Au bureau

Au bureau, une gestion irréprochable des informations et des documents à votre disposition est vitale, d'autant plus lorsque ces données sont stratégiques ou concernent des usagers privés (clients, patients...)

Car la protection des données confidentielles de l'entreprise : études de marché, recherche et développement, lancement de nouveaux produits, stratégies commerciales, est tout autant importante que le respect de la loi qui vous oblige à protéger les informations de tiers. Ainsi, la loi Informatique et Libertés du 6 janvier 1978 prévoit des peines pouvant aller jusqu'à 5 ans d'emprisonnement et 300 000 € d'amende pour le responsable d'une société s'il est avéré que les mesures nécessaires à la protection des données n'ont pas été prises. Voici donc quelques conseils pour gérer au mieux vos données.

Les conseils ci-dessous ne sont bien entendu pas exhaustifs et ne remplacent en aucune façon un audit interne effectué avec l'aide d'un professionnel sur la prévention des risques de fuites d'information. Pour vous aider à évaluer et gérer ces risques, l'AFNOR a par ailleurs mis à votre disposition, depuis décembre 2014, un guide de bonnes pratiques appelé BP Z90-001 - Prévention et gestion de la fuite d'informations - Protection du patrimoine informationnel.

En tant qu'entreprise, le volume de documents à gérer est conséquent et peut revêtir plusieurs formes : papier, numérique, optique... Alors qu'Internet a grandement facilité l'accès à l'information, il a également fait évoluer à grande vitesse notre façon de la gérer au quotidien, voire parfois même, de perdre le contrôle de l'information qui peut être diffusée en temps réel sur un très grand nombre de sites et ce, qu'elle soit légale et authentique, ou non.

Pour vous donner ces quelques conseils de sécurisation de l'information, nous nous intéresserons plutôt au cycle de vie d'un document, de sa conception à sa fin de vie, en considérant que celui-ci est élaboré sur un ordinateur et que son niveau de confidentialité est élevé. Nous prendons comme exemple un plan de communication sur un nouveau produit.

Phase 1 : l'idée

Votre entreprise a imaginé un nouveau produit qui va révolutionner le marché de votre secteur d'information : de la recherche à sa production, aucune information n'a filtré sur celui-ci et il devrait créer la surprise que vous espérez et générer d'importants volumes de vente.

Pour son lancement, vous souhaitez mettre en place un plan de communication sur-mesure, ingénieux, marquant les esprits et à la hauteur de l'innovation que ce produit apporte. Pour cela, vous organisez des réunions avec les différents services et prestataires concernés. Et évidemment, le risque de fuite d'une information croît avec le nombre de personnes en ayant connaissance. Nos conseils à ce stade :

sécuriser l'accès à vos locaux / bureaux / salles de réunion pour éviter aux oreilles indiscrètes (concurrents, employés mécontents, démissionnaires et/ou non concernés...) d'avoir connaissance de votre projet,
cela peut paraître simpliste, mais bien souvent, les entreprises recourent à des salles de réunion borgnes ou ferment les fenêtres et volets durant leurs réunions : pourquoi pas faire de même,
si vos collaborateurs et partenaires prennent des notes (et ils en prendront), s'assurer auprès d'eux qu'ils seront d'une extrême vigilance avec celles-ci, ou opter pour un code spécifique qui ne pourra rien laisser présager aux lecteurs non initiés,
et bien évidemment s'assurer de la fiabilité des prestataires : leur réputation, les moyens mis en place pour le respect du secret.

Insister également sur ce fait : lorsque vos collaborateurs souhaitent jeter leurs prises de note, elles doivent être détruites avec une broyeuse à papier disposant d'un haut niveau de sécurité. Si les données sont informatisées, il est préférable qu'elles restent au sein de l'entreprise et qu'elles n'en sortent pas (ou sur un réseau ou un cloud hautement sécurisé).

