Dans le labyrinthe électronique des transferts d’informations

Les deux phénomènes sont intimement liés. Depuis que les nouvelles technologies ont révolutionné les habitudes professionnelles, le casse-tête de la protection des données a fait une en-trée fracassante dans le top dix des soucis des managers. Et pour les départements des ressources humaines, de nouvelles zones d’ombres ont fait surface. Car le recours à l’Internet et aux courriers électroniques n’a pas seulement transformé les moyens de communication. Il a aussi ouvert de nouvelles perspectives en termes de contrôle de qualité et de surveillance des collaborateurs. Avec des enjeux contradictoires. Pour l’entre-prise, le principal avantage est sans aucun doute une forte rationalisation des processus. Avec des possibilités d’économies importantes. Les tâches purement administratives sont automatisées. Réduisant du coup les investissements en personnel de back-office. Et comme les rendements des machines sont quasiment des puits sans fond (au contraire des êtres humains), tout va plus vite et tout devient plus sûr. La communication en entreprise a également beaucoup profité de cette révolution. Véritables interfaces entre les collaborateurs et leurs employeurs, les portails web d’entreprises poussent comme des champignons. Sans parler des systèmes intranet et des listes d’adresses électroniques qui permettent d’avertir tout son personnel en deux temps trois mouvements. 

Mais ces progrès technologiques incontestables ont aussi leurs effets pervers. Du côté des directeurs de ligne, la grande crainte (très souvent inavouée) est celle de l’espionnage économique. Vu sous cet angle, la sécurité comme responsabilité des GRH prend une dimension hautement stratégique. Comment protéger le savoir-faire et les innovations, les deux grandes sources de création de valeur d’une organisation, est la grande question (nous y revenons en détail en page 18)? Le deuxième travers important de ces nouveaux outils de communication concerne directement les départements de ressources humaines. Car les nouvelles technologies ont ouvert des brèches importantes dans la protection de la personnalité. Le sujet est sensible. Les risques sont des atteintes à la sphère privée et une augmentation de la pression psychologique sur les collaborateurs. Et selon Jean-Philippe Walter, le Préposé fédéral suppléant à la protection des données et à la transparence (PFPDT)*, les réclamations liées aux violations de la personnalité et en particulier aux intrusions dans la sphère privée des collaborateurs font partie des plaintes les plus courantes. Vue sous cet angle, la sécurité comme responsabilité des GRH place donc bien l’individu au centre des préoccupations. Et bien que la question fasse partie des responsabilités des employeurs (une mauvaise gestion de la protection des données est punissable par la loi), elle est souvent recalée derrière des soucis plus stratégiques et donc plus profitables. Mais assumer sa responsabilité en termes de protection des données devrait fusionner ce double objectif. Car cette prise de conscience permet d’offrir à l’organisation les moyens technologiques de pointe, augmentant du coup sa compétitivité. Tout en recadrant l’individu sous le feu des projecteurs. Avec des effets positifs en termes de mobilisation du personnel. 

Devant ce chantier aux perspectives variées, l’obstacle principal reste la très grande complexité du dossier. «Ce sont des questions que nous déléguons aux juristes», avoue un directeur de ressources humaines d’une banque internatio-nale établie à Lausanne. Mais si, dans les faits, ce sont effectivement aux juristes de trancher, rappeler quelques principes élémentaires en matière de protection des données permettra aux RH de mieux se positionner sur ce terrain aussi délicat que stratégique.

Individu. Impossible de comprendre les enjeux de la protection des données en entreprise sans poser le cadre juridique. L’objectif de la Loi sur la protection des données (appliquée depuis 1992 et dont une version révisée entrera en vigueur au début 2008) est de protéger les individus dans leurs droits fondamentaux. Toutes les informations qui permettent d’identifier une personne (nom, adresse, fiche de paie, bilan de santé) sont couvertes par les législations de protection des données. Et sur ce point, la loi est claire: on ne touche pas aux données qui peuvent porter atteinte à la vie privée et en particulier à la personnalité des employés. Peu importe les moyens technologiques à disposition. 

