Nouvel épisode dans la saga qui a démarré il y a plusieurs années à propos du vol de la propriété intellectuelle de Motorola par des employés avant leur départ de l’entreprise. Le 7 février dernier, le ministère américain de la Justice (DOJ) a annoncé la levée des scellés sur un acte accusant l’entreprise de télécommunications chinoise Hytera Communications d'avoir conspiré avec d'anciens employés de Motorola Solutions pour « voler la technologie de radio mobile numérique (DMR) de Motorola ». Même si l'acte d'accusation du DOJ ne mentionne pas le nom des employés visés par la plainte, l’historique du litige civil entre Motorola et Hytera fournit quelques indices sur leur identité.

Si Hytera est reconnue coupable, elle risque une « amende pénale égale à trois fois la valeur du secret commercial volé à l'entreprise, y compris les dépenses de recherche, de conception et autres coûts qu'elle a évités ». Et ils sont loin d'être insignifiants, Motorola ayant par exemple investi plus de 3,5 milliards de dollars rien que dans le développement de sa technologie DMR. Il est intéressant de noter que Hytera était autrefois partenaire de Motorola, et qu’elle distribuait ses produits sur le marché de l'Asie du Sud-Est. Ce partenariat a pris fin en 2001 environ. À partir de la fin de l'année 2007, Hytera a approché plusieurs employés de Motorola en vue de les recruter et ils ont été finalement débauchés en 2008. L'acte d'accusation fédéral et l'action civile intentée par Motorola prouvent que, malgré le régime de protection de la propriété intellectuelle mis en place par l’entreprise, notamment des mesures de protection des informations stockées et des accords de non-divulgation (AND) pour les employés qui quittaient l'entreprise, celles-ci ont été insuffisantes pour détecter les actions de ces initiés en 2008.

Des preuves d’actes répréhensibles

Par exemple, en février 2008, les employés ont accédé à 11 400 documents dans une base de données interne de Motorola qui contenaient des secrets commerciaux sur la technologie DMR. Un employé a envoyé un courriel à un autre co-conspirateur : « Allons-nous « réutiliser » autant [de PI] que possible ou devons-nous tout développer à partir de rien pour éviter la violation de brevets, et si [nous] voulons que ce soit rapide et réutiliser autant que possible ce qui existe, nous pourrions alors avoir besoin de moins de personnel… ». Le lendemain, un courriel entre les co-conspirateurs indiquait : « J'ai travaillé dur pour sauvegarder toutes les informations. Nous essayons de récupérer tout ce que nous pouvons. Nous aurons sûrement besoin de certaines de ces informations quand nous serons là-bas. Je dirais que nous avons environ 30G [gigaoctets] de données au total maintenant. Y a-t-il autre chose dont vous auriez besoin, pendant que nous sommes encore ici ? »

Les multiples échanges de courriels entre les conspirateurs indiquent clairement que le vol de la propriété intellectuelle est lié à leur recrutement par Hytera. Un courriel en particulier résume la situation : « Cela risque de causer beaucoup de problèmes, car nous sommes des techniciens et nous apportons beaucoup de connaissances avec nous. Nous aurons signé l’accord de non-divulgation et certains de nos mensonges pourraient nous valoir des ennuis quand Motorola le découvrira ». Dans les entretiens effectués par Motorola avant le départ de ces employés, ces derniers ne disent jamais qu’ils partent pour rejoindre Hytera.

Le système de protection des données mis en place en 2008 n'a pas non plus été suffisant pour assurer une protection complète. La trace écrite semble avoir été révélée lors de l'examen forensic des fichiers logs effectué dans le cadre du litige de 2017. L'entreprise limitait l'accès « aux informations confidentielles uniquement à des personnes sélectionnées, et même dans ce cas, uniquement sous réserve d'accords stricts de confidentialité et de non-divulgation ». De plus, Motorola demandait à tous les employés de lire et d'attester de la compréhension des « procédures opérationnelles standard » de l'entreprise, qui interdisent le partage d'informations confidentielles avec des destinataires non autorisés. Quand les employés ont quitté l'entreprise, ils ont accepté de « remettre rapidement… tous les documents et autres enregistrements relatifs aux activités commerciales de Motorola ou tout autre matériel appartenant à Motorola ».

Plus de 7 000 documents téléchargés

Entre mai et octobre 2008, les anciens employés de Motorola ont été embauchés par Hytera. Moins de 24 mois plus tard, en mai 2010, l’entreprise de télécommunications chinoise a commencé à vendre des produits DMR. Les poursuites civiles identifient trois individus qui ont quitté Motorola pour rejoindre Hytera et leurs rôles au sein d'Hytera à partir de 2017. Il s’agit de :

- Gee Siong Kok (alias G.S. Kok) : gestionnaire d'ingénierie senior chez Motorola, il a été embauché comme vice-président senior chez Hytera. Il était chargé de mener la transition des solutions de communication analogiques aux solutions numériques, et d’y inclure la technologie DMR.

- T. Kok : ingénieur logiciel senior chez Motorola, il a occupé le poste de directeur des ventes chez Hytera.

- Samuel Chia : responsable d'une section d'ingénierie chez Motorola, il a été recruté comme directeur de l'ingénierie logicielle chez Hytera.

Selon l’acte d’accusation, une enquête interne a révélé que les employés avaient téléchargé plus de 7 000 documents techniques, marketing, commerciaux et juridiques. Les documents comprenaient « des informations et des implementations hautement confidentielles, des données marketing, des données relatives à la protection juridique et d'autres détails confidentiels ». Ces documents comprenaient des demandes de brevets internes de Motorola.

En 2008, les employés avaient un accès naturel et substantiel aux informations volées. Pour quelle raison ? Souvent, ce sont eux ou leurs équipes qui créaient les informations, et leur accès aux données relevait donc de leur domaine de responsabilité. Ils avaient un besoin réel d’accéder à ces données. Dans l’acte d’accusation relatif aux secrets commerciaux de 2017, Motorola reconnaît que sa « technologie s'est considérablement améliorée ces dernières années par rapport à ce qu’elle avait mis en œuvre en 2008 ». En février 2020, un tribunal fédéral américain a donné raison à Motorola dans l’affaire de vol de secrets commerciaux et a condamné Hytera à lui verser 764,6 millions de dollars (345,8 millions de dollars de dommages compensatoires et 418,8 millions de dollars de dommages punitifs).

Á méditer par les RSSI

La découverte d'un accès inapproprié ou anormal à des informations sensibles au moment même et avant le départ d'un employé malveillant peut éviter des années de litiges futurs. On peut comparer cette tactique à une course après un cheval qui s'est emballé pour le ramener à l’écurie. Motorola ne manque pas de ressources. Elle peut s’engager dans un procès civil de plusieurs années pour récupérer une propriété intellectuelle volée. Mais peu d'entreprises pourraient se le permettre. Malheureusement, ce n’est pas nouveau : un concurrent peut déployer beaucoup d’efforts, sur plusieurs années, pour réduire ses coûts de recherche et développement en volant la R&D d'un autre. Les RSSI savent intellectuellement que leurs employés sont leur ressource la plus fiable. Du moins, jusqu'à ce qu'ils se retirent de l'équation de confiance. D’où l’importance pour les entreprises, grandes ou petites, de disposer d'un solide programme de gestion du risque d'initié.