En l'état actuel de la législation française, aucun dispositif spécifique n'est prévu pour protéger le secret de l'entreprise et réprimer l'espionnage industriel.

Il convient donc de se reporter aux dispositions prévues dans différents codes.

Ainsi, le Code de la Propriété Intellectuelle prévoit des sanctions en cas de contrefaçon des droits d'auteur  (Art. L335-2).

En droit social, le contrat de travail peut prévoir une clause de confidentialité et / ou une clause de non-concurrence.

En matière pénale, plusieurs délits sont susceptibles de protéger le secret de l'entreprise:

- l'article 311-1 du Code pénal réprimant le vol, incluant notamment le vol de matériel de l'entreprise;

- l'article 314-1 du Code pénal réprimant l'abus de biens sociaux vise la protection de l'intérêt de l'entreprise;

- l'article 226-13 du Code pénal: violation du secret professionnel par une personne dépositaire;

- l'article 445-1 et 2 du Code pénal: le délit de corruption permet de réprimer le fait de communiquer des informations afin de faciliter l'activité des concurrents.

Concernant le contre-espionnage industriel, la faute commise par un usurpateur, la concurrence déloyale ou encore la captation du savoir faire d'autrui entrent dans le champ d'application de l'article 1240 du Code civil sur la responsabilité de droit commun (ancien article 1382).

Dans le domaine médical, l'article L1110-4 du Code de la santé publique prévoit les conditions de partage d'informations entre professionnels de santé ou entre professionnels de santé et non professionnels.

Une peine de un an d'emprisonnement et une peine de 15000 € d'amende sont encourues.

Le stockage de données de santé à caractère personnel ainsi que leur transmission par voie dématérialisée sont prévus par l'article L1110-4-1 du Code de la santé publique.

Néanmoins, le système de protection des données actuel semble insuffisant.

Ainsi, la société Comunity Health System qui gère plus d'une centaine d'hôpitaux américains, a subi un vol en 2014 de données de 4,5 millions de patients.

Les vols de fichiers de patients ne sont en principe pas couverts par les assurances.

Or, il est clair que les données de santé ont acquis une valeur marchande.

C'est dans ce contexte qu'un règlement européen relatif à la protection des données a été adopté le 27 avril 2016 et entrera en application en 2018.

Ce Règlement prévoit essentiellement:

            - la création d'un droit à la portabilité des données personnelles;

            - de responsabiliser les acteurs traitant des données: les responsables de traitement et          les sous traitants;

            - de renforcer la protection en matière de transfert des données vers des pays tiers ou         des organisations internationales.

Désormais, la CNIL aura la faculté de notifier des décisions aux entreprises ayant leur établissement principal en France.

Ces décisions pourront être contestées devant le Conseil d'Etat.

En outre, le consentement de la personne doit être matériellement vérifiable et sans ambigüité.

Pour la première fois, la législation européenne prévoit des dispositions spécifiques pour les mineurs de moins de 16 ans.

Ainsi, l'information sur le traitement des données doit être retranscrite en des termes clairs que le mineur peut aisément comprendre.

Le consentement du mineur doit être requis auprès du titulaire de l'autorité parentale.

De manière générale, un allègement des formalités administratives est prévu.

Toutefois, en matière de santé notamment, le régime d'autorisation perdure.

Ainsi, la suppression des obligations déclaratives ne sera applicable que dans les cas où les données collectées n'auront pas d'impact sur la vie privée.

En cas de traitement de données dites "sensibles" (ex. données génétiques, biométriques, concernant la santé, origine ethnique, opinion politique...), l'autorité de protection des données devra être consultée.

Un délégué à la protection des données devra obligatoirement être nommé par les responsables de traitement et les sous-traitants dans les cas suivants:

- s'ils appartiennent au secteur public,

- si leurs activités les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle,

- si leurs activités les amènent à traiter des données "sensibles" ou relatives à des condamnations pénales ou infractions.

Des sanctions comme un simple avertissement ou l'effacement des données sont prévues ainsi que des amendes administratives pouvant s'élever de 2 à 4% du chiffre d'affaires annuel mondial.

Compte tenu des risques actuels, il apparait opportun a fortiori au sein des établissements de santé, que la fonction de sécurité soit désormais attribuée à un poste distinct.