Image. Sur le terrain, les cartes se brouillent. Car l’entreprise est aussi en droit de soigner son image. Un collaborateur qui surfe sur des sites interdits depuis le bureau risque de porter atteinte à la marque de fabrique de son employeur. Sans parler de la diminution du rendement de son activité. Se pose également la question des courriels privés envoyés depuis le poste de travail. Dans ce cas, l’employeur craint surtout les failles dans son système de sécurité (cheval de Troie, virus). Et depuis que la plupart des entreprises utilisent un système informatique en réseau, c’est toute l’organisation qui est menacée. Les plus grandes failles dans les infrastructures informatiques sont donc très souvent des êtres humains (volontairement ou non). 

Réglementation. De manière plus pragmatique, il s’agira d’atteindre un équilibre entre le devoir de protection de la sphère privée des collaborateurs et les risques de dérives nuisibles pour la société. Cette solution passe généralement par une claire réglementation. L’employeur est en droit d’établir des directives (art. 321 du CO). Et il a intérêt à le faire par écrit. Le document clarifiera les niveaux d’accès et la question des courriels privés. En général, la liberté laissée par l’em-ployeur à ses collaborateurs dépendra des risques. Cela peut aller de l’interdiction pure et simple (tout en offrant un accès à internet sur un ordinateur isolé du réseau) à une large liberté de manœuvre. 

Barrages. Mais une bonne réglementation s’avérera surtout utile en cas de litige. Elle ne supprimera pas le risque de dérives. Les meilleures stratégies de protection restent les barrages technologiques. Mots de passe, logiciels antivirus, systèmes pare-feu (firewalls) sont aujourd’hui devenus monnaie courante. Le PFPDT conseille aussi de crypter les données sensibles. Ces systèmes ont l’avantage de protéger autant l’entreprise que l’individu. Chaque collaborateur possède son code d’accès et est donc le seul à pouvoir lire le contenu des messages qui lui sont adressés. A noter que les équipes du support informatique - les seules spécialistes dans l’entreprise à être en mesure d’accéder à des données sensibles - doivent être clairement informées sur les limites à ne pas franchir. 

Transparence. Si le recours aux logiciels et autres systèmes de sécurité informatique est le meilleur moyen pour préserver les intérêts communs des collaborateurs et des employeurs, le recours à une technologie de pointe n’est pas sans risque. Pensez aux traces laissées par les utilisateurs. Aujourd’hui, l’enregistrement en continu des données qui circulent dans l’entreprise est courant. Dans le jargon, on parle de journalisation des données. Une pratique à double tranchant puisqu’elle permet de connaître à la minute près l’emploi du temps des employés. Tout en dévoilant le détail de leurs communications. Pour prévenir les écarts, Jean-Philippe Walter conseille de communiquer clairement aux employés (via les règlements) l’existence des mesures de surveil-lance et notamment la journalisation des traitements de données, la durée de conservation des informations ainsi que les conditions pour pouvoir y accéder. Le principe étant que chaque collaborateur est en droit de savoir qu’on traite les traces liées à ses activités et qu’elles peuvent faire l’objet d’analyses plus approfondies. Celui-ci doit aussi pouvoir accéder aux registres qui le concernent. Ce qui l’autorisera du coup à contester des faits qu’on pourrait lui reprocher. Enfin, les mesures de surveillance ne doivent pas entraîner une observation systématique et continue du comportement des employés. 

Référence. Se pose également la question de l’organigramme. Faut-il désigner un responsable de la protection des données? Au contraire de nos voisins français et allemands (qui l’exigent dès 20 employés), la loi suisse ne l’oblige pas. Mais Jean-Philippe Walter le recommande fortement. En général, les grands groupes internationaux ou nationaux ont tous un responsable de la protection des données. Pour les raisons stratégiques évoquées plus haut. A l’instar de nombreux groupes internationaux, le groupe pharmaceutique Novartis a même créé un secteur complet pour garantir la protection de ses données à travers le monde. Il existe également des conseillers à la protection des données indépendants. Ces sociétés de conseil se comptent encore sur les doigts de la main en Suisse romande. Nul doute qu’elles devraient se multiplier à l’avenir.