Les enjeux juridiques et sociaux en matière de sécurité des personnes et des informations
Franck MOREL et Gautier KERTUDO – Barthélémy Avocats

« Le plus terrible secret de ce monde serait qu’il n’y ait aucun secret », c’est cette citation de Jean-François DENIAU qui a ouvert la première intervention de la journée.

  La recherche de l’équilibre entre la liberté d’expression et ses limites, c’est le      grand enjeu juridique en matière de sécurité des personnes et des informations.

 

A l’heure des réseaux sociaux et des messageries, la question de la frontière privé / personnel est à clarifier. Quelles limites à l’expression des salariés sur leur profil Facebook vis-à-vis de leur employeur ? Peut-on utiliser sa messagerie personnelle sur un ordinateur professionnel ? Quelle jurisprudence en matière de Tweet ? Les nouvelles technologies vont vite, trop vite pour la jurisprudence ?

En matière de sécurité, les fiches S et le casier judiciaire soulèvent également des interrogations juridiques.  Or ces deux éléments ne constituent pas une cause réelle et sérieuse de licenciement.  En effet, la notion est trouble : l’employeur peut-il se référer à des événements qui se sont déroulés en dehors de l’entreprise dans le cadre privé ?

Enfin, nos deux avocats ont abordé la question de la confidentialité des données, rappelant en préalable l’obligation de loyauté du salarié. Deux dispositifs existent et peuvent être inclus dans le contrat de travail : la clause de confidentialité, qui protège les données traitées pendant l’exécution de l’activité professionnelle, et la clause de non concurrence, qui les protège après l’exécution du contrat de travail.

 

Big data et enjeux sur la sécurité des données
François GUILLAUME – Chef de marché SIRH du groupe TALENTIA SOFTWARE

Chaque minute, plus de 100.000  tweets et 700.000 changements de statuts font frissonner les réseaux sociaux.  Au regard de cette réalité, une masse de données est à disposition des DRH notamment pour chercher, localiser et identifier leurs talents.

Or, jusqu’à présent, les services Ressources Humaines ont travaillé sur des constats. L’enjeu du Big data est de sortir de ce schéma, pour utiliser et analyser les données tant internes qu’externes afin de créer un système prédictif d’évaluation des collaborateurs.

Notre expert a souligné les grands défis du Big Data pour le DRH :

– La sécurité des données et le respect de la vie privée
– La qualité des données
– La confiance accordée aux données pour prendre des décisions stratégiques

Les DRH doivent-ils être inquiets ? Si l’outil est un support indispensable à la gestion des RH, l’humain reste au cœur des enjeux RH. Si la règlementation est très développée en matière de provenance des données, un vide persiste sur l’utilisation que l’on peut en faire.

 

« Le DRH sera-t-il le garant de la véracité et de la sécurité des données ? »

Humains : intergénérationnel Cyber et décompensations sociopsycholosique
Isabelle TISSERAND – anthropologue médical, docteur de l’école des Hautes Etudes en Sciences Sociales, chercheur-auteur et Capitaine de corvette de la réserve citoyenne de la Marine nationale

 

La sécurité est devenue un sujet culturel mondial obsessionnel, et d’autant plus depuis l’avènement du digital. Or celui-ci ne concerne pas uniquement les Digital natives, les Digital migrants sont tout aussi concernés.  Notre expert, Isabelle Tisserand, nous a présenté, au travers d’un cas pratique, les conséquences socio psychologiques en cas de faille de sécurité.

Ce que nous retenons, c’est la nécessité de mettre en place un programme de sécurité global solide.  En termes de ressources humaines, cela commence par un recrutement préventif de professionnels pour limiter les risques humains, notamment au travers de l’utilisation de tests psychologiques en parallèle des entretiens.

Il est également indispensable, au-delà de la mise en place de chartes informatiques ou de guides des bons gestes face aux outils, de mettre en place un système complet de dérisquage global au travers de process techniques et administratifs pour encadrer les missions. Le risque ne doit pas peser sur l’individu.

Enfin,  cette démarche ne peut pas être complète sans traiter la question de la formation des collaborateurs, et la mise en place de soutiens psychologiques. En effet, en cas d’erreur entrainant une faille de sécurité, les impacts sur le collaborateur peuvent être dévastateurs. Un accompagnement est nécessaire afin d’activer les capacités de résilience de l’individu.

Cartographie des risques sécuritaires suite aux événements malheureux
Paul-Vincent VALTAT – administrateur CDSE, Responsable du département Prévention et Maîtrise des risques, Conseiller du Directeur Général pour la gestion globale des risques d’HAROPA (Ports de Paris) et Hélène DUBILLOT –  Directrice de la coordination scientifique de l’AMRAE, commission Risque RH

La cartographie des risque est le « résultat d’une démarche globale ainsi qu’un outil permettant de visualiser les risques majeurs d’une entreprise à un instant « T ». Et le DRH ne doit pas rester en dehors de cette démarche.