Le saviez-vous ? Selon une étude du Ponemon Institute⁽¹⁾, en France, 6 employés sur 10 ayant quitté leur entreprise dans les 12 derniers mois conserveraient des données confidentelles appartenant à leur ancienne entreprise. Limitez votre confiance à un groupe restreint de personnes !

Phase 2 : la création du document

Après avoir planché pendant des semaines, les différents interlocuteurs sont en accord : un plan de communication est rédigé sur le poste informatique du responsable de projets marketing pour caler toutes les tâches à effectuer :

l'ordinateur doit en premier lieu être sécurisé par une solution anti-virus et pare-feu performante protégeant des intrusions par réseau ou fichier corrompu (analyse en temps réel des fichiers, des logiciels, de la messagerie...),
il doit être connecté à un réseau sécurisé et la connexion à Internet doit être protégée,
l'écran de l'ordinateur doit être placé face au mur (et non d'une porte ou pire, d'une fenêtre) de sorte que personne ne puisse y jeter de regard indiscret.

Bien souvent, ce plan est transmis en interne pour validation : si des brouillons par papier existent, dès que vous n'en avez plus besoin, détruisez-les avec un destructeur de documents. De même, supprimez les copies de vos ordinateurs et messageries lorsque vous n'en avez plus besoin.

Vous pouvez également opter pour un outil de versioning (sur réseau interne ou cloud hautement sécurisé) de façon à créer un document partagé, mis à jour au fur et à mesure des corrections de chacun et avec la possibilité de retrouver, à tout moment, une version antérieure en cas d'erreur. Dans ce cas, tous les postes informatiques doivent être sécurisés.

Phase 3 : la transmission et l'exploitation du document

Le plan de communication est rédigé et validé, il doit désormais être transmis aux différents intervenants :

de préférence, on optera pour une communication sur format papier, souvent plus fiable et offrant un meilleur confort de lecture, et on invitera chacun à stocker celui-ci en lieu sûr et à ne pas le consulter dans les lieux publics et les transports en commun (attention aux regards indiscrets !),
sinon, le fichier doit être envoyée à des adresses e-mails fiables : attention aux erreurs de frappe qui peuvent provoquer des fuites et coûter très cher,
si le fichier est stocké sur un appareil ou support numérique mobile (ordinateur portable, smartphone, clé USB), les différents interlocuteurs devront être d'une extrême vigilance lors de leur utilisation, ne pas surfer sur des réseaux non sécurisés, ne pas utiliser ceux-ci dans des espaces publics, veiller à ne pas se les faire voler et ne pas les perdre.

Si le support du document (ordinateur, téléphone, clé USB, CD...) tombe en panne, ne pas le jeter en l'état : détruisez-le avec une broyeuse multimédia adaptée et disposant d'un haut niveau de sécurité.

Phase 4 : la fin de vie

Parce que, même lorsque leur utilité est dépassée, votre plan de communication et les différents autres données satellites autour de votre projet de lancement peuvent faire état de données confidentielles (budgets, données personnelles, fichiers de prospection, participants à des jeux-concours...), ils ne doivent pas être laissés sans surveillance à la portée de tous et encore moins être jetés à la poubelle en l'état.

Notre conseil : détruisez-les, encore ! De plus, lorsque ces données concernent des tiers, la CNIL vous oblige à leur destruction une fois leur finalité atteinte.

Où acheter une broyeuse professionnelle ?

Notre équipe commerciale est à votre disposition pour vous conseiller et vous guidera pour le choix de la solution la plus adaptée à vos besoins. Notre boutique en ligne Destructeur-Documents.fr vous propose de nombreux modèles de broyeuses de documents, adaptés à tous les besoins et à tous les budgets.

Pour vous aider dans votre choix, nous vous invitons à consulter également notre article sur les différents niveaux de sécurité de destruction du document.

⁽¹⁾ What’s Yours is Mine: How Employees are Putting Your Intellectual property at Risk, 2013, Ponemon Institute