Contrôle de l’activité des employés en entreprise : que savoir, que faire ?

0

Forcepoint a réalisé avec le cabinet d’avocat Hogan Lovells une étude détaillée sur les problèmes potentiels liés au contrôle des collaborateurs d’entreprise à un niveau mondial et l’identification des implications légales de 10 modes de contrôle différents dans 15 pays, dont la France. Gérer les cyber-risques liés aux collaborateurs à un niveau mondial (disponible uniquement en anglais pour le moment) est un document essentiel pour la définition et la mise en place de tout programme de protection des données impliquant le contrôle des activités numériques des collaborateurs d’une organisation.

Alors que les entreprises internationales analysent et mettent en place des processus de gestion des informations pour satisfaire de nouvelles réglementations plus exigeantes telles que le RGPD, la protection des données des clients est devenue prioritaire. L’un des moyens de gérer et de protéger ces données contre les menaces externes et internes est de contrôler l’utilisation des ressources.

Le contrôle de l’activité numérique des collaborateurs d’une entreprise est un défi pour les équipes juridiques, informatiques, commerciales et des ressources humaines, puisqu’il suppose un arbitrage entre le respect de la vie privée et du droit du travail et la nécessité de protéger à la fois les données et la propriété intellectuelle de l’entreprise. Pour toute organisation opérant à un niveau international, les différences légales entre les pays accroissent ce défi, et suppose d’adopter des politiques multiples variant selon le lieu de travail des collaborateurs.

« Alors que nous développions nos propres programmes de sécurité axés sur l’humain, nous avons réalisé notre propre analyse d’impact DPIA/PIA (ou analyse des risques que les traitements de données à caractère personnel (DCP) peuvent faire peser sur les libertés et la vie privée des personnes concernées), nous nous sommes rendus compte que nous avions nous-mêmes besoin d’éclairages juridiques. » explique Nico Fischbach, CTO de Forcepoint. « Nous savions que nos clients allaient également devoir gérer cette difficulté et avons donc demandé au cabinet international et spécialisé d’avocats Hogan Lovells de réaliser une étude sur le sujet, dans l’objectif de la rendre publique. »

Cette recherche est la première analyse mondiale publiée sur l’environnement juridique mondial concernant spécifiquement la mise en place de programmes de cybersécurité touchant le contrôle des employés d’une entreprise. Il a pour objectif d’aider les personnes en charge d’analyser et de revoir les programmes de mise en conformité de leur entreprise. L’équipe de Hogan Lovells, qui s’est appuyée sur une sélection de sociétés spécialisées dans les différents pays, a réalisé une étude et proposé des recommandations sur les trois principaux secteurs qui concernent les programmes de cyberdéfense et impliquent le contrôle des activités numériques des collaborateurs, à savoir :  les lois régissant la protection des données et de la vie privée, celles portant sur le secret des communications et le droit du travail.

Présentant une liste de questions que les entreprises doivent se poser et une suggestion de garde-fous relatifs à la protection de la vie privée, le livre blanc propose un ensemble de meilleures pratiques à suivre ainsi que des informations spécifiques sur les obligations à respecter dans quinze pays.

L’évolution des menaces et de la législation implique la nécessité de contrôler l’activité numérique des collaborateurs

Les outils traditionnels ne suffisent pas pour fournir une contextualisation appropriée des données en rapport avec le risque humain. Les entreprises ont ainsi de plus en plus besoin de comprendre les cyber-comportements de leurs employés, à l’intersection des utilisateurs, des données et des réseaux.

« De nombreux événements récents ont montré l’impact que peut avoir un problème de cybersécurité sur l’activité et la réputation d’une entreprise, et combien il peut exposer celle-ci à des conséquences liées à la règlementation et à des contentieux d’ordre privé, » explique Harriet Peason, partenaire au sein de Hogan Lovells. « Les collaborateurs d’une entreprise sont une source de risque, que celui-ci intervienne par inadvertance ou à dessein. Pour détecter, prévenir et limiter de façon efficace les conséquences des cyber-incidents, les entreprises doivent répondre aux menaces externes et internes. Ce que nous observons en travaillant pour nos clients issus de différents secteurs d’activité, c’est que l’une des façons de réduire efficacement ce risque est de contrôler comment les utilisateurs interagissent avec les données sensibles et les ressources d’informations ».

Comprendre les différences entre les pays

La complexité du contrôle des collaborateurs varie selon les 15 pays étudiés dans le livre blanc, et Hogan Lovells a attribué un score général aux exigences de conformité dans chacun de ces pays. Dans certains, les entreprises ont le droit de réaliser un contrôle particulièrement étendu des activités numériques de leurs collaborateurs. Dans d’autres, elles doivent éviter d’analyser les données et les communications personnelles et ne peuvent le faire que lors de cas de suspicion raisonnable de faute professionnelle.

De nombreux pays exigent que des programmes de contrôle des collaborateurs ne soient mis en place qu’après consultation des représentants du personnel ou des employés de façon individuelle. Aux Etats-Unis par exemple, la loi fédérale exonère les entreprises de toute poursuite dès lors que le contrôle des systèmes d’information sont réalisés à des fins de cybersécurité. En Finlande en revanche, l’employeur n’est généralement pas autorisé à accéder aux contenus des communications envoyées ou reçues par les employés.

“Tout programme de contrôle des activités numériques des employés doit être proportionné, respectueux et déployé de façon transparente pour s’assurer de la confiance des collaborateurs » poursuit Harriet Pearson. « C’est un exercice d’équilibre pour lequel employeur et employé doivent travailler main dans la main pour se protéger réciproquement. Nous voulons tous une meilleure protection pour nous-mêmes et pour nos données importantes, mais contrôler quand, comment et pourquoi les employés interagissent avec différentes données d’entreprise a d’évidentes et importantes implications sur le respect de la vie privée de chacun ».

About Author

Globb Security France

Leave A Reply