Les employ\u00e9s des grandes entreprises ont fini par s\u2019y r\u00e9soudre: plus un seul de leurs faits et gestes n\u2019\u00e9chappe d\u00e9sormais \u00e0 l\u2019\u0153il circonspect de leur hi\u00e9rarchie. Les m\u00e9thodes de contr\u00f4le intrusives, qui se sont multipli\u00e9es avec le d\u00e9veloppement des nouvelles technologies, laissent de moins en moins d\u2019espace \u00e0 la sph\u00e8re priv\u00e9e. En pratique, le contenu des e-mails transmis ou re\u00e7us avec le mat\u00e9riel d\u2019entreprise (ordinateurs fixes et portables, Blackberry, t\u00e9l\u00e9phones mobiles, etc.) peut \u00eatre tr\u00e8s facilement consult\u00e9 par leur service informatique. Le m\u00eame service pourra aussi savoir et enregistrer quels sites ont \u00e9t\u00e9 consult\u00e9s, et \u00e0 quel moment, sans m\u00eame avoir \u00e0 ajouter de dispositif particulier dans l\u2019ordinateur de l\u2019usager. La plupart des employ\u00e9s savent aujourd\u2019hui que ce type de contr\u00f4le liberticide est possible, mais dans quelle mesure est-il vraiment pratiqu\u00e9 par les entreprises? <\/p>\n
Selon une \u00e9tude de Forrester Consulting, 44% des grandes compagnies am\u00e9ricaines emploient des gens dont la mission consiste \u00e0 surveiller le contenu des emails professionnels sortants de l\u2019entreprise; 48% d\u00e9clarent r\u00e9aliser des audits r\u00e9guliers des contenus des messages. Justification? La peur que les employ\u00e9s d\u00e9livrent des informations sensibles, un secret de fabrication ou encore des donn\u00e9es relevant de la propri\u00e9t\u00e9 intellectuelle. <\/p>\n
Evidemment, il y a des effets collat\u00e9raux. Les entraves \u00e0 l\u2019autonomie et la libert\u00e9 d\u2019action des employ\u00e9s d\u00e9passent facilement les limites du cadre professionnel, par exemple lorsqu\u2019une entreprise \u00e9quipe ses v\u00e9hicules de traceurs GPS afin de pouvoir les localiser 24 heures sur 24. Et, bien s\u00fbr, lorsqu\u2019elle en vient \u00e0 surveiller les sites consult\u00e9s et les messages \u00e9lectroniques \u00e0 l\u2019insu des collaborateurs, au m\u00e9pris du respect de la vie priv\u00e9e.<\/p>\n
Dans les faits, beaucoup d\u2019employeurs semblent se moquer des r\u00e8gles \u00e9l\u00e9mentaires de proportionnalit\u00e9 en mati\u00e8re de surveillance. Un tel flicage est-il pour autant ill\u00e9gal? \u00abLes entreprises peuvent tirer profit d\u2019une l\u00e9gislation incertaine, r\u00e9pond Bertil Cottier, professeur de droit de la communication \u00e0 l\u2019Universit\u00e9 de la Suisse italienne. Car les bases l\u00e9gales actuelles se contentent de d\u00e9finir des principes extr\u00eamement g\u00e9n\u00e9raux. La loi f\u00e9d\u00e9rale sur la protection des donn\u00e9es (LPD), qui r\u00e9git la collecte d\u2019informations, reste tr\u00e8s difficile \u00e0 appliquer correctement. Par ailleurs, le pr\u00e9pos\u00e9 f\u00e9d\u00e9ral \u00e0 la protection des donn\u00e9es dispose comme seul pouvoir de fournir des recommandations. Pour se plaindre d\u2019un abus, il faut donc passer par un juge qui, le plus souvent, n\u2019a pas une connaissance optimale de ces questions.\u00bb <\/p>\n
Le flou juridique est tr\u00e8s n\u00e9faste dans ce domaine. \u00abJe constate souvent avec \u00e9tonnement que des entreprises, m\u00eame de taille moyenne ou grande, ne disposent d\u2019aucun r\u00e8glement en mati\u00e8re de protection des donn\u00e9es, observe \u00e0 ce propos Gilles Monnier, avocat et professeur \u00e0 la Facult\u00e9 de droit et des sciences criminelles de Lausanne. Les soci\u00e9t\u00e9s sont pourtant tenues de s\u2019organiser afin de r\u00e9aliser dans les faits la protection des donn\u00e9es personnelles. Il faut aussi souligner, en ce qui concerne notamment l\u2019industrie, que la surveillance permanente de l\u2019activit\u00e9 des employ\u00e9s est interdite, en vertu de l\u2019art. 26 de l\u2019Ordonnance 3 de la Loi sur le travail.\u00bb<\/p>\n
