Cybersécurité, protection des secrets de l’entreprise, des données personnelles mais aussi des avis juridiques sont des sujets imbriqués qui ont été particulièrement mis en lumière dans le contexte de confinement imposé, et donc de travail à distance. Pour démêler le vrai du faux, Décideurs Juridiques a fait appel à une experte aussi bien du droit que des technologies, Amélie de Braux. Entretien.
Le défaut de legal privilege des juristes mis en exergue par le confinement ?
Décideurs Juridiques. Le défaut de legal privilege des juristes a-t-il été mis en exergue par le confinement ?
Amélie de Braux. Oui, parce que la protection des consultations juridiques est toujours un sujet sensible pour nous directeurs juridiques, mais aussi parce que le travail à distance a pu nous placer dans des situations difficiles : là où un avocat peut écrire à son client en toute sécurité grâce au secret professionnel dont il bénéficie, le directeur juridique ne peut pas fournir tous ses avis juridiques écrits sans que ceux-ci ne soient saisissables par une autorité de poursuite. En temps normal, nous avions développé des solutions de contournement comme notamment nous déplacer dans le bureau de notre directeur financier ou de notre directeur général. En période de confinement, c’est impossible. Un appel téléphonique n’est pas toujours possible. En d’autres termes, les réflexes que nous avons tous en période normale ont laissé place à la gestion de la crise dans l’urgence, entraînant une perte de temps inutile, voire parfois une prise de risques.
Ce sujet peut-il être séparé de la protection des données personnelles et des secrets de l’entreprise ?
A. de B. Secret professionnel, sécurité informatique, protection des données personnelles et d’entreprise sont des sujets qui ne sont pas nouveaux et se mélangent. Ils ont été exacerbés par la crise qui a placé les salariés seuls chez eux. Or, les failles en ces domaines sont sujettes à deux facteurs de risques : l’humain et la technologie.
L’humain tout d’abord. Certains se sont sentis perdus, n’avaient pas l’habitude de travailler à distance et ont craint de perdre le contact physique. Dans ce cas, les réflexes du bon père de famille peuvent se perdre et des comportements à risques peuvent se produire. La technologie vient donc ensuite palier ce risque : certaines entreprises ont été obligées d’adopter des solutions digitales à marche forcée sans passer par toutes les étapes de diligence nécessaires à leur mise en place : test des failles de sécurité, gestion de la localisation des données… Nous sommes passés en très peu de temps d’un stade où le digital faisait peur à du tout digital et cela est facteur de risques.
Toutes les entreprises ont-elles pris des risques ?
A. de B. Pas vraiment. Il y a celles qui étaient déjà bien outillées, avec des serveurs sécurisés. Notamment, en matière de protection des donnée personnelles, certaines entreprises étaient déjà conformes au RGPD et la crise n’a rien changé. Elles n’ont pas eu non plus à se préoccuper de la protection des secrets des affaires, puisque ce sujet avait déjà été traité en amont. Il y a celles aussi qui ne peuvent pas procéder à une digitalisation massive comme celles du secteur de la défense, qui peuvent être contraintes d’utiliser le papier, ou encore certaines entreprises d’autres secteurs, comme la finance et la pharmacie qui ne peuvent pas non plus tout digitaliser. Et il y a aussi les entreprises qui ont découvert le sujet du digital avec le confinement, et qui ont dû s’outiller dans l’urgence, de la même manière que certaines autres entreprises ont découvert la protection des données personnelles en 2016 ! Ici résident les plus gros risques.
Mais le risque zéro n’existe pas ?
A. de B. Tout à fait. Les données personnelles et d’entreprises sont toujours menacées par des failles ou des attaques. Car même avec les meilleurs outils technologiques, la question n’est pas de savoir si une faille va se produire mais comment on va y répondre. Aucun outil digital ou solution reposant uniquement sur l’humain est fiable à 100 %. Tout réside dans la mise en place d’une hygiène sécuritaire, des « gestes barrière » en quelque sorte avec des politiques internes robustes et surtout des plan de remédiation efficaces.
Et le facteur humain…
A. de B. La gestion de l’émotion a été rendue difficile par le travail à distance. Il fallait faire en sorte que les salariés n’adoptent pas de comportements à risque. La crise sanitaire a été l’occasion de mettre à l’épreuve in concreto les programmes de compliance en place, ainsi que les mesures de sécurité. Je suis persuadée que certains directeurs juridiques ou de la compliance ont dormi sur leurs deux oreilles durant cette période. La source importante d’exposition qui persiste pour les entreprises les mieux protégées, c’est l’absence de secret professionnel de leurs équipes juridiques. Il a fallu trouver des solutions de contournement aux réflexes adoptés avant la crise, causant des pertes de temps inutile tandis que les équipes devaient aussi faire front pour gérer l’urgence de la situation. Si un directeur juridique ne peut pas écrire à son directeur général, c’est un problème…
Propos recueillis par Pascale D'Amore
