Un accord de confidentialité (NDA) — également désigné en espagnol sous le terme d'acuerdo de confidencialidad — est l'instrument juridique par lequel une ou plusieurs parties s'engagent à ne pas divulguer les informations qui leur sont confiées dans le cadre d'une relation commerciale, d'une négociation ou d'une collaboration. En Espagne, son efficacité juridique repose sur deux piliers : le régime général du droit des contrats prévu par le Code civil (articles 1254 à 1258) et, depuis mars 2019, le régime spécifique de la Ley 1/2019 du 20 février relative aux secrets d'affaires.
Le cadre juridique : Ley 1/2019 sur les secrets d’affaires
La Ley 1/2019 transpose la directive européenne 2016/943 relative à la protection des savoir-faire non divulgués et des informations commerciales. Avant cette loi, la protection des secrets d’affaires passait principalement par la loi sur la concurrence déloyale et le Code pénal (articles 278 à 280, qui incriminent la découverte et la divulgation de secrets d’affaires avec des peines d’emprisonnement pouvant aller jusqu’à quatre ans).
La Ley 1/2019 établit trois conditions cumulatives pour qu’une information puisse bénéficier de la protection en tant que secret d’affaires : elle doit être secrète (ni publiquement connue ni facilement accessible), elle doit avoir une valeur commerciale du fait de son caractère secret, et elle doit avoir fait l’objet de mesures raisonnables de la part de la personne qui la contrôle pour la maintenir secrète. Un NDA constitue précisément l’une de ces mesures raisonnables — son existence atteste que le titulaire a pris des précautions actives pour préserver la confidentialité.
La loi élargit également les recours dont dispose le titulaire : actions civiles en cessation du comportement illicite, suppression des conséquences, dommages et intérêts, attribution de la propriété des biens contrefaisants et publication du jugement. Les mesures provisoires — en particulier l’injonction provisoire contre l’utilisation ou la divulgation — revêtent une importance particulière dans les opérations de M&A ou les contrats de licence, où une fuite d’informations peut avoir des conséquences irréversibles.
Types de NDA : unilatéral et réciproque
Un NDA unilatéral n’engage qu’une seule partie à maintenir la confidentialité. Il s’agit du modèle standard lorsqu’une partie (la partie divulgatrice) partage des informations avec un investisseur potentiel, un acquéreur ou un fournisseur (la partie réceptrice) sans échange réciproque d’informations confidentielles. Sa simplicité constitue un avantage ; l’inconvénient est que la partie réceptrice peut le percevoir comme l’expression d’un déséquilibre dans la négociation.
Un NDA réciproque ou bilatéral engage les deux parties dans des conditions équivalentes. Il s’agit du modèle approprié pour les coentreprises, les alliances stratégiques, les négociations de collaboration technologique, ou tout processus dans lequel les deux parties divulguent des informations sensibles. Bien que sa rédaction soit plus complexe — les définitions et exclusions devant être soigneusement calibrées pour les deux sens du flux d’informations —, il offre une meilleure protection mutuelle et est généralement exigé par la partie disposant du plus grand pouvoir de négociation.
Clauses essentielles d’un NDA exécutoire
Un NDA générique téléchargé sur internet a une valeur juridique limitée s’il ne capture pas avec précision les éléments qui définissent son champ d’application. Les clauses indispensables sont les suivantes :
Définition de l’information confidentielle. Celle-ci doit être suffisamment large pour couvrir toutes les informations pertinentes — techniques, commerciales, financières, stratégiques — mais pas si générique qu’elle devienne juridiquement inexploitable. Dans les opérations de M&A, la pratique standard consiste à traiter comme confidentielle toute information divulguée dans le cadre du processus, avec des exceptions expresses pour les informations déjà dans le domaine public avant la divulgation, les informations préalablement connues du destinataire, et les informations développées de manière indépendante par le destinataire sans utilisation des informations divulguées.
Obligations de la partie réceptrice. Celles-ci doivent préciser : le devoir de ne pas divulguer à des tiers non autorisés ; le devoir d’utiliser l’information uniquement aux fins convenues (limitation de finalité) ; le devoir d’appliquer des mesures de sécurité équivalentes à celles utilisées pour les propres informations confidentielles de la partie ; et la liste des personnes autorisées à accéder à l’information selon le principe du besoin d’en connaître.