Titulaire de la chaire T\u00e9l\u00e9communication et s\u00e9curit\u00e9 \u00e0 HEC Lausanne, Solange Ghernaouti-H\u00e9lie dresse un bref \u00e9tat des lieux: \u00abIl faut d\u2019abord relever qu\u2019Internet, avec toute sa palette d\u2019outils de mise en relations de n\u2019importe qui avec n\u2019importe qui, n\u2019importe o\u00f9, n\u2019importe quand, abolit non seulement les fronti\u00e8res temporelles et g\u00e9ographiques mais aussi celles qui existent entre vie professionnelle et vie priv\u00e9e, entre monde du travail et monde des loisirs. Il s\u2019agit d\u2019un ph\u00e9nom\u00e8ne dont les cons\u00e9quences n\u2019ont pas du tout \u00e9t\u00e9 prises en consid\u00e9ration et que l\u2019on semble d\u00e9couvrir avec les probl\u00e8mes potentiels g\u00e9n\u00e9r\u00e9s par les utilisateurs de r\u00e9seaux sociaux.\u00bb <\/p>\n
La menace Facebook<\/b><\/p>\n
Pour les entreprises, les r\u00e9seaux sociaux de type Facebook entre dans la cat\u00e9gorie de menaces dite \u00abd\u2019ing\u00e9nierie sociale\u00bb: par la tromperie ou des techniques de leurre, une personne malveillante peut par exemple amener un employ\u00e9, approch\u00e9 amicalement, \u00e0 livrer des param\u00e8tres de connexion (identification, login, mots de passe). Mais surtout, dans le contexte d\u2019un r\u00e9seau social, l\u2019utilisateur fournit de son plein gr\u00e9 des informations qui, d\u00e8s lors, ne lui appartiennent plus. Ce dernier n\u2019a aucun contr\u00f4le quand \u00e0 leur utilisation ult\u00e9rieure par l\u2019entreprise Facebook et par le public qui pourra y avoir acc\u00e8s. Pour cette raison, \u00e0 la banque priv\u00e9e Pictet & Cie, par exemple, on se dit \u00abpr\u00e9occup\u00e9 par les r\u00e9seaux internet soci\u00e9taux\u00bb, pr\u00e9cisant qu\u2019\u00abune r\u00e9flexion est en cours \u00e0 ce sujet\u00bb. Mais aucune directive ou interdiction n\u2019a encore \u00e9t\u00e9 formul\u00e9e. Actuellement en Suisse, plus d\u2019une centaine d\u2019employ\u00e9s de Pictet s\u2019affichent ouvertement comme tels sur Facebook. Ce type de r\u00e9seau social n\u2019effraie pas toutes les entreprises, au contraire: la plupart des multinationales (UBS, P&G, etc.) y poss\u00e8dent des \u00abNetworks\u00bb officiels auxquels peuvent adh\u00e9rer leurs employ\u00e9s.<\/p>\n
\u00abSur Facebook, les employ\u00e9s d\u2019une entreprise pourraient critiquer les conditions de travail, se plaindre de ph\u00e9nom\u00e8nes de corruption ou de passe-droit, note \u00e0 ce propos Solange Ghernaouti-H\u00e9lie. On peut imaginer des retomb\u00e9es n\u00e9gatives en terme d\u2019image.\u00bb Ajoutons que les employ\u00e9s, de par leur comportement, leurs photographies priv\u00e9es (par exemple pendant des f\u00eates arros\u00e9es) et, au sens large, leur activisme plus ou moins exub\u00e9rant sur le r\u00e9seau, sont susceptibles de nuire \u00e0 la r\u00e9putation de s\u00e9rieux, voire de discr\u00e9tion, de leur employeur. Mais ces m\u00eames d\u00e9rives potentielles existent ailleurs online (si l\u2019employ\u00e9 anime un blog ou un site personnel par exemple) et, dans une certaine mesure, aussi dans le monde r\u00e9el. Alors, jusqu\u2019o\u00f9 l\u2019entreprise parano\u00efaque doit-elle r\u00e9glementer le comportement priv\u00e9 de ses employ\u00e9s?<\/p>\n
De l\u2019avis des experts de la s\u00e9curit\u00e9, les pr\u00e9occupations des entreprises n\u2019ont rien d\u2019ill\u00e9gitimes. L\u2019espionnage industriel, le vol d\u2019informations, l\u2019atteinte \u00e0 l\u2019image ou la malveillance de certains employ\u00e9s repr\u00e9sentent autant de menaces bien r\u00e9elles. Selon une enqu\u00eate* de Pricewaterhousecoopers, 37% des entreprises suisses se disent avoir \u00e9t\u00e9 victimes de d\u00e9lits \u00e9conomiques. Or, la moiti\u00e9 des auteurs de ces d\u00e9lits appartient au management m\u00eame des entreprises concern\u00e9es!<\/p>\n
