Un employé a volé le code source de ma startup : quels recours

Résumé opérationnel (à faire dans les 48 h)

• Sécuriser les preuves: geler les accès (SSO, Git, CI/CD), conserver les logs, lancer un constat par commissaire de justice, cloner et horodater les dépôts.
• Mesures d’urgence: mise à pied conservatoire, retrait des droits d’accès, récupération des matériels et clés d’API.
• Juridique immédiat: lettre de mise en demeure avec injonction de restitution/suppression, saisine en référé pour faire cesser l’usage et obtenir une interdiction sous astreinte; dépôt d’une plainte pénale.
• Qualification des faits: activer cumulativement droit d’auteur logiciel, secret des affaires, infractions pénales (abus de confiance, accès frauduleux), et concurrence déloyale.
• RGPD: si des données perso sont en jeu, enclencher la procédure de notification des violations sous 72 h.

Les autorités et textes utiles: Code de la propriété intellectuelle et Code pénal (Legifrance), Directive (UE) 2016/943 sur les secrets d’affaires (EUR-Lex), CNIL – violations de données, Justice.fr – porter plainte et référé, Service Public Pro, INPI – preuves de création, DGSI – risques cyber/logiciels.

1) Les fondements juridiques à mobiliser

Droit d’auteur logiciel et contrefaçon

Le code source est protégé de plein droit comme œuvre logicielle (art. L.112‑2 CPI). Les droits patrimoniaux sur un logiciel créé par un salarié dans l’exercice de ses fonctions appartiennent à l’employeur (art. L.113‑9 CPI), ce qui permet d’agir contre l’utilisation, la copie ou la diffusion non autorisée du code par l’ex‑employé ou un tiers. La contrefaçon est civile (dommages‑intérêts, cessation, destruction des copies) et pénale (art. L.335‑2 CPI) (Legifrance). Pour les éléments techniques, la saisie‑contrefaçon est l’outil de preuve et de blocage de référence en urgence sous contrôle du juge.

Secret des affaires

La loi n° 2018‑670 transposant la Directive (UE) 2016/943 protège les informations à valeur économique gardées secrètes car ayant fait l’objet de mesures raisonnables de confidentialité (art. L.151‑1 s. C. com.). L’acquisition, l’utilisation ou la divulgation illicites peuvent être interdites et sanctionnées civilement (injonctions, astreintes, dommages‑intérêts) (EUR‑Lex – Directive 2016/943) et (Legifrance – Code de commerce).

Infractions pénales susceptibles d’être retenues

• Abus de confiance (art. 314‑1 C. pén.): détournement d’un bien confié, souvent admis pour des données extraites contrairement aux instructions (Legifrance).
• Accès et maintien frauduleux dans un SI, extraction, reproduction, transmission de données (art. 323‑1 à 323‑3 C. pén.) en cas de copie de dépôts Git, S3, etc. (Legifrance).
• Révélation d’un secret de fabrique par un salarié (art. L.1227‑1 C. trav.) lorsque le code incorpore un savoir‑faire industriel (Legifrance).

Pratique: la qualification n’est pas exclusive. On cumule souvent contrefaçon, secret des affaires et une ou plusieurs infractions informatiques. Voir aussi l’analyse spécialisée sur le vol de code source et ses qualifications pénales.

Concurrence déloyale et manquements contractuels

Indépendamment des textes spéciaux, l’ex‑salarié ou son nouvel employeur peuvent engager leur responsabilité délictuelle pour concurrence déloyale (détournement de fichiers, désorganisation) sur le fondement de l’art. 1240 C. civ. Un NDA, une clause de confidentialité ou de non‑concurrence renforcent encore vos leviers. Pour structurer ces aspects côté contrats, voyez nos conseils sur l’accord de confidentialité et sur la non‑concurrence/non‑sollicitation en startup tech. Pour la stratégie contentieuse, notre guide agir en concurrence déloyale et parasitisme détaille les preuves et demandes chiffrées.

2) Procédures: pénal, civil et référé d’urgence

Plainte pénale

Déposez sans délai une plainte pour abus de confiance et infractions informatiques auprès du procureur ou d’un service d’enquête. Les informations pratiques figurent sur Justice.fr (porter plainte, constitution de partie civile). L’enquête pénale permet perquisitions, saisies et auditions, utiles pour identifier les complices et les supports utilisés.

Référé civil et mesures conservatoires

En parallèle, saisissez le juge des référés pour obtenir: interdiction d’usage et de divulgation du code, suppression des copies sous contrôle d’huissier (commissaire de justice), blocage de dépôts, remise des supports, astreinte et éventuelle désignation d’un expert. Les pas‑à‑pas sur les démarches d’entreprise figurent sur Service Public Pro et l’accès au tribunal sur Justice.fr. En matière de contrefaçon, une saisie‑contrefaçon peut être autorisée pour collecter la preuve et geler la situation.

Juridiction et délais

• Compétence: Tribunal judiciaire (pôles spécialisés PI) pour contrefaçon/secret des affaires; le tribunal de commerce peut connaître des actes de concurrence déloyale entre entreprises.
• Délais: en civil PI, l’action en contrefaçon se prescrit en principe dans un délai de 5 ans à compter de la connaissance des faits; en pénal, les délits se prescrivent en principe par 6 ans (Legifrance). Ne tardez pas: les éléments techniques se volatilisent vite.

