NDA et accord de confidentialité : quand et comment les utiliser

Un NDA (Non-Disclosure Agreement), ou accord de confidentialité, sécurise vos échanges sensibles avec partenaires, investisseurs, sous-traitants ou candidats. En France, il complète l’obligation de confidentialité précontractuelle déjà prévue par l’article 1112-2 du Code civil (accessible sur Legifrance) et s’articule avec la protection du secret des affaires issue de la directive (UE) 2016/943 (EUR-Lex) transposée par la loi n° 2018-670 du 30 juillet 2018.

1) NDA : définition et cadre légal utile

Un NDA est un contrat par lequel une ou plusieurs parties s’engagent à ne pas divulguer des informations identifiées comme confidentielles et à ne les utiliser que pour une finalité déterminée. Il vise notamment les secrets d’affaires (informations ayant une valeur commerciale, raisonnablement protégées, non généralement connues), cadre harmonisé en Europe par la directive 2016/943 (EUR-Lex) et sa transposition en France (Legifrance). L’INPI propose une fiche pratique rappelant les réflexes contractuels clés.

À noter : depuis la loi n° 2026-122 du 23 février 2026, les consultations des juristes d’entreprise bénéficient d’une confidentialité légale renforcée. Un NDA reste néanmoins utile pour couvrir les autres informations business échangées avec des partenaires externes.

2) Quand utiliser un NDA ? 8 cas concrets

• Avant un POC/partenariat technologique (spécifications, roadmap, prix de transfert).
• Co‑développements R&D et échanges de savoir‑faire (formules, datasets, prototypes). Voir mise en garde pratique en R&D par Regimbeau (analyse).
• Teasers investisseur / due diligence et data room; l’accord encadre les accès et l’usage. À organiser de concert avec votre data room juridique.
• M&A, cession de clientèle (KPIs, contrats clients, marges, dettes).
• Appels d’offres (méthodologies, prix, architecture cloud).
• Recrutement de profils sensibles (C‑levels, R&D) avant remise d’informations stratégiques.
• Prestations, infogérance et sous‑traitance (accès systèmes/données). À coupler avec un contrat de prestation de services et, si besoin, un contrat de sous‑traitance.
• Démonstrations SaaS privées intégrant des secrets techniques; pensez à aligner avec vos CGV SaaS et licences.

Bon à savoir : nombre d’investisseurs refusent les NDA au tout premier contact. Partagez alors uniquement des informations non sensibles et reportez les éléments critiques post‑term sheet sous NDA.

3) Unilatéral, bilatéral ou multilatéral ?

• Unilatéral : utile quand une seule partie divulgue (p. ex., pitch à un industriel).
• Bilatéral : standard quand les deux parties échangent.
• Multilatéral : projets collaboratifs (consortium, appels à projets) pour éviter des chaînes de NDAs incompatibles.

4) Clauses essentielles et points de négociation

4.1 Définition des « Informations confidentielles »

• Définissez précisément (technique, commercial, financier, juridique, code source, données d’entraînement IA) et excluez ce qui est public, déjà connu sans violation, développé indépendamment, ou reçu légitimement d’un tiers.
• Formalisme : marquage « Confidentiel » ou email de confirmation sous 5 à 10 jours pour les échanges oraux. Bonnes pratiques rappelées par l’INPI.
• Reverse engineering : la directive 2016/943 autorise l’observation/étude d’un produit obtenu licitement, sauf clause contractuelle contraire (EUR-Lex). Prévoyez une interdiction si nécessaire.

4.2 Finalité et « need‑to‑know »

• Limitez l’usage à une finalité précise (évaluer un partenariat X).
• Partage autorisé seulement aux personnes strictement nécessaires (salariés, sous‑traitants, conseils), soumises à une obligation équivalente.
• Les consultations de juristes d’entreprise bénéficient d’une confidentialité légale (loi 2026‑122, Legifrance) sans dispenser d’un NDA pour le reste des échanges.

4.3 Obligations de sécurité et standard de diligence

• Mesures raisonnables: contrôle d’accès, chiffrement, DLP, journalisation. Le secret des affaires exige des mesures de protection « raisonnables » (EUR-Lex).
• Obligation de non‑divulgation souvent analysée comme obligation de résultat; facilitez la preuve via marquage et traçabilité (mise en garde R&D : Regimbeau).

4.4 Durée

• Usage courant : 3 à 5 ans après la fin des discussions.
• Pour un secret technique, la protection peut durer tant que l’information reste un secret d’affaires (proportionnée). Des repères utiles figurent sur Service Public Pro et Economie.gouv.fr.