Une autre \u00e9tude, men\u00e9e par l\u2019institut de Criminologie et de droit p\u00e9nal de l\u2019Universit\u00e9 de Lausanne (ICDP) aupr\u00e8s d\u2019entreprises du canton de Gen\u00e8ve, aboutit \u00e0 des r\u00e9sultats similaires: sur les 543 entreprises (commerces et institutions financi\u00e8res) interrog\u00e9es, 35% ont \u00e9t\u00e9 victimes de d\u00e9lits \u00e9conomiques commis par leurs employ\u00e9s au cours des quatre derni\u00e8res ann\u00e9es. Un chiffre spectaculaire. Dans plus de 60% des cas, l\u2019acte est r\u00e9p\u00e9t\u00e9 au moins cinq fois avant que l\u2019auteur soit appr\u00e9hend\u00e9. Pas surprenant, donc, si les entreprises se montrent outrageusement suspicieuses. Reste \u00e0 mettre en place la bonne strat\u00e9gie\u2026 <\/p>\n
Selon l\u2019\u00e9tude de l\u2019ICDP, le risque est deux fois moins important lorsque les entreprises optent pour une gestion transparente de la surveillance, et une attitude reconnaissante envers les employ\u00e9s, plut\u00f4t que pour des contr\u00f4les syst\u00e9matiques effectu\u00e9s en catimini. \u00abLes entreprises qui adoptent un code de conduite formel subissent nettement moins de d\u00e9lits \u00e9conomiques\u00bb, approuve Rolf Schatzmann, consultant en s\u00e9curit\u00e9 informatique, associ\u00e9 de Pricewaterhousecoopers. <\/p>\n
Dans leur dernier rapport sur la s\u00fbret\u00e9 de l\u2019information**, les experts de la Conf\u00e9d\u00e9ration soulignent d\u2019ailleurs que les mesures techniques, \u00e0 elles seules, prot\u00e8gent toujours moins contre les cyberattaques. D\u2019o\u00f9 l\u2019importance croissante, sugg\u00e8rent-ils, de cr\u00e9er un climat de confiance, d\u2019informer et de sensibiliser le personnel \u00e0 ce sujet. \u00abLes entreprises sont \u00e0 la merci de leurs employ\u00e9s, r\u00e9sume Nicolas Giannakopoulos, fondateur de l\u2019Observatoire du crime organis\u00e9 \u00e0 Gen\u00e8ve. Un salari\u00e9 en col\u00e8re peut causer beaucoup de tort.\u00bb Autrement dit, les entreprises devraient \u00e9viter \u00e0 tout prix d\u2019instaurer un r\u00e9gime de d\u00e9fiance, pr\u00e9judiciable aux performances \u00e0 long terme. <\/p>\n
Les atteintes les plus grossi\u00e8res \u00e0 la sph\u00e8re priv\u00e9e seraient davantage le fait de petites et moyennes entreprises; la majorit\u00e9 des grandes firmes ont int\u00e9gr\u00e9 la notion de gouvernance en mati\u00e8re de s\u00e9curit\u00e9, lorsqu\u2019elles ne sous-traitent pas carr\u00e9ment une partie de cette gestion \u00e0 des soci\u00e9t\u00e9s de consulting sp\u00e9cialis\u00e9es. Un juge d\u2019instruction genevois, qui souhaite rester anonyme, livre cet exemple parlant: \u00abJ\u2019ai trait\u00e9 cet \u00e9t\u00e9 du cas d\u2019une PME active dans l\u2019informatique dont le patron avait install\u00e9 des mouchards sur tous les ordinateurs. C\u2019est seulement lors du transfert d\u2019activit\u00e9 \u00e0 une autre soci\u00e9t\u00e9 que la nouvelle direction s\u2019est aper\u00e7ue de cette situation. L\u2019ancien patron pouvait contr\u00f4ler l\u2019ensemble de l\u2019activit\u00e9 et de la correspondance, y compris priv\u00e9e, de ses employ\u00e9s.\u00bb <\/p>\n
Un cas de figure qui n\u2019\u00e9tonne gu\u00e8re Olivier Ribaux, ancien analyste criminel \u00e0 la police cantonale vaudoise, aujourd\u2019hui professeur associ\u00e9 \u00e0 l\u2019Ecole des Sciences criminelles de l\u2019Universit\u00e9 de Lausanne: \u00abPar rapport au cadre l\u00e9gal extr\u00eamement rigoureux impos\u00e9 \u00e0 la police pour ses investigations, les entreprises disposent d\u2019une grosse marge de man\u0153uvre. Il est difficile de savoir quelle surveillance elles exercent r\u00e9ellement sur leurs employ\u00e9s.\u00bb<\/p>\n