 

Nos experts lancent un message fort : « DRH n’ayez pas peur de parler avec vos Risk Managers ! »

 

En effet, au-delà de l’obligation de compliance, l’utilité de la démarche n’est plus à démontrer, notamment lorsque l’on garde en tête l’obligation de résultats en matière de sécurité des collaborateurs qui incombe à l’employeur. Et c’est en ce sens que nos experts ont abordé la question de la sûreté des biens et des personnes. Ce sujet, partagé par l’ensemble des entreprises, regroupe tant des menaces de terrorisme, que de vols d’informations commerciales ou d’escroqueries financières.
Trois focus ont été abordés : Quels risques en matière de sécurisation des expatriés ? Quels moyens et quelles limites en matière de radicalisation ? De la malveillance à l’attentat, quelle démarche ? Au regard de ces trois problématiques, l’utilité de la cartographie des risques nous semble évidente.

Exemple de cartographie des risques :

La cyber sécurité face aux « risques Outils Nomades et Clouds »
Michel CAZENAVE – RSSI du Ministère des Affaires Etrangères et du Développement International

« Le risque zero n’existe pas ». Mais il appartient au RSSI du Ministère des Affaires Etrangères et du Développement International de les limiter au maximum afin de garantir un accès aux moyens de communication de la manière la plus sécuritaire possible.

Pour cela, Michel Cazenave a répertorié 5 risques en matière de mobilité et d’utilisation du Cloud :

– La perte et le vol (uniquement pour les devices de mobilité) : Quelle confidentialité des données ?
– Les données sensibles (en matière de Cloud) : Quels droits d’accès ?
– la politique de sécurité d’accès : Comment garantir l’intégrité de l’accès à distance ?
– la compromission : Quelle politique ? Quels contrôles ?
– L’utilisateur : quels usages ? pro/perso ?
– L’homologation : quelle conformité ? Quels risques résiduels ?

Afin de réduite ces risques, la mise en place d’une politique de sécurité est indispensable. Outre les aspects techniques dans l’utilisation des devices ou du Cloud, il incombe au service RH de mettre en place une politique de formation des Administrateurs et des utilisateurs. Dans les bonnes pratiques, sensibiliser les décideurs et les directions métiers nous paraît également essentiel.

Notre expert nous rappelle, qu’ « à l’impossible nul n’est tenu ». Il s’agit toujours d’une affaire de compromis, de choix entre le poids du risque et celui du besoin d’accessibilité.

 

Mettre en place une organisation globale et réactive pour répondre à un événement conduisant potentiellement à une situation de crise.
François ZERAFA, Directeur de Projet Organisation – Groupe SERVIER

« Seul l’humain est capable de gérer l’imprévisible particulièrement en période de crise. »

Pour impulser une meilleure maîtrise de pilotage du risque, certains grands groupes à fort potentiel de risques mettent en place des systèmes de défense face aux différentes menaces dont ils peuvent être victimes. Des « lignes de maîtrises » sont organisées autour de la direction générale :

1. Les managers opérationnels et les équipes qui alertent en cas de risque.
2. L’audit interne garant du bon fonctionnement de la structure.
3. La mise en place de nouvelles gouvernances : une direction des risques dont le rôle va être dans un premier temps de cartographier et qualifier l’ensemble des risques potentiels pour les anticiper « Une crise est d’autant mieux gérée qu’elle l’est le plus en amont possible, ces remontées d’information, nous permettent d’avoir des signaux faibles au quotidien de tout ce qui peut s’avérer imprévisible demain. »

« Une crise est un processus qui, sous l’effet d’un événement déclencheur (interne ou externe), met en évidence une série de dysfonctionnements affectant temporairement ou durablement un ou plusieurs des aspects suivants d’une organisation (entreprise ou collectivité) : la sûreté, la santé humaine, l’environnement, le produit, la réputation, la pérennité. La médiatisation est un facteur aggravant de la crise. »

Pour faire face à une crise il faut adopter une démarche pragmatique et se fixer des principes de base à ne pas remettre en cause. Les principes de base suivis par SERVIER en cas de crise sont les suivants :

Principe 1 : réactivité et bon sens

– Mettre en place un correspondant central (numéro, adresse mail uniques…) et gérer sa pérennité par des roulements, backup et astreintes
– Définir une liste d’évènements déclencheurs qualifiés
– Avoir une liste de destinataire prédéfinie à l’avance

Le correspondant central a pour mission de recueillir l’ensemble des éléments d’alerte :

– Evaluer le risque : remonter l’information aux membres du Comex (le correspondant doit avoir une proximité avec la présidence et une réelle connaissance de l’entreprise)
– Déclencher une cellule de crise : au sein de cette cellule, un leader va prendre les décisions qui s’imposent, cette cellule va permettre ensuite de gérer les retours d’expérience pour s’améliorer collectivement

Principe 2 : faciliter la prise de décision

Le leader ne doit pas se préoccuper de contingences matérielles et s’empêtrer dans l’administratif, il doit juste prendre de bonnes décisions. Pour cela il doit être entouré des bonnes expertises et doit faire preuve de discernement, sang-froid et anticipation.