4.5 Droit applicable, juridiction et référé

• Choisissez un droit applicable et une juridiction compétente adaptés au lieu d’exécution/preuve. Pour approfondir, voyez notre guide sur la clause attributive de compétence.
• En cas d’urgence (fuite), sollicitez des mesures en référé (injonction, astreinte) via les procédures d’urgence décrites sur Justice.fr.

4.6 Sanctions et preuve

• Prévoyez une clause pénale (dommages‑intérêts forfaitaires révisables par le juge, art. 1231‑5 C. civ., Legifrance), sans exclure l’indemnisation complémentaire si justifiée.
• Ajoutez un droit à l’injonction et à la remise/déstruction des supports, assorti d’un certificat.
• Organisez la preuve: marquage, registres d’accès, accusés de réception, watermarks.

5) RGPD : ce que le NDA ne couvre pas

Un NDA ne remplace pas un accord de traitement de données (DPA) au sens du RGPD. Si des données personnelles sont partagées, encadrez les rôles (responsable/sous‑traitant), finalités et mesures de sécurité selon les lignes directrices de la CNIL. Limitez les données, privilégiez l’anonymisation, restreignez l’accès et fixez des durées de conservation claires.

6) Processus opérationnel : la check‑list avant tout partage

• Choisir le bon format (unilatéral/bilatéral) et signer avant tout envoi.
• Versionner votre modèle; prévoir la gestion des annexes et la liste des personnes autorisées.
• Limiter l’accès au « need‑to‑know »; utiliser une data room avec droits granulaires et traçabilité; coordonner avec vos conditions de licence/accès.
• Marquer tous les documents « Confidentiel » et confirmer par écrit les échanges oraux.
• Chaîner l’obligation aux sous‑traitants et conseils; reflétez‑la dans votre contrat de prestation et vos contrats de sous‑traitance.
• Prévoir la sortie (restitution/destruction, audit limité) et une clause pénale crédible.
• Former les équipes aux règles de partage et à la gestion des informations sensibles (références pratiques sur Economie.gouv.fr et Service Public Pro).

7) Exemples de clauses (à adapter)

• Définition : « Informations Confidentielles » désigne toute information non publique, quel qu’en soit le support, relative notamment aux produits, services, savoir‑faire, données techniques et commerciales, marquée « Confidentiel » ou dont la nature impose la confidentialité.
• Usage autorisé : La Partie Réceptrice n’utilisera les Informations Confidentielles qu’aux fins d’évaluer [le Projet] et les divulguera uniquement aux personnes ayant besoin d’en connaître, soumises à une obligation équivalente.
• Interdictions : Sauf disposition légale impérative, la Partie Réceptrice s’abstient de toute ingénierie inverse, décompilation, test ou analyse en dehors du cadre autorisé.
• Durée : Les obligations de confidentialité s’appliquent pendant [X] années à compter de la cessation des discussions; pour les secrets d’affaires, aussi longtemps qu’ils conservent ce statut.
• Sanctions : Toute violation fera l’objet d’une pénalité forfaitaire de [montant] € (art. 1231‑5 C. civ.) sans préjudice du droit d’obtenir toute mesure d’injonction et la réparation intégrale du préjudice.

8) Erreurs fréquentes à éviter

• Définition trop vague ou « tout ce qui est échangé » sans exceptions : risque d’inopposabilité.
• Oublier les exceptions légales (information publique, déjà connue, développée indépendamment, injonction judiciaire).
• Absence de chaînage aux sous‑traitants/conseils : faille de sécurité contractuelle.
• Durée irréaliste pour des infos commerciales périssables; ajustez selon la nature.
• Mélanger NDA avec exclusivité, non‑concurrence ou non‑sollicitation sans discussion spécifique.
• Omettre droit applicable/juridiction, source d’incertitude procédurale; voir notre focus sur la clause de compétence.

FAQ rapide

Quelle durée choisir ? 3 à 5 ans pour la plupart des informations; potentiellement plus pour des secrets techniques tant qu’ils restent protégés de façon raisonnable.

Un NDA couvre‑t‑il les données personnelles ? Non. Il faut un cadre RGPD distinct (DPA, sécurité, base légale) selon la CNIL.

Le NDA suffit‑il pour un projet R&D ? Il est nécessaire mais doit être précis (périmètre, usage, reverse engineering). Voir l’analyse R&D de Regimbeau.

Que faire en cas de fuite ? Activer les clauses d’urgence (injonction, cessation), mobiliser le référé (voir Justice.fr), chiffrer le préjudice et faire jouer la clause pénale.

Et avec un investisseur qui refuse le NDA ? Ne divulguez que des informations non sensibles et décalez le détail post‑term sheet sous NDA; organisez une data room à accès limité.

Pour sécuriser vos négociations et éviter les angles morts de responsabilité, voyez aussi nos analyses sur la clause de limitation de responsabilité et les contrats de prestation.