De la découverte du programme d'espionnage américain des internautes Prism (Planning tool for Ressource Integration, Synchronization, and Management) au récent piratage des fichiers de 800 000 clients de l'opérateur Orange, victime d'une intrusion informatique en janvier, la protection des données personnelles sur Internet est devenue un sujet récurrent dans l'actualité. Le problème inquiète le grand public, comme en témoigne une étude réalisée en février pour Orange par l'institut d'études CSA (voir Stratégies n°1757, p.6). Il en ressort que 85% des personnes interrogées se disent préoccupées par la question.
Si les sondés se disent «d'une grande vulnérabilité face aux risques quand ils naviguent sur Internet», c'est plus spécifiquement le cas (pour 69% d'entre eux) depuis leur lieu de travail. Une grande partie des entreprises est doublement concernée: pour les données portant sur leurs salariés, et pour celles portant sur leurs clients. Et ce d'autant que pour les cas de violation des données, la réglementation européenne devrait prochainement «évoluer vers des sanctions beaucoup plus lourdes, pouvant aller jusqu'à des amendes représentant 5% du chiffre d'affaires», selon la Commission nationale de l'informatique et des libertés (CNIL). Une mesure plus efficace que la peine maximale prévue qui s'élève à 150 000 euros d'amende, comme la Commission l'a récemment infligé à Google.
Hapsis, cabinet de conseil spécialisé dans le domaine de la gestion des risques et de la sécurité des systèmes d'information, a quant à lui choisi de développer une formation de sensibilisation des salariés à ce qui pourrait devenir une question stratégique pour l'employeur. «La partie éducation est essentielle dans un projet de protection des données personnelles, explique son dirigeant et fondateur Michel Gérard. Car les problèmes rencontrés dans les entreprises relèvent rarement d'une mauvaise intention, plutôt d'une négligence ou d'une méconnaissance des collaborateurs.»
Son action se traduit par la mise au point d'un parcours ludique que les salariés peuvent accomplir à partir de leur ordinateur. Ils y visualisent de courts films d'animation retraçant des situations de la vie en entreprise où se pose la question de la confidentialité des informations et rappelant les règles à respecter. Chaque participant est ensuite soumis à un quizz, afin de tester ses connaissances. Les deux logiciels développés pour ce parcours permettent une personnalisation plus ou moins poussée de la campagne de sensibilisation et un suivi de l'engagement du personnel. Pour Michel Gérard, «ce type d'action est souvent plus efficace que de remettre un document de plusieurs dizaines de pages à un salarié qui ne le lira pas forcément».
Parmi les différentes opérations de sensibilisation et pédagogiques menées par la CNIL, figure la diffusion de nombreux guides et fiches pratiques. Mais pas seulement. La Commission organise des sessions pour accroître les compétences de quelque 10 000 correspondants Informatique et Libertés (CIL) nommés dans les entreprises privées ou publiques. «La CNIL intervient régulièrement dans le cadre de demandes de groupements professionnels et d'entreprises du numérique en quête d'un mode d'emploi pour l'utilisation des données personnelles», précise un de ses porte-parole.
L'institution travaille également au rapprochement des différentes parties concernées. Un travail qui s'est concrétisé par la création du collectif Education numérique, qui regroupe une cinquantaine d'acteurs civils (associations de consommateurs et de parents d'élèves, grandes entreprises…). Un label «Grande cause nationale 2014» a même été sollicité – en vain, pour le moment – auprès de Matignon. «La dynamique va aboutir à la création d'outils d'auto-évaluation dans les sociétés», se réjouit-on à la CNIL, où l'on constate encore une faible prise de conscience du problème dans les PME.