Durée. La durée de l’obligation de confidentialité doit être distinguée de la durée du contrat sous-jacent. En Espagne, une durée de deux à cinq ans est habituelle pour les informations commerciales ; des périodes plus longues — voire des obligations à durée indéterminée tant que l’information conserve son caractère secret — sont appropriées pour les secrets techniques ou le savoir-faire. Une limitation temporelle excessivement indéterminée peut être contestée devant les tribunaux, bien que la Ley 1/2019 ne fixe pas de durée maximale expresse.
Droit applicable et juridiction. Dans les contrats transfrontaliers, il est essentiel de préciser le droit applicable (en vertu du règlement Rome I) et la juridiction compétente ou l’institution d’arbitrage. L’omission de cette clause dans des contrats avec des parties étrangères peut entraîner des procédures coûteuses pour déterminer le droit applicable avant même que le fond du litige ne soit abordé.
Conséquences de la violation. L’inclusion d’une clause de dommages et intérêts forfaitaires — fixant une indemnité convenue à l’avance en cas de violation — facilite considérablement les actions en justice, car elle supprime la charge de prouver un préjudice spécifique. En vertu de l’article 1154 du Code civil, les tribunaux peuvent modérer la pénalité convenue lorsque l’obligation principale a été partiellement exécutée ; il est donc conseillé de rédiger la clause de manière spécifique pour chaque type de scénario de violation.
Les NDA dans les opérations de M&A
Dans les fusions et acquisitions, le NDA — également appelé accord de confidentialité — est le premier document que les parties signent, avant même la lettre d’intention (LOI). Sa fonction dans ce contexte est spécifique : protéger les informations contenues dans la data room, les projections financières, le portefeuille clients, les contrats fournisseurs et toute autre information sensible que le vendeur divulgue pour permettre l’audit de due diligence de l’acquéreur.
Une pratique courante en M&A consiste à inclure dans le NDA une clause de standstill, interdisant au destinataire — pendant une période déterminée — d’acquérir des actions de la société cible ou de lancer une offre publique d’achat sans le consentement du conseil d’administration du vendeur. Cette clause, d’origine anglo-saxonne, est pleinement valide en droit espagnol, bien que son caractère exécutoire doive être analysé au regard de la loi sur le marché des valeurs mobilières et de la réglementation des OPA (Real Decreto 1066/2007).
Une autre clause spécifique au M&A est la restriction d’utilisation des informations divulguées pour approcher directement les clients, employés ou fournisseurs de la cible à des fins commerciales propres au destinataire — une disposition dite « anti-contournement » qui se distingue de l’obligation de confidentialité de base et la complète.
Interaction entre NDA et RGPD
Lorsque les informations confidentielles incluent des données à caractère personnel, le NDA doit être coordonné avec les obligations découlant du règlement (UE) 2016/679 (RGPD) et de la Ley Orgánica 3/2018 (LOPD-GDD). La divulgation de données à caractère personnel dans le cadre d’un processus de due diligence peut nécessiter la conclusion d’un contrat de sous-traitance (article 28 du RGPD) ou, le cas échéant, d’un accord de responsabilité conjointe (article 26 du RGPD), indépendamment du NDA.
Une violation du RGPD dans ce contexte peut engendrer, en plus de la responsabilité contractuelle au titre du NDA, des amendes administratives pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial en vertu de l’article 83 du RGPD. Les entreprises qui considèrent un NDA comme une protection suffisante pour les données à caractère personnel partagées dans le cadre d’une transaction sans traiter par ailleurs la conformité au RGPD s’exposent sur deux fronts juridiques distincts.
L’exécution d’un NDA devant les tribunaux espagnols
Le caractère exécutoire d’un NDA devant les tribunaux espagnols dépend substantiellement de la précision de sa rédaction. Les tribunaux ont refusé d’exécuter des clauses de confidentialité lorsque : la définition de l’information confidentielle était si large qu’elle contrevenait aux principes de bonne foi ; la durée post-contractuelle était indéfinie dans un contexte de droit du travail où le Tribunal Supremo limite les clauses de non-divulgation ; ou lorsqu’aucune contrepartie identifiable n’existait quand le NDA avait été signé de manière isolée sans transaction sous-jacente.
Pour une exécution optimale, le NDA doit être précis dans la définition de l’information protégée, raisonnable dans sa durée, lié à une relation commerciale identifiable, et doit expressément reconnaître le droit du titulaire de solliciter des mesures provisoires en vertu de l’article 23 de la Ley 1/2019.
Chez BMC, notre équipe de droit commercial rédige et révise des NDA adaptés à chaque contexte — opérations de M&A, collaborations commerciales, accords technologiques, levées de fonds pour startups — en garantissant leur pleine exécution en droit espagnol et européen. Découvrez nos services en droit commercial.