Combien d\u2019entreprises respectent les prescriptions l\u00e9gales? Combien savent r\u00e9ellement comment se comporter en mati\u00e8re de surveillance, quelle strat\u00e9gie adopter? Savent-elles seulement combien de personnes, cadres et informaticiens, ont acc\u00e8s aux donn\u00e9es personnelles? Ces questions sont-elles seulement \u00e9voqu\u00e9es et d\u00e9battues en leur sein? Difficile de le dire car beaucoup de soci\u00e9t\u00e9s, comme par r\u00e9flexe conditionn\u00e9, se r\u00e9fugient dans le mutisme sit\u00f4t qu\u2019on les interpelle sur ce th\u00e8me. La plupart des entreprises contact\u00e9es (de Logitech \u00e0 Omega, en passant par Hublot), ne souhaitent pas se prononcer sur le sujet. Swisscom et UBS r\u00e9pondent, mais sans donner trop de d\u00e9tails.<\/p>\n
ll existe de rares exceptions, comme la Banque Cantonale vaudoise, qui s\u2019exprime avec la plus grande clart\u00e9 sur son dispositif: \u00abNous avons nomm\u00e9 un responsable de la s\u00e9curit\u00e9 directement rattach\u00e9 \u00e0 un directeur g\u00e9n\u00e9ral de la banque. Ce dernier d\u00e9cide, avec la validation du d\u00e9partement des ressources humaines et du d\u00e9partement compliance, de tout ce qui est li\u00e9 \u00e0 des enqu\u00eates sur des collaborateurs. Ce contr\u00f4le dit \u2018Six Yeux\u2019 est n\u00e9cessaire pour s’assurer du respect de la Loi sur la protection des donn\u00e9es (LPD) pour tous les aspects de contr\u00f4les ou de surveillance\u00bb, explique Paul Coudret, conseiller \u00e9conomique \u00e0 la BCV. La banque rappelle une \u00e9vidence qui semble parfois oubli\u00e9e: c\u2019est le facteur humain, impossible \u00e0 ma\u00eetriser, qui constitue \u00able maillon faible de la s\u00e9curit\u00e9\u00bb, et qui repr\u00e9sente donc \u00abune des pr\u00e9occupations majeures du top management\u00bb.<\/p>\n
Internet ou pas, un employ\u00e9 sera toujours potentiellement une menace. Aux entreprises de limiter les frustrations, les risques et les abus. Notamment en adoptant une politique claire et transparente en mati\u00e8re de surveillance \u00e9lectronique.<\/p>\n
——-
\n* Etude PwC \u00abEconomic Crime Survey 2007\u00bb
\n** S\u00fbret\u00e9 de l\u2019information: situation en Suisse et sur le plan international. Rapport semestriel 2007 (juillet \u00e0 d\u00e9cembre). Centrale d\u2019enregistrement et d\u2019analyse pour la s\u00fbret\u00e9 de l\u2019information MELANI.<\/p>\n
——-
\nUne version de cet article est parue dans le magazine \u00e9conomique suisse Bilan.<\/p>\n","protected":false},"excerpt":{"rendered":"
Les entreprises invoquent la s\u00e9curit\u00e9 et l\u2019espionnage industriel pour monitorer les activit\u00e9s online de leur personnel, souvent au m\u00e9pris du respect de leur vie priv\u00e9e. Quelle est la meilleure politique? Enqu\u00eate.<\/p>\n","protected":false},"author":19406,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7],"tags":[],"class_list":["post-2728","post","type-post","status-publish","format-standard","hentry","category-technophile","technophile"],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/largeur.com\/index.php?rest_route=\/wp\/v2\/posts\/2728","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/largeur.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/largeur.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/largeur.com\/index.php?rest_route=\/wp\/v2\/users\/19406"}],"replies":[{"embeddable":true,"href":"https:\/\/largeur.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=2728"}],"version-history":[{"count":0,"href":"https:\/\/largeur.com\/index.php?rest_route=\/wp\/v2\/posts\/2728\/revisions"}],"wp:attachment":[{"href":"https:\/\/largeur.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=2728"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/largeur.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=2728"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/largeur.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=2728"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}