Les entreprises font-elles trop confiance dans leurs employés ?
Pour travailler, le salarié a besoin d’accéder, de manipuler et d’enrichir les données de l’entreprise.
Information copiée
Dans chaque service, à chaque poste de travail, chacun a besoin d’une partie des informations sur les produits et les services, les chiffres et les perspectives, les formules et autres recettes ou plans de fabrication, les données sur les employés, les clients et les fournisseurs, les partenaires et sous-traitants, etc.
La fuite d’information est une copie, totale ou partielle, des informations qu’un salarié effectue en dehors de l’entreprise à des fins personnelles. Lorsque ces informations sont transmises à un concurrent ou à un état, c’est de l’espionnage industriel, scientifique, économique.
Lorsque ces informations sont conservées par le salarié pour s’en servir lui-même, cela peut créer de la concurrence directe, une violation de brevet ou une alerte sur les pratiques et les personnes à l’intérieur de l’entreprise.
Il se peut aussi que les informations retenues par le salarié aient un impact mineur ou aucun impact sur l’entreprise elle-même, et qu’elles ne servent qu’à fournir des connaissances indirectes au salarié.
Par exemple, des méthodes de travail personnel, des formulaires vierges, l’art de faire de bonnes présentations, un lexique professionnel, un mode d’emploi de logiciels du marché, etc.
Ces informations forment une base de connaissances à partir d’informations issues de l’entreprise. Elles aident le salarié à progresser, sans compromettre la confidentialité et le respect dus à l’entreprise.
Comment empêcher une fuite d’information ?
De grosses sommes sont investies chaque année dans des systèmes de protection des données informatisées dans les entreprises.
Dans le meilleur des cas, l’accès aux données est contrôlé par des dispositifs physiques ou logiciels, qui identifie la personne ou la machine qui tente d’accéder aux données et en refuse ou en accorde l’accès.
Là où un intrus est repoussé, un salarié est autorisé. Il convient alors de restreindre son accès aux données dont il a besoin dans le cadre de son travail et uniquement ces informations-là.
Une alerte devrait retentir en cas de tentative d’accéder à des données autres que celles auxquelles il a droit.
Quant aux données mises à la disposition du salarié, les moyens de copies peuvent restreindre le risque de fuite : interdiction ou contrôle de l’usage de copieurs et d’imprimantes, traces de toutes les manipulations des données informatisées, interdiction ou contrôle de toutes les copies informatiques des données, sur disque dur, clés, Internet, etc.
Néanmoins, il reste toujours la possibilité au salarié d’effectuer des copies, dans le cadre de son travail.
De plus, il existe des informations de l’entreprise qui ne sont pas informatisées. Par exemple, les idées, les échanges verbaux, les réflexions sur un sujet précis.
La surveillance en entreprise est limitée. Les contrôles sont souvent inexistants ou mis en place au moment de la démission du salarié. Or celui-ci a tout le temps d’effectuer des copies d’information les jours ou les semaines qui ont précédé sa démission.
L’efficacité de tous les systèmes de protection des données est peu testée et mise en pratique.
Sensibilisation et engagement du salarié
La prévention du risque de fuite d’information passe par une sensibilisation du salarié, de son entretien d’embauche au jour de son départ. Régulièrement, une à deux fois par an, des rappels au respect des règles doivent avoir lieu.
Le salarié doit savoir ce qui encourt en cas de fuite. Il doit les connaître pour l’entreprise et pour lui-même. Il doit également participer activement à la prévention des fuites par d’autres salariés de son entourage professionnel à l’intérieur de l’entreprise.
L’entreprise doit disposer et mettre en place des règles de bon usage des informations.
La charte qui contient ces règles est à joindre au règlement intérieur de l’établissement. Ces règles font préalablement l’objet d’une information auprès des représentants du personnel et du personnel lui-même.
Toutes les règles doivent être lues et transmises aux salariés, directement ou par l’intermédiaire de panneaux d’affichage.
Le salarié doit s’engager, par écrit, avec date et signature, à respecter les règles de la charte du bon usage des informations, appelée souvent charte informatique lorsqu’elle ne contient que des règles concernant l’usage des données informatisées et des moyens informatiques.
Si un salarié refuse de signer, c’est comme s’il refusait d’appliquer le règlement intérieur de l’entreprise et peut alors être soumis aux mêmes sanctions.
Rappel : le règlement intérieur est déposé à l’inspection du travail, la charte l’est donc aussi. Chaque modification de l’un ou de l’autre implique de déposer la nouvelle version à l’inspection du travail.
Philippe Garin, plus de 20 ans de management en entreprise
Pour plus de conseils, contactez-moi : phgarin@gmail.com
Pour en savoir plus :
En complément :
Vol de documents légalisé ? Non, sauf
Évolution de l’informatique dans l’entreprise
Le Cloud computing : un nouveau business modèle pour réduire le TCO informatique
Télétravail : La Loi Warsmann adoptée le 29 février 2012
Licencié pour avoir cherché à effacer ses connexions sur des sites porno
Sauvegarde : Comment les données sont-elles sauvegardées ?
Filtrage Internet : Pas de brimade des salariés
Quelles sont les menaces qui pèsent sur une entreprise
Autres Informatique, Juridique, Management et Sécurité :
Récapitulatif 12 Informatique
Récapitulatif 12 Juridique
Récapitulatif 12 Management
Récapitulatif 12 Sécurité
Blog de Philippe Garin 