3) Preuves: ce qu’il faut collecter et comment

• Journaux et traces: exports des logs d’accès (SSO, VPN, Git, cloud), journaux CI/CD, alertes DLP/EDR, emails internes. Verrouillez l’horodatage.
• Constat de commissaire de justice: captures certifiées des dépôts, messageries, espaces cloud et supports restitués. Le constat est clé pour le juge des référés.
• Hash, versions et comparatifs: calculez les empreintes (hash) des versions, dressez un tableau de correspondances (commits, branches, auteurs), isolez les snippets identiques.
• Dépôt de preuve: déposez le code ou ses empreintes chez un tiers de confiance (INPI, solutions d’archivage probant/escrow). Voir les options et bonnes pratiques sur l’INPI et l’article pratique propriété intellectuelle du code source.
• Hygiène cyber: la DGSI liste les risques liés au défaut de protection des logiciels industriels — chiffrement, contrôle d’accès, revue des politiques (DGSI).

Pour un cadre de protection continue (droit d’auteur, documentation, traçabilité), consultez notre guide protéger le code source d’une startup.

4) Dimension RH: discipline et séparation

• Entretien préalable et mise à pied conservatoire si nécessaire.
• Faute grave souvent caractérisée en cas d’extraction et d’usage illicites.
• Restitution des matériels, badges, clés d’API; certificat de purge des copies.
• Rappels contractuels: clauses de confidentialité, propriété intellectuelle, et éventuelle non‑concurrence. Voir notre guide sur les clauses de non‑concurrence.

5) RGPD: si des données personnelles ont « voyagé » avec le code

Si des données personnelles (comptes tests, jeux de données) ont été copiées, vous devez évaluer le risque et, le cas échéant, notifier la CNIL sous 72 h et informer les personnes concernées. La procédure détaillée figure sur le site de la CNIL. Pour encadrer vos transferts et sous‑traitants, appuyez‑vous sur notre guide DPA (accords de traitement).

6) Stratégie contentieuse: chiffrer et obtenir

• En référé: interdiction immédiate, suppression des copies, astreinte, séquestre des supports, désignation d’un expert.
• Au fond: dommages‑intérêts (coût de R&D, perte d’opportunités, atteinte à l’image), publication judiciaire, remise des profits indus (mesure inspirée des textes PI/secret des affaires).
• Vis‑à‑vis du nouvel employeur: action conjointe pour complicité de contrefaçon, secret des affaires et concurrence déloyale.

Jurisprudence et pratique admettent la pluralité des fondements lorsque les faits l’exigent. Un rappel utile sur les incriminations est proposé par Lexing.

7) Prévenir la récidive: 10 mesures à déployer

1. Clauses contractuelles béton (PI, confidentialité, retour des éléments, concurrence): voir quand et comment utiliser un NDA.
2. Politiques internes (sécurité, classification, need‑to‑know, BYOD, sortie d’employés).
3. Contrôle des accès (SSO, MFA, PAM), journaux et DLP.
4. Revue open source et licences; contrats de licence de logiciel.
5. Escrow/dépôt probant (INPI, solutions spécialisées) et empreintes cryptographiques.
6. Traçabilité DevOps (owners par repo, revues de code obligatoires, politiques de merge).
7. Environnements cloisonnés et données anonymisées pour les jeux de test (RGPD).
8. Process offboarding (checklist des accès, récupération des secrets, rotations).
9. Formation continue sur PI/secret des affaires; supports CNIL et DGSI.
10. Plan de réponse à incident juridique + IT.

Modèle de mise en demeure (points clés)

Dans votre courrier, exigez: (i) la cessation immédiate de tout usage du code; (ii) la restitution des supports et la purge certifiée des copies; (iii) la transmission sous 24 h d’une liste des destinataires et des transferts; (iv) la confirmation écrite sous serment; (v) à défaut, saisine du juge des référés et plainte pénale.

FAQ rapide

Peut‑on agir si l’ex‑salarié n’a pas encore commercialisé le code ?

Oui. L’acquisition ou la tentative d’usage illicite d’un secret des affaires peut déjà être interdite; la contrefaçon couvre la reproduction non autorisée. Le référé prévient le dommage.

Et si le code est réécrit « from scratch » chez un concurrent ?

La similitude substantielle et les traces de copie (structures, bugs, commentaires) suffisent pour la contrefaçon. À défaut, l’appropriation du savoir‑faire peut tomber sous le secret des affaires et la concurrence déloyale.

Dois‑je signaler à la CNIL ?

Seulement si des données personnelles ont été concernées (ex: base clients intégrée au repo). Suivez la procédure CNIL en 72 h ici.

Combien de temps pour agir ?

Agissez immédiatement. À titre indicatif, l’action civile en contrefaçon est en principe de 5 ans (connaissance des faits) et les délits se prescrivent en principe par 6 ans (Legifrance).

Dois‑je négocier un accord ?

Une transaction est possible (restitution, engagements, indemnité). Veillez à geler d’abord la situation par référé et à sécuriser les preuves avant toute discussion.

Références utiles: Legifrance (CPI, C. pénal, C. com., C. trav.), Directive (UE) 2016/943, CNIL, Justice.fr, Service Public Pro, INPI, DGSI, Vaultinum, Lexing.