace. La clause de sanctions doit remplir une double fonction : dissuasive, en rendant la violation coûteuse avant qu’elle ne se produise ; réparatrice, en facilitant l’indemnisation de la partie lésée sans lui imposer de rapporter des preuves difficiles à réunir.

La clause pénale est l’instrument de choix pour la fonction dissuasive. Elle fixe forfaitairement le montant dû en cas de violation avérée, sans que la partie lésée ait à chiffrer son préjudice effectif : ce qui est presque toujours délicat dans les litiges de confidentialité.

Le montant doit être calibré pour être réellement dissuasif : une pénalité symbolique n’incitera pas le destinataire à prendre les précautions nécessaires. Les juges disposent toutefois d’un pouvoir de modération prévu à l’article 1231-5 du code civil : ils peuvent réduire une pénalité manifestement disproportionnée ou augmenter une pénalité dérisoire.

Ce pouvoir invite à viser un montant sérieux mais raisonnable, documenté si possible par une estimation des conséquences économiques d’une divulgation.

Exemple de clause : « Toute violation avérée des obligations stipulées aux articles [X] et [Y] du présent accord expose la partie défaillante au paiement d’une indemnité forfaitaire de [montant] euros par violation constatée, sans préjudice du droit de la partie lésée de réclamer la réparation de tout préjudice supplémentaire dûment justifié. Cette indemnité forfaitaire constitue une clause pénale au sens de l’article 1231-5 du code civil. »

Point de vigilance : dans les situations où la violation de la confidentialité cause un préjudice irrémédiable (par exemple la divulgation d’un secret industriel à un concurrent à la veille d’un lancement) les dommages-intérêts post-violation ne suffisent pas. Prévoyez dans l’accord une clause reconnaissant expressément que la violation est susceptible de causer un préjudice irréparable autorisant la partie lésée à solliciter des mesures provisoires ou conservatoires devant le juge des référés sans avoir à démontrer l’urgence au-delà de la violation elle-même.

L’accord de confidentialité n’est pas un document standard. Il est le reflet de la nature des informations communiquées, de la durée envisagée de la relation, de la symétrie ou de l’asymétrie de la relation entre les parties. Les cinq clauses présentées ici forment le socle minimal d’un NDA opérationnel ; elles doivent être complétées, selon les situations, par une clause intuitu personae encadrant les hypothèses de changement de contrôle ou de cession du contrat (en articulation avec les articles 1216 et suivants du code civil) et par un accord de confidentialité (ou « DPA ») si les informations communiquées incluent des données à caractère personnel.

Les exemples de clauses proposés dans cet article ont une vocation pédagogique et ne constituent pas un conseil juridique. Ils doivent être adaptés aux caractéristiques spécifiques de chaque relation contractuelle avant toute utilisation. Si vous avez besoin d’assistance pour relire votre proposition d’accord de confidentialité, de NDA, le modifier ou le rédiger intégralement, vous pouvez m’adresser votre demande ou réserver un entretien en cliquant ici.