Plus précisément, les risques spécifiques aux RH (décès, conflit social, crise sanitaire, sécurité des personnes voyageurs et expatriés…) peuvent engendrer des absences et gêner la continuité de l’entreprise. Le rôle des décideurs RH auprès des collaborateurs est leur apport humain.  « Au final la gestion de crise est une question d’appréciation humaine, en s’appuyant sur des processus, bonnes pratiques, ou des données qui sont des aides précieuses à la prise de décision».

Comment la collaboration, DRH, prévention des risques et direction de la communication ont permis de développer les bons comportements en matière de sécurité informatiques

Ivy-Stevan GUIHO – Directeur de la direction de prévention des risques, Banque de France

Les risques cybers sont une réalité « la banque c’est plus d’une centaine d’attaque par mois ! » nous explique Ivy-Stevan GUIHO. « 90% des systèmes hackés le sont car le hacker a trouvé une faille humaine. » En effet, tous les dispositifs de protection technique mis en place par l’entreprise sont indispensables mais pas suffisants : il est nécessaire de sensibiliser les collaborateurs, mais comment ?

Il faut définir une véritable stratégie de sensibilisation, cela doit être une vraie préoccupation interne. Cette stratégie doit :

– Passer par des messages et consignes simples assimilables par tous.
– Avoir un sponsor interne fort, une implication au plus haut niveau hiérarchique de l’entreprise.
– Varier les supports de communication pour ne pas lasser les collaborateurs :

– des séances de sensibilisation, des formation
– un Intranet, une animation de communauté en ligne

– des campagnes d’affichage. Par exemple à l’occasion de « la semaine européenne de la cyber sécurité » qui a lieu au mois d’octobre chaque année

– des messages sur la messagerie professionnelle (version ludique)
– des flyers, memento distribués
– des revues de presse mensuelles : génèrent du trafic sur la communauté
– des films courts : un message par film mettant en scène des agents de l’entreprise

 

Sécurité des comportements en cyber-communication
Anne-Brigitte CASEAU et Lieutenant Dany VANHOVE de l’AR11 de l’IHEDN    

 50 000 entreprises sont piratées par mois en France !  Voici le chiffre clé qu’il faut retenir de cette intervention.

 

 

Au-delà du contexte interne lié à la sécurité des données en entreprise, il est important également de sensibiliser les collaborateurs aux risques externes pouvant arriver en dehors du lieu de travail. Les NTIC, le télétravail et les déplacements professionnels amplifient et multiplient les supports de connexions et d’utilisation des données. Tablette, téléphone, ordinateur portable, tous connectés au réseau de l’entreprise et aux mails professionnels sont d’autant plus de moyens pour les hackers d’accéder à des données confidentielles.

Vigilance également avec nos enfants ayant accès à la maison à nos outils professionnels, nous ne sommes jamais à l’abri d’un piratage qui ne coûte que quelques dollars sur le darknet.

Il ne faut pas hésiter à rappeler les règles de bon usage des NTIC à nos collaborateurs, même les plus élémentaires.

 

Le burn-out et la responsabilité de l’employeur
Laurent MELCHIOR-MARTINEZ – médecin en chef coordinateur national du service médicopsychologique des armées

« Avouer sa faiblesse devant un employeur c’est toujours difficile »

Les managers doivent être vigilants sur la santé des salariés et notamment veiller à ce que ces derniers ne s’épuisent pas au travail. C’est de leur responsabilité.

Les premiers signes du burn-out peuvent se manifester par des douleurs psychosomatiques (ulcère, douleurs aux jambes, au dos…) par des troubles d’endormissement, des troubles de la concentration, des gestes très ralentis… Un jour ça se concrétise, on a plus envie de faire des efforts, plus aucune énergie. On s’en rend compte de manière assez brutale «  un jour c’est impossible de se lever pour aller au boulot ».

Il y a effectivement des facteurs de vulnérabilité, des individus plus sensibles que d’autres : perfectionnisme, idéal du moi massif, traits obsessionnels, antécédents de deuils mal élaborés.

Aussi des organisations professionnelles plus touchées : métiers de l’aide et du soin, métiers de relation, cadre, période de changement ou restructuration, inadéquation compétences (responsabilités), autonomie insuffisantes, perte de sens.

Comment prévenir le risque ? Prévention, repérage, prise en charge.

Par exemple :

• Vérifier l’adéquation des compétences techniques pour ne pas créer un déséquilibre compétences/responsabilités ;
• Avoir des échanges plus directs avec son manager ;
• Veiller à ne pas mettre trop d’indicateurs de performance ou de contrôle en place ;
• Faire attention aux personnes qui ont des horaires de travail qui s’étendent ou aux personnes qui travaille beaucoup en rentrant à la maison.

Selon Laurent Melchior-Martinez, il faut offrir la possibilité à ses équipes d’avoir une certaine flexibilité au niveau des horaires. Cet aménagement simple permet une plus grande autonomie et un ressenti de la contrainte moins important ;

Il faut « mettre de soi dans le travail », impliquer nos collaborateurs, « nous ne sommes pas des machines, nous sommes des êtres humain, l’autonomie est très importante. »