La protection des données en France
La CNIL a explicité dans un document d'orientation du 10
novembre 2005 la mise en place des dispositifs d'alerte professionnelle dont
la finalité est de renforcer la protection des données sensibles
de l'entreprise en favorisant la dénonciation de comportements suspects
de collaborateurs (CNIL 2005). Ce dispositif est applicable à un cadre
restreint et sous certaines conditions :
ï limitation du dispositif d'alerte aux domaines comptables,
financiers et bancaires (lutte contre la corruption),
ï définition des catégories de personnes
concernées par le dispositif d'alerte par le chef d'entreprise qui fixe
également les limites de la procédure,
ï création d'une organisation spécifique dans
l'entreprise chargée de la gestion du dispositif d'alerte : nomination
d'un responsable, définition de son rôle,
ï information individuelle et collective des salariés
sur le dispositif d'alerte, par tous les moyens,
ï information des salariés mis en cause dans le cadre
de l'alerte professionnelle par le responsable du dispositif.
Définir la portée du secret professionnel en
qualifiant les données
La déontologie permet de discerner les règles
adéquates en matière de secret professionnel et de
déterminer la manière la plus adaptée pour le mettre en
oeuvre. Car, en effet, traiter de manière massive des données
confidentielles et/ou sensibles implique le respect du secret professionnel. Il
s'agit d'une obligation légale qui requiert :
ï une qualification préalable des données et
des personnes soumises au secret ;
ï une qualification préalable des circonstances dans
lesquelles le secret peut être levé.
Mettre en place une charte et communiquer
Parmi les moyens mis en oeuvre pour assurer la conformité
juridique des usages du SI, de nombreuses entreprises ont mis en place une
charte. Plus de 95% des entreprises sont déjà dotées d'une
charte d'utilisation du SI ou sont en train de le faire (CIGREF 2006).
L'introduction de telles règles n'a pas pour but de
moraliser, ni de standardiser les comportements des salariés au regard
de l'usage du SI, mais de donner des repères sur les conduites que
l'entreprise attend des collaborateurs en matière d'usages du SI :
ï Responsabiliser les salariés au regard de l'usage
du SI de l'entreprise,
ï Assurer à la fois la transparence, la
confidentialité et le respect de l'espace privé des
salariés,
ï Sécuriser en interne et en externe la circulation
des informations,
ï Respecter et faire respecter le droit de
propriété intellectuelle,
ï Concilier le besoin de sécurité et l'esprit
d'entreprise,
ï Rendre l'environnement juridique lié aux usages des
outils informatiques plus lisible et compréhensible,
ï Lister de manière exhaustive les règles
d'utilisation des outils liés aux Systèmes d'information.
Les entreprises peuvent choisir de donner une dimension juridique
à leur démarche en adossant leur charte d'usages, ou certaines de
ses dispositions seulement, à leur règlement intérieur.
Les règles ainsi établies ont alors force obligatoire et un
système de contrôle / sanctions en cas de non respect peut
s'appliquer (HUGOT 2008).
La protection de l'information par des moyens juridiques permet
de définir ce qu'il faut protéger. C'est un moyen
nécessaire mais clairement insuffisant. Des moyens technologiques
doivent renforcer et sécuriser la protection de la
confidentialité.
